Quantencomputer, die in der Lage sind, die Bitcoin-Blockchain zu brechen, existieren heute nicht. Entwickler berücksichtigen jedoch bereits eine Welle von Upgrades, um sich gegen die potenzielle Bedrohung zu wappnen — und das ist auch zu Recht so, denn die Bedrohung ist mittlerweile keine hypothetische mehr.
Diese Woche veröffentlichte Google eine Studie, die nahelegt, dass ein hinreichend leistungsstarker Quantencomputer die Kernkryptografie von Bitcoin in unter neun Minuten knacken könnte — eine Minute schneller als die durchschnittliche Abwicklungszeit eines Bitcoin-Blocks. Einige Analysten glauben, dass eine solche Bedrohung bis 2029 Realität werden könnte.
Die Einsätze sind hoch: Etwa 6,5 Millionen Bitcoin-Token im Wert von mehreren hundert Milliarden Dollar liegen in Adressen, die ein Quantencomputer direkt angreifen könnte. Einige dieser Coins gehören dem pseudonymen Schöpfer von Bitcoin, Satoshi Nakamoto. Zudem würde eine potenzielle Kompromittierung die Grundprinzipien von Bitcoin beschädigen — „dem Code vertrauen “ und „sound money“.
So sieht die Bedrohung aus — und welche Vorschläge derzeit zur Eindämmung in Betracht gezogen werden.
Zwei Wege, wie ein Quantencomputer Bitcoin angreifen könnte
Lass uns zunächst die Verwundbarkeit verstehen, bevor wir über die Vorschläge sprechen.
Die Sicherheit von Bitcoin basiert auf einer Einbahnstraßen-Beziehung in der Mathematik. Wenn du eine Wallet erstellst, werden ein privater Schlüssel und eine geheime Zahl generiert, aus denen ein öffentlicher Schlüssel abgeleitet wird.
Um Bitcoin-Token auszugeben, musst du nachweisen, dass du den privaten Schlüssel besitzt — nicht, indem du ihn preisgibst, sondern indem du ihn verwendest, um eine kryptografische Signatur zu erzeugen, die das Netzwerk überprüfen kann.
Dieses System ist fehlerfrei, weil moderne Computer Milliarden von Jahren bräuchten, um die Elliptic-Curve-Kryptografie — konkret den Elliptic Curve Digital Signature Algorithm (ECDSA) — rückwärts zu konstruieren und so den privaten Schlüssel aus dem öffentlichen Schlüssel abzuleiten. Deshalb gilt die Blockchain als rechnerisch unmöglich, zu kompromittieren.
Aber ein zukünftiger Quantencomputer kann diese Einbahnstraße in eine Zwei-Wege-Straße verwandeln, indem er deinen privaten Schlüssel aus dem öffentlichen Schlüssel ableitet und deine Coins abzieht.
Der öffentliche Schlüssel wird auf zwei Arten offengelegt: durch Coins, die untätig auf der Onchain-Seite liegen (der Long-Exposure-Angriff) oder durch Coins in Bewegung bzw. Transaktionen, die auf die Aufnahme in den Memory Pool warten (der Short-Exposure-Angriff).
Pay-to-public key (P2PK)-Adressen (genutzt von Satoshi und frühen Minern) und Taproot (P2TR), das aktuelle Adressformat, das 2021 aktiviert wurde, sind anfällig für den Long-Exposure-Angriff. Coins in diesen Adressen müssen sich nicht bewegen, um ihre öffentlichen Schlüssel offenzulegen; die Offenlegung ist bereits passiert und von jedem auf der Erde lesbar — auch von einem zukünftigen Quantenangreifer. Grob 1,7 Millionen BTC liegen in alten P2PK-Adressen — einschließlich Satoshis Coins.
Der Short-Exposure hängt mit dem Mempool zusammen — dem Wartezimmer für nicht bestätigte Transaktionen. Während Transaktionen dort auf die Aufnahme in einen Block warten, sind dein öffentlicher Schlüssel und deine Signatur für das gesamte Netzwerk sichtbar.
Ein Quantencomputer könnte auf diese Daten zugreifen, hätte aber nur ein kurzes Zeitfenster — bevor die Transaktion bestätigt und unter zusätzlichen Blöcken begraben wird — um den entsprechenden privaten Schlüssel abzuleiten und entsprechend darauf zu handeln.
Initiativen
BIP 360: Öffentlichen Schlüssel entfernen
Wie bereits erwähnt, legt jede neue Bitcoin-Adresse, die heute mit Taproot erstellt wird, dauerhaft einen öffentlichen Schlüssel auf der Onchain-Seite offen, wodurch ein zukünftiger Quantencomputer ein Ziel erhält, das niemals verschwindet.
Die Bitcoin Improvement Proposal (BIP) 360 entfernt den öffentlich en Schlüssel dauerhaft aus der Onchain-Einbettung und sichtbar für alle, indem ein neuer Ausgabetyp namens Pay-to-Merkle-Root (P2MR) eingeführt wird.
Denk daran: Ein Quantencomputer untersucht den öffentlichen Schlüssel, rekonstruiert die exakte Form des privaten Schlüssels zurück und erstellt eine funktionsfähige Kopie. Wenn wir den öffentlichen Schlüssel entfernen, hat der Angriff nichts mehr, worauf er sich stützen kann. Währenddessen bleibt alles andere gleich — einschließlich Lightning-Zahlungen, Multi-Signature-Setups und anderer Bitcoin-Funktionen.
