Coinbase veröffentlicht Bericht zur Quantenbedrohung: Welche Blockchains sind bereit?

Bild

  • Der Beirat von Coinbase hat seinen ersten Bericht über die Quantenbedrohung und die PQ-Kryptographie veröffentlicht.
  • Die allgemeine Empfehlung lautet, bis 2035 auf PQ umzustellen, es ist jedoch besser, dies früher zu tun.
  • Theoretisch ist es möglich, einen FTQC zu erstellen, um Shors Algorithmus zu knacken; die Frage ist die Skalierung.
  • Von den Netzwerken der ersten Ebene haben Aptos und Algorand in Bezug auf PQ die größten Fortschritte erzielt.

Am 21. April 2026 veröffentlichte der unabhängige Beirat von Coinbase für Quantencomputing und Blockchain seinen ersten Bericht. Darin wurde festgestellt, dass die Bedrohung durch Quantencomputer real ist und Blockchains jetzt kryptografische Sicherheitsmaßnahmen implementieren müssen.

Heute haben wir das erste Positionspapier des unabhängigen Beirats von Coinbase zum Thema Quantencomputing und Blockchain veröffentlicht, einer Gruppe führender Forscher von Stanford, UT Austin, der Ethereum Foundation und darüber hinaus.

Kurz gesagt: Ihre Kryptowährung ist heute sicher. Aber…

— Philip Martin (@SecurityGuyPhil) 21. April 2026

In der Einleitung heißt es Folgendes:

„Quantencomputing sollte nicht ignoriert werden: Wir sind sehr zuversichtlich, dass ein hochgradig fehlertoleranter Quantencomputer (FTQC) letztendlich gebaut wird. Daher müssen sich Blockchains und das gesamte kryptografische Ökosystem auf diese Möglichkeit vorbereiten.“

Gleichzeitig wiesen Experten darauf hin, dass die Entwicklung eines Quantencomputers, der Shors Algorithmus knacken kann, eine komplexe Aufgabe darstellt und keine unmittelbare Bedrohung ist. Angesichts bestimmter Anzeichen für Fortschritte in dieser Technologie geht der Rat jedoch davon aus, dass der Übergang zu quantenresistenter Kryptographie bis 2035 abgeschlossen sein wird.

Wie lange dauert es, bis die Blockchain gehackt wird?

Der Bericht des Rates legt nahe, dass die Entschlüsselung von Shors Algorithmus FTQC, Millionen physikalischer Qubits und Milliarden oder sogar Billionen von Zwei-Qubit-Gattern erfordern würde. Die Fehlerrate der Zwei-Qubit-Gatter muss innerhalb eines bestimmten Schwellenwerts liegen, da sonst jeder nachfolgende Verifizierungs- und Korrekturzyklus neue Fehler erzeugt.

Dieses Problem kann auf zwei Arten gelöst werden:

  • die Fehlerrate in Zwei-Qubit-Gattern verringern;
  • Ein Widerstandssystem dagegen entwickeln.

Erst wenn sich diese beiden Richtungen überschneiden, entsteht eine „sich selbst erhaltende Kettenreaktion“, die dafür sorgt, dass Fehler schneller beseitigt werden, als sie auftreten.

Man ging zunächst davon aus, dass zum Brechen moderner Kryptographie Zwei-Qubit-Gatter mit einer Genauigkeit von 99,9999 % erforderlich wären. Diese Schwelle wurde später auf 99,9 % gesenkt, was mit einem erhöhten Aufwand verbunden ist.

„Quantinuum und Google haben im vergangenen Jahr Geräte mit einer Genauigkeit von ca. 99,9 % für Zwei-Qubit-Gatter angekündigt, die auf Paare von ca. 100 physikalischen Qubits angewendet werden können. Wenn diese Genauigkeit bei der Skalierung auf Zehntausende oder Hunderttausende von physikalischen Qubits erhalten bleibt, wäre sie theoretisch für FTQC ausreichend“, so die Experten.

Die Skalierung großer Systeme stellt jedoch eine komplexe technische Herausforderung dar. Insbesondere muss das Problem der Übertragung von Qubits über große Entfernungen gelöst werden. Daher ist es unmöglich, den genauen Zeitrahmen für das Brechen moderner Kryptographie mithilfe von Quantencomputern vorherzusagen.

Laut Experten deuten folgende Entwicklungen jedoch auf Fortschritte in dieser Angelegenheit hin:

  • die Entwicklung fehlertoleranter Zwei-Qubit-Gatter mit höherer Zuverlässigkeit;
  • eine fehlertolerante Implementierung des Shors-Algorithmus, die zur Faktorisierung einer kleinen Zahl (auch nur 21) oder für andere Demonstrationsprobleme verwendet wird;
  • Vorteile der Quantensimulation von Problemen, die in der Praxis relevant sind und mit einem klassischen Computer überprüft werden können.

Im Gegenteil, eine Verzögerung beim Erreichen dieser Meilensteine wäre ein klares Zeichen für eine Verzögerung auf dem Gebiet des kryptografisch relevanten Quantencomputings, betont der Bericht.

Ausführungs- und Konsensniveaus

Die Blockchain besteht aus zwei Schichten: dem Konsensmechanismus, der die Reihenfolge der Transaktionen festlegt, und der Ausführungsschicht, die diese auf den gemeinsamen Zustand anwendet. Experten gehen davon aus, dass der Übergang des Netzwerks zur Post-Quanten-Kryptographie (PQ) den Austausch der Kernfunktionen beider Schichten erfordert.

Im Falle der Konsensschicht stellt Shors Algorithmus die größte Bedrohung dar, da er, vorausgesetzt ein ausreichend leistungsstarker Quantencomputer, die verwendete Public-Key-Kryptographie knacken kann. Für Hashfunktionen wird Grovers Angriff separat betrachtet. In Proof-of-Stake- und BFT-Konsenssystemen sind unter anderem Validatorsignaturverfahren, VRFs und einige andere Primitive angreifbar.

Bei Blockchains, die BFT-Konsens verwenden, besteht das Hauptproblem jedoch darin, dass die Aggregations- und Schwellenwertsignaturmechanismen nicht postquantensicher sind und es kein direktes Äquivalent gibt. Daher ist in diesem Fall ein Austausch des Konsensprotokolls selbst erforderlich.

Der Bericht schlägt einen alternativen Ansatz vor: Anstatt von jedem externen Beobachter die vollständige kryptografische Überprüfbarkeit aller Signaturen zu verlangen, wird stattdessen ein Konsens über authentifizierte Kanäle zwischen Validatoren hergestellt.

Eine vollständige Umstellung bestehender Blockchains auf einen Post-Quanten-Konsensmechanismus erfordert jedoch letztendlich den Austausch der digitalen Signaturen der Validatoren. Da sich Standards und praktische Verfahren noch weiterentwickeln, empfehlen die Autoren, die kryptografische Flexibilität auf Knoten- und Protokollebene beizubehalten.

Die grundlegende Strategie ist eine schrittweise Migration über Kontrollpunkte: Post-Quanten-Signaturen werden zunächst selektiv eingeführt, beispielsweise für jeden einzelnen Block, und dienen als kryptografische Anker für die gesamte bisherige Historie.

Die Ausführungsschicht ist ihrerseits für die deterministische Anwