Google warnt: „Quantencomputer könnten Bitcoins Verschlüsselung früher brechen als gedacht"

Die Sicherheit von Bitcoin basiert auf mathematischen Problemen, die für klassische Computer praktisch unlösbar sind. Seit Jahren steht jedoch die Frage im Raum, ob Quantencomputer diese Annahme eines Tages aushebeln könnten. Die besagte neue Veröffentlichung von Google Quantum AI bringt diese Debatte nun auf eine neue Ebene.

Also genau jene Technologie, die hinter Bitcoins Signaturen, aber auch vielen anderen Formen der Verschlüsselung steckt. Diese basiert auf dem „elliptischen Kurven-Diskreten Logarithmusproblem”, einem mathematischen Problem, das, wie eingangs erwähnt, für klassische Computer als praktisch unlösbar gilt.

Quantencomputer können mithilfe des sogenannten „Shor’s Algorithmus“ genau dieses Problem aber deutlich effizienter lösen. Entscheidend ist daher nicht, ob ein Angriff theoretisch möglich ist, sondern wie viele Ressourcen dafür tatsächlich benötigt werden.

Das Research-Paper von Google liefert hierfür eine wohl präzisere Antwort als frühere Arbeiten. Es berücksichtigt nämlich nicht nur abstrakte Modelle, sondern integriert reale Faktoren wie Fehlerkorrektur, die Umsetzung von Quantenoperationen und die physische Architektur der Systeme. Dadurch entsteht ein deutlich realistischeres Bild der tatsächlichen Anforderungen.

Ein zentrales Ergebnis ist die Abschätzung der benötigten logischen Qubits (Quanten-Bits). Diese liegen laut den Forschern im Bereich von etwas über tausend (1200 - 1450 logischen Qubits) und damit in einer Größenordnung, die deutlich unter früheren Annahmen liegt. Da logische Qubits durch Fehlerkorrektur aus einer großen Anzahl physischer Qubits aufgebaut werden, ergibt sich daraus dennoch ein erheblicher Hardwarebedarf, der aktuell weit außerhalb der bestehenden Systeme liegt  (~500.000 physische Qubits).

Ein entscheidender Faktor für die neuen und eben niedrigeren Schätzungen liegt in der Analyse der sogenannten Toffoli-Gates. Dabei handelt es sich um grundlegende Rechenoperationen innerhalb eines Quantencomputers, die eine zentrale Rolle bei der Umsetzung von Shor’s Algorithmus spielen.

Vereinfacht gesagt sind Toffoli-Gates vergleichbar mit besonders komplexen logischen Operationen in klassischen Computern. Sie werden vor allem für reversible Berechnungen benötigt, wie sie in Quantenalgorithmen üblich sind. Im Kontext der Kryptographie machen sie somit einen erheblichen Teil der gesamten Rechenarbeit aus.

Um das greifbarer zu machen, hilft ein einfaches Beispiel:
Ein Toffoli-Gate arbeitet mit drei Bits. Zwei davon sind sogenannte Kontrollbits und das dritte ist ein Zielbit. Nur wenn beide Kontrollbits den Wert „1“ haben, wird das Zielbit umgedreht – aus „0“ wird „1“ oder umgekehrt. Haben die Kontrollbits nicht beide den Wert „1“, passiert nichts.

Man kann sich das wie eine Art Sicherheitsschalter vorstellen. Erst wenn zwei Bedingungen gleichzeitig erfüllt sind, wird eine Aktion ausgelöst. In klassischen Computern gibt es zwar ähnliche Logiken, der Unterschied ist jedoch, dass Toffoli-Gates zusätzlich reversibel sind – das heißt, der gesamte Rechenschritt lässt sich eindeutig wieder zurückverfolgen. Genau diese Eigenschaft ist für Quantenalgorithmen zwingend notwendig.

In der Praxis bedeutet das, dass komplexe Berechnungen, wie sie beim Brechen kryptographischer Verfahren auftreten, aus einer enormen Anzahl solcher Einzelschritte bestehen. Wenn ein Algorithmus Millionen, Milliarden oder sogar Billionen Toffoli-Gates benötigt, summiert sich der Aufwand massiv, insbesondere, weil jeder dieser Schritte unter Fehlerkorrektur ausgeführt werden muss.

Das Google-Paper zeigt nun, dass frühere Modelle den Aufwand für diese Operationen deutlich zu hoch angesetzt haben. Durch optimierte Schaltungsdesigns lässt sich die Anzahl der benötigten Toffoli-Gates nämlich erheblich reduzieren. Diese Verbesserung wirkt sich dann direkt auf die Gesamtanforderungen aus, da weniger Rechenschritte auch weniger Fehlerkorrektur und damit weniger physische Qubits erfordern.

