Bitcoin kann heute Quantum-sicher sein – aber zu einem hohen Preis

Bitcoin kann heute Quantum-sicher sein – aber zu einem hohen Preis

Die Bedrohung durch Quantencomputing für Bitcoin wurde lange als ein fernes, theoretisches Problem behandelt – etwas, das künftige Entwickler mit zukünftigen Werkzeugen lösen werden. Diese Annahme wird nun in Frage gestellt. Ein neuer Vorschlag, der diesen Monat veröffentlicht wurde, argumentiert, dass Bitcoin-Transaktionen heute quantenresistent gemacht werden können – ausschließlich mit den bestehenden Regeln des Protokolls. Der Haken? Es kostet bis zu 150 Dollar pro Transaktion und lässt sich nicht für den alltäglichen Gebrauch skalieren. Doch im eskalierenden Wettrüsten zwischen kryptografischer Sicherheit und Quantencomputing-Fähigkeit verdient selbst eine unvollkommene Lösung ernsthafte Aufmerksamkeit.

Der Vorschlag erscheint zu einem Zeitpunkt echter Dringlichkeit. Googles Forschungspapier vom März hat die Bitcoin-Community aufgeschreckt, indem es nahelegte, dass Quantencomputer Bitcoins Kryptografie mit weit weniger Ressourcen knacken könnten als bisher angenommen. Diese Enthüllung hat eine Debatte beschleunigt, die ohnehin schon schwelte – und sie hat dazu geführt, dass jede glaubwürdige kurzfristige Lösung, so begrenzt sie auch sein mag, einer sorgfältigen Prüfung wert ist.

Die Fakten

Am 9. April veröffentlichte Avihu Levy, Chief Product Officer bei StarkWare, ein Papier, das ein Schema namens Quantum Safe Bitcoin, kurz QSB, beschreibt ^[2]. Der Vorschlag schildert eine Methode zur Absicherung von Bitcoin-Transaktionen gegen Quantenangriffe, ohne dass Änderungen an Bitcoins Konsensregeln erforderlich sind – das bedeutet: kein Soft Fork, kein netzwerkweites Upgrade und keine Protokollfragmentierung ^[1].

Die zentrale Innovation ist ein Mechanismus, den Levy als „Hash-to-Signature"-Puzzle bezeichnet. Standard-Bitcoin-Transaktionen stützen sich auf ECDSA-Signaturen über die elliptische Kurve secp256k1 – ein System, das ein hinreichend leistungsfähiger Quantencomputer, der Shors Algorithmus ausführt, theoretisch brechen könnte, indem er diskrete Logarithmen löst, wodurch ein Angreifer Signaturen fälschen und Gelder stehlen könnte ^[2]. QSB umgeht diese Schwachstelle, indem es die Sicherheitsgrundlage vollständig von der Mathematik elliptischer Kurven wegverlagert. Stattdessen hasht das Schema einen transaktionsabgeleiteten öffentlichen Schlüssel mittels RIPEMD-160 und behandelt das Ergebnis als Kandidat für eine ECDSA-Signatur. Da nur ein winziger Bruchteil zufälliger Hashes die strengen Formatierungsanforderungen für gültige Signaturen erfüllt – ungefähr einer von 70,4 Billionen Versuchen – muss der Sender erhebliche rechenintensive Brute-Force-Arbeit leisten, um einen gültigen Input zu finden ^[2]. Entscheidend ist, dass diese Arbeit auf Hash-Pre-Image-Resistenz beruht statt auf der Härte elliptischer Kurven, was bedeutet, dass Shors Algorithmus einem Angreifer keinen nennenswerten Vorteil bietet. Das Beste, was ein quantenfähiger Angreifer tun könnte, ist Grovers Algorithmus anzuwenden, der lediglich eine quadratische Beschleunigung bietet und etwa 118 Bits an Second-Pre-Image-Resistenz intakt lässt ^[2].

Die gesamte Konstruktion operiert innerhalb von Bitcoins bestehenden Scripting-Beschränkungen, einschließlich des 201-Opcode-Limits und der maximalen Skriptgröße von 10.000 Bytes, und erfordert keinerlei Konsensänderungen ^[2]. StarkWare-CEO Eli Ben-Sasson bezeichnete die Entwicklung als „enorm" und argumentierte, sie mache Bitcoin im Wesentlichen heute schon Quantum-sicher ^[1]. Die Rechenkosten für die Generierung einer gültigen QSB-Transaktion werden auf zwischen 75 und 150 Dollar unter Nutzung von Cloud-GPU-Infrastruktur geschätzt, wobei die Arbeitslast auf mehrere Maschinen parallelisiert werden kann ^[1][2].

Der Vorschlag kommt jedoch mit erheblichen Einschränkungen, die seine Autoren offen einräumen. QSB-Transaktionen überschreiten die Standard-Relay-Richtliniengrenzen, was bedeutet, dass sie sich unter den Standard-Node-Einstellungen nicht durch das Bitcoin-Netzwerk verbreiten können und stattdessen eine direkte Übermittlung an Miner über Dienste wie Slipstream erfordern würden ^[2]. Das Schema adressiert auch nicht die exponierten öffentlichen Schlüssel in Legacy-P2PK-Adressen – geschätzte 1,7 Millionen BTC in frühen Wallets, die unabhängig von diesem Vorschlag anfällig für Quantenangriffe bleiben ^[1]. Bitcoin-ESG-Spezialist Daniel Batten widersprach Ben-Saissons Enthusiasmus und bezeichnete die Behauptung als „Übertreibung", eben weil jene ruhenden Coins und exponierten Schlüssel vollständig außerhalb von QSBs Anwendungsbereich liegen ^[1]. Die Forscher selbst räumen diesen Punkt ein und beschreiben QSB als eine „Maßnahme des letzten Auswegs", wobei sie bekräftigen, dass Änderungen auf Protokollebene nach wie vor der bevorzugte langfristige Weg bleiben ^[1]. Separat veröffentlichte Lightning Labs CTO Olaoluwa Osuntokun einen komplementären „Escape-Hatch"-Prototyp, der es Nutzern ermöglichen würde, Wallet-Eigentümerschaft anhand einer Seed-Phrase zu beweisen, ohne diese preiszugeben – ein weiterer Notbehelf, der außerhalb formaler Protokoll-Upgrades operiert ^[1].

