20. Februar Kann Bitcoin der Bedrohung durch Quantencomputing standhalten?
Quantencomputing ist in der Bitcoin-Welt zu einer der größten offenen Fragen geworden, insbesondere für Institutionen. Das liegt nicht daran, dass ein Durchbruch unmittelbar bevorsteht, sondern weil langfristige Risiken von Bedeutung sind.
Wenn Quantenmaschinen jemals die richtige Größe erreichen, könnten sie theoretisch die Kryptografie angreifen, auf der Bitcoin basiert. Dies wirft unangenehme Fragen auf, nicht nur zur Sicherheit, sondern auch dazu, was mit seit langem inaktiven Münzen passiert, wenn eine Wiederherstellung der Schlüssel irgendwann möglich wird.
Die Veränderungen liegen nicht im zugrunde liegenden Risikomodell, sondern darin, dass das Ökosystem nun anfängt, diesen Aspekt als ingenieurtechnisches und governancebezogenes Problem zu betrachten, nicht nur als Gedankenexperiment. Dazu gehört alles, von der Betonung grundlegender Wallet-Hygiene bis hin zu langfristigen Upgrade-Pfaden wie BIP 360.
Bevor wir jedoch in diese Details eintauchen, ist es wichtig zu verstehen, was Quantencomputing tatsächlich bedroht – und wie.
Was ändert sich durch Quantencomputing: Shor vs. Grover
Der Besitz von Bitcoin basiert auf digitalen Signaturen – ECDSA historisch, mit Taproot, das Schnorr-Signaturen unterstützt (BIP340). Beides beruht auf der gleichen elliptischen Kurve, secp256k1.
Private Schlüssel erzeugen öffentliche Schlüssel durch elliptische Kurvenmathematik. Es wird als unvernünftig betrachtet, diese Beziehung umzukehren – also einen privaten Schlüssel aus einem öffentlichen abzuleiten – mit klassischen Computern. Ein fehlertoleranter Quantencomputer, der in der Lage ist, Shors Algorithmus in kryptografisch relevanten Maßstab auszuführen, könnte jedoch theoretisch das Problem des diskreten Logarithmus bei elliptischen Kurven lösen, was es einem Angreifer ermöglichen würde, gültige Signaturen zu fälschen und Gelder zu stehlen.
Ein zweitrangiges Anliegen ist Grovers Algorithmus. Dieser „bricht“ SHA-256 nicht, könnte jedoch den Aufwand reduzieren, der erforderlich ist, um eine gültige Proof-of-Work-Ausgabe zu finden. Dies könnte die Mining-Ökonomie verändern und Zentralisierungsprobleme einführen – allerdings nur, wenn ein Quantenminer in der Lage ist, die heutigen ASICs zu übertreffen, ein ingenieurtechnischer Meilenstein, der weit über die Ausführung von Grover hinausgeht.
Die mit Shor verbundenen Bedenken werden daher als dringlicher erachtet, da sie die Eigentumsebene von Bitcoin unmittelbar bei einem nennenswerten Quanten-Durchbruch betreffen.
Expositionsprofile: Lang vs. Kurz
Shor ist nur relevant, wenn ein öffentlicher Schlüssel on-chain sichtbar wird.
Münzen, die bei langer Exposition anfällig sind, sind diejenigen, deren öffentliche Schlüssel sichtbar sind, wenn ein UTXO erstellt wird oder über längere Zeiträume sichtbar bleiben. Dazu gehören frühe Bitcoin P2PK (Pay-to-Public-Key)-Ausgaben, wiederverwendete Adressen, die Gelder mit Schlüsseln verknüpfen, die bei früheren Ausgaben offengelegt wurden, und Taproot (P2TR)-Ausgaben, die sich auf einen (modifizierten) öffentlichen Schlüssel im UTXO selbst beziehen.
In diesen Fällen sind öffentliche Schlüssel lange vor einer Ausgabe sichtbar, was eine „jetzt ernten, später angreifen“-Bedrohung darstellt, wenn sich die Quantenkapazität entwickelt.
