Я розглядав більше механізмів пост-квантового оновлення, особливо ті, які не вимагають зміни адреси. Ланцюги EdDSA, які слідують RFC-8032 (стиль Ed25519), мають вбудовану перевагу. Ваш ключ підпису не є сирим випадковим скаляром, він детерміністично виводиться з короткого насіння шляхом хешування. Це означає, що ви можете довести, що знаєте зерно (у доказі ZK після квантового звуку) і прив'язати новий постквантовий ключ до тієї ж адреси. Жодних рухів коштів і жодних нових даних кривих у мережі. Навіть неактивні облікові записи можна оновити, якщо насіння існує. Це стосується таких мереж, як Sui, Solana, NEAR, Stellar, Aptos. Bitcoin/Ethereum не мають такого інваріанту за замовчуванням, тому що багато ключів ECDSA походять від «просто виберіть випадковий скаляр». Але існує можливий шлях для великих когорт, які використовують BIP-39 → BIP-32 з чітко визначеними шляхами. Ви можете довести це точне виведення та прив'язати постквантовий ключ без переміщення коштів. Але це залежить від гаманця і може бути складним: - BIP-39 PBKDF2-HMAC-SHA512 (2048 патронів) коштує дорого в ZK - BIP-32 додає математику HMAC-SHA512 і secp256k1 всередині схеми Тим не менш, для поширених шляхів (наприклад, Ethereum m/44'/60'/0'/0/x) це може бути здійсненним. Як правило, існує дві схеми розгортання: 1. Одноразовий доказ + відображення: опублікуйте доказ один раз і запишіть адресу → постквантовий ключ. З цього моменту ви підписуєте постквантовий підпис за цією адресою. 2. Доказ для кожної транзакції: кожна транзакція несе один доказ, який пов'язує початковий код з адресою та авторизує повідомлення. Без громадянства, але кожен верифікатор повинен перевірити докази. Це може виключити багато ланцюжків, враховуючи накладні витрати на продуктивність перевірки доказу на tx. Чому це працює: алгоритм Шора розриває дискретні журнали (тому системи з відкритим ключем, такі як ECDSA/EdDSA, зазнають невдачі, як тільки відкритий ключ розкривається). Алгоритм Гровера дає лише квадратичне прискорення для хеш-преобразів. Отже, якщо ваш приватний ключ отримано з початкового числа за допомогою сильного хешу (наприклад, SHA-512), насіння залишається прихованим, навіть якщо майбутня машина відновить сьогоднішній ключ. Ось чому дизайн «first-first» в EdDSA допомагає. Крім того, для запуску вам не потрібен хардфорк. До Q-Day ви також можете прив'язати ідентичності без ZK, перехресно підписавши застарілу адресу та постквантовий ключ в обох напрямках і прив'язавши їх до часу. Це те, що ми створили за допомогою yellowpages. У пості я розбираю механіку, що ви можете заощадити сьогодні на ланцюгах EdDSA, що ви реально можете заощадити на ECDSA, компроміси між одноразовими та на tx доказами, а також обмеження, про які вам слід дбати (обробка насіння, захист від повторного відтворення, вартість доказу). Повний опис нижче.