Bitcoin-Sicherheit: Quanten-Angriff effizienter als gedacht

Ein supraleitender Quantencomputer mit 1.200 fehlerkorrigierten Qubits – in echter Hardware entspricht das weniger als 500.000 physischen Qubits – und 90 Millionen Rechenschritten könnte den privaten Schlüssel eines Bitcoin-Nutzers berechnen – also die kryptografische Grundlage der Bitcoin-Sicherheit brechen. Bitcoins durchschnittliche „Blockzeit“ – also der Abstand zwischen zwei dauerhaft gespeicherten Transaktionsbündeln – beträgt zehn Minuten.

Laut dem Whitepaper von Google Quantum AI ließe sich die Verschlüsselung jedoch im günstigsten Fall in neun Minuten aushebeln. Den zugehörigen Zero-Knowledge-Beweis nebst Quellcode liefern die Forscher gleich mit.

Wie der Angriff funktioniert

Die Sicherheit von Bitcoin beruht auf einem mathematischen Versprechen: Jeder Nutzer hat zwei zusammengehörige Schlüssel – einen öffentlichen, den jeder sehen darf, und einen privaten, den nur der Besitzer kennt. Wer Coins ausgeben will, muss mit einer digitalen Signatur beweisen, dass er den privaten Schlüssel kennt. Den privaten Schlüssel aus dem öffentlichen zurückzurechnen, gilt für klassische Computer als praktisch unmöglich.

Quantencomputer brechen diese Einbahnstraße mit dem sogenannten Shor-Algorithmus – entwickelt 1994 vom Mathematiker Peter Shor. Er kann bestimmte mathematische Strukturen, die klassischer Kryptografie zugrunde liegen, direkt erkennen und ausnutzen. Was für normale Computer eine schier unendliche Suchaufgabe ist, wird für einen ausreichend großen Quantencomputer zu einer lösbaren Rechenaufgabe.

Wenn ein Bitcoin-Nutzer eine Transaktion sendet, landet sie zunächst im sogenannten Mempool – einem öffentlich einsehbaren Wartespeicher aller noch nicht bestätigten Transaktionen. Dort ist der öffentliche Schlüssel des Absenders für jeden sichtbar. Erst nach durchschnittlich zehn Minuten wird die Transaktion von einem Miner – einem am Netzwerk beteiligten Rechner – in einem Block dauerhaft gespeichert. Genau in diesem Fenster setzt der beschriebene Angriff an: Ein Quantencomputer liest den öffentlichen Schlüssel aus, berechnet daraus den privaten Schlüssel und sendet eine gefälschte Transaktion mit höherer Gebühr ab – die Miner bevorzugen sie, die Originaltransaktion wird verdrängt.

Die effektive Angriffsdauer lässt sich dabei auf etwa neun Minuten halbieren, weil ein Teil der Berechnung bereits im Voraus durchgeführt werden kann – der Quantencomputer wartet dann vorbereitet auf den öffentlichen Schlüssel des Opfers.

Nicht alle Quantencomputer wären dabei gleich gefährlich. Während Google weiterhin auf supraleitende Systeme setzt, werden nun auch alternative Architekturen für Angriffe relevant. Photonische Quantencomputer und siliziumbasierte Architekturen hätten die nötige Geschwindigkeit für Echtzeit-Angriffe auf laufende Transaktionen. Langsamere Systeme wie Ionenfallen-Quantencomputer, die einzelne Atome als Qubits nutzen, könnten hingegen nur Adressen angreifen, deren öffentlicher Schlüssel bereits dauerhaft auf der Blockchain sichtbar ist – also etwa alte, nie bewegte Wallets, bei denen der Angreifer Tage oder Wochen Zeit hat.

Eine Größenordnung effizienter als bisher bekannt

Der entscheidende Fortschritt des Papers liegt nicht im Algorithmus selbst, sondern in seiner Effizienz. Frühere Schätzungen gingen von rund 200 Millionen Rechenschritten und neun Millionen physischen Qubits aus. Google kommt auf 70 Millionen Rechenschritte und weniger als 500.000 Qubits. Das Gesamtprodukt aus benötigten Rechenschritten und Qubits – das sogenannte Raumzeit-Volumen, das den eigentlichen Hardwareaufwand bestimmt – verbessert sich damit um etwa eine Größenordnung.

Erreicht wird das durch zwei zentrale Hebel, die zusammenwirken.

