Ein ausreichend leistungsfähiger Quantencomputer, um die Bitcoin-Blockchain zu brechen, existiert derzeit noch nicht. Allerdings haben die Entwickler bereits begonnen, über eine Welle von Upgrades nachzudenken, um eine Schutzschicht gegen diese potenzielle Bedrohung aufzubauen — und das ist durchaus plausibel, denn dieses Risiko ist jetzt nicht mehr nur eine reine Theorie.
Diese Woche haben Forscher von Google eine Studie veröffentlicht, die zeigt, dass ein Quantencomputer stark genug wäre, die zentralen Kryptoschlüssel von Bitcoin in weniger als 9 Minuten zu knacken — um 1 Minute schneller als die durchschnittliche Bestätigungszeit eines Bitcoin-Blocks. Einige Analysten gehen davon aus, dass eine solche Bedrohung im Jahr 2029 Realität werden könnte.
Das Risiko ist enorm: Etwa 6,5 Millionen Bitcoin im Wert von mehreren hundert Milliarden US-Dollar liegen in Adressen, die ein Quantencomputer direkt ins Visier nehmen kann. Ein Teil davon gehört Satoshi Nakamoto, dem anonymen Gründer von Bitcoin. Zusätzlich würde es, falls es kompromittiert wird, die grundlegenden Prinzipien von Bitcoin beschädigen — „vertraue dem Code“ und „gesundes Geld“.
Nachfolgend siehst du, wie diese Bedrohung funktioniert, sowie die Vorschläge, die derzeit zur Minderung in Betracht gezogen werden.
Zwei Arten, wie eine Quantenmaschine Bitcoin angreifen kann
Zuerst: Verstehe die Schwachstelle, bevor du über die Vorschläge sprichst.
Die Sicherheit von Bitcoin basiert auf einer einseitigen mathematischen Beziehung. Wenn du eine Wallet erstellst, werden ein privater Schlüssel und einige Geheimnisse generiert, aus denen sich der öffentliche Schlüssel ableiten lässt.
Um Bitcoin auszugeben, musst du den Besitz des privaten Schlüssels nachweisen — nicht indem du ihn offenlegst, sondern indem du ihn nutzt, um eine kryptografische Signatur zu erzeugen, die das Netzwerk verifizieren kann.
Dieses System ist sicher, weil moderne Computer Milliarden von Jahren benötigen würden, um das Elliptic-Curve-Kryptografie-Verfahren — konkret den Elliptic-Curve-Signaturalgorithmus (ECDSA) — zu knacken, um den privaten Schlüssel aus dem öffentlichen Schlüssel abzuleiten. Deshalb gilt die Blockchain als praktisch nicht berechenbar zu kompromittieren.
Doch ein zukünftiger Quantencomputer könnte diesen einseitigen Weg zu zwei Seiten machen, indem er den privaten Schlüssel aus dem öffentlichen Schlüssel ableitet und dann dein Geld leer räumt.
Öffentliche Schlüssel werden auf zwei Arten offengelegt: Entweder durch Coins, die still auf der Kette liegen (langfristiger Offenlegungsangriff) oder durch Coins, die sich bewegen, bzw. Transaktionen, die auf die Aufnahme in den Transaktions-Mempool warten (kurzfristiger Offenlegungsangriff).
Pay-to-Public-Key (P2PK)-Adressen — die Satoshi und die ersten Miner genutzt haben — sowie Taproot (P2TR), das 2021 aktivierte Adressformat, sind beide anfällig für diese Art langfristiger Offenlegung. Coins in diesen Adressen müssen nicht bewegt werden, um den öffentlichen Schlüssel offenzulegen; die Offenlegung hat bereits stattgefunden, und jeder auf der Welt kann sie lesen — einschließlich eines zukünftigen Quantenangreifers. Etwa 1,7 Millionen BTC liegen in alten P2PK-Adressen — einschließlich der Coins von Satoshi.
Der kurzzeitige Offenlegungsangriff bezieht sich auf den Mempool — die „Wartehalle“ für nicht bestätigte Transaktionen. Während eine Transaktion dort bleibt, um in einen Block aufgenommen zu werden, werden sowohl dein öffentlicher Schlüssel als auch deine Signatur dem gesamten Netzwerk angezeigt.
Ein Quantencomputer könnte auf diese Daten zugreifen, aber er hat nur eine sehr kurze Zeit — bevor die Transaktion bestätigt wird und unter die nachfolgenden Blöcke „begraben“ ist — um den zugehörigen privaten Schlüssel abzuleiten und zu handeln.
Initiativen
BIP 360: Öffentliche Schlüssel entfernen
Wie oben erwähnt werden alle neuen Bitcoin-Adressen, die heute über Taproot erzeugt werden, dauerhaft dazu gebracht, öffentliche Schlüssel auf der Kette offenzulegen — und damit erhält ein zukünftiger Quantencomputer ein Ziel, das sich nie verflüchtigt.
Der Bitcoin-Verbesserungsvorschlag (BIP) 360 entfernt öffentliche Schlüssel, die dauerhaft in der Kette eingebettet und für alle sichtbar sind, indem er einen neuen Output-Typ einführt, der Pay-to-Merkle-Root (P2MR) genannt wird.
Merke: Der Quantencomputer wird sich den öffentlichen Schlüssel ansehen, die exakte Form des privaten Schlüssels umdrehen und eine funktionierende Kopie erzeugen. Wenn wir den öffentlichen Schlüssel entfernen, hat der Angreifer nichts mehr, woran er sich festhalten kann. In der Zwischenzeit bleibt alles andere erhalten — einschließlich Lightning-Zahlungen, Multi-Signature-Setups und anderer Bitcoin-Funktionen.
