Neues zur Gefahr durch Quantencomputer

Zunächst warnte Deutschlands Chefaufseher Mark Branson, dass Bitcoin nicht quantensicher sei. Nun kommentiert der Tether-Chef Paolo Ardoino die Bedrohung. Wir ordnen die Risiken durch Quantencomputer nüchtern ein.

Quantencomputer sind für Bitcoin ein wenig das, was der Grinch für Weihnachten ist: ein boshafter Geist in einem Berg, der jederzeit die Party sprengen könnte.

Zumindest wird das immer wieder so behauptet. Zuletzt sogar von Mark Branson, dem Präsident der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die Bitcoin überwacht und es daher wissen sollte. Auf einer Pressekonferenz Ende Januar warnte Branson, dass die Kryptografie bei Bitcoin nicht quantensicher sei.

Tatsächlich kann der Shor-Quantenalgorithmus den Signaturalgorithmus ECDSA, der Bitcoin sichert, potenziell brechen. Daher heißt es immer wieder, dass es nur eine Frage der Zeit sei, bis Bitcoin gebrochen wird.

Kurz darauf warnte auch Markus Pflitsch, Unternehmer, Investor und Experte für Quantencomputer, in BTC-Echo „warum der Bitcoin in Gefahr schwebt“: Quantencomputer seien ein Gamechanger, die Quanten-Revolution beginne bereits, und es sei dringend notwendig, quantensichere Kryptografie zu etablieren. Das klingt dramatisch.

Vergangene Woche hat sich nun der Tether-CEO Paolo Ardoino in die Debatte eingeschaltet: Er schrieb auf Twitter eine „Vorhersage“: Alle Bitcoins „in verlorenen Wallets, darunter auch die von Satoshi (falls er nicht mehr lebt), werden gehackt werden und zurück in Umlauf gebracht.“

Gibt Ardoino, wahrlich kein Bitcoin-Skeptiker, dem obersten Finanzaufseher Deutschlands damit recht?

Wie weit Quantencomputer davon entfernt sind, gefährlich zu sein

Nicht ganz. Ardoino erklärt nämlich auch, dass Quantencomputer „noch immer sehr weit davon entfernt sind, ein ernst zu nehmendes Risiko für die Kryptografie von Bitcoin zu sein.“

Eine Gefahr für ECDSA entsteht frühestens, wenn Quantencomputer 1.500 bis 2.000 physische Qubits erreichen. Erst dann wird Shor seine „Quantenüberlegenheit“ ausspielen können, also effektiver sein als ein herkömmlicher Computer. Schätzungen zufolge würde es aber selbst mit 6.000 Qubits noch fünf Jahre brauchen, um eine ECDSA-Signatur zu brechen. Um dies in einer Stunde zu schaffen, benötigt ein Quantencomputer bereits 317 Millionen Qubits.

Bereits Ende 2023 hatte Atom Computing angekündigt , erstmals mehr als 1.000 Qubits verbunden zu haben. Ende 2024 haben dann Atom Computing und Microsoft gemeinsam einen Quantencomputer vorgestellt , der ab 2025 kommerziell verfügbar sein soll. Microsoft nennt zwar nicht die Anzahl physischer Qubits, rühmt sich aber, die bisher größte Anzahl logischer Qubits erreicht zu haben – nämlich 24.

Um ECDSA mit dem Shor-Algorithmus anzugreifen, braucht man mindestens 1.500 logische Qubits. Davon ist Microsoft noch sehr weit entfernt.

Google mit seinem aktuellsten Quantencomputer Willow hingegen arbeitet bisher mit 105 physischen Qubits. Willow habe angeblich, warb Google, eine Rechnung in Sekunden geschafft, für die ein herkömmlicher Supercomputer Milliarden mal Milliarden Jahre brauchen würde. Tatsächlich aber war die Formel speziell dafür geschrieben, dass nur Quantencomputer sie lösen können und ansonsten sinnfrei. Um auch nur normal rechnen zu können, bräuchte Willow zehnmal so viele Qubits wie bisher.

Quantencomputer sind aktuell noch sehr weit davon entfernt, Bitcoin-Signaturen zu brechen. Wenn überhaupt, dann in Jahrzehnten, und das nur, wenn es einen Durchbruch im Quantencomputing gibt. Aber selbst dann ist Bitcoin nicht gleich kaputt, wie manche vielleicht denken.

Die meisten Bitcoins sind nicht betroffen

Bitcoins werden auf der Blockchain nämlich längst nicht mehr mit öffentlichen Schlüsseln, sondern mit Adressen verbunden. Diese sind gehashte Ableitungen der öffentlichen Schlüssel. Da Shor nur die Schlüssel, nicht aber Adressen angreifen kann, sind alle Bitcoins, die auf Adressen liegen, sicher, solange die Adresse nur einmal verwendet wird.

Ein Quantenhacker könnte, wenn er einmal über 6.000 physische (oder 1.500 logische) Qubits verfügt, lediglich Coins aus einer frühen Phase von Bitcoin angreifen, als man noch an öffentliche Schlüssel überwies. Dazu gehören etwa die vielen Bitcoins von Satoshi. Diese könnte der Hacker knacken, was aber je Adresse à 50 Bitcoins rund fünf Jahre dauern würde. Um hier ernsthaft abzuräumen, braucht man entweder sehr viele dieser Quantencomputer oder sehr viel mehr Qubits.

Normale User, die richtige Adressen verwenden, laufen keine Gefahr, solange sie die Adresse nicht doppelt verwenden. Erst wenn sie den öffentlichen Schlüssel enthüllen – also wenn sie eine Transaktion absenden – kann ein Quantenhacker angreifen. Er hat aber weniger als zehn Minuten Zeit, um eine Signatur zu brechen und einen Double-Spend auszuprobieren, bevor die Transaktion bestätigt ist. Selbst mit 317 Millionen Qubits, einer derzeit unerreichbar wirkenden Anzahl, bräuchte er dafür eine Stunde.

Der zukünftige Crash

Der BaFin-Chef Mark Branson und Tether-CEO Paolo Ardoino reden also von einer sehr weit entfernten Bedrohung. Irgendwann, lange „bevor eine ernsthafte Gefahr für Bitcoin besteht“, prognostiziert Ardoino, „werden quantenresistente Adressen hinzugefügt.“ Alle Menschen, die leben und Zugang zu ihren Wallets haben, werden frühzeitig genug auf diese neuen Adressen umsteigen.

Es geht um eine Zeit, in der sich Quantencomputer der Stärke nähern, um ECDSA in weniger als zehn Minuten zu brechen. In fünfzig Jahren, wenn es sehr gut für Quantencomputer läuft, vermutlich aber nicht mehr in unserem Jahrhundert, und wahrscheinlich niemals.

Bis dahin aber werden die Wallets, die immer noch öffentliche Schlüssel verwenden und nicht einmal auf Adressen migrieren, längst gebrochen sein. Diese Bitcoins, insgesamt nach Schätzungen einige Millionen, werden dann zurück in Umlauf gebracht werden. Uns erwartet also womöglich ein großer Crash in der zweiten Hälfte des 21. Jahrhunderts.