Bitcoins 1,3-Billionen-Dollar-Wettlauf um Quantensicherheit

Die Bedrohung durch Quantencomputer für Bitcoin ist vom Theoretischen ins Dringliche gerückt. Google veröffentlichte diese Woche eine Studie, wonach ein ausreichend leistungsfähiger Quantencomputer die Kernkryptografie von Bitcoin in unter neun Minuten knacken könnte — eine Minute schneller als die durchschnittliche Blockbestätigung. Analysten, die den Bereich verfolgen, halten 2029 für einen realistischen Zeitrahmen, bis eine solche Maschine existieren könnte. Das ist keine ferne Abstraktion mehr. Das sind drei Jahre.

Warum ist Bitcoin anfällig für Quantencomputer?

Bitcoins Sicherheit beruht auf einer mathematischen Einbahnstraße. Erstellt man ein Wallet, erzeugt das System einen privaten Schlüssel — eine geheime Zahl — aus der ein öffentlicher Schlüssel abgeleitet wird. Um Coins auszugeben, gibt man den privaten Schlüssel nicht direkt preis; stattdessen erzeugt man damit eine kryptografische Signatur, die das Netzwerk verifizieren kann. So ist das Design. Es funktioniert, weil das Brechen der Elliptische-Kurven-Kryptografie — konkret des Elliptic Curve Digital Signature Algorithm, oder ECDSA — moderne Computer Milliarden von Jahren kosten würde.

Quantencomputer verändern die Mathematik. Shors Algorithmus, ausgeführt auf einem ausreichend leistungsfähigen Quantencomputer, kann einen privaten Schlüssel aus seinem öffentlichen Schlüssel zurückrechnen. Das verwandelt Bitcoins Einbahnstraße in eine Straße mit Gegenverkehr. Sobald ein Quantenangreifer den privaten Schlüssel hat, kann er Transaktionen fälschen, Wallets leeren — und das Netzwerk würde alles als vollkommen gültig betrachten.

Die Verwundbarkeit zeigt sich auf zwei Wegen. Der erste ist der „Long-Exposure-Angriff": Coins, die untätig on-chain in Adresstypen liegen, die ihren öffentlichen Schlüssel dauerhaft offenlegen. Der zweite ist der „Short-Exposure-Angriff": Transaktionen, die im Mempool warten, wo öffentliche Schlüssel kurzzeitig vor der Bestätigung sichtbar sind. Beides sind reale Angriffsflächen, und sie erfordern unterschiedliche Lösungen.

Welche Bitcoin-Adressen sind bereits exponiert?

Rund 1,7 Millionen BTC befinden sich in alten Pay-to-Public-Key (P2PK)-Adressen — dem Format, das von Satoshi Nakamoto und frühen Minern verwendet wurde. Diese Adressen legen ihre öffentlichen Schlüssel dauerhaft on-chain offen, was bedeutet, dass ein zukünftiger Quantenangreifer nicht auf eine Transaktion warten muss. Das Ziel liegt bereits da, für jeden auf der Welt lesbar. Einige dieser Coins gehören mit ziemlicher Sicherheit Satoshi.

Taproot (P2TR), Bitcoins aktuelles Adressformat, das 2021 aktiviert wurde, hat dasselbe Problem. Jede Taproot-Adresse bettet den öffentlichen Schlüssel dauerhaft on-chain ein. Entwickler, die sich für Taproots Einführung eingesetzt haben, wussten das — der Kompromiss wurde zugunsten anderer Funktionsvorteile akzeptiert — aber das Quantenkalkül hat sich seitdem verschoben. Jede neue Taproot-Adresse, die heute erstellt wird, ist ein weiteres permanentes Ziel.

Die Mempool-Exposition ist anders geartet. Transaktionen, die auf die Aufnahme in einen Block warten, zeigen dem gesamten Netzwerk ihre öffentlichen Schlüssel. Ein Quantencomputer, der den Mempool beobachtet, könnte theoretisch den privaten Schlüssel ableiten und eine konkurrierende Transaktion zur Bestätigung einreichen — allerdings nur innerhalb des kurzen Zeitfensters, bevor die ursprüngliche Transaktion verarbeitet wird. Geschwindigkeit ist bei diesem Angriffsvektor enorm wichtig, weshalb Googles Neun-Minuten-Zahl so einschlug. Bitcoins Blockzeit beträgt zehn Minuten. Die Marge ist bereits fast aufgebraucht.