Der Erste ist Windowed Arithmetic. Der Kern des Angriffs ist die wiederholte Addition von Punkten auf einer elliptischen Kurve – der speziellen geometrischen Struktur, auf der Bitcoins Kryptografie beruht. Naiv ausgeführt erfordert das 512 einzelne kontrollierte Operationen. Die Forscher fassen je 16 Schritte zu einem „Fenster“ zusammen und berechnen die möglichen Ergebnisse vorab klassisch. Das reduziert die Zahl der nötigen Quantenoperationen auf 28 – also auf etwa ein Achtzehntel.

Der zweite Hebel betrifft die Fehlerkorrektur. Qubits sind fehleranfällig – ein einzelner logischer Qubit, der zuverlässig funktioniert, erfordert viele physische Qubits als Absicherung. Wie viele hängt stark von der Anordnung der Fehlerkorrektur ab. Google nutzt hier sogenannte Yoked Surface Codes – eine besonders dichte Packung der Korrekturschaltkreise –, die den Bedarf an physischen Qubits von neun Millionen auf unter 500.000 senkt. Dabei gilt: Die 1.200 logischen Qubits des Algorithmus sind fehlerkorrigierte, zuverlässige Recheneinheiten. In echter Hardware benötigt man für jeden davon etwa 400 fehleranfällige physische Qubits als Absicherung – woraus sich der Gesamtbedarf von unter 500.000 physischen Qubits ergibt.

Hinzu kommen kleinere, aber wirksame Optimierungen. Eine Technik namens Measurement-Based Uncomputation ersetzt aufwendige Rückrechnungsschritte durch gezielte Messungen und halbiert damit einen Teil der Rechenschritte. Und durch geschicktes Recycling eines einzelnen kleinen Quantenregisters – statt zwei großer Register, wie Shors Algorithmus es naiv erfordern würde – lässt sich der Qubit-Bedarf weiter senken.

Diese Tricks sind nicht neu – einige wurden in früheren Arbeiten bereits beschrieben. Was das Paper neu macht, ist ihre konsequente Kombination in einer gemeinsamen Schaltkreisarchitektur. Das Ergebnis soll laut Google ein Quantenschaltkreis sein, der kompakter, schneller und mit weniger Hardware auskommt als alles bisher Veröffentlichte.

Wie weit sind heutige Quantencomputer?

Den beschriebenen Angriff kann heute kein existierender Quantencomputer durchführen. IBMs aktueller Nighthawk-Prozessor arbeitet mit 120 physischen Qubits, das finnische Unternehmen IQM hat mit seinem Halocene-System einen 150-Qubit-Chip angekündigt. Googles Willow-Prozessor bewegt sich in ähnlichen Größenordnungen. Für einen Bitcoin-Angriff wären 500.000 physische Qubits nötig – also etwa das Dreitausend- bis Viertausendfache der leistungsfähigsten heute verfügbaren Systeme. Einen detaillierten Überblick über den aktuellen Stand der verschiedenen Architekturen bietet der Hintergrundartikel „Status quo: Wie weit Quantenhardware im Jahr 2026 ist“.

Manche Hersteller streben Systeme mit zwei Millionen physischen Qubits bereits für 2030 an. Sollten diese Pläne auch nur annähernd eingehalten werden, wäre die für einen Bitcoin-Angriff nötige Schwelle theoretisch in der zweiten Hälfte der 2030er-Jahre erreichbar – vorausgesetzt, die Fehlerkorrektur hält mit dem Qubit-Wachstum Schritt, was keineswegs garantiert ist. Die Google-Forscher warnen jedoch ausdrücklich davor, aus dem heutigen Rückstand Entwarnung abzuleiten: Algorithmusverbesserungen wie die im Paper beschriebenen haben die Anforderungen in den vergangenen Jahren kontinuierlich gesenkt. Gleichzeitig ist nicht auszuschließen, dass entscheidende Fortschritte zunächst nicht öffentlich bekannt werden.

Millionen Bitcoin als dauerhaftes Angriffsziel

Unabhängig von der Frage der Transaktionsgeschwindigkeit gibt es eine zweite, strukturelle Bedrohung, die keine Echtzeit-Fähigkeit erfordert: Adressen, deren öffentlicher Schlüssel bereits dauerhaft sichtbar ist. Laut Paper sind derzeit rund 6,9 Millionen Bitcoin durch exponierte öffentliche Schlüssel gefährdet – darunter rund 1,7 Millionen BTC in sogenannten P2PK-Adressen, einem veralteten Adressformat aus der Frühzeit von Bitcoin, bei dem der öffentliche Schlüssel direkt auf der Blockchain gespeichert ist. Darunter befinden sich auch Coins, die Satoshi Nakamoto, dem anonymen Bitcoin-Erfinder, zugeschrieben werden.

