Bitcoin-Quantenbedrohung: Real, nicht unmittelbar, sagt Ark

Der Ark-Invest-Bericht zum Thema Quantencomputing, am Mittwoch gemeinsam mit dem Bitcoin-Finanzdienstleister Unchained veröffentlicht, liefert ein Urteil, das gleichzeitig beruhigend und unterschwellig beunruhigend ist: Quantencomputer können Bitcoin heute nicht knacken, doch ein erheblicher Teil des Gesamtangebots liegt bereits in Adressen, die eine zukünftige Maschine eines Tages leerräumen könnte. Die Formulierung „nicht unmittelbar bevorstehend" leistet dabei erhebliche Arbeit, um die Lage komfortabel erscheinen zu lassen. Ob sie es tatsächlich ist, hängt davon ab, wie schnell der Upgrade-Zyklus voranschreitet.

Was der Ark-Invest-Bericht tatsächlich aussagt

Cathie Woods Ark Invest hat gemeinsam mit dem Bitcoin-Finanzdienstleister Unchained ein Whitepaper veröffentlicht, das untersucht, ob Quantenfortschritte irgendwann die elliptische Kurvenkryptographie knacken könnten, die Bitcoin-Wallets absichert. Die kurze Antwort: ja, irgendwann. Die ausführliche Antwort enthält zahlreiche Einschränkungen zu Zeiträumen und technischen Schwellenwerten, die heutige Maschinen bei Weitem nicht erreichen.

Heutige Quantensysteme befinden sich in der von Forschern als Noisy Intermediate-Scale Quantum (NISQ)-Ära bezeichneten Phase – mit etwa 100 logischen Qubits in den meisten operativen Systemen. Um einen einzelnen privaten Bitcoin-Schlüssel aus seinem öffentlichen Schlüssel abzuleiten, wären Tausende hochwertiger, fehlerkorrigierter Qubits erforderlich, die eine enorme Menge zuverlässiger Quantenoperationen ausführen. Diese Kluft zwischen dem, was heute existiert, und dem, was benötigt würde, ist der Kern des Arguments „nicht unmittelbar bevorstehend". „Heutige Quantensysteme verfügen nicht über die Fähigkeiten, Bitcoin zu kompromittieren", schrieben die Forscher. „Bedeutende Durchbrüche würden zuerst die Internetsicherheit erschüttern und koordinierte Gegenmaßnahmen weit über Bitcoin hinaus auslösen."

Die Darstellung des Berichts ist bewusst zurückhaltend. Er positioniert Quantencomputing als schrittweisen technologischen Fortschritt statt als plötzlichen „Q-Day"-Bruch und gibt der Bitcoin-Entwicklergemeinschaft Zeit, die Entwicklung kommen zu sehen und zu reagieren. Innerhalb von 10 bis 20 Jahren sollte die praktische Quantencomputing-Gemeinschaft laut den Forschern genügend algorithmische Fortschritte erzielen, um Bitcoin-Entwicklern einen sinnvollen Handlungsspielraum zur Anpassung zu geben.

Unserer Einschätzung nach wird die Quantenentwicklung ein schrittweiser technologischer Fortschritt sein – kein plötzliches „Q-Day"-Ereignis – und den Märkten sowie dem Bitcoin-Netzwerk Zeit zur Anpassung geben.

Wie viel Bitcoin ist tatsächlich gefährdet?

Welcher Anteil des Bitcoin-Angebots könnte durch Quantencomputer bedroht sein?

Hier ist der Teil, der mehr Aufmerksamkeit verdient, als er derzeit bekommt. Laut dem Ark-Invest-Bericht zum Quantencomputing.pdf) befinden sich derzeit etwa 35 % des gesamten Bitcoin-Angebots in Adressen, die angreifbar werden könnten, falls Quantenmaschinen die elliptische Kurvenkryptographie irgendwann knacken können. Das gliedert sich ungefähr wie folgt auf: 1,7 Millionen BTC liegen in P2PK-Adressen – größtenteils vermutlich verlorene Coins aus Bitcoins frühesten Tagen – und weitere 5,2 Millionen BTC befinden sich in wiederverwendeten Adressen oder Taproot-Adressen, die noch nicht in quantenresistente Formate migriert wurden.

Die P2PK-Bestände stellen das heiklere Problem dar. Der Großteil dieser 1,7 Millionen BTC gilt als inaktiv – Satoshis Coins, frühe Mining-Belohnungen, Wallets, deren Schlüssel verloren gegangen sind. Ein zukünftiger Quantencomputer, der diese exponierten öffentlichen Schlüssel scannt, bräuchte keine Autorisierung durch den aktuellen Besitzer. Die Kryptographie selbst wird zur Schwachstelle. Das ist kein hypothetischer Grenzfall. Das ist ein erheblicher Anteil der 21 Millionen BTC-Obergrenze, der sich in strukturell exponierten Positionen befindet.

Der Bedrohungspfad verläuft stufenweise, nicht plötzlich. Quantencomputer würden zunächst in Bereichen wie der Chemie nützlich werden, dann schwächere kryptographische Systeme knacken und schließlich – in einer letzten Stufe – in der Lage sein, elliptische Kurvenschlüssel schneller zu brechen als Bitcoins etwa 10-minütiges Block-Intervall. Ab diesem Punkt wird jeder nicht ausgegebene Transaktionsoutput mit einem exponierten öffentlichen Schlüssel innerhalb eines einzigen Blocks angreifbar. Niemand behauptet, dass das bald bevorsteht. Aber die Richtung ist klar.