BIP 360: Den öffentlichen Schlüssel on-chain verbergen

Die direkteste Lösung für neue Coins ist BIP 360. Als Bitcoin Improvement Proposal vorgeschlagen, führt es einen neuen Output-Typ namens Pay-to-Merkle-Root (P2MR) ein, der den öffentlichen Schlüssel vollständig aus der Blockchain entfernt. Kein sichtbarer Schlüssel, kein Ziel. Ein Quantencomputer, der die Chain analysiert, hat nichts zum Zurückrechnen.

Das Design bewahrt alles andere. Lightning-Network-Zahlungen, Multi-Signatur-Vereinbarungen und andere Bitcoin-Funktionen arbeiten wie zuvor. BIP 360 ist im Wesentlichen eine strukturelle Änderung daran, wie neue Adressen den Eigentumsnachweis speichern — der exponierte öffentliche Schlüssel wird durch etwas ersetzt, das ein Quantenalgorithmus nicht ausnutzen kann.

Der Haken ist der Geltungsbereich. BIP 360 schützt nur neue Coins, die nach der Aktivierung erstellt werden. Die 1,7 Millionen BTC, die bereits in P2PK- und Taproot-Adressen liegen, sind ein separates, schwierigeres Problem. Entwickler, die an BIP 360 arbeiten, sagen das klar: Die Altlasten-Exposition erfordert andere Vorschläge, die im Folgenden beschrieben werden.

SPHINCS+ und das Signaturgrößen-Problem

SPHINCS+ Post-Quanten-Signatur-Verfahren funktionieren, indem sie die Elliptische-Kurven-Kryptografie gänzlich umgehen und stattdessen auf Hash-Funktionen aufbauen, die Shors Algorithmus nicht in gleicher Weise bedroht. Das National Institute of Standards and Technology standardisierte SPHINCS+ im August 2024 als FIPS 205 (auch SLH-DSA genannt), nach Jahren öffentlicher Prüfung — und machte es damit zum ersten Post-Quanten-Signaturstandard einer großen Regierungsbehörde, der diesen Meilenstein erreichte.

Die Sicherheit ist solide. Die Praktikabilität ist schmerzhaft. Aktuelle Bitcoin-Signaturen umfassen 64 Bytes. SLH-DSA-Signaturen sind 8 Kilobyte oder mehr — rund 125 Mal größer. Setzt man das so auf Bitcoin ein, würde der Blockspace-Bedarf sprunghaft steigen, die Gebühren klettern und das Netzwerk ächzen. Das ist kein praktikables Rollout.

Zwei Vorschläge — SHRIMPS und SHRINCS — sind entstanden, um das Aufblähungsproblem anzugehen. Beide bauen auf SPHINCS+ auf und zielen auf kleinere Signaturgrößen ab, um die Post-Quanten-Sicherheitsgarantien in einer blockspace-effizienteren Form zu bewahren. Keiner hat die Reife von BIP 360 erreicht, aber die Richtung ist klar: SPHINCS+ ist das kryptografische Fundament, und die Ingenieursarbeit dreht sich jetzt darum, es in Bitcoins Grenzen einzupassen.

Der Commit-Reveal-Soft-Fork: Ein Schutzschild für den Mempool

Lightning-Network-Miterfinder Tadge Dryja schlug einen Soft Fork vor, der gezielt die Mempool-Exposition adressiert. Der Mechanismus teilt die Transaktionsausführung in zwei Phasen: eine Commit-Phase und eine Reveal-Phase.

