Die Verschlüsselung von Bitcoin ist aus einem einfachen Grund nicht durch Quantencomputer gefährdet: Sie existiert in Wirklichkeit gar nicht.

Entgegen der landläufigen Meinung werden Quantencomputer die Bitcoin-Verschlüsselung nicht „knacken“; vielmehr würde jede realistische Bedrohung darauf abzielen, digitale Signaturen auszunutzen, die mit offengelegten öffentlichen Schlüsseln verbunden sind.

Quantencomputer können Bitcoin nicht entschlüsseln, da keine verschlüsselten Geheimnisse on-chain gespeichert werden.

Der Besitz wird durch digitale Signaturen und hash-basierte Verpflichtungen durchgesetzt, nicht durch Chiffretext.

Das eigentliche Quantenrisiko besteht im Risiko der Autorisierungsfälschung.

Wenn ein kryptographisch relevanter Quantencomputer Shor’s Algorithmus gegen die elliptische Kurven-Kryptographie von Bitcoin ausführen kann, könnte er aus einem on-chain veröffentlichten öffentlichen Schlüssel einen privaten Schlüssel ableiten und dann eine gültige Signatur für eine konkurrierende Ausgabe erzeugen.

Vieles von dem Narrativ „Quantencomputer knacken Bitcoin-Verschlüsselung“ ist ein Terminologiefehler. Adam Back, langjähriger Bitcoin-Entwickler und Hashcash-Erfinder, fasste es auf X zusammen:

„Pro-Tipp für Quantum-FUD-Promoter: Bitcoin verwendet keine Verschlüsselung. Lernt die Grundlagen, sonst ist es offensichtlich.“

Ein separater Beitrag machte denselben Unterschied noch expliziter und stellte fest, dass ein Quantenangreifer nichts „entschlüsseln“ würde, sondern stattdessen Shor’s Algorithmus nutzen würde, um aus einem offengelegten öffentlichen Schlüssel einen privaten Schlüssel abzuleiten:

„Verschlüsselung bezieht sich auf den Akt, Informationen zu verbergen, sodass nur diejenigen mit einem Schlüssel sie lesen können. Bitcoin macht das nicht. Die Blockchain ist ein öffentliches Hauptbuch; jeder kann jede Transaktion, jeden Betrag und jede Adresse sehen. Nichts ist verschlüsselt.“

Warum die Offenlegung des öffentlichen Schlüssels – und nicht Verschlüsselung – das eigentliche Sicherheitsnadelöhr von Bitcoin ist

Bitcoins Signatursysteme, ECDSA und Schnorr, werden verwendet, um die Kontrolle über ein Schlüsselpaar zu beweisen.

In diesem Modell werden Coins durch das Erzeugen einer Signatur übernommen, die das Netzwerk akzeptiert.

Deshalb ist die Offenlegung des öffentlichen Schlüssels der entscheidende Punkt.

Ob ein Output offengelegt wird, hängt davon ab, was on-chain erscheint.

Viele Adressformate verpflichten sich zu einem Hash eines öffentlichen Schlüssels, sodass der rohe öffentliche Schlüssel erst bei Ausgabe der Transaktion offengelegt wird.

Das verkürzt das Zeitfenster für einen Angreifer, einen privaten Schlüssel zu berechnen und eine widersprüchliche Transaktion zu veröffentlichen.

Andere Skripttypen legen einen öffentlichen Schlüssel früher offen, und Adresswiederverwendung kann eine einmalige Offenlegung zu einem dauerhaften Ziel machen.

Die Open-Source-Abfrage „Bitcoin Risq List“ von Project Eleven definiert die Offenlegung auf Skript- und Wiederverwendungsebene.

Sie kartiert, wo ein öffentlicher Schlüssel einem potenziellen Shor-Angreifer bereits zur Verfügung steht.

Warum das Quantenrisiko heute messbar ist, auch wenn es nicht unmittelbar bevorsteht

Taproot ändert das Offenlegungsmuster auf eine Weise, die nur dann relevant ist, wenn große fehlertolerante Maschinen verfügbar werden.

Taproot-Outputs (P2TR) enthalten einen 32-Byte modifizierten öffentlichen Schlüssel im Output-Programm, anstelle eines Public-Key-Hashes, wie in BIP 341 beschrieben.

Die Dokumentation der Abfrage von Project Eleven listet P2TR zusammen mit pay-to-pubkey und einigen Multisig-Formen als Kategorien auf, bei denen öffentliche Schlüssel in Outputs sichtbar sind.

Das schafft heute keine neue Schwachstelle.

Es ändert jedoch, was standardmäßig offengelegt wird, falls die Wiederherstellung von Schlüsseln möglich wird.

Da die Offenlegung messbar ist, kann der gefährdete Pool heute verfolgt werden, ohne einen Quanten-Zeitplan festzulegen.

Project Eleven gibt an, einen automatisierten wöchentlichen Scan durchzuführen und ein „Bitcoin Risq List“-Konzept zu veröffentlichen, das jede quantenanfällige Adresse und deren Saldo abdecken soll, wie im Methodik-Beitrag beschrieben.

Der öffentliche Tracker zeigt eine Hauptzahl von etwa 6,7 Millionen BTC, die den Offenlegungskriterien entsprechen.

