Díval jsem se na další mechanismy post-kvantového upgradu, zejména ty, které nevyžadují změnu adresy. Řetězce EdDSA, které následují po RFC-8032 (styl Ed25519), mají vestavěnou výhodu. Váš podpisový klíč není hrubý náhodný skalár, je deterministicky odvozen z krátkého počátečního čísla pomocí algoritmu hash. To znamená, že můžete dokázat, že znáte seed (v post-kvantově-zvukovém ZK důkazu) a Svážte nový postkvantový klíč se stejnou adresou. Žádné pohyby fondů a žádná nová data o křivce v řetězci. Dokonce i spící účty lze upgradovat, pokud existuje seed. To zahrnuje řetězce jako Sui, Solana, NEAR, Stellar, Aptos. Bitcoin/Ethereum ve výchozím nastavení tento invariantní není, protože mnoho klíčů ECDSA pochází z "stačí si vybrat náhodný skalár". Existuje však možná cesta pro velké kohorty, které používají BIP-39 → BIP-32 s dobře definovanými cestami. Můžete dokázat přesné odvození a svázat post-kvantový klíč bez přesunu finančních prostředků. Je to však specifické pro peněženku a může být složité: - BIP-39 PBKDF2-HMAC-SHA512 (2048 nábojů) je v ZK drahý - BIP-32 přidává do obvodu matematiku HMAC-SHA512 a secp256k1 Přesto pro běžné cesty (např. Ethereum m/44'/60'/0'/0/x) to může být proveditelné. Obecně existují dva způsoby nasazení: 1. Jednorázový nátisk + mapování: zveřejněte nátisk jednou a zaznamenejte adresu → postkvantového klíče. Od té doby se pro tuto adresu podepisujete post-kvantum. 2. Důkaz pro každou transakci: každá transakce nese jediný důkaz, který váže seed k adrese a autorizuje zprávu. Bez státní příslušnosti, ale každý ověřovatel musí zkontrolovat důkaz. To může vyloučit mnoho řetězců vzhledem k režijní zátěži výkonu při ověřování důkazu na tx. Proč to funguje: Shorův algoritmus narušuje diskrétní protokoly (takže systémy veřejných klíčů, jako je ECDSA/EdDSA, selžou, jakmile je veřejný klíč odhalen). Groverův algoritmus poskytuje kvadratické zrychlení pouze pro hašovací předobrazy. Pokud je tedy váš soukromý klíč odvozen ze seedu prostřednictvím silného hashe (např. SHA-512), semínko zůstává skryto i v případě, že budoucí stroj získá dnešní klíč. To je důvod, proč design "seed-first" v EdDSA pomáhá. Ke spuštění také nepotřebujete hard fork. Před Q-Day můžete také svázat identity bez ZK křížovým podpisem starší adresy a postkvantového klíče v obou směrech a ukotvením k času. To je to, co jsme vytvořili pomocí žlutých stránek. V příspěvku rozebírám mechaniku, co můžete dnes ušetřit na řetězcích EdDSA, co můžete reálně ušetřit na ECDSA, kompromisy jednorázových vs. per-tx důkazů a limity, na kterých by vám mělo záležet (manipulace se seedy, ochrana proti přehrání, náklady na důkaz). Celý zápis níže.