BIP 360 und der lange Weg zum post-quantensicheren Bitcoin

Bitcoin-Entwickler haben sich – langsam – bewegt, um dieses Problem anzugehen. Im Februar wurde BIP 360 in das offizielle Bitcoin-Improvement-Proposals-GitHub-Repository aufgenommen. Es führt einen neuen Output-Typ namens Pay-to-Merkle-Root (P2MR) ein, der Key-Path-Spending deaktiviert – jene Funktion, die öffentliche Schlüssel beim Versenden von Coins offenlegt. Das ist ein bedeutsamer erster Schritt in Richtung eines post-quantensicheren Frameworks.

Aber „erster Schritt" trägt hier eine schwere Last. Die Integration post-quantensicherer Schutzmaßnahmen in Bitcoins Konsensschicht würde eine Einigung innerhalb einer dezentralen Gemeinschaft aus Entwicklern, Minern und Nutzern erfordern – plus Aktualisierungen von Wallets, Hardware-Geräten und Börsen-Infrastruktur. „Bitcoin ist nicht nur eine einzelne Software", sagte BIP 360-Mitautor und Kryptograph Ethan Heilman gegenüber Reportern. „Es gibt ein ganzes Ökosystem aus Wallets, Hardware-Geräten und Börsen, und die Migration all dessen wird Zeit brauchen."

Heilman schätzte, dass die Debatte darüber, welche Post-Quanten-Algorithmen eingesetzt und wie sie integriert werden sollen, leicht fünf bis zehn Jahre dauern könnte. Das ist angesichts von Bitcoins Erfolgsbilanz bei größeren Upgrades kein skandalöser Zeitrahmen – SegWit erforderte jahrelange kontroverse Diskussionen, und Taproot war ebenfalls keine Blitzeinführung. Es bedeutet jedoch, dass der Abstand zwischen „Bedrohung real" und „Netzwerk geschützt" unbequem eng werden könnte, falls sich die Quanten-Zeitlinien schneller als erwartet verdichten.

Wenn die Bedrohung nicht dringend ist, bewegen sich die Dinge langsam. Sobald sie real wird, beschleunigt sich die Entwicklung tendenziell.

Vermittelt das Etikett „nicht unmittelbar bevorstehend" eine trügerische Sicherheit?

Rund um diesen Bericht findet eine breitere Diskussion statt, die die Schlagzeile etwas verdeckt. Coinbase-CEO Brian Armstrong, Ethereum-Mitgründer Vitalik Buterin und Cardano-Gründer Charles Hoskinson haben sich im vergangenen Jahr alle öffentlich zum Quantenrisiko geäußert. Dass sich bedeutende Ökosystem-Persönlichkeiten dazu äußern, bedeutet nicht, dass Panik angebracht wäre – aber es bedeutet, dass dies kein Randthema ist, das künstlich aufgebauscht wird.

Der Angriffsvektor „jetzt sammeln, später entschlüsseln" verdient einen Moment der Aufmerksamkeit. Die Sorge ist, dass böswillige Akteure bereits Blockchain-Daten sammeln – öffentliche Schlüssel, die bei Transaktionen offengelegt werden – mit der Absicht, diese zu entschlüsseln, sobald ausreichend leistungsfähige Quantenmaschinen existieren. Es ist ein langfristiges Spiel, aber eines mit realer Rendite, falls sich die Quantenentwicklung auf einem verdichteten Zeitplan beschleunigt. Der Ark/Unchained-Bericht weist ausdrücklich auf dieses Risiko hin, stuft es jedoch als handhabbar statt als kritisch ein.

Eine Komplikation, die der Bericht anspricht, aber nicht löst: Börsen, die hierarchisch-deterministische Bitcoin-Wallets verwenden – standardisiert unter BIP32 – könnten vor einem spezifischen Problem stehen, wenn Blockchains auf Post-Quanten-Kryptographie umstellen. Diese Systeme ermöglichen es Betreibern, neue Einzahlungsadressen aus einem serverseitig gespeicherten öffentlichen Schlüssel zu generieren, während die privaten Schlüssel offline bleiben. Eine Post-Quanten-Migration, die die HD-Wallet-Architektur nicht berücksichtigt, könnte dieses gesamte Modell für große Plattformen wie Coinbase und Binance zum Erliegen bringen.

Der Ark-Invest-Bericht endet mit einem vorsichtig optimistischen Ton – Bitcoins Design macht es zwar langsam in der Anpassung, doch genau dieser Konservatismus bietet Sicherheit gegen überhastete, ungetestete Upgrades. „Aus dieser Perspektive stellt Bitcoins Vorsicht einen Kompromiss zwischen Anpassungsfähigkeit und Verlässlichkeit dar", schrieben die Autoren. Man kann es umsichtig nennen. Oder man kann es eine Gemeinschaft nennen, die historisch abwartet, bis ein Problem ihr direkt ins Gesicht starrt, bevor sie handelt.