ML-KEM 和 ML-DSA 标准都允许您以两种方式存储私钥。有一个小种子，ML-KEM 为 64 字节，ML-DSA 为 32 字节，还有一个更大的扩展形式，通过哈希函数从该种子派生而来。这两者在数学上是等价的，您可以随时从种子转换为扩展形式，但无法反向操作。 如果您在选择存储什么作为私钥，建议存储种子。它是所有其他内容派生的实际秘密。您可以在需要时将其扩展为完整密钥，扩展过程大约需要 40 微秒，因此没有真正的理由将扩展版本存储在磁盘上。如果您在内存中需要它以进行重复操作，只需在加载时扩展一次。 种子只是随机字节，因此任何值都是有效密钥。扩展形式有其结构；需要在范围内的系数、嵌入的公钥、必须匹配的哈希，标准要求您在导入时检查所有这些。这比种子有更多出错的可能性。 IETF 目前也存在一个持续的序列化问题，当前的妥协格式允许种子和扩展密钥位于同一数据结构中。这意味着两个符合规范的实现可以从同一密钥读取不同的字段，最终得到不同的密钥材料，这不是您希望从密钥格式中得到的。 简而言之：存储种子并在需要时扩展。 完整的写作如下。