Los estándares ML-KEM y ML-DSA te permiten almacenar la clave privada de dos maneras. Hay una pequeña semilla, 64 bytes para ML-KEM y 32 bytes para ML-DSA, y hay una forma expandida más grande que se deriva de esa semilla a través de una(s) función(es) hash. Las dos son matemáticamente equivalentes y puedes pasar de la semilla a la forma expandida en cualquier momento que desees, pero no puedes volver atrás. Si estás eligiendo qué almacenar como clave privada, almacena la semilla. Es el secreto real del que se deriva todo lo demás. Puedes expandirla en la clave completa siempre que lo necesites, y toma alrededor de 40 microsegundos, así que no hay una razón real para almacenar la versión expandida en disco. Si la necesitas en memoria para operaciones repetidas, simplemente expande una vez al cargar. La semilla son solo bytes aleatorios, así que cualquier valor es una clave válida. La forma expandida tiene una estructura; coeficientes que deben estar en rango, una clave pública incrustada, un hash que debe coincidir, y el estándar requiere que verifiques todo eso al importar. Eso es mucho más superficie para que las cosas salgan mal que lo que no tienes con una semilla. También hay un problema de serialización en curso en IETF donde el formato de compromiso actual permite que tanto la semilla como la clave expandida estén en la misma estructura de datos. Eso significa que dos implementaciones conformes pueden leer diferentes campos de la misma clave y terminar con material de clave diferente, lo cual no es algo que desees de un formato de clave. Resumen: almacena la semilla y expándela según sea necesario.