Bitcoin und Quantencomputer

Überblick

Bitcoin basiert auf zwei kryptographischen Säulen: elliptische Kurven (ECDSA/Schnorr) für Signaturen und Schlüssel sowie Hash-Funktionen (SHA-256, RIPEMD-160) für Mining, Adressen und Datenintegrität. Quantencomputer bedrohen diese beiden Säulen auf unterschiedliche Weise und in unterschiedlichem Ausmass.

Die zentrale Frage lautet nicht, ob Quantencomputer theoretisch eine Bedrohung darstellen – das tun sie. Entscheidend ist, ob die Bedrohung innerhalb eines relevanten Zeitraums praktisch wird und ob Bitcoin sich rechtzeitig anpassen kann.

Wie Quantencomputer funktionieren

Klassische Computer arbeiten mit Bits, die entweder 0 oder 1 sind. Quantencomputer nutzen Qubits, die sich dank Superposition gleichzeitig in beiden Zuständen befinden können. Durch Verschränkung (Entanglement) können Qubits miteinander korreliert werden, sodass der Zustand eines Qubits den eines anderen beeinflusst.

Diese Eigenschaften erlauben es Quantencomputern, bestimmte Probleme exponentiell schneller zu lösen als klassische Computer. Allerdings sind sie kein universeller Turbo – sie sind nur bei spezifischen Problemklassen überlegen. Für die Kryptographie sind zwei Algorithmen relevant: Shor und Grover.

Shor-Algorithmus

Der 1994 von Peter Shor vorgestellte Algorithmus kann die Primfaktorzerlegung und das Diskrete-Logarithmus-Problem (DLP) effizient lösen – beides Probleme, auf denen die Sicherheit von RSA und ECDSA basiert.

Für Bitcoin bedeutet das konkret: Ein ausreichend leistungsfähiger Quantencomputer könnte aus einem Public Key den Private Key berechnen. Damit könnte ein Angreifer Transaktionen signieren und Bitcoin stehlen, deren Public Key auf der Blockchain sichtbar ist.

Shors Algorithmus reduziert die Komplexität des DLP von exponentiell auf polynomial. Für secp256k1 (256-Bit-Kurve) bräuchte ein Quantencomputer schätzungsweise 2'500 bis 4'000 fehlerkorrigierte logische Qubits. Aufgrund der nötigen Fehlerkorrektur entspricht das mehreren Millionen physischer Qubits.

Grover-Algorithmus

Grovers Algorithmus (1996) beschleunigt die Brute-Force-Suche in unstrukturierten Datenmengen. Er reduziert den Suchaufwand quadratisch: Statt 2²⁵⁶ Versuche braucht es nur 2¹²⁸.

Für SHA-256 bedeutet das: Die effektive Sicherheit wird von 256 Bit auf 128 Bit halbiert. Das klingt dramatisch, ist es aber nicht. 128 Bit Sicherheit gelten weiterhin als unangreifbar – auch für Quantencomputer. Zum Vergleich: AES-128, der weltweit meistverwendete Verschlüsselungsstandard, bietet ebenfalls 128 Bit Sicherheit und wird vom NIST auch für die Post-Quantum-Ära als ausreichend eingestuft.

Grovers Algorithmus bedroht also das Mining nicht fundamental. Ein Quantencomputer wäre zwar ein schnellerer Miner, aber der Difficulty-Adjustment-Mechanismus würde die Schwierigkeit einfach erhöhen.

Aktuelle Bedrohungslage

Stand 2026 liegt die Leistung der grössten Quantencomputer bei etwa 1'000–1'500 verrauschten physischen Qubits (IBM, Google). Für einen Angriff auf secp256k1 werden nach aktuellen Schätzungen mehrere Millionen fehlerkorrigierter Qubits benötigt.

Die Lücke zwischen dem aktuellen Stand und der für einen Angriff nötigen Kapazität ist enorm. Es fehlt nicht nur Rechenleistung – grundlegende technische Herausforderungen bei der Fehlerkorrektur, Kohärenzzeiten und Skalierung sind noch ungelöst.

Welche Teile von Bitcoin sind gefährdet?

Nicht alle Bitcoin sind gleichermassen verwundbar:

• Exponierte Public Keys (hohes Risiko): Bei älteren Transaktionsformaten (Pay-to-Public-Key, P2PK) ist der Public Key direkt auf der Blockchain sichtbar. Satoshis frühe Coins und Mining-Rewards vor 2012 verwenden dieses Format. Auch wiederverwendete Adressen exponieren den Public Key nach der ersten ausgehenden Transaktion.
• Gehashte Adressen (niedrigeres Risiko): Bei modernen Formaten (P2PKH, P2WPKH) ist nur der Hash des Public Keys auf der Blockchain. Ein Angreifer müsste zuerst den Hash umkehren (durch Grovers Algorithmus erschwert, nicht durch Shor), bevor er den Public Key und dann den Private Key berechnen kann.
• Unbestätigte Transaktionen (mittleres Risiko): Sobald eine Transaktion broadcast wird, ist der Public Key sichtbar. Ein Quantencomputer müsste in der Zeit zwischen Broadcast und Bestätigung (durchschnittlich 10 Minuten) den Private Key berechnen – ein extrem enges Zeitfenster, selbst für zukünftige Quantencomputer.

Gegenmassnahmen

Die Kryptographie-Community arbeitet aktiv an Lösungen:

• Post-Quantum-Kryptographie (PQC): Das NIST hat 2024 die ersten Post-Quantum-Standards finalisiert (CRYSTALS-Dilithium, SPHINCS+, CRYSTALS-Kyber). Diese Algorithmen basieren auf mathematischen Problemen, die auch für Quantencomputer schwer sind (Gitter-basiert, Hash-basiert).
• Hash-basierte Signaturen: Lamport-Signaturen und Winternitz-Signaturen sind quantensicher, da sie nur auf Hash-Funktionen basieren. Ihr Nachteil: Sie sind deutlich grösser als ECDSA-Signaturen und oft nur einmal verwendbar.
• Taproot als Migrationsweg: Das Taproot-Upgrade (2021) bietet mit seiner flexiblen Script-Struktur eine Basis für zukünftige Soft-Fork-Upgrades, die Post-Quantum-Signaturen einführen könnten.
• Adresshygiene: Bereits heute kann man das Risiko minimieren, indem man Adressen nie wiederverwendet. So bleibt der Public Key bis zur ersten ausgehenden Transaktion verborgen.

Zeitrahmen

Konservative Schätzungen aus der Forschung gehen davon aus, dass kryptographisch relevante Quantencomputer frühestens in 15 bis 30 Jahren verfügbar sein könnten – wenn überhaupt. Einige Experten halten es für möglich, dass die technischen Hürden so gross sind, dass es noch länger dauert.

Bitcoin hat den Vorteil, dass es durch Soft Forks aktualisiert werden kann. Die Migration zu quantensicherer Kryptographie ist technisch machbar und wird in der Entwickler-Community bereits diskutiert. Die Herausforderung liegt weniger in der Technik als in der Koordination eines dezentralen Netzwerks.

Quellen

• NIST – Post-Quantum Cryptography Project
• Bitcoin Wiki – Quantum computing and Bitcoin
• Aggarwal et al. – «Quantum Attacks on Bitcoin, and How to Protect Against Them» (arXiv, 2017)

Nächste Schritte