StarkWare-Produktleiter Avihu Levy hat am 9. April einen Plan für quantensichere Bitcoin-Transaktionen mit dem Titel „Quantum Safe Bitcoin (QSB)“ veröffentlicht. Dabei wird die Transaktionsabsicherung gegen Quantenangriffe umgesetzt, ohne dabei das Protokoll zu ändern. Dies ist derzeit der erste bekannte praktikable Ansatz, der allein auf den vorhandenen Legacy-Script-Regeln von Bitcoin basiert und sich gegen Angriffe mit dem Shor-Algorithmus wappnet.
Quantenbedrohung ist akut, Bitcoiner-Konsens unklar
Die Bedrohung, die Quantenrechnen für Bitcoin darstellt, wurde erneut in den letzten Wochen durch eine Arbeit von Google Quantum AI in den Fokus gerückt. Die Studie weist darauf hin, dass die Kosten für das Knacken der Bitcoin-Elliptic-Curve-Kryptografie (ECDSA) um 90% geringer sind als erwartet; gleichzeitig lässt sich in nur 9 Minuten aus den bereits offengelegten öffentlichen Schlüsseln ein privater Schlüssel rekonstruieren, und auch Google selbst hat sich zum Ziel gesetzt, bis 2029 nach Abschluss eigener Dienste einen Quantenumzug zu vollziehen.
(Warnung aus Googles Quantenforschung: Hürde zum Knacken der Bitcoin-Verschlüsselung sinkt stark, Taproot und Adresswiederverwendung bringen 6,9 Millionen BTC in ein Quantenrisiko)
Das aktuelle wichtigste Signaturverfahren von Bitcoin ist ECDSA, dessen Sicherheit auf mathematischen Schwierigkeiten von elliptischen Kurven basiert. Sobald Quantencomputer über ausreichend Rechenleistung verfügen, können Angreifer mithilfe des Shor-Algorithmus den privaten Schlüssel rückwärts erschließen, gefälschte Signaturen erzeugen und so Vermögenswerte stehlen. Vom P2PK-Ausgang über Taproot bis hin zu herkömmlichen Adressen: Sobald der öffentliche Schlüssel offengelegt ist, besteht das Risiko, dass der private Schlüssel geknackt wird.
Da die gängigen Gegenmaßnahmen jedoch alle eine Änderung des Bitcoin-Basisprotokolls erfordern, müssen sie einen langwierigen und stark umstrittenen Governance-Prozess durchlaufen, der in der Bitcoin-Community berüchtigt ist. Egal ob es um den BIP-360-Vorschlag für quantenresistente Adressen geht, der eine Softfork benötigt, oder um Hash-basierte Signaturansätze wie SPHINCS+, sie alle müssen diesen Prozess durchlaufen.
Mit dem Aufkommen von QSB ist es nun gelungen, diese Hürde zu umgehen.
Was ist QSB? Wie lässt sich Quantenresistenz ohne Protokolländerung erreichen?
Als Mitautor von BIP-360 vertritt Avihu Levy in letzter Zeit mit QSB die These, dass es ohne Änderungen am Konsens möglich sei, in Bitcoin eine Lösung zu implementieren, die Quantenangriffe abwehrt.
QSB basiert auf der von BitVM-Gründer Robin Linus entwickelten Binohash-Transaktionstechnologie und nimmt Änderungen an zwei quantensicheren Schwachstellen vor: Erstens die Signatur-Schwierigkeit mit dem kleinen r-Wert, die möglicherweise durch den Shor-Algorithmus geknackt werden kann; zweitens die Schwachstelle bei dem sighash-Flag, die Angreifer ausnutzen können.
Im Sicherheitsmodell verzichtet QSB auf die traditionelle Annahme, die auf mathematischen Schwierigkeiten elliptischer Kurven beruht. Stattdessen wird auf die RIPEMD-160-Hashfunktion aufgebaut. Angriffe von Quantencomputern auf Hashfunktionen können nur über den Grover-Algorithmus eine quadratische Beschleunigung erreichen, nicht jedoch eine vollständige Entschlüsselung wie der Shor-Algorithmus bei ECDSA. Daher stellt QSB aktuell für Quantencomputer noch keine Bedrohung dar.
Konkret muss der Transaktionsinitiator eine Hash-Rätselaufgabe lösen, deren Berechnung sehr kostspielig ist, und die Transaktion an eine bestimmte Menge an Parametern binden. Wer die Transaktionsinhalte ändern will, hat sofort eine ungültige Antwort vorliegen und muss von vorn beginnen, neu zu berechnen.