Moderne Wallet-Ausgaben wie P2PKH (Legacy) und P2WPKH (SegWit) verwenden hashbasierte Public-Key-Konstruktionen, die den öffentlichen Schlüssel nur offenbaren, wenn die Ausgabe ausgegeben wird. Das Expositionsfenster hier ist viel kürzer – und weniger praktikabel im großen Maßstab – was von einem Angreifer verlangt, dass er den privaten Schlüssel ableitet und innerhalb der wenigen Blöcke, die benötigt werden, um die legale Transaktion zu bestätigen, eine widersprüchliche Ausgabe sendet.
Die Schätzungen darüber, wie viele Münzen exponiert sind, variieren. Einige Analysen behaupten, dass 20–50 % des Bestands unter breiten Bedrohungsannahmen gefährdet sein könnten. Andere argumentieren, dass dies theoretische Exposition mit praktischer Ausnutzbarkeit vermischt, insbesondere wenn das Risiko auf kurze „Mempool-Renn“-Fenster beschränkt ist oder wenn exponierte Münzen über viele kleinere UTXOs verteilt sind. Ein häufig zitierten Bericht schätzt, dass der konzentrierte, materiell exponierte Teil näher bei ~10.200 BTC liegt.
Die wichtigste Erkenntnis ist, dass die Bedrohung real ist, aber nicht gleichmäßig verteilt – und die Angriffsfläche in der Praxis enger ist als es scheint.
Der Flaschenhals der Fehlertoleranz
All das setzt fehlertolerante Quantencomputer voraus, die in kryptografisch relevantem Maßstab operieren.
Das Brechen der elliptischen Kurvensignaturen von Bitcoin würde voraussichtlich Millionen physischer Qubits erfordern, die mit ausreichender Fehlerkorrektur betrieben werden, um stabile logische Qubits zu erzeugen, von denen solche Angriffe abhängen. Ein jüngster Bericht legt nahe, dass dies Maschinen erfordern könnte, die etwa 100.000-mal leistungsfähiger sind als die heute öffentlich bekannten.
Die Meinungen darüber, wann – oder ob überhaupt – dies geschehen wird, variieren. Viele ernsthafte Diskussionen konzentrieren sich auf die Mitte der 2030er bis Mitte der 2040er Jahre. Unstrittig ist jedoch, dass, falls sich nennenswerte Fähigkeiten jemals materialisieren, jede Reaktion im Voraus koordiniert werden muss.
Migration und Post-Quantum-Standards
Die größte Herausforderung bei jeder Reaktion liegt darin, wie Bitcoin zu etwas übergehen kann, das widerstandsfähig gegen Quantenbedrohungen ist, angesichts begrenzter Durchsatzkapazitäten, ungleicher Anreize und umstrittener Governance-Komponenten.
Im Jahr 2024 hat NIST Post-Quantum-Standards finalisiert, darunter Gitter-basierte ML-DSA (Dilithium) und SLH-DSA (SPHINCS+), der die Auswahl an Kandidaten etabliert, auf die große Systeme abzielen.
Für Bitcoin würde jede Migration wahrscheinlich schrittweise erfolgen: Einführung neuer, sichererer Ausgabentypen und Wallet-Standardeinstellungen sowie möglicherweise eine Übergangsphase mit hybriden Ausgaben, die sowohl klassische als auch post-quanten Voraussetzungen erfordern. Abwägungen sind unvermeidlich – post-quanten Signaturen tendieren dazu, größer und schwerer zu überprüfen, was die Bandbreite und Validierungskosten erhöht.
Es gibt mehrere plausible Richtungen über jedes einzelne Vorschlag hinaus, einschließlich neuer post-quantenfähiger Ausgabentypen, hybrider Signaturpolitiken während der Übergangszeit und Änderungen der Wallet-Standardeinstellungen, die darauf abzielen, langfristige öffentliche Schlüssel-Exposition im Laufe der Zeit zu reduzieren. Ein Soft Fork ist der wahrscheinlichste Mechanismus zur Einführung neuer Ausgabentypen. Ein Hard Fork ist möglich, stellt jedoch eine unübersichtliche Lösung dar, die das Risiko von Splittern der Kette birgt, wenn die Stakeholder nicht einig sind.
BIP 360: P2MR als schrittweise Härtung
BIP 360 – kürzlich in das BIP-Repository integriert – ist der bisher konkreteste Versuch, „Quantenbereitschaft“ in einen schrittweisen, Bitcoin-nativen Vorschlag zu übersetzen. Es führt einen neuen Ausgabentyp ein, Pay-to-Merkle-Root (P2MR), der ähnlich wie Taproot funktioniert, jedoch ohne den Schlüsselpfad bei Ausgaben.
Es zielt insbesondere darauf ab, die Abhängigkeit von langzeitexistsierenden eingebetteten öffentlichen Schlüsseln, die am stärksten von der Bedrohung „jetzt ernten, später angreifen“ betroffen sind, zu verringern, ohne Bitcoin sofort zu zwingen, schwergewichtige post-quanten Signaturschemata auszuwählen und einzuführen.
Konzeptionell ist P2MR „Taproot-ähnliche Skriptbäume, aber kein Schlüsselpfad“. Ausgaben müssen einen Skriptpfad und einen Merkle-Nachweis offenbaren, was weniger kompakt ist als eine Taproot-Schlüsselpfad-Ausgabe. Der Kompromiss sind größere Zeugen im Austausch für die Reduzierung eines langen Expositionsmusters, das durch Shor bedroht wird.
BIP 360 betrachtet P2MR als grundlegend und nicht als endgültig. Es behandelt direkt Muster der langen Exposition, während Mempool-Rennen-Szenarien und der breitere Übergang zu post-quanten Signaturen separate Nacharbeiten erfordern würden.
Kritisch ist, dass der Vorschlag auch ein Problem ansprechen, mit dem jeder glaubwürdige Migrationsplan umgehen muss: Selbst mit opt-in-Upgrades und geänderten Wallet-Standardeinstellungen könnte ein großer Teil des UTXO-Sets noch für sehr lange Zeit auf Legacy-Ausgaben verbleiben. Inaktive Bestände, verlorene Schlüssel, institutionelle Verwahrungseinschränkungen und schlichte Trägheit schaffen UTXOs, die sich möglicherweise nie freiwillig bewegen.
Wenn jemals kryptografisch relevante Quantenfähigkeiten eintreffen, könnten einige lange exponierte Münzen, deren Besitzer unerreichbar sind, prinzipiell von jedem, der ihre Schlüssel ableiten kann, „gesäubert“ werden. Selbst wenn das „nur“ Diebstahl und nicht ein Protokollfehler ist, könnten die Folgen schwerwiegend sein: Es würde das Vertrauen untergraben, Notfallmaßnahmen auslösen und – im Fall großer inaktiver Cluster – Ängste vor plötzlichem Liquiditätsbedarf bei diesen Beständen aufwerfen. Vorschläge, unmigrierte Münzen einzufrieren oder anders zu behandeln, werfen jedoch politisch explosive Fragen zur Unveränderlichkeit, Neutralität und Eigentumsrechten auf.
Die Gefahr von Stillstand ist der Grund, warum frühzeitige Planung wichtig ist, selbst wenn die Zeitpläne ungewiss bleiben.
Risiken, Realität und Bereitschaft
Quantencomputing stellt eine echte, langfristige Herausforderung für Bitcoin dar. Es ist jedoch kein existenzieller Abgrund. Das Risiko ist ungleich verteilt, abhängig von spezifischen Expositionsprofilen und an Hardware-Zeitlinien gebunden, die nach wie vor tatsächlich unsicher sind. Wichtig ist, dass es nicht in ein Vakuum kommt: Die Entwickler skizzieren bereits glaubwürdige Migrationspfade – die Art von langfristiger Planung, die sowohl für Institutionen als auch für jeden, der Bitcoin langfristig hält, von Bedeutung ist.
Der schwierigste Teil ist derzeit die Koordination. Jeder Übergang wird langsam sein – potenziell Jahre dauern – umstritten und kompliziert durch Münzen, die sich nie bewegen. Aber Bitcoin ist von Natur aus konservativ, und diese Konservativität ist ein Merkmal, das schrittweise, opt-in-Änderungen ermöglicht, ohne jeden über einen einzigen, hastigen Zeitrahmen zu zwingen. Taproot ist eine aktuelle Erinnerung, dass bedeutende Upgrades umgesetzt werden können, wenn der Fall klar ist und die Anreize übereinstimmen.
Zusammengefasst zeigt das die einzige Haltung, die für den Moment wirklich Sinn macht: Wie bei allem ist Vorbereitung besser als Panik – und Bitcoin hat immer noch Zeit, sich vorzubereiten.