In der Commit-Phase sendet man nur einen kryptografischen Hash der Transaktion — einen versiegelten Fingerabdruck, der nichts über die eigentliche Ausgabe verrät. Die Blockchain versieht diesen Fingerabdruck mit einem permanenten Zeitstempel. Später, in der Reveal-Phase, sendet man die vollständige Transaktion und macht den öffentlichen Schlüssel sichtbar. Zu diesem Zeitpunkt könnte ein Quantenangreifer, der das Netzwerk beobachtet, theoretisch den privaten Schlüssel ableiten und eine konkurrierende Ausgabe fälschen. Aber diese gefälschte Transaktion würde sofort abgelehnt. Das Netzwerk prüft, ob die Ausgabe ein vorheriges On-Chain-Commitment hat. Die eigene hat eines, registriert vor dem Reveal. Die des Angreifers nicht — sie wurde erst vor Momenten erstellt. Der vorab registrierte Fingerabdruck ist das Alibi.

Dryjas Einordnung ist pragmatisch. Der Commit-Reveal-Mechanismus wird als Übergangslösung beschrieben — praktisch einsetzbar, während die Community an einer umfassenden Quantenabwehr arbeitet. Die Kosten sind real: Die Aufteilung von Transaktionen in zwei Phasen erhöht die Komplexität und die Gebühren. Aber es erkauft Zeit.

Hourglass V2: Das Worst-Case-Szenario managen

Der von Entwickler Hunter Beast vorgeschlagene Hourglass V2 akzeptiert eine Prämisse, die die meisten Bitcoin-Vorschläge zu vermeiden versuchen: Die rund 1,7 Millionen BTC in bereits exponierten Adressen könnten schlicht gestohlen werden, wenn ein ausreichend leistungsfähiger Quantencomputer kommt. Vor diesem Hintergrund konzentriert sich der Vorschlag darauf, den Schaden zu begrenzen — konkret durch die Beschränkung von Verkäufen aus kompromittierten Adressen auf einen Bitcoin pro Block, um eine katastrophale Liquidation über Nacht zu verhindern.

Die Analogie zum Bank Run ist treffend. Man kann Abhebungen aus einem panischen System nicht stoppen. Aber man kann das Tempo drosseln und verhindern, dass das System in einer einzigen Sitzung zusammenbricht. Ein langsamer Abfluss ist überlebbar; ein Drain von Hunderten Milliarden Dollar in Bitcoin über Nacht wäre es nicht.

Der Vorschlag ist kontrovers, und zwar bewusst. Selbst eine weiche Beschränkung der Ausgaberechte steht im Widerspruch zu einem von Bitcoins grundlegenden Versprechen — dass keine externe Partei das Recht eines Inhabers einschränken kann, seine Coins zu bewegen. Einige in der Entwickler-Community sehen Hourglass V2 als akzeptable Notfallmaßnahme. Andere sehen darin einen philosophischen Verrat. Diese Spannung ist nicht aufgelöst, und das wird sie wahrscheinlich erst, wenn die Bedrohung unmittelbar wird.

Wo steht die Quantenabwehr heute?

Keiner dieser Vorschläge ist aktiv. BIP 360, SPHINCS+, der Commit-Reveal-Soft-Fork und Hourglass V2 werden alle aktiv unter Entwicklern diskutiert, aber Bitcoins dezentrale Governance — bestehend aus Entwicklern, Minern und Node-Betreibern — bedeutet, dass kein einzelner Akteur ein Upgrade durchdrücken kann. Konsens braucht Zeit, manchmal Jahre.

Bemerkenswert ist, dass diese Diskussion älter ist als Googles Bericht. Entwickler hatten die Quantenbedrohung bereits im Blick, bevor die Forschungsergebnisse dieser Woche veröffentlicht wurden. Die Forschung zur Bitcoin-Quantencomputer-Bedrohung verleiht dem Thema Dringlichkeit und Präzision — neun Minuten ist eine schärfere Zahl als jede frühere Schätzung — aber die kursierenden Vorschläge sind nicht über Nacht in Panik entstanden. Sie haben sich aufgebaut.

Rund $1,3 Billionen an Marktkapitalisierung hängen davon ab, ob diese Verteidigungsarbeit mit der Entwicklung der Quantenhardware Schritt hält. Das Neun-Minuten-Fenster in Googles Forschung ist nicht die heutige Realität. Aber es signalisiert, wie die Realität von morgen aussehen könnte — und Bitcoins Entwickler streiten bereits darüber, wie sie darauf antworten.