Los estándares ML-KEM y ML-DSA permiten almacenar la clave privada de dos maneras. Hay una semilla pequeña, 64 bytes para ML-KEM y 32 bytes para ML-DSA, y hay una forma expandida mayor que se deriva de esa semilla a través de una función hash. Ambas son matemáticamente equivalentes y puedes pasar de la semilla a la forma expandida cuando quieras, pero no puedes volver atrás. Si estás eligiendo entre qué guardar como clave privada, guarda la semilla. Es el verdadero secreto del que se deriva todo lo demás. Puedes expandirlo a la tecla completa cuando lo necesites, y tarda unos 40 microsegundos, así que no hay una razón real para guardar la versión ampliada en disco. Si lo necesitas en memoria para operaciones repetidas, simplemente expande una vez en el momento de carga. La semilla son bytes aleatorios, así que cualquier valor es una clave válida. La forma expandida tiene una estructura; coeficientes que deben estar dentro del rango, una clave pública incrustada, un hash que debe coincidir, y el estándar requiere que compruebes todo eso en la importación. Eso es mucho más superficial para que las cosas salgan mal que simplemente no tienes con una semilla. También existe un problema de serialización en curso en el IETF, donde el formato de compromiso actual permite que tanto la semilla como la clave expandida permanezcan en la misma estructura de datos. Eso significa que dos implementaciones conformes pueden leer campos diferentes de la misma clave y acabar con material de clave distinto, lo cual no es algo que se espere en un formato de clave. Resumen; DR: guarda la semilla y amplíala según sea necesario. A continuación, el texto completo se explica.