Quantencomputer, die in der Lage wären, die Bitcoin-Blockchain zu brechen, existieren heute nicht. Entwickler betrachten jedoch bereits jetzt eine Welle an Upgrades, um sich gegen die potenzielle Bedrohung zu wappnen – und das zu Recht, denn die Bedrohung ist mittlerweile nicht mehr rein hypothetisch.
Diese Woche veröffentlichte Google eine Studie, die nahelegt, dass ein hinreichend leistungsfähiger Quantencomputer die Kernkryptografie von Bitcoin in weniger als neun Minuten knacken könnte – eine Minute schneller als die durchschnittliche Abwicklungszeit eines Bitcoin-Blocks. Einige Analysten glauben, dass eine solche Bedrohung bis 2029 Realität werden könnte.
Die Einsätze sind hoch: Rund 6,5 Millionen Bitcoin-Token, die zusammen Hunderte von Milliarden Dollar wert sind, liegen in Adressen, die ein Quantencomputer direkt angreifen könnte. Einige dieser Coins gehören dem pseudonymen Schöpfer von Bitcoin, Satoshi Nakamoto. Außerdem würde ein potenzieller Kompromiss die grundlegenden Prinzipien von Bitcoin beschädigen – „dem Code vertrauen“ und „sound money“.
So sieht die Bedrohung aus – und welche Vorschläge derzeit diskutiert werden, um ihr zu begegnen.
Zwei Wege, wie ein Quantenmaschinen Bitcoin angreifen könnte
Lass uns zuerst die Verwundbarkeit verstehen, bevor wir die Vorschläge diskutieren.
Die Sicherheit von Bitcoin basiert auf einer einseitigen mathematischen Beziehung. Wenn du eine Wallet erstellst, werden ein privater Schlüssel und eine geheime Zahl generiert, aus denen ein öffentlicher Schlüssel abgeleitet wird.
Um Bitcoin-Token auszugeben, musst du den Besitz eines privaten Schlüssels nachweisen – nicht, indem du ihn preisgibst, sondern indem du ihn verwendest, um eine kryptografische Signatur zu erzeugen, die das Netzwerk verifizieren kann.
Dieses System ist fehlerfrei, weil moderne Computer Milliarden von Jahren bräuchten, um die Elliptic-Curve-Kryptografie – genauer: den Elliptic Curve Digital Signature Algorithm (ECDSA) – zu knacken und den privaten Schlüssel aus dem öffentlichen Schlüssel rückzuentwickeln. Daher gilt die Blockchain als rechnerisch unmöglich zu kompromittieren.
Aber ein künftiger Quantencomputer kann diese Einbahnstraße in eine Zwei-Wege-Straße verwandeln, indem er deinen privaten Schlüssel aus dem öffentlichen Schlüssel ableitet und deine Coins abzieht.
Der öffentliche Schlüssel ist auf zwei Arten sichtbar: Von Coins, die onchain untätig herumliegen (der Long-Exposure-Angriff) oder von Coins in Bewegung bzw. Transaktionen, die im Mempool auf ihren Einsatz warten (der Short-Exposure-Angriff).
Pay-to-Public-Key (P2PK)-Adressen (verwendet von Satoshi und frühen Minern) sowie Taproot (P2TR), das aktuelle Adressformat, das 2021 aktiviert wurde, sind anfällig für den Long-Exposure-Angriff. Coins in diesen Adressen müssen sich nicht bewegen, um ihre öffentlichen Schlüssel preiszugeben; die Exponierung ist bereits passiert und für jeden Menschen auf der Erde – einschließlich eines zukünftigen Quantenangreifers – lesbar. Ungefähr 1,7 Millionen BTC liegen in alten P2PK-Adressen – einschließlich Satoshis Coins.
Die kurze Exponierung hängt mit dem Mempool zusammen – dem Wartebereich für nicht bestätigte Transaktionen. Während Transaktionen dort darauf warten, in einen Block aufgenommen zu werden, sind dein öffentlicher Schlüssel und deine Signatur für das gesamte Netzwerk sichtbar.
Ein Quantencomputer könnte auf diese Daten zugreifen, hätte aber nur ein kurzes Zeitfenster – bevor die Transaktion bestätigt und unter zusätzlichen Blöcken begraben wird –, um den entsprechenden privaten Schlüssel abzuleiten und darauf zu reagieren.
Initiativen
BIP 360: Entfernen des öffentlichen Schlüssels
Wie zuvor angemerkt, legt jede neue Bitcoin-Adresse, die heute mit Taproot erstellt wird, dauerhaft einen öffentlichen Schlüssel onchain offen – und gibt damit einem zukünftigen Quantencomputer ein Ziel, das niemals verschwindet.
Das Bitcoin Improvement Proposal (BIP) 360 entfernt den dauerhaft on-chain eingebetteten und für alle sichtbaren öffentlichen Schlüssel, indem ein neuer Ausgabetyp namens Pay-to-Merkle-Root (P2MR) eingeführt wird.
Erinnern wir uns: Ein Quantencomputer untersucht den öffentlichen Schlüssel, rekonstruiert die exakte Form des privaten Schlüssels und schmiedet eine funktionierende Kopie. Wenn wir den öffentlichen Schlüssel entfernen, hat der Angriff nichts mehr, worauf er aufbauen könnte. Währenddessen bleibt alles andere gleich – einschließlich Lightning-Zahlungen, Multi-Signature-Setups und anderer Bitcoin-Funktionen.
