coindesk.com
Ein Beitrag von Udi Wertheimer vor einigen Wochen sorgte in den Krypto-Medien mit einer drastischen Behauptung für Schlagzeilen: Das Lightning Network ist in einer Welt nach der Quantentechnologie „hilflos gebrochen“, und seine Entwickler können nichts dagegen unternehmen. Die Schlagzeile verbreitete sich schnell. Für Unternehmen, die auf Lightning reale Zahlungsinfrastrukturen aufgebaut haben oder diese evaluieren, waren die Auswirkungen beunruhigend.
Es verdient eine besonnene Reaktion.
Wertheimer ist ein angesehener Bitcoin-Entwickler, und seine zugrundeliegende Sorge ist berechtigt: Quantencomputer stellen, sofern sie jemals ausreichend leistungsfähig werden, eine reale langfristige Herausforderung für die kryptografischen Systeme dar, auf denen Bitcoin und Lightning basieren. Dieser Teil ist wahr, und die Bitcoin-Entwicklungsgemeinschaft arbeitet bereits intensiv daran. Doch die Darstellung von Lightning als „hilflos kaputt“ verschleiert mehr, als sie offenbart, und Unternehmen, die Infrastrukturentscheidungen treffen, verdienen ein klareres Bild.
Was Wertheimer richtig erkannt hat
Lightning-Kanäle erfordern, dass Teilnehmer beim Öffnen eines Zahlungskanals öffentliche Schlüssel mit ihrem Gegenüber austauschen. In einer Welt, in der kryptographisch relevante Quantencomputer (CRQCs) existieren, könnte ein Angreifer, der diese öffentlichen Schlüssel erhält, theoretisch Shors Algorithmus verwenden, um den entsprechenden privaten Schlüssel abzuleiten und anschließend Gelder zu stehlen.
Dies ist eine echte strukturelle Eigenschaft der Funktionsweise von Lightning. Was die Schlagzeile weglässt
Die Bedrohung ist weitaus spezifischer und weitaus konditionierter als „Ihr Lightning-Guthaben kann gestohlen werden.“
Zunächst sind die Kanäle selbst durch einen Hash geschützt, solange sie geöffnet sind. Finanzierungstransaktionen verwenden P2WSH (Pay-to-Witness-Script-Hash), was bedeutet, dass die rohen öffentlichen Schlüssel innerhalb der 2-aus-2-Multisig-Anordnung onchain verborgen bleiben, solange der Kanal offen ist. Lightning-Zahlungen basieren ebenfalls auf Hashes und werden über HTLCs (Hashed Time-Lock Contracts) weitergeleitet, die auf der Offenbarung von Hash-Präbildern und nicht auf der Exposition öffentlicher Schlüssel beruhen. Ein Quantenangreifer, der die Blockchain passiv beobachtet, kann die Schlüssel, die er benötigen würde, nicht sehen.
Das realistische Angriffsfenster ist viel enger: ein erzwungener Abschluss. Wenn ein Kanal geschlossen wird und eine Commitment-Transaktion onchain gesendet wird, wird das Sperrschema zum ersten Mal öffentlich sichtbar, einschließlich des local_delayedpubkey, einem standardmäßigen elliptischen Kurven-Öffentlichen Schlüssel. Laut Design kann der Knoten, der diese sendet, seine Mittel nicht sofort beanspruchen: Eine CSV (CheckSequenceVerify) Zeitverriegelung, typischerweise 144 Blöcke (etwa 24 Stunden), muss zuerst ablaufen.
In einem Post-Quantum-Szenario könnte ein Angreifer, der den Mempool beobachtet, erkennen, dass eine Commitment-Transaktion bestätigt wird, den nun offenliegenden öffentlichen Schlüssel extrahieren, Shors Algorithmus ausführen, um den privaten Schlüssel abzuleiten, und versuchen, die Ausgabe zu verwenden, bevor die Zeitsperre abläuft. HTLC-Ausgänge bei einer Zwangsschließung schaffen zusätzliche Zeitfenster, einige so kurz wie 40 Blöcke, etwa sechs bis sieben Stunden.
