coindesk.com
Quantencomputer, die in der Lage sind, die Bitcoin-Blockchain zu knacken, existieren heute nicht. Entwickler erwägen jedoch bereits eine Welle von Upgrades, um Verteidigungsmaßnahmen gegen die potenzielle Bedrohung zu errichten – und dies zu Recht, da die Bedrohung nicht länger hypothetisch ist.
Diese Woche, Google veröffentlichte eine Forschung was darauf hindeutet, dass ein hinreichend leistungsfähiger Quantencomputer die Kernkryptographie von Bitcoin in weniger als neun Minuten knacken könnte — eine Minute schneller als die durchschnittliche Abwicklungszeit eines Bitcoin-Blocks. Einige Analysten gehen davon aus, dass eine solche Bedrohung bis 2029 Realität werden könnte.
Die Einsätze sind hoch: Etwa 6,5 Millionen Bitcoin-Token, im Wert von mehreren Hundert Milliarden Dollar, befinden sich in Adressen, die ein Quantencomputer direkt anvisieren könnte. Einige dieser Coins gehören dem pseudonymen Bitcoin-Erfinder Satoshi Nakamoto. Darüber hinaus würde eine potenzielle Kompromittierung die Grundsätze von Bitcoin – „Vertraue dem Code“ und „solides Geld“ – erheblich beschädigen.
So sieht die Bedrohung aus, zusammen mit Vorschlägen, die zur Eindämmung geprüft werden.
Zwei Wege, wie eine Quantenmaschine Bitcoin angreifen könnte
Lassen Sie uns zunächst die Sicherheitslücke verstehen, bevor wir die Vorschläge diskutieren.
Die Sicherheit von Bitcoin basiert auf einer Einweg-Mathematik. Wenn Sie eine Wallet erstellen, werden ein privater Schlüssel und eine geheime Zahl erzeugt, aus denen ein öffentlicher Schlüssel abgeleitet wird.
Das Ausgeben von Bitcoin-Token erfordert den Nachweis des Besitzes eines privaten Schlüssels, nicht durch dessen Offenlegung, sondern durch die Verwendung zur Erstellung einer kryptografischen Signatur, die das Netzwerk verifizieren kann.
Dieses System ist narrensicher, da moderne Computer Milliarden von Jahren benötigen würden, um die elliptische Kurvenkryptografie – insbesondere den Elliptic Curve Digital Signature Algorithm (ECDSA) – zu knacken und den privaten Schlüssel aus dem öffentlichen Schlüssel rückzuentwickeln. Daher gilt die Blockchain als rechnerisch unmöglich zu kompromittieren.
Aber ein zukünftiger Quantencomputer kann diese Einbahnstraße in eine Zwei-Wege-Straße verwandeln, indem er Ihren privaten Schlüssel aus dem öffentlichen Schlüssel ableitet und Ihre Coins abzieht.
Der öffentliche Schlüssel wird auf zwei Arten offengelegt: Durch ruhende Coins onchain (der Langzeitbelichtungsangriff) oder durch Coins in Bewegung bzw. Transaktionen, die im Memory Pool warten (Kurzzeitbelichtungsangriff).
Pay-to-Public-Key (P2PK)-Adressen (verwendet von Satoshi und frühen Minern) und Taproot (P2TR), das aktuelle Adressformat, das 2021 aktiviert wurde, sind anfällig für den Long-Exposure-Angriff. Münzen in diesen Adressen müssen nicht bewegt werden, um ihre öffentlichen Schlüssel preiszugeben; die Offenlegung hat bereits stattgefunden und ist für jedermann auf der Welt lesbar, einschließlich eines zukünftigen Quantenangreifers. Rund 1,7 Millionen $BTC befinden sich in alten P2PK-Adressen – einschließlich der Münzen von Satoshi.
Die Short-Position ist mit dem Mempool – dem Wartebereich für unbestätigte Transaktionen – verknüpft. Während die Transaktionen dort auf die Aufnahme in einen Block warten, sind Ihr öffentlicher Schlüssel und Ihre Signatur für das gesamte Netzwerk sichtbar.
Ein Quantencomputer könnte auf diese Daten zugreifen, hätte jedoch nur ein kurzes Zeitfenster – bevor die Transaktion bestätigt und unter zusätzlichen Blöcken begraben wird –, um den entsprechenden privaten Schlüssel abzuleiten und darauf zuzugreifen.
Initiativen
BIP 360: Entfernen des öffentlichen Schlüssels
Wie bereits erwähnt, legt jede heute mit Taproot erstellte neue Bitcoin-Adresse dauerhaft einen öffentlichen Schlüssel onchain offen und bietet einem zukünftigen Quantencomputer ein Ziel, das niemals verschwinden wird.
Der Bitcoin Improvement Proposal (BIP) 360 entfernt den dauerhaft on-chain eingebetteten und für alle sichtbaren öffentlichen Schlüssel durch die Einführung eines neuen Ausgabetypen namens Pay-to-Merkle-Root (P2MR).
Es sei daran erinnert, dass ein Quantencomputer den öffentlichen Schlüssel analysiert, die genaue Form des privaten Schlüssels rückentwickelt und eine funktionierende Kopie fälscht. Wenn wir den öffentlichen Schlüssel entfernen, hat der Angriff keine Grundlage mehr. Gleichzeitig bleibt alles andere, einschließlich Lightning-Zahlungen, Multi-Signatur-Vereinbarungen und andere Bitcoin-Funktionalitäten, unverändert.