Rund 2,3 Millionen dieser gefährdeten BTC wurden seit mindestens fünf Jahren nicht bewegt. Diese „schlafenden“ Coins können nicht auf sichere Adressen migriert werden – ihre Besitzer sind nicht erreichbar oder die privaten Schlüssel sind verloren. Sie bleiben damit ein dauerhaftes Angriffsziel mit einem Gegenwert im dreistelligen Milliardenbereich.

Ethereum: Strukturell breiter gefährdet

Während Bitcoin primär durch exponierte Schlüssel gefährdet ist, hat Ethereum ein strukturell breiteres Angriffsprofil. Auch Ethereum verwendet wie Bitcoin digitale Signaturen auf Basis des Elliptic Curve Digital Signature Algorithm (ECDSA) und ist damit grundsätzlich durch Quantenangriffe gefährdet – die größere Angriffsfläche ergibt sich jedoch aus der Systemarchitektur. Die Plattform führt nicht nur Transaktionen durch, sondern auch komplexe Programme – sogenannte Smart Contracts –, die Vermögenswerte verwalten und Regeln durchsetzen, ohne dass ein Mittelsmann nötig ist.

Ethereum-Konten legen nach der ersten Transaktion ihren öffentlichen Schlüssel dauerhaft offen – rund 20,5 Millionen ETH in den tausend wertvollsten Konten sind dadurch gefährdet. Besonders heikel ist die Lage bei Smart Contracts, die oft von wenigen privilegierten Konten verwaltet werden: Wer deren privaten Schlüssel kennt, kontrolliert den gesamten Vertrag – und damit laut Paper rund 200 Milliarden US-Dollar in Stablecoins und tokenisierten realen Vermögenswerten wie Anleihen oder Immobilienfonds. Hinzu kommen rund 37 Millionen ETH im sogenannten Staking – Coins, die Nutzer als Sicherheit hinterlegen, um am Validierungsprozess des Netzwerks teilzunehmen –, die durch angreifbare Signaturen gefährdet sind. Besonders kritisch: Beim Datenverfügbarkeitsmechanismus von Ethereum würde ein einmaliger Quantenangriff ausreichen, um eine dauerhaft nutzbare Hintertür zu erzeugen, die danach ohne Quantencomputer funktioniert.

Offenlegung ohne Angriffsblaupause

Die Forscher veröffentlichen die konkreten Quantenschaltkreise bewusst nicht, um potenziellen Angreifern keine Blaupause zu liefern. Stattdessen nutzen sie einen sogenannten Zero-Knowledge-Beweis – eine mathematische Methode, mit der man beweisen kann, dass man etwas weiß, ohne das Wissen selbst preiszugeben. Unabhängige Prüfer können damit verifizieren, dass die beschriebenen Schaltkreise existieren und die behaupteten Ressourcen einhalten – ohne die sicherheitskritischen Details zu erhalten.

Migration zur Quantensicherheit – aber wie?

Die Forscher empfehlen eine sofortige Migration zu sogenannter Post-Quantum-Kryptografie, bei der Google bereits auf einen deutlich strafferen Zeitplan setzt als staatliche Stellen – Verschlüsselungsverfahren, die auch Quantencomputern widerstehen. Das US-Standardisierungsinstitut NIST hat dafür bereits erste Standards verabschiedet, darunter das gitterbasierte Signaturverfahren Dilithium und das hashbasierte SPHINCS+. Beide nutzen mathematische Probleme, für die kein effizienter Quantenalgorithmus bekannt ist. Auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, klassische asymmetrische Verschlüsselungsverfahren ab 2032 nur noch in Kombination mit Post-Quantum-Kryptografie einzusetzen.

Für Kryptowährungen ist das leichter gesagt als getan. Die Migration erfordert Protokolländerungen, die in dezentralen Netzwerken einen breiten Konsens benötigen – ein langwieriger Prozess. Auf der Bitcoin-Blockchain würde allein die Übertragung aller Coins auf neue, quantensichere Adressen bei aktuellem Transaktionsdurchsatz mehrere Monate dauern. Als kurzfristige Schutzmaßnahmen empfehlen die Autoren außerdem, öffentliche Schlüssel nicht wiederzuverwenden und private Mempools zu nutzen, bei denen Transaktionen nicht öffentlich einsehbar sind.

(vza)