Wenn es jedoch umgesetzt wird, schützt dieser Vorschlag nur die neuen Coins in der Zukunft. 1,7 Millionen BTC, die derzeit in Adressen liegen, aus denen Schlüssel offengelegt wurden, ist ein eigenes Problem, das mit den anderen Vorschlägen weiter unten behandelt wird.
SPHINCS+ / SLH-DSA: Post-Quantum-Signaturen auf Hash-Basis
SPHINCS+ ist eine Post-Quantum-Signaturmethode, die auf Hashes aufgebaut ist und so hilft, die quantenbezogenen Risiken zu vermeiden, denen die Elliptic-Curve-Kryptografie gegenübersteht, die Bitcoin heute nutzt. Während Shors Algorithmus ECDSA gefährdet, gelten hashbasierte Designs wie SPHINCS+ nicht als in ähnlicher Weise verwundbar.
Dieses Schema wurde vom National Institute of Standards and Technology (NIST) im August 2024 nach jahrelanger öffentlicher Prüfung unter dem Namen FIPS 205 (SLH-DSA) standardisiert.
Als Gegenleistung für eine höhere Sicherheitsstufe kommt eine größere Größe. Während die aktuelle Bitcoin-Signatur nur 64 Byte lang ist, hat eine SLH-DSA-Signatur eine Größe von 8 Kilobyte (KB) oder mehr. Wenn man also SLH-DSA einsetzt, steigt der Block-Space-Bedarf deutlich — und damit auch die Transaktionsgebühren.
Daher wurden Vorschläge wie SHRIMPS (ein weiteres post-quantum Signaturschema, das ebenfalls auf Hashes basiert) und SHRINCS eingeführt, um die Signaturgröße zu reduzieren, ohne die post-quantum Sicherheit aufzugeben. Beide basieren auf SPHINCS+, zielen aber darauf ab, seine Sicherheitsgarantien auf eine praktischere Weise beizubehalten, und sparen dabei mehr Platz für die Blockchain.
Tadge Dryjas Commit/Reveal-System: Notbremse für den Mempool
Dieser Vorschlag, ein Soft Fork von Tadge Dryja, Mitbegründer des Lightning Network, soll Transaktionen im Mempool vor einem zukünftigen Quantenangreifer schützen. Er erreicht das, indem er die Ausführung der Transaktion in zwei Phasen aufteilt: Commit und Reveal.
Stell dir vor, du sagst deinem Gegenüber, dass du ihm eine E-Mail schicken wirst — und dann schickst du tatsächlich die E-Mail. Der erste Teil ist die Commit-Phase, und das tatsächliche Versenden der E-Mail ist die Reveal-Phase.
Auf der Blockchain bedeutet das: Zuerst veröffentlichst du einen versiegelten Fingerabdruck deiner Absicht — nur ein Hash, der nichts über die Transaktion verrät. Die Blockchain versieht diesen Fingerabdruck dauerhaft mit einem Zeitstempel. Danach, wenn du die eigentliche Transaktion veröffentlichst, wird der öffentliche Schlüssel offengelegt — und ja, ein Quantencomputer, der das Netzwerk beobachtet, kann daraus den privaten Schlüssel ableiten und eine konkurrierende Transaktion erstellen, um dein Geld zu stehlen.
Aber diese gefälschte Transaktion wird sofort abgelehnt. Das Netzwerk prüft: Hat diese ausgebende Transaktion zuvor ein Commitment auf der Kette hinterlegt? Deine Transaktion hat das. Die des Angreifers nicht — er hat sie gerade erst vor ein paar Minuten erstellt. Der vorab registrierte Fingerabdruck ist der Entlastungsbeweis für dich.
Das Problem ist, dass die Kosten steigen werden, weil die Transaktion in zwei Phasen aufgeteilt wird. Daher gilt es als eine Zwischenbrücke, ausreichend praxistauglich, um sie einzuführen, während die Community weiterhin Schutzmaßnahmen gegen Quantenangriffe ausbaut.
Hourglass V2: Den Ausverkauf alter Coins verlangsamen
Vorgeschlagen von dem Entwickler Hunter Beast, zielt Hourglass V2 auf eine Quantenlücke ab, die mit etwa 1,7 Millionen BTC zusammenhängt, die in alten Adressen liegen und bereits öffentlich offengelegt wurden.
Der Vorschlag räumt ein, dass diese Coins in einem zukünftigen Quantenangriff gestohlen werden könnten, und versucht, den Abfluss zu verlangsamen, indem er den Verkauf auf einen Bitcoin pro Block begrenzt — um eine über Nacht losbrechende, massive Liquidationswelle zu vermeiden, die den Markt zum Absturz bringen könnte.
Ein ähnliches Beispiel ist ein Massenabzug: Man kann nicht verhindern, dass alle abziehen, aber man kann die Abzugsgeschwindigkeit so begrenzen, dass das System nicht über Nacht zusammenbricht. Der Vorschlag ist umstritten, weil selbst diese minimale Begrenzung von einigen im Bitcoin-Ökosystem als Verstoß gegen das Prinzip angesehen wird, dass niemand in das Ausgaberecht deiner Coins eingreifen darf.
Fazit
Diese Vorschläge sind noch nicht aktiviert, und das dezentrale Governance-Mechanismus von Bitcoin — einschließlich Entwickler, Miner und Node-Betreiber — bedeutet, dass jede Aktualisierung Zeit braucht, um Realität zu werden.
Dennoch zeigt die gleichmäßige Welle von Vorschlägen vor dem aktuellen Google-Bericht dieser Woche, dass das Problem schon lange im Blick der Entwickler ist — was die Sorgen des Marktes möglicherweise lindern kann.
