Tôi đã tìm hiểu thêm về các cơ chế nâng cấp hậu lượng tử, đặc biệt là những cơ chế không yêu cầu thay đổi địa chỉ. Các chuỗi EdDSA tuân theo RFC-8032 (kiểu Ed25519) có một lợi thế tích hợp. Khóa ký của bạn không phải là một số ngẫu nhiên thô, mà được xác định một cách có hệ thống từ một hạt giống ngắn bằng cách băm. Điều đó có nghĩa là bạn có thể chứng minh rằng bạn biết hạt giống (trong một bằng chứng ZK an toàn hậu lượng tử) và gắn một khóa hậu lượng tử mới vào cùng một địa chỉ. Không có quỹ nào di chuyển và không có dữ liệu đường cong mới nào trên chuỗi. Ngay cả các tài khoản không hoạt động cũng có thể được nâng cấp nếu hạt giống tồn tại. Điều này bao gồm các chuỗi như Sui, Solana, NEAR, Stellar, Aptos. Bitcoin/Ethereum không có bất biến đó theo mặc định vì nhiều khóa ECDSA đến từ "chỉ cần chọn một số ngẫu nhiên". Nhưng có một con đường khả thi cho các nhóm lớn sử dụng BIP-39 → BIP-32 với các đường dẫn được xác định rõ ràng. Bạn có thể chứng minh rằng việc xác định chính xác đó và gắn một khóa hậu lượng tử mà không cần di chuyển quỹ. Nhưng, nó cụ thể cho ví và có thể phức tạp: -  PBKDF2-HMAC-SHA512 của BIP-39 (2048 vòng) tốn kém trong ZK - BIP-32 thêm HMAC-SHA512 và toán học secp256k1 bên trong mạch Tuy nhiên, đối với các đường dẫn phổ biến (ví dụ: Ethereum m/44’/60’/0’/0/x), điều này có thể khả thi. Thông thường có hai mô hình triển khai: 1. Bằng chứng một lần + ánh xạ: công bố một bằng chứng một lần và ghi lại địa chỉ → khóa hậu lượng tử. Từ đó trở đi, bạn ký hậu lượng tử cho địa chỉ đó. 2. Bằng chứng theo giao dịch: mỗi giao dịch mang theo một bằng chứng duy nhất liên kết hạt giống với địa chỉ và ủy quyền cho thông điệp. Không trạng thái, nhưng mỗi người xác minh phải kiểm tra bằng chứng. Điều này có thể loại trừ nhiều chuỗi do chi phí hiệu suất của việc xác minh bằng chứng cho mỗi giao dịch. Tại sao điều này hoạt động: Thuật toán Shor phá vỡ các log rời rạc (vì vậy các hệ thống khóa công khai như ECDSA/EdDSA thất bại khi khóa công khai bị lộ). Thuật toán Grover chỉ cung cấp một sự tăng tốc bậc hai cho các hình ảnh băm. Vì vậy, nếu khóa riêng của bạn được xác định từ một hạt giống thông qua một hàm băm mạnh (ví dụ: SHA-512), hạt giống vẫn ẩn danh ngay cả khi một máy trong tương lai phục hồi khóa của ngày hôm nay. Đó là lý do tại sao thiết kế "hạt giống trước" trong EdDSA giúp ích. Ngoài ra, bạn không cần một hard fork để bắt đầu. Trước Ngày Q, bạn cũng có thể gắn danh tính mà không cần ZK bằng cách ký chéo địa chỉ di sản và khóa hậu lượng tử theo cả hai hướng và neo nó theo thời gian. Đó là những gì chúng tôi đã xây dựng với yellowpages. Trong bài viết, tôi phân tích cơ chế, những gì bạn có thể tiết kiệm hôm nay trên các chuỗi EdDSA, những gì bạn có thể thực tế tiết kiệm trên ECDSA, những đánh đổi giữa bằng chứng một lần và theo giao dịch, và các giới hạn mà bạn nên quan tâm (xử lý hạt giống, bảo vệ phát lại, chi phí bằng chứng). Bài viết đầy đủ bên dưới.