Das gesamte Konzept läuft vollständig innerhalb der bestehenden Legacy-Script-Begrenzungen von Bitcoin, einschließlich der Obergrenze von 201 Opcodes und der Skriptgrößenbegrenzung von 10.000 Bytes, ohne dass irgendeine Protokolländerung erforderlich ist. Das Schema erreicht eine Quanten-Sicherheitsstufe von etwa 118 Bit ( derzeit auf 0).
Reale Nutzungskosten und Operationseinschränkungen: Rechenkosten ab 75 US-Dollar
QSB ist derzeit kein kostenloses Modell. Pro Transaktion müssen etwa 75 bis 150 US-Dollar an Cloud-GPU-Rechnungskosten gezahlt werden. Berechnet nach den aktuellen Marktpreisen für Cloud-Rechenleistung kann der gesamte Berechnungsprozess in wenigen Stunden abgeschlossen werden, und er kann synchron über mehrere GPUs hinweg ausgeführt werden.
Allerdings hat QSB weiterhin praktische Grenzen. Da die Transaktion die voreingestellten Zwischenstufen-Richtlinien von Bitcoin überschreitet, muss sie direkt bei Mining-Pools eingereicht werden, die nicht-standardisierte Transaktionen akzeptieren, beispielsweise über den von Marathon angebotenen Slipstream-Dienst. Außerdem wird das Konzept derzeit noch nicht vom Lightning Network unterstützt.
Levy selbst ordnet QSB als „letzte Option“ ein, nicht als Ersatzlösung für gewöhnliche Bitcoin-Transaktionen.
Rückblick auf bestehende quantenresistente Lösungen: Sie alle erfordern Änderungen am ursprünglichen Bitcoin-Protokoll
Fast alle bestehenden Lösungen für quantenresistente Bitcoins benötigen Änderungen auf der Protokollebene. BIP-360 schlägt die Einführung eines neuen Formats für quantenresistente Adressen vor, doch dafür ist eine Softfork nötig, und es muss eine breite Zustimmung in der Bitcoin-Community erreicht werden. Hash-basierte Signaturlösungen wie SPHINCS+ benötigen ebenfalls Protokoll-Updates und stehen dabei zudem vor größeren Herausforderungen in Bezug auf Effizienz und Skriptgröße.
Da QSB derzeit der erste Ansatz ist, der vollständig innerhalb des bestehenden Bitcoin-Regelwerks läuft, ohne dass irgendeine Konsensänderung erforderlich ist, können alle Nutzer, die bereit sind, die entsprechenden GPU-Rechnungskosten zu tragen, die Lösung bereits heute nutzen, ohne auf den Konsens der Community warten zu müssen.
Quantenresistente Lösungen tauchen auf, Bitcoin-Besitzer warten auf gute Nachrichten
Derzeit verfügt noch keine Quantenmaschine über eine konkrete praktische Fähigkeit, die Bitcoin-Verschlüsselung zu knacken. Von außen wird erwartet, dass die realen Bedrohungen erst in 3 bis 10 Jahren auftreten. Für Bitcoin-Adressen jedoch, die genutzt werden und bei denen der öffentliche Schlüssel offengelegt wurde, werden sie, sobald Quantencomputer die Angriffsschwelle erreichen, zu den ersten Zielen gehören – ersten Schätzungen zufolge betrifft das etwa 6,9 Millionen Coins.
QSB ist derzeit noch in keinen Consumer-Wallets integriert, wodurch normale Nutzer die Quanten-Sicherheitsoptionen nicht direkt über vorhandene Software aktivieren können. Mit seinem Schritt zeigt Levy jedoch, dass dieses Schema tatsächlich auf dem heutigen Bitcoin existiert und machbar ist; als Nächstes bleiben Umsetzung im Engineering, Wallet-Integration und Zeit.
Für Nutzer, die Bitcoin halten, ist die aktuell pragmatischste Empfehlung: Vermeiden Sie die Wiederverwendung von Adressen, beobachten Sie genau den Stand der quantenresistenten Unterstützung durch Wallet-Entwickler und verlagern Sie Ihr Vermögen so früh wie möglich auf geschützte Adressen, sobald eine Option für den quantensicheren Umzug in gängiger Software verfügbar ist.
Dieser Artikel ist das Bitcoin-Community-Evangelium! Die erste quantenresistente Bitcoin-Transaktionslösung ohne Softfork QSB ist erschienen, erstmals bei ChainNews ABMedia.