Analyse & Kontext

Um zu verstehen, warum QSB trotz seiner Einschränkungen von Bedeutung ist, hilft es zu verstehen, wie langsam sich Änderungen am Bitcoin-Protokoll vollziehen. Das SegWit-Upgrade erforderte Jahre streitiger Debatten, bevor es 2017 aktiviert wurde. Taproot, allgemein als unkomplizierte Verbesserung angesehen, benötigte vom Vorschlag bis zur Aktivierung im Jahr 2021 fast drei Jahre. Jedes quantenresistente Signaturschema, das einen Soft Fork erfordert – etwa die Integration von NIST-standardisierten Post-Quanten-Algorithmen wie CRYSTALS-Dilithium oder SPHINCS+ – würde denselben mühsamen Konsensprozess durchlaufen und könnte ein halbes Jahrzehnt oder länger dauern. QSB ist genau deshalb wertvoll, weil es jetzt verfügbar ist, ohne auf den Abschluss dieses Prozesses warten zu müssen. Für Inhaber großer Cold-Storage-Positionen, die sich ernsthaft Gedanken über den Quantenzeitplan machen, ist eine Gebühr von 75 bis 150 Dollar im Vergleich zum zu schützenden Wert wohl vernachlässigbar.

Das tiefere Problem, das QSB nicht lösen kann, ist gleichzeitig das politisch heikelste in Bitcoin heute: Was ist mit den rund 1,7 Millionen BTC zu tun, die in frühen P2PK-Adressen mit exponierten öffentlichen Schlüsseln liegen? Dieses Bitcoin, von dem ein Großteil der Mining-Ära von Satoshi Nakamoto zugeschrieben wird, stellt eine echte systemische Schwachstelle dar. Drei Lager haben sich gebildet – die Coins unangetastet lassen, um Bitcoins Unveränderlichkeits-Ethos zu wahren; die anfälligen Outputs einfrieren oder vernichten, bevor ein Quantenangreifer sie beanspruchen kann; oder das Protokoll upgraden, um sie auf Quantum-sichere Adressen zu migrieren. Keine dieser Optionen ist politisch einfach, und QSB tut nichts, um diesen Stillstand aufzulösen. Was es jedoch tut, ist Zeit zu gewinnen und zu demonstrieren, dass kreatives Engineering innerhalb bestehender Beschränkungen nach wie vor möglich ist – eine Erinnerung daran, dass Bitcoins Scripting-System, das oft als begrenzt abgetan wird, eine überraschende Flexibilität beibehält.

Das übergeordnete Muster hier ist eines, das Bitcoin bereits zuvor navigiert hat: inkrementelle, geschichtete Lösungen, die sich parallel zu längerfristigen strukturellen Debatten entwickeln. Das Lightning Network begann als Forschungspapier, bevor es zu einem funktionierenden Zahlungs-Layer wurde. Taproot begann als theoretische Verbesserung, bevor es zur Konsensrealität wurde. QSB und Osuntokuns Escape-Hatch-Prototyp sind Beiträge in einem frühen Stadium zu dem, was mit großer Wahrscheinlichkeit eine mehrjährige, vielschichtige Reaktion auf das Quantenrisiko werden wird. Die Tatsache, dass ernsthafte Forscher konkrete Vorschläge veröffentlichen – anstatt das Problem nur vage anzusprechen – sollte als gesundes Zeichen der Reife des Ökosystems gewertet werden.

Wesentliche Erkenntnisse

• QSB ist ein reales, aber begrenztes Werkzeug: StarkWares Vorschlag erreicht echte Quantenresistenz für neue Bitcoin-Transaktionen ohne jegliche Protokolländerungen, aber bei 75 bis 150 Dollar pro Transaktion ist es nur für die Absicherung großer Bestände praktikabel, nicht für den alltäglichen Gebrauch.
• Das Problem der exponierten Schlüssel bleibt ungelöst: Etwa 1,7 Millionen BTC in Legacy-P2PK-Adressen mit exponierten öffentlichen Schlüsseln liegen vollständig außerhalb von QSBs Schutz, und die Community ist nach wie vor tief gespalten darüber, wie damit umzugehen ist.
• Protokoll-Upgrades bleiben das eigentliche Ziel: Sowohl die QSB-Autoren als auch die breitere Forschungsgemeinschaft sind sich einig, dass echte Quantensicherheit Änderungen auf Konsensebene erfordert – QSB ist eine Brücke, kein Ziel.
• Mehrere parallele Lösungen entstehen: Von QSB bis zu Lightning Labs' Seed-Phrase-Escape-Hatch entwickelt das Ökosystem ein Werkzeugkasten an Übergangsmaßnahmen, die gemeinsam die Quantenexposition reduzieren könnten, während langfristige Upgrades debattiert werden.
• Der Quantenzeitplan verdichtet sich: Googles Papier vom März hat die vom Ökosystem angenommene Vorlaufzeit verkürzt und macht selbst unvollkommene kurzfristige Lösungen strategisch wichtig für Inhaber mit erheblichem BTC-Engagement.