HD Wallets tiene la falla de que revelar una clave privada y su clave pública maestra principal revelará su clave privada maestra principal. (Descrito aquí[1] y aquí[2]).
¿No existe un concepto similar con clave pública maestra y clave privada maestra que no sufra este problema? (No tiene que ser ECDSA. Solo quiero un generador de par de claves privado-público determinista que pueda publicar su clave pública maestra).
[1] https://bitcoinmagazine.com/8396/deterministic-wallets-advantages-flaw/
[2] https://eprint.iacr.org/2014/998.pdf (capítulo 3)
Esto se tiene en cuenta dentro de la especificación BIP32, se denominan claves 'reforzadas'. Las claves privadas secundarias reforzadas se derivan de las claves privadas de los padres, y revelar las claves privadas secundarias reforzadas no revela la clave privada de los padres.
Los índices secundarios 0...2^31-1 están reservados para claves regulares (que tienen el problema que usted describe), y los índices secundarios 2^31...2^32-1 están reservados para claves privadas reforzadas.
Notación para un niño estándar:
m/0
Notación para un niño endurecido:
m/0'
m/0h
Pavol Rusnak
codificador morse
jonas schnelli