Dies ist eine reale und spezifische Sicherheitslücke. Es handelt sich jedoch um ein zeitlich begrenztes Rennen gegen einen Angreifer, der innerhalb eines festen Zeitfensters aktiv eines der schwierigsten mathematischen Probleme überhaupt für jeden einzelnen Output lösen muss, den er stehlen möchte. Es ist kein passives, stilles Auslaugen aller Lightning-Wallets gleichzeitig.
Die Realität der Quantenhardware
Hier ist der Teil, der selten in die Schlagzeilen gelangt: Krypto-relevante Quantencomputer existieren heute nicht, und die Lücke zwischen dem aktuellen Stand und dem erforderlichen Niveau ist enorm.
Das Brechen der elliptischen Kurvenkryptographie von Bitcoin erfordert das Lösen des diskreten Logarithmus bei einem 256-Bit-Schlüssel, einer Zahl von etwa 78 Stellen, unter Verwendung von Millionen stabiler, fehlerkorrigierter logischer Qubits, die über einen längeren Zeitraum betrieben werden. Die größte Zahl, die jemals mit Shors Algorithmus auf tatsächlicher Quantenhardware faktorisert wurde, ist 21 (3 × 7), erreicht im Jahr 2012 mit bedeutender klassischer Nachbearbeitung. Der jüngste Rekord ist eine hybride Quanten-klassische Faktorisierung einer 90-Bit-RSA-Zahl, ein beeindruckender Fortschritt, aber immer noch etwa 2⁸³-mal kleiner als das, was tatsächlich erforderlich wäre, um Bitcoin zu knacken.
Googles Quantenforschung ist real und lohnt es, beobachtet zu werden. Die Zeitpläne diskutiert von Ernsthafte Forscher reichen von optimistischen Schätzungen für die späten 2020er Jahre bis hin zu vorsichtigeren Prognosen für die 2030er Jahre oder darüber hinaus. Nichts davon bedeutet, dass „Ihr Lightning-Guthaben heute gefährdet ist.“
Die Entwicklergemeinschaft ruht sich nicht aus
Wertheimers Darstellung, dass Lightning-Entwickler „hilflos“ seien, entspricht ebenfalls nicht der tatsächlichen Entwicklung. Allein seit Dezember hat die Bitcoin-Entwicklungsgemeinschaft mehr als fünf ernsthafte Post-Quantum-Vorschläge vorgelegt: SHRINCS (324-Byte zustandsbehaftete, hash-basierte Signaturen), SHRIMPS (2,5 KB Signaturen über mehrere Geräte, etwa dreimal kleiner als der NIST-Standard), BIP-360, Blockstreams Paper zu hash-basierten Signaturen sowie Vorschläge für OP_SPHINCS, OP_XMSS und STARK-basierte Opcodes in Tapscript.
Die korrekte Darstellung ist nicht, dass Lightning defekt und irreparabel ist. Vielmehr ist es so, dass Lightning, wie ganz Bitcoin und wie ein Großteil der kryptografischen Infrastruktur des Internets, ein Upgrade der Basisschicht benötigt, um quantensicher zu werden, und diese Arbeiten sind im Gange.
Was dies für Unternehmen bedeutet, die heute auf Lightning aufbauen
Lightning verarbeitet heute reale Zahlungsvolumina für echte Unternehmen, iGaming-Plattformen, Krypto-Börsen, Neobanken und Zahlungsdienstleister, die Geld weltweit zu Bruchteilen eines Cents mit sofortiger Endgültigkeit bewegen. Die Frage, die sich Unternehmen stellen sollten, ist nicht, ob sie Lightning aufgrund einer theoretischen zukünftigen Bedrohung aufgeben sollten, sondern ob die Teams, die die Lightning-Infrastruktur aufbauen, aufmerksam auf das Kommende achten und entsprechend planen.
Die Antwort lautet, basierend auf dem Umfang und der Qualität der derzeit in der Bitcoin-Entwicklungsgemeinschaft stattfindenden postquantumforschung, ja.
Das Lightning Network ist nicht hoffnungslos gebrochen. Es steht vor derselben langfristigen kryptographischen Herausforderung wie das gesamte digitale Finanzsystem, und eine Entwicklergemeinschaft arbeitet aktiv daran, sie zu bewältigen. Das ist eine andere Geschichte als die, die die Schlagzeile erzählt hat.