Auf der Rechenseite ist der entscheidende Unterschied zwischen logischen Qubits und physikalischen Qubits.

Im Paper „Quantum resource estimates for computing elliptic curve discrete logarithms“ geben Roetteler und Co-Autoren eine Obergrenze von maximal 9n + 2⌈log2(n)⌉ + 10 logischen Qubits an, um einen elliptischen Kurven-Diskreten-Logarithmus über einem n-Bit-Primfeld zu berechnen.

Für n = 256 ergibt das etwa 2.330 logische Qubits.

Die Umwandlung in eine fehlerkorrigierte Maschine, die einen tiefen Schaltkreis bei niedrigen Fehlerraten ausführen kann, ist der Punkt, an dem der physikalische Qubit-Overhead und das Timing dominieren.

Architekturentscheidungen bestimmen dann eine breite Spanne an Laufzeiten

Litinskis Schätzung von 2023 setzt die Berechnung eines 256-Bit-Elliptic-Curve-Private-Keys bei etwa 50 Millionen Toffoli-Gates an.

Unter diesen Annahmen könnte ein modularer Ansatz einen Schlüssel in etwa 10 Minuten mit etwa 6,9 Millionen physikalischen Qubits berechnen.

In einer Zusammenfassung verwandter Arbeiten auf Schneier on Security liegen die Schätzungen bei etwa 13 Millionen physikalischen Qubits, um innerhalb eines Tages zu brechen.

Die gleiche Schätzreihe nennt auch etwa 317 Millionen physikalische Qubits, um ein einstündiges Zeitfenster anzuvisieren, abhängig von Timing- und Fehlerratenannahmen.

Für Bitcoin-Operationen sind die näheren Hebel verhaltens- und protokollbasiert.

Adresswiederverwendung erhöht die Offenlegung, und Wallet-Design kann sie verringern.

Die Wallet-Analyse von Project Eleven stellt fest, dass, sobald ein öffentlicher Schlüssel on-chain ist, zukünftige Eingänge an dieselbe Adresse weiterhin offengelegt bleiben.

Falls die Schlüsselwiederherstellung jemals innerhalb eines Blockintervalls möglich wird, würde ein Angreifer gegen Ausgaben von offengelegten Outputs antreten, nicht gegen die Umschreibung der Konsenshistorie.

Hashing wird oft in die Erzählung eingebunden, aber der Quantenhebel dort ist Grover’s Algorithmus.

Grover bietet eine Quadratwurzel-Beschleunigung für Brute-Force-Suche, nicht den diskreten Logarithmusbruch, den Shor bietet.

NIST-Forschung zu den praktischen Kosten von Grover-ähnlichen Angriffen betont, dass Overhead und Fehlerkorrektur die Systemkosten bestimmen.

Im idealisierten Modell bleibt das Ziel für SHA-256-Preimages nach Grover bei etwa 2^128 Arbeitsaufwand.

Das ist nicht vergleichbar mit einem ECC-Diskrete-Logarithmus-Bruch.

Es bleibt die Signaturmigration, bei der die Einschränkungen Bandbreite, Speicher, Gebühren und Koordination sind.

Post-Quantum-Signaturen sind oft Kilobytes groß, statt der wenigen Dutzend Bytes, an die Nutzer gewöhnt sind.

Das verändert die Transaktionsgewicht-Ökonomie und das Wallet-UX.

Warum das Quantenrisiko eine Migrationsherausforderung und keine unmittelbare Bedrohung ist

Außerhalb von Bitcoin hat NIST Post-Quantum-Primitiven wie ML-KEM (FIPS 203) als Teil einer breiteren Migrationsplanung standardisiert.

Innerhalb von Bitcoin schlägt BIP 360 einen „Pay to Quantum Resistant Hash“-Output-Typ vor.

Unterdessen plädiert qbip.org für ein Auslaufen von Legacy-Signaturen, um Migrationsanreize zu schaffen und den langen Schwanz offengelegter Schlüssel zu reduzieren.

Aktuelle Unternehmens-Roadmaps liefern Kontext dafür, warum das Thema als Infrastruktur- und nicht als Notfallthema behandelt wird.

In einem aktuellen Reuters-Bericht sprach IBM über Fortschritte bei Fehlerkorrekturkomponenten und bekräftigte einen Weg zu einem fehlertoleranten System um 2029.

Reuters berichtete auch über IBMs Behauptung, dass ein wichtiger Quantenfehlerkorrekturalgorithmus auf herkömmlichen AMD-Chips laufen kann, in einem separaten Bericht.

In diesem Rahmen scheitert „Quantencomputer knacken Bitcoin-Verschlüsselung“ sowohl an der Terminologie als auch an der Mechanik.

Messbare Faktoren sind, wie viel des UTXO-Sets offengelegte öffentliche Schlüssel hat, wie sich das Wallet-Verhalten als Reaktion darauf ändert und wie schnell das Netzwerk quantenresistente Ausgabepfade übernehmen kann, während Validierungs- und Gebührenmarkt-Beschränkungen erhalten bleiben.

Der Beitrag Bitcoin encryption isn’t at risk from quantum computers for one simple reason: it doesn’t actually exist erschien zuerst auf CryptoSlate.