<span> Hi all,</span><div><br></div><div><span>  I'm working on a formal specification for a privacy-focused cryptocurrency</span></div><div><span>  built entirely on post-quantum primitives, and I've hit a wall I'd like input</span></div><div><span>  on. The full spec is public and there's no company, no funding, and no token</span></div><div><span>  behind it. This is a design-first project, written before any implementation,</span></div><div><span>  specifically so the cryptography can be reviewed before anything ships.</span></div><div><br></div><div><span>  The signature and KEM layers are straightforward. FALCON-1024 for signatures,</span></div><div><span>  Kyber-1024 for key encapsulation, both NIST 2024 standards. The problem is the</span></div><div><span>  privacy stack.</span></div><div><br></div><div><span>  The design targets Monero-style privacy: ring signatures for sender anonymity,</span></div><div><span>  stealth addresses for the recipient, and confidential transactions to hide</span></div><div><span>  amounts. The amount-hiding layer is where I'm stuck.</span></div><div><br></div><div><span>  Confidential transactions conventionally use Pedersen commitments, which are</span></div><div><span>  additively homomorphic and let the network verify that inputs equal outputs</span></div><div><span>  without revealing any amount. Bulletproofs then prove each committed value is</span></div><div><span>  in range. But Pedersen's hiding property rests on the discrete log assumption,</span></div><div><span>  so the whole amount-hiding layer falls to Shor's algorithm. Swapping the</span></div><div><span>  signature scheme for a lattice one does nothing about this.</span></div><div><br></div><div><span>  The requirements I can't simultaneously satisfy with anything I've found:</span></div><div><br></div><div><span>  1. Hiding and binding against a quantum adversary.</span></div><div><span>  2. Additive homomorphism, so input/output balance is verifiable without</span></div><div><span>  opening any commitment.</span></div><div><span>  3. An efficient range proof, ideally logarithmic in the value range, the way</span></div><div><span>  Bulletproofs are.</span></div><div><br></div><div><span>  Hash-based commitments give me 1 but lose 2. Lattice-based commitments from</span></div><div><span>  SIS/LWE can give me 1 and 2, but I haven't found a range proof construction</span></div><div><span>  over them that's both production-ready and well-reviewed. Everything I've</span></div><div><span>  found is either recent, large, or unproven in practice.</span></div><div><br></div><div><span>  Two related questions on the same stack:</span></div><div><br></div><div><span>  - Post-quantum ring signatures. Lattice constructions exist in the literature</span></div><div><span>  but the signature sizes are large enough to worry me at blockchain scale. Is</span></div><div><span>  there a current construction people consider settled for this use case?</span></div><div><span>  - Key images. The standard construction derives the key image from the</span></div><div><span>  discrete-log relationship between private and public key. That relationship</span></div><div><span>  doesn't exist in a lattice setting. Is there an accepted way to build a</span></div><div><span>  deterministic, unlinkable, unforgeable key image post-quantum?</span></div><div><br></div><div><span>  I'd genuinely welcome being told the commitment problem is harder than I</span></div><div><span>  think, or pointed at work I've missed. References, objections, or "this is</span></div><div><span>  open and here's why" are all useful. The full specification is available and</span></div><div><span>  I'm happy to share it with anyone interested.</span></div><div><br></div><div><span>  Thanks for reading.</span></div><span></span><br>