Jag har tittat på fler mekanismer efter kvantuppgradering, särskilt sådana som inte kräver en adressändring. EdDSA-kedjor som följer RFC-8032 (Ed25519-stil) har en inbyggd fördel. Din signeringsnyckel är inte en rå slumpmässig skalär, den härleds deterministiskt från ett kort frö genom hashning. Det betyder att du kan bevisa att du känner till fröet (i ett post-quantum-sound ZK-bevis) och Bind en ny post-quantum-nyckel till samma adress. Inga fondrörelser och inga nya kurvdata i kedjan. Även vilande konton kan uppgraderas om startvärdet finns. Detta täcker kedjor som Sui, Solana, NEAR, Stellar, Aptos. Bitcoin/Ethereum har inte den invarianten som standard eftersom många ECDSA-nycklar kom från "välj bara en slumpmässig skalär". Men det finns en möjlig väg för stora kohorter som använder BIP-39 → BIP-32 med väldefinierade vägar. Du kan bevisa den exakta härledningen och binda en postkvantnyckel utan att flytta pengar. Men det är plånboksspecifikt och kan vara komplicerat: - BIP-39:s PBKDF2-HMAC-SHA512 (2048 skott) är dyr i ZK - BIP-32 lägger till HMAC-SHA512 och secp256k1 matematik inuti kretsen För vanliga vägar (t.ex. Ethereum m/44'/60'/0'/0/x) kan det dock vara genomförbart. I allmänhet finns det två distributionsmönster: 1. Engångsbevis + mappning: publicera ett bevis en gång och registrera adressen → postkvantnyckeln. Från och med då signerar du post-quantum för den adressen. 2. Bevis per transaktion: varje transaktion har ett enda bevis som knyter fröet till adressen och godkänner meddelandet. Tillståndslös, men varje kontrollör måste kontrollera beviset. Detta kan utesluta många kedjor med tanke på prestandakostnaderna för att verifiera beviset per tx. Varför detta fungerar: Shors algoritm bryter diskreta loggar (så system med offentliga nycklar som ECDSA/EdDSA misslyckas när den offentliga nyckeln exponeras). Grovers algoritm ger bara en kvadratisk hastighet för hash-förbilder. Så om din privata nyckel härleds från ett frö via en stark hash (t.ex. SHA-512) förblir fröet dolt även om en framtida maskin återfår dagens nyckel. Det är därför "seed-first"-designen i EdDSA hjälper. Dessutom behöver du inte en hård gaffel för att starta. Före Q-Day kan du också binda identiteter utan ZK genom att korssignera den äldre adressen och post-quantum-nyckeln i båda riktningarna och förankra den i tiden. Det är vad vi byggde med gula sidorna. I inlägget går jag igenom mekaniken, vad du kan spara idag på EdDSA-kedjor, vad du realistiskt sett kan spara på ECDSA, avvägningarna mellan engångs- och per-tx-bevis och de gränser du bör bry dig om (fröhantering, omspelningsskydd, beviskostnad). Fullständig skrivning nedan.