Wenn die Umsetzung erfolgt, schützt dieser Vorschlag jedoch nur neue Coins, die künftig erzeugt werden. Die 1,7 Millionen BTC, die bereits in alten, exponierten Adressen liegen, ist ein getrenntes Problem, das durch die folgenden anderen Vorschläge adressiert wird.
SPHINCS+ / SLH-DSA: Hashbasierte Post-Quantum-Signaturen
SPHINCS+ ist ein post-quantum Signaturschema, das auf Hash-Funktionen basiert und die Quantenrisiken vermeidet, denen die von Bitcoin verwendete Elliptic-Curve-Kryptografie ausgesetzt ist. Während Shors Algorithmus ECDSA bedroht, gelten hashbasierte Designs wie SPHINCS+ nicht als ähnlich verwundbar.
Das Schema wurde vom National Institute of Standards and Technology (NIST) im August 2024 nach Jahren öffentlicher Begutachtung als FIPS 205 (SLH-DSA) standardisiert.
Der Tradeoff für die Sicherheit ist die Größe. Während aktuelle Bitcoin-Signaturen 64 Bytes sind, haben SLH-DSA 8 Kilobytes (KB) oder mehr. Daher würde die Einführung von SLH-DSA den Bedarf an Blockspace deutlich erhöhen und die Transaktionsgebühren steigern.
Als Ergebnis wurden Vorschläge wie SHRIMPS (ein weiteres hashbasiertes post-quantum Signaturschema) und SHRINCS bereits eingeführt, um Signaturgrößen zu reduzieren, ohne die Post-Quantum-Sicherheit zu opfern. Beide bauen auf SHPINCS+ auf und zielen darauf ab, dessen Sicherheitsgarantien in einer praktischeren, platzsparenderen Form beizubehalten, die für den Einsatz in der Blockchain geeignet ist.
Tadge Dryjas Commit/Reveal-Schema: Eine Notbremse für den Mempool
Dieser Vorschlag, ein Soft Fork, der vom Lightning-Network-Mitbegründer Tadge Dryja unterbreitet wurde, zielt darauf ab, Transaktionen im Mempool vor einem zukünftigen Quantenangreifer zu schützen. Er erreicht das, indem er die Ausführung von Transaktionen in zwei Phasen trennt: Commit und Reveal.
Stell dir vor, du sagst einer Gegenpartei, dass du ihr eine E-Mail schicken wirst – und schickst dann tatsächlich eine E-Mail. Das Erste ist die Commit-Phase, das Letztere ist das Reveal.
Auf der Blockchain bedeutet das: Du veröffentlichst zuerst einen versiegelten Fingerabdruck deiner Absicht – nur einen Hash, der nichts über die Transaktion verrät. Die Blockchain versieht diesen Fingerabdruck dauerhaft mit einem Zeitstempel. Später, wenn du die eigentliche Transaktion ausstrahlst, wird dein öffentlicher Schlüssel sichtbar – und ja, ein Quantencomputer, der das Netzwerk beobachtet, könnte deinen privaten Schlüssel daraus ableiten und eine konkurrierende Transaktion fälschen, um deine Gelder zu stehlen.
Aber diese gefälschte Transaktion wird sofort abgewiesen. Das Netzwerk prüft: Existiert dieser Spend mit einem zuvor registrierten Commitment onchain? Dein Commitment existiert. Das des Angreifers nicht – er hat es in dem Moment erst erzeugt. Dein vorab registrierter Fingerabdruck ist dein Alibi.
Das Problem ist jedoch der erhöhte Aufwand, weil die Transaktion in zwei Phasen aufgeteilt wird. Daher wird es als eine Zwischenbrücke beschrieben – praktisch bereitzustellen, während die Community daran arbeitet, Quantenabwehrmaßnahmen aufzubauen.
Hourglass V2: Das Ausgeben alter Coins verlangsamen
Vorgeschlagen von Entwickler Hunter Beast, zielt Hourglass V2 auf die Quantenverwundbarkeit ab, die mit ungefähr 1,7 Millionen BTC zusammenhängt, die in älteren, bereits exponierten Adressen gehalten werden.
Der Vorschlag akzeptiert, dass diese Coins in einem zukünftigen Quantenangriff gestohlen werden könnten, und versucht, die Blutung zu verlangsamen, indem Verkäufe auf einen Bitcoin pro Block begrenzt werden, um eine katastrophale nächtliche Massenliquidation zu vermeiden, die den Markt einbrechen lassen könnte.
Die Analogie ist ein Bank Run: Du kannst Menschen nicht davon abhalten, Geld abzuheben, aber du kannst das Tempo der Abhebungen begrenzen, um zu verhindern, dass das System über Nacht zusammenbricht. Der Vorschlag ist umstritten, weil selbst diese begrenzte Einschränkung von manchen in der Bitcoin-Community als Verletzung des Prinzips angesehen wird, dass niemals eine externe Partei in dein Recht eingreifen darf, deine Coins auszugeben.
Fazit
Diese Vorschläge sind noch nicht aktiviert, und weil die dezentrale Governance von Bitcoin Entwickler, Miner und Node-Betreiber umfasst, wird jede Aufwertung wahrscheinlich Zeit brauchen, um sich zu materialisieren.
Trotzdem deutet der stetige Strom an Vorschlägen, die bereits vor dem Bericht dieser Woche von Google existierten, darauf hin, dass das Problem schon lange auf dem Radar der Entwickler steht – was dabei helfen könnte, die Marktbedenken abzumildern.