Wenn das jedoch umgesetzt wird, schützt dieser Vorschlag nur neue Coins, die künftig erzeugt werden. Die 1,7 Millionen BTC, die bereits in alten, exponierten Adressen liegen, ist ein separates Problem — adressiert durch die anderen Vorschläge unten.
SPHINCS+ / SLH-DSA: Hash-basierte Post-Quantum-Signaturen
SPHINCS+ ist ein post-quantum Signaturschema, das auf Hash-Funktionen basiert und die Quantengefahren vermeidet, die die Elliptic-Curve-Kryptografie betreffen, die in Bitcoin verwendet wird. Während Shors Algorithmus ECDSA gefährdet, gelten Hash-basierte Entwürfe wie SPHINCS+ nicht als in ähnlich starkem Maße verwundbar.
Das Schema wurde vom National Institute of Standards and Technology (NIST) im August 2024 als FIPS 205 (SLH-DSA) standardisiert — nach Jahren öffentlicher Begutachtung.
Der Sicherheits-Tradeoff ist die Größe. Während aktuelle Bitcoin-Signaturen 64 Byte sind, sind SLH-DSA 8 Kilobytes (KB) oder mehr groß. Dadurch würde die Einführung von SLH-DSA die Nachfrage nach Blockplatz deutlich erhöhen und die Transaktionsgebühren steigen lassen.
Infolgedessen wurden bereits Vorschläge wie SHRIMPS (ein weiteres hash-basiertes Post-Quantum-Signaturschema) und SHRINCS eingeführt, um Signaturgrößen zu reduzieren, ohne die Post-Quantum-Sicherheit aufzugeben. Beide bauen auf SHPINCS+ auf und zielen darauf ab, seine Sicherheitsgarantien in einer praktischen, platzsparenden Form beizubehalten, die sich für den Einsatz in der Blockchain eignet.
Tadge Dryjas Commit/reveal-Schema: Eine Notbremse für den Mempool
Dieser Vorschlag, eine Soft Fork, die vom Lightning-Network-Miterschaffer Tadge Dryja vorgeschlagen wurde, zielt darauf ab, Transaktionen im Mempool vor einem zukünftigen Quantenangreifer zu schützen. Er tut dies, indem er die Ausführung von Transaktionen in zwei Phasen trennt: Commit und Reveal.
Stell dir vor, du informierst einen Vertragspartner darüber, dass du ihm eine E-Mail schicken wirst — und versendest dann tatsächlich eine E-Mail. Das Erste ist die Commit-Phase, und das Zweite ist das Reveal.
Auf der Blockchain bedeutet das: Du veröffentlichst zuerst einen versiegelten Fingerabdruck deiner Absicht — nur einen Hash, der nichts über die Transaktion offenbart. Die Blockchain versieht diesen Fingerabdruck dauerhaft mit einem Zeitstempel. Später, wenn du die eigentliche Transaktion veröffentlichst, wird dein öffentlicher Schlüssel sichtbar — und ja, ein Quantencomputer, der das Netzwerk beobachtet, könnte daraus deinen privaten Schlüssel ableiten und eine konkurrierende Transaktion fälschen, um deine Gelder zu stehlen.
Aber diese gefälschte Transaktion wird sofort abgelehnt. Das Netzwerk prüft: Hat dieser Spend einen zuvor registrierten Commitment auf der Onchain-Seite? Deiner hat es. Das des Angreifers nicht — sie haben es vor wenigen Momenten erzeugt. Dein vorregistrierter Fingerabdruck ist dein Alibi.
Das Problem ist jedoch die erhöhten Kosten, weil die Transaktion in zwei Phasen aufgeteilt wird. Daher wird es als eine Zwischenbrücke beschrieben — praktisch, um sie einzuführen, während die Community daran arbeitet, Quantenabwehrmaßnahmen aufzubauen.
Hourglass V2: Das Ausgeben alter Coins verlangsamen
Vorgeschlagen vom Entwickler Hunter Beast, zielt Hourglass V2 auf die Quantenverwundbarkeit ab, die an ungefähr 1,7 Millionen BTC gebunden ist, die in älteren, bereits-exponierten Adressen gehalten werden.
Der Vorschlag akzeptiert, dass diese Coins in einem zukünftigen Quantenangriff gestohlen werden könnten, und versucht, die „Ausblutung“ zu verlangsamen, indem Verkäufe auf einen Bitcoin pro Block begrenzt werden — um eine katastrophale nächtliche Massenliquidation zu vermeiden, die den Markt in den Abgrund reißen könnte.
Die Analogie ist ein Bank Run: Du kannst Menschen nicht daran hindern, Geld abzuheben, aber du kannst die Geschwindigkeit der Abhebungen begrenzen, um zu verhindern, dass das System über Nacht zusammenbricht. Der Vorschlag ist umstritten, weil selbst diese begrenzte Einschränkung in der Bitcoin-Community von einigen als Verstoß gegen das Prinzip angesehen wird, dass sich niemals eine externe Partei in dein Recht einmischen darf, deine Coins auszugeben.
Fazit
Diese Vorschläge sind noch nicht aktiviert, und die dezentrale Governance von Bitcoin, die Entwickler, Miner und Betreibern von Knoten umfasst, bedeutet, dass jedes Upgrade wahrscheinlich Zeit braucht, um tatsächlich zu werden.
Trotzdem deutet der stetige Strom an Vorschlägen, die bereits vor dem Bericht dieser Woche von Google existierten, darauf hin, dass das Problem lange schon auf dem Radar der Entwickler war — was möglicherweise helfen kann, die Sorgen des Marktes zu dämpfen.
