Bitcoin Quantum 'Doomsday'-Ängste sind übertrieben, sagt a16z Research

Eine neue Forschungsarbeit von a16z Crypto argumentiert, dass apokalyptische Erzählungen über Quantencomputer, die Bitcoin sofort töten, stark von der Realität abweichen, und dass das wahre Risiko für Blockchains in langen, chaotischen Migrationen liegt, anstatt in einem plötzlichen "Q-Day"-Zusammenbruch. Der Artikel hat bereits eine scharfe Erwiderung auf X von Investoren ausgelöst, die sagen, dass die Bedrohung näher und schwieriger ist, als a16z vorschlägt.

Bitcoin ist nicht durch Quantencomputing zum Untergang verurteilt: a16z

In dem Artikel "Quantum Computing und Blockchains: Dringlichkeit mit tatsächlichen Bedrohungen abgleichen" setzt a16z-Forschungspartner und Georgetown-Informatikprofessor Justin Thaler früh den Ton und schreibt, dass "Zeitpläne für einen kryptografisch relevanten Quantencomputer häufig übertrieben werden — was zu Forderungen nach dringenden, umfassenden Übergängen zur Post-Quantum-Kryptografie führt." Er argumentiert, dass dieser Hype Kosten-Nutzen-Analysen verzerrt und Teams von unmittelbareren Risiken wie Implementierungsfehlern ablenkt.

Thaler definiert einen "kryptografisch relevanten Quantencomputer" (CRQC) als eine vollständig fehlerkorrigierte Maschine, die in der Lage ist, Shors Algorithmus in einem Umfang auszuführen, bei dem sie RSA-2048 oder elliptische Kurven-Schemata wie secp256k1 in etwa einem Monat Laufzeit brechen kann. Nach seiner Einschätzung ist ein CRQC in den 2020er Jahren "höchst unwahrscheinlich", und öffentliche Meilensteine rechtfertigen nicht die Behauptung, dass ein solches System vor 2030 wahrscheinlich ist.

Er betont, dass über Ionenfallen-, supraleitende und Neutralatom-Plattformen hinweg kein Gerät nahe an die Hunderttausende bis Millionen physischer Qubits herankommt, mit den erforderlichen Fehlerraten und Schaltungstiefe, die für die Kryptoanalyse benötigt würden.

Stattdessen zieht der a16z-Artikel eine scharfe Linie zwischen Verschlüsselung und Signaturen. Thaler argumentiert, dass Harvest-now-decrypt-later (HNDL)-Angriffe bereits die Post-Quantum-Verschlüsselung für Daten dringend machen, die jahrzehntelang vertraulich bleiben müssen, weshalb große Anbieter hybride Post-Quantum-Schlüsseletablierung in TLS und Messaging einführen.

Aber er besteht darauf, dass Signaturen, einschließlich derer, die Bitcoin und Ethereum sichern, einem anderen Kalkül unterliegen: Sie schützen keine versteckten Daten, die rückwirkend entschlüsselt werden können, und sobald ein CRQC existiert, kann der Angreifer nur Signaturen für die Zukunft fälschen.

Auf dieser Grundlage behauptet das Papier, dass "die meisten Nicht-Privatsphäre-Chains" auf Protokollebene keinem HNDL-artigen Quantenrisiko ausgesetzt sind, da ihre Ledger bereits öffentlich sind; der relevante Angriff ist das Fälschen von Signaturen, um Gelder zu stehlen, nicht das Entschlüsseln von On-Chain-Daten.

Bitcoin-spezifische Kopfschmerzen

Thaler kennzeichnet Bitcoin immer noch als mit "besonderen Kopfschmerzen" behaftet aufgrund langsamer Governance, begrenztem Durchsatz und großen Pools exponierter, potenziell verlassener Coins, deren öffentliche Schlüssel bereits On-Chain sind, aber er rahmt das Zeitfenster für einen ernsthaften Angriff in Bezug auf mindestens ein Jahrzehnt ein, nicht wenige Jahre.

"Bitcoin ändert sich langsam. Jede strittige Frage könnte eine schädliche Hard-Fork auslösen, wenn die Community sich nicht auf die geeignete Lösung einigen kann", schreibt Thaler und fügt hinzu: "Eine weitere Sorge ist, dass Bitcoins Umstellung auf Post-Quantum-Signaturen keine passive Migration sein kann: Besitzer müssen ihre Coins aktiv migrieren."

Darüber hinaus kennzeichnet Thalen ein "letztes Problem speziell für Bitcoin", nämlich seinen niedrigen Transaktionsdurchsatz. "Selbst wenn Migrationspläne finalisiert sind, würde die Migration aller quantenvulnerablen Gelder zu Post-Quantum-sicheren Adressen bei Bitcoins aktueller Transaktionsrate Monate dauern", sagt Thaler.

Er ist ebenso skeptisch gegenüber der Eile, in Post-Quantum-Signaturschemas auf der Basisebene einzusteigen. Hash-basierte Signaturen sind konservativ, aber extrem groß, oft mehrere Kilobyte, während Gitter-basierte Schemas wie NISTʼs ML-DSA und Falcon kompakt, aber komplex sind und bereits mehrere Seitenkanal- und Fehlerinjektionsschwachstellen in realen Implementierungen hervorgebracht haben. Thaler warnt, dass Blockchains riskieren, ihre Sicherheit zu schwächen, wenn sie unter Schlagzeilendruck zu früh in unreife Post-Quantum-Primitive springen.

