Kurz gesagt
- Ein neues Vorschlagsskizziert einen Weg, quantenresistente Bitcoin-Transaktionen zu erstellen, ohne das Netzwerkprotokoll zu ändern.
- Das Design ersetzt Annahmen über elliptische Kurven durch hash-basierte Rätsel und Lamport-Signaturen.
- Der Ansatz verlagert die Rechenarbeit auf Transaktions-Ersteller und wird als vorübergehende Umgehungslösung statt als dauerhafte Behebung dargestellt.
Bitcoin-Transaktionen könnten künftig widerstandsfähig gegen Quantenangriffe gemacht werden, ohne das Kernprotokoll des Netzwerks zu ändern, so ein Vorschlag der StarkWare-Forscherin Avihu Mordechai Levy.
In einem aktuellen Paper beschreibt Levy ein „Quantum-Safe Bitcoin“-Transaktionsschema, das auch dann sicher bleiben soll, wenn Quantencomputer die heute verwendete Kryptografie mit elliptischen Kurven brechen. Die Methode funktioniert innerhalb der bestehenden Bitcoin-Skripting-Regeln und würde keine Soft Fork oder andere Netzwerk-Upgrade erfordern.
„Wir präsentieren QSB, ein Quantum Safe Bitcoin-Transaktionsschema, das keine Änderungen am Bitcoin-Protokoll erfordert und auch dann sicher bleibt, wenn Shor's Algorithmus in Erscheinung tritt“, schrieb Levy.
Der Vorschlag ersetzt elliptische Kurvensignaturen durch hash-basierte Kryptografie und Lamport-Signaturen, ein frühes Signaturschema, das als resistent gegen Quantenangriffe gilt.
„Da Lamport-Signaturen post-quanten-sicher sind und sie einen kryptografisch starken Bezeichner der Transaktion signieren, ist es nicht möglich, die Transaktion zu verändern, ohne eine neue Lamport-Signatur zu erzeugen – die der Angreifer nicht fälschen kann, selbst nicht mit Quantencomputer-Fähigkeiten“, schrieb Levy.
Im Mittelpunkt des Designs steht ein kryptografisches Rätsel, das gelöst werden muss, bevor eine Transaktion gesendet wird. Das Paper schätzt, dass das Finden einer gültigen Lösung etwa 70 Billionen Versuche erfordern würde.
Anders als beim Bitcoin-Mining findet die Berechnung statt, bevor die Transaktion das Netzwerk erreicht. Nutzer leisten die Arbeit off-chain und übermitteln eine Transaktion, die bereits den Nachweis enthält, dass das Rätsel gelöst wurde.
Levy schätzt, dass sich das Rätsel mit handelsüblicher Hardware wie GPUs lösen ließe – zu Kosten von ein paar hundert Dollar pro Transaktion.
Das Schema ist darauf ausgelegt, innerhalb der Bitcoin-Scripting-Grenzen von 201 opcodes und 10.000 Bytes zu funktionieren. Das Paper stellt fest, dass diese Grenzen extrem restriktiv sind, weil jeder Opcode zum Gesamtwert zählt, selbst wenn er in einem ungenutzten Script-Zweig auftaucht.
Um innerhalb dieser Grenzen zu bleiben, kombiniert das System Lamport-Signaturen mit hash-basierten Rätseln in einer geschichteten Transaktionsstruktur. Außerdem führt es „transaction pinning“ ein, wodurch jede Person, die versucht, die Transaktion zu verändern, das Rätsel erneut lösen muss.
Levy beschreibt das System als eine „Last-Resort“-Maßnahme statt als skalierbare Lösung. Das Paper sagt, dass sowohl die off-chain Rechenkosten als auch die on-chain Transaktionsgröße nicht auf Bitcoins Ziel-Durchsatz oder die Bedürfnisse der meisten Nutzer skalierten.
Die Erstellung von Transaktionen ist zudem komplexer als bei der standardmäßigen Nutzung von Bitcoin und könnte unter den aktuellen Relay-Richtlinien als nicht standardkonform gelten. Das bedeutet, dass sie möglicherweise Propagationsprobleme haben und stattdessen direkt an Mining-Pools übermittelt werden müssen, anstatt durch den öffentlichen mempool gesendet zu werden.
Der Vorschlag bringt außerdem Sicherheitsabwägungen mit sich. Zwar vermeidet er Angriffe, die auf Shor's Algorithmus basieren und die Signaturen mit elliptischen Kurven bedrohen, aber Grover’s Algorithmus könnte für Quantenangreifer dennoch eine quadratische Beschleunigung ermöglichen.
„In dem Maße, wie die Quantenbedrohung als real angesehen wird, bleibt es notwendig, die laufenden Anstrengungen fortzusetzen, um die bestmögliche Lösung für Bitcoin zu erforschen und umzusetzen – eine, die maximal effizient, benutzerfreundlich ist und Bitcoins Anforderungen durch Änderungen auf Protokollebene beantwortet“, schrieb Levy.
Levy’s Paper reiht sich in mehrere Vorschläge ein, die darauf abzielen zu skizzieren, wie Bitcoin auf kryptografische Verfahren mit Quantenresistenz umstellen könnte, darunter BIP-360, das ein Pay-to-Merkle-Root-Adressformat einführt, das für quantenfeste Signaturen ausgelegt ist.
Obwohl die Quantenbedrohung für Bitcoin derzeit theoretisch bleibt, bereiten sich Unternehmen einschließlich Google und Cloudflare bereits darauf vor und setzen eine Frist für 2029, um ihre Systeme auf post-quanten umzustellen.