Die zentrale Erkenntnis des Papers ist somit, dass die Fortschritte eigentlich weniger aus neuen mathematischen Durchbrüchen resultieren, sondern aus einer effizienteren Umsetzung der bestehenden Algorithmen auf der Quantenhardware.

Das Paper beschreibt auch konkret, wie ein solcher Angriff im Kontext von Bitcoin ablaufen könnte.

Angriff auf laufende Transaktionen

Sobald eine Transaktion gesendet wird, wird der öffentliche Schlüssel offengelegt. Ein Angreifer könnte diesen nutzen, um mithilfe eines Quantencomputers den zugehörigen privaten Schlüssel zu berechnen.

Gelingt dies innerhalb eines begrenzten Zeitfensters, wäre es möglich, eine konkurrierende Transaktion zu erstellen und ins Netzwerk einzuspeisen. Ziel wäre es, die ursprüngliche Transaktion zu ersetzen und die Kontrolle über die entsprechenden Bitcoin zu übernehmen.

Das Zeitfenster für einen solchen Angriff orientiert sich an der durchschnittlichen Blockzeit von Bitcoin (~10 Minuten). Die Analyse zeigt, dass ein Angriff theoretisch innerhalb dieses Zeitraums möglich sein könnte, vorausgesetzt natürlich, die notwendige (massive) Rechenleistung steht zur Verfügung.

Angriff auf bestehende UTXOs

Ein zweites Szenario betrifft bereits existierende UTXOs, bei denen der öffentliche Schlüssel bekannt ist. In diesen Fällen wäre kein Zeitdruck notwendig. Ein Angreifer könnte gezielt bekannte Public Keys analysieren und daraus Private Keys berechnen.

Sobald dies gelingt, könnten die entsprechenden Coins jederzeit ausgegeben werden. Dieses Szenario wäre insbesondere für ältere Wallets oder wiederverwendete Adressen relevant.

Unterschiede zwischen Adresstypen

Die konkrete Angriffsfläche hängt stark vom verwendeten Adresstyp ab.

Bei klassischen Adressen wie P2PKH oder P2WPKH wird zunächst nur ein Hash des öffentlichen Schlüssels veröffentlicht. Der eigentliche Public Key wird erst sichtbar, wenn die Coins ausgegeben werden. Dadurch entsteht ein zeitlich begrenztes Angriffsfenster, das sich auf den Moment der Transaktion beschränkt.

Bei Taproot-Adressen (P2TR) ist der öffentliche Schlüssel hingegen bereits direkt Bestandteil der Adresse. Das bedeutet, dass diese Information von Anfang an öffentlich ist. Ein Angreifer hätte damit theoretisch unbegrenzt Zeit, den Private Key zu berechnen, sobald entsprechende Quantenhardware existiert.

Allerdings ist auch hier entscheidend, dass die eigentliche Hürde nicht nur im Wissen des Public Keys liegt, sondern dann in der Berechnung des Private Keys. Ohne ausreichend leistungsfähige Quantencomputer bleibt natürlich auch dieses Szenario rein theoretisch.

Von etwa 1.000 fehleranfälligen Qubits auf 500.000 fehlertolerante Qubits bis zum Jahr 2029 zu kommen, ist nicht einfach nur eine „Roadmap“ – es ist entweder ein physikalisches Wunder oder ein gewaltiger Bluff.
^{Jonas Schnelli bei 𝕏}

Auch wenn die Google-Forscher keine unmittelbare Bedrohung beschreiben, ergibt sich daraus eine klare strategische Implikation für Bitcoin und alle Systeme, die auf ähnlichen Verschlüsselungen basieren. Die Zeit, die für die Vorbereitung auf quantensichere Kryptographie zur Verfügung steht, könnte vielleicht doch geringer sein als bislang angenommen.

Für Bitcoin stellt sich damit langfristig die Frage, wie ein Übergang zu quantensicheren Verfahren aussehen kann. Technisch existieren bereits erste Ansätze und Gedankengänge (z.B. BIP360), doch eine wirkliche Integration quantensicherer Lösungen in ein dezentrales System ist komplex und erfordert breiten Konsens.

Klar ist aber auch: Nicht der Quantencomputer selbst ist das größte Risiko, sondern die Frage, ob und wie man rechtzeitig darauf reagiert.

Die Debatte um eine möglichst zeitnahe Umsetzung dürfte durch das Google-Paper definitiv wieder frischen Wind erhalten.