Der stärkste Widerstand kam von Castle Island Ventures Mitbegründer Nic Carter und Project 11 CEO Alex Pruden. Carter fasste seine Sicht auf X zusammen, indem er sagte, die a16z-Arbeit "unterschätzt die Art der Bedrohung wild und überschätzt die Zeit, die wir zur Vorbereitung haben", und verwies Follower auf einen langen Thread von Pruden.

Pruden beginnt damit, den Respekt für Thaler und das a16z-Team zu betonen, fügt aber hinzu: "Ich stimme dem Argument nicht zu, dass Quantencomputing kein dringendes Problem für Blockchains ist. Die Bedrohung ist näher, der Fortschritt schneller und die Lösung schwieriger, als er es darstellt und als die meisten Menschen erkennen."

Er argumentiert, dass jüngste technische Ergebnisse, nicht Marketing, die Diskussion verankern sollten. Unter Berufung auf Neutralatom-Systeme, die jetzt mehr als 6.000 physische Qubits unterstützen, weist Pruden darauf hin, dass "wir jetzt ein Nicht-Annealing-System mit mehr als 6000 physischen Qubits in der Neutralatom-Architektur haben", was direkt jeder Implikation widerspricht, dass nur nicht-skalierbare Annealing-Architekturen diesen Maßstab erreicht haben. Er merkt an, dass Arbeiten wie Caltechs 6.100-Qubit-Pinzettenarray zeigen, dass große, kohärente Neutralatom-Plattformen bei Raumtemperatur bereits Realität sind.

Zur Fehlerkorrektur schreibt Pruden, dass "die Fehlerkorrektur mit Oberflächencodes im letzten Jahr experimentell nachgewiesen wurde, wodurch sie von einem Forschungsproblem zu einem Ingenieursproblem wurde", und weist auf schnelle Fortschritte bei Farbcodes und LDPC-Codes hin.

Er hebt Googles aktualisierte Schätzungen zu "Tracking the Cost of Quantum Factoring" hervor, die zeigen, dass ein Quantencomputer mit etwa einer Million verrauschter physischer Qubits, der ungefähr eine Woche läuft, im Prinzip RSA-2048 brechen könnte — eine zwanzigfache Reduktion gegenüber Googles eigener Schätzung von 2019 von zwanzig Millionen Qubits. "Ressourcenschätzungen für einen CRQC, der Shors Algorithmus ausführt, sind in sechs Monaten um zwei Größenordnungen gesunken", stellt er fest und schließt: "Zu sagen, dass diese Fortschrittsbahn möglicherweise vor 2030 einen Quantencomputer liefern könnte, ist keine Übertreibung."

Während Thaler HNDL als Verschlüsselungsproblem betont, rahmt Pruden Blockchains als einzigartig attraktive Quantenziele neu. Er betont, dass "öffentliche Schlüssel, die in digitalen Signaturen verwendet werden, genauso leicht zu ernten sind wie verschlüsselte Nachrichten", aber in Blockchains sind diese Schlüssel direkt mit sichtbarem Wert verbunden. Er weist darauf hin, dass "diese öffentlichen Schlüssel verteilt und direkt mit Wert verbunden sind (150 Milliarden Dollar allein für Satoshis BTC)", und dass, sobald ein Quantengegner Signaturen fälschen kann, "wenn du eine Signatur fälschen kannst, kannst du das Asset stehlen, unabhängig davon, wann das ursprüngliche UTXO/Konto erstellt wurde."

Für Pruden bedeutet diese wirtschaftliche Realität, dass "die wirtschaftlichen Anreize einfach und klar auf Blockchains als ersten kryptografisch relevanten Quantenanwendungsfall hinweisen", selbst wenn andere Sektoren auch HNDL-Risiken ausgesetzt sind. Er fügt hinzu, dass "Blockchains viel langsamer migrieren werden als zentralisierte Systeme. Eine Bank kann ihren Stack aktualisieren. Blockchains müssen globalen Konsens erreichen, Leistungskompromisse von PQ-Signaturen absorbieren und Millionen von Benutzern koordinieren, um ihre Schlüssel zu migrieren."

Unter Berufung auf Ethereums mehrjährigen Wechsel von Proof of Work zu Proof of Stake schreibt er: "Das Nächstliegende war der Übergang von ETH 1.0 zu 2.0, der Jahre dauerte, und so komplex das war, eine PQ-Migration ist viel schwieriger. Jeder, der denkt, dass es sich nur um das Austauschen einiger Zeilen Signaturcode handelt, hat einfach noch nie eine Produktions-Blockchain ausgeliefert, eingesetzt oder gewartet."

Pruden stimmt mit Thaler überein, dass Panik gefährlich ist, dreht aber die Schlussfolgerung um: "Ich stimme zu, dass Eile gefährlich ist. Aber genau deshalb muss die Arbeit jetzt beginnen. Der wahrscheinlichste Fehlermodus ist, dass die Branche zu lange wartet und dann ein großer QC-Meilenstein eine Panik auslöst." Er schließt, indem er sagt, dass er nicht zustimmt, dass "Quantencomputing langsam voranschreitet", dass "Blockchains weniger anfällig sind als Systeme, die HNDL-Risiken ausgesetzt sind", oder dass "die Branche Jahre Zeit hat, bevor Maßnahmen erforderlich sind", und argumentiert, dass "alle drei Annahmen im Widerspruch zur Realität stehen."

Zum Zeitpunkt der Drucklegung stand Bitcoin bei 91.616 $.