Sollte dieser Vorschlag umgesetzt werden, schützt er jedoch nur neue Coins künftig. Die bereits in alten, exponierten Adressen liegenden 1,7 Millionen $BTC stellen ein separates Problem dar, das durch andere untenstehende Vorschläge adressiert wird.
SPHINCS+ / SLH-DSA: Hash-basierte postquantensichere Signaturen
SPHINCS+ ist ein postquantensicheres Signaturschema, das auf Hash-Funktionen basiert und somit die quantenbedingten Risiken der elliptischen Kurvenkryptographie, wie sie bei Bitcoin verwendet wird, vermeidet. Während der Shor-Algorithmus ECDSA bedroht, gelten hash-basierte Entwürfe wie SPHINCS+ als nicht in ähnlichem Maße verwundbar.
Das Verfahren wurde im August 2024 vom National Institute of Standards and Technology (NIST) nach jahrelanger öffentlicher Überprüfung als FIPS 205 (SLH-DSA) standardisiert.
Der Kompromiss für Sicherheit ist die Größe. Während aktuelle Bitcoin-Signaturen 64 Bytes groß sind, haben SLH-DSA eine Größe von 8 Kilobytes (KB) oder mehr. Daher würde die Einführung von SLH-DSA die Nachfrage nach Blockspace erheblich erhöhen und die Transaktionsgebühren in die Höhe treiben.
Infolgedessen werden Vorschläge wie SHRIMPS (ein weiteres auf Hash basierendes postquantum Signaturschema)und SHRINCS wurden bereits eingeführt zur Reduzierung der Signaturgrößen, ohne dabei die postquantensichere Sicherheit zu beeinträchtigen. Beide basieren auf SHPINCS+ und zielen darauf ab, dessen Sicherheitsgarantien in einer praktischeren, platzsparenderen Form zu bewahren, die für den Einsatz in der Blockchain geeignet ist.
Tadge Dryjas Commit/Reveal-Schema: Eine Notbremse für den Mempool
Dieser Vorschlag, ein von Lightning Network-Mitbegründer Tadge Dryja vorgeschlagener Soft Fork, zielt darauf ab, Transaktionen im Mempool vor einem zukünftigen Quantenangreifer zu schützen. Dies wird erreicht, indem die Transaktionsausführung in zwei Phasen unterteilt wird: Commit und Reveal.
Stellen Sie sich vor, Sie informieren eine Gegenpartei, dass Sie ihr eine E-Mail senden werden, und senden dann tatsächlich eine E-Mail. Das Erste ist die Commit-Phase, das Zweite die Reveal-Phase.
Auf der Blockchain bedeutet dies, dass Sie zunächst einen versiegelten Fingerabdruck Ihrer Absicht veröffentlichen — lediglich einen Hash, der keinerlei Informationen über die Transaktion preisgibt. Die Blockchain versieht diesen Fingerabdruck dauerhaft mit einem Zeitstempel. Später, wenn Sie die tatsächliche Transaktion senden, wird Ihr öffentlicher Schlüssel sichtbar — und ja, ein Quantencomputer, der das Netzwerk überwacht, könnte daraus Ihren privaten Schlüssel ableiten und eine konkurrierende Transaktion fälschen, um Ihre Gelder zu stehlen.
Aber diese gefälschte Transaktion wird sofort abgelehnt. Das Netzwerk prüft: Gibt es für diese Ausgabe eine zuvor auf der Blockchain registrierte Verpflichtung? Ihre gibt es. Die des Angreifers nicht — sie wurde erst vor wenigen Augenblicken erstellt. Ihr vorregistrierter Fingerabdruck ist Ihr Alibi.
Das Problem besteht jedoch in den höheren Kosten, die durch die Aufteilung der Transaktion in zwei Phasen entstehen. Daher wird es als eine vorläufige Brücke beschrieben, die praktisch einzusetzen ist, während die Gemeinschaft an der Entwicklung von Quantenschutzmaßnahmen arbeitet.
Hourglass V2: Verlangsamung der Ausgaben alter Münzen
Vorgeschlagen vom Entwickler Hunter Beast, Hourglass V2 richtet sich auf die Quantenanfälligkeit, die mit etwa 1,7 Millionen $BTC verbunden ist, die in älteren, bereits exponierten Adressen gehalten werden.
Der Vorschlag erkennt an, dass diese Coins bei einem zukünftigen Quantenangriff gestohlen werden könnten, und versucht, den Schaden zu begrenzen, indem der Verkauf auf einen Bitcoin pro Block beschränkt wird, um eine katastrophale massenhafte Liquidation über Nacht zu vermeiden, die den Markt zum Einsturz bringen könnte.
Die Analogie ist ein Bankansturm: Man kann die Menschen nicht davon abhalten, Geld abzuheben, aber man kann das Tempo der Abhebungen begrenzen, um zu verhindern, dass das System über Nacht kollabiert. Der Vorschlag ist umstritten, weil selbst diese begrenzte Einschränkung von einigen in der Bitcoin-Community als Verletzung des Prinzips angesehen wird, dass keine externe Partei jemals in das Recht eingreifen darf, seine Coins auszugeben.
Fazit
Diese Vorschläge sind noch nicht aktiviert, und Bitcoins dezentrale Governance, die Entwickler, Miner und Knotenbetreiber umfasst, bedeutet, dass jede Aufrüstung wahrscheinlich Zeit braucht, um sich zu realisieren.
Dennoch deutet der stetige Strom von Vorschlägen, der dem Google-Bericht dieser Woche vorausgeht, darauf hin, dass das Thema schon lange auf dem Radar der Entwickler ist, was dazu beitragen könnte, die Marktsorgen zu mildern.