Dr. Stephanie Morgenroth
Ein Forschungspapier von Google behauptet, Bitcoin-Verschlüsselungen mit Quantencomputern in nur neun Minuten brechen zu können. Die Veröffentlichung vom März 2026 sorgte für Schlagzeilen, doch die technischen Details zeigen eine differenzierte Gefahrenlage. Entscheidend ist die Unterscheidung zwischen theoretischer Rechenzeit im Labor und der praktischen Anwendbarkeit auf das verteilte Netzwerk.
Die 9-Minuten-Marke: Theorie versus Quanten-Realität
Die Forscher beschreiben im Paper die Implementierung des Shor-Algorithmus auf einem simulierten Quantencomputer mit ausreichender Qubit-Stabilität. Dieser Algorithmus nutzt quantenmechanische Überlagerung, um Primfaktorzerlegung und diskrete Logarithmen effizienter zu berechnen als klassische Computer. Für Bitcoin bedeutet dies eine direkte Bedrohung des ECDSA, des Elliptic Curve Digital Signature Algorithm, der Transaktionen absichert.
Der Shor-Algorithmus exponiert die mathematische Schwäche elliptischer Kurven gegenüber Quantencomputern. Klassische Computer benötigen zur Faktorisierung der für Bitcoin verwendeten 256-Bit-Schlüssel Milliarden von Jahren. Ein vollständiger Quantencomputer könnte diese Berechnung theoretisch in Stunden oder Minuten durchführen, sofern über genügend stabile Qubits verfügt wird.
Die neun Minuten beziehen sich jedoch auf eine isolierte Rechenoperation unter idealisierten Laborbedingungen. Das Paper simuliert das Knacken eines einzelnen privaten Schlüssels aus einem bereits bekannten öffentlichen Schlüssel. Die Simulation geht von einem fehlerkorrigierten Quantencomputer mit stabilen logischen Qubits aus, der die komplexen mathematischen Operationen durchführen kann.
Die Forschung unterscheidet zwischen physischen Qubits und logischen Qubits. Während physische Qubits fehleranfällig sind, erfordert ein fehlerkorrigiertes logisches Qubit tausende physische Qubits. Für das Brechen eines Bitcoin-Schlüssels wären Tausende logische Qubits nötig, was Millionen physische Qubits bedeutet. Aktuelle Systeme erreichen lediglich einige hundert physische Qubits ohne ausreichende Fehlerkorrektur.
In der physischen Realität verfügen aktuelle Quantencomputer nicht über die erforderliche Fehlerkorrektur und Kohärenzzeit. Die meisten existierenden Systeme verlieren ihre quantenmechanischen Eigenschaften nach Sekundenbruchteilen durch Dekohärenz. Die Stabilität der Qubits reicht nicht aus, um Berechnungen über Minuten aufrechtzuerhalten.
Zudem skaliert der Angriff nicht linear mit der Anzahl der Adressen. Ein Angreifer müsste für jeden einzelnen privaten Schlüssel eine separate neunminütige Berechnung durchführen. Bei Millionen von Adressen entsteht selbst mit optimalem Quantencomputing ein zeitlicher Aufwand, der die Attacke unwirtschaftlich macht.
Die Simulation setzt voraus, dass der Quantencomputer über Millionen fehlerkorrigierter Qubits verfügt. Aktuelle Systeme wie Googles Sycamore oder IBMs Condor erreichen lediglich einige hundert physische Qubits. Die neun Minuten bleiben somit eine projizierte Zahl für zukünftige Generationen von Quantencomputern.
Gefährdete Bestände: Die 6,9 Millionen Bitcoin in historischen Adressen
Die identifizierten 6,9 Millionen BTC befinden sich überwiegend auf P2PK-Adressen aus der frühen Mining-Phase zwischen 2009 und 2010. Diese Adressen, oft der Satoshi-Ära zugerechnet, speichern den öffentlichen Schlüssel ungeschützt in der Blockchain. Sobald der öffentliche Schlüssel bekannt ist, kann ein hinreichend leistungsfähiger Quantencomputer den privaten Schlüssel ableiten.
Die frühen Bitcoin-Versionen nutzten P2PK-Adressen standardmäßig für Mining-Belohnungen. Diese Adressen beginnen oft mit der Ziffer 1 und enthalten den vollen öffentlichen Schlüssel im Klartext. Jeder Node im Netzwerk kann diesen Schlüssel einsehen, was bei Quantencomputing zu einer permanenten Schwachstelle wird.
Moderne Wallets nutzen seit Jahren das P2PKH-Format. Hier wird nicht der öffentliche Schlüssel selbst, sondern dessen Hash gespeichert. Ein Quantenangriff müsste zunächst den Hash brechen, um an den öffentlichen Schlüssel zu gelangen.
Dieser zusätzliche Schritt erschwert den Angriff exponentiell und verschafft dem Netzwerk Zeit für Gegenmaßnahmen. Die Hash-Funktion selbst gilt als relativ resistent gegen Quantenalgorithmen. Grover-Algorithmus könnte zwar die Suche nach Kollisionen beschleunigen, doch die Sicherheitsmarge von SHA-256 bleibt auch gegenüber Quantenangriffen ausreichend.
Die Gefahr konzentriert sich somit auf inaktive historische Bestände. Aktive Nutzer, die regelmäßig Transaktionen tätigen, haben ihre Coins meist auf modernen Adressen oder in Hardware-Wallets mit P2PKH-Struktur. Auch Ethereum und andere Blockchains mit ähnlichen Signaturverfahren stehen vor vergleichbaren Herausforderungen.
Smart-Contract-Interaktionen auf Ethereum preisen oft den öffentlichen Schlüssel preis, was zusätzliche Risiken schafft. Besonders betroffen sind sogenannte Dormant Coins, die seit über einem Jahrzehnt nicht bewegt wurden. Diese frühen Miner haben ihre Belohnungen auf Adressen gespeichert, die damals als sicher galten.
Die 6,9 Millionen BTC stellen einen erheblichen Anteil des Gesamtangebots dar. Sollten diese Coins durch Quantenangriffe kompromittiert werden, könnte dies das Vertrauen in das Netzwerk erschüttern. Allerdings gilt dies nur für die spezifischen P2PK-Adressen, nicht für das gesamte Bitcoin-Netzwerk.
Fazit: Post-Quanten-Strategien: Migration und Protokoll-Upgrades
Das Bitcoin-Netzwerk kann durch einen Soft-Fork auf post-quantenresistente Signaturverfahren umgestellt werden. Vorgeschlagene Lösungen umfassen Lamport-Signaturen oder hashbasierte Verfahren wie XMSS, die selbst gegen Quantenangriffe immun sind. Diese Verfahren erfordern jedoch größere Signaturen und mehr Speicherplatz auf der Blockchain.
Lamport-Signaturen gelten als besonders quantenresistent, da sie auf Hash-Funktionen basieren. Der Nachteil liegt in der Signaturgröße: Statt 64 Bytes können Lamport-Signaturen mehrere Kilobyte umfassen. Dies belastet die Blockkapazität und erfordert Anpassungen im Protokoll.
Eine solche Migration erfordert Zeit und breiten Konsens im Netzwerk. Entwickler diskutieren bereits seit Jahren über Notfallpläne für den Quantenfall. Die Koordination eines solchen Upgrades stellt eine politische Herausforderung dar. Miner, Nodes und Entwickler müssen sich auf einen Aktivierungszeitpunkt einigen.
Die Community könnte durch einen koordinierten Soft-Fork die Sicherheitsstandards anheben, sobald Quantencomputer eine realistische Bedrohung darstellen. Historische Adressen müssen migriert werden, bevor Quantencomputer die kritische Schwelle erreichen. Ein Zeitfenster von mehreren Jahren bleibt für diese Migration voraussichtlich bestehen.
Besitzer historischer P2PK-Adressen sollten ihre Bestände proaktiv auf moderne P2PKH-Adressen transferieren. Nutzer sollten überprüfen, ob ihre Cold-Storage-Bestände auf alten Adressen liegen. Hardware-Wallets der aktuellen Generation generieren ausschließlich P2PKH- oder SegWit-Adressen.
Ein Transfer kostet Netzwerkgebühren, sichert aber das Vermögen langfristig gegen Quantenbedrohungen ab. Je früher Nutzer handeln, desto geringer das Risiko eines zukünftigen Angriffs auf exponierte öffentliche Schlüssel. Die neun Minuten bleiben vorerst eine theoretische Größe.
Doch die Entwicklung beschleunigt sich. Das Netzwerk muss proaktiv auf die Post-Quanten-Ära vorbereitet werden, bevor die Technologie die kritische Masse erreicht. Die aktuelle Forschung dient als Weckruf für langfristige Sicherheitsstrategien, nicht als akute Gefahr für das heutige Netzwerk.
Quelle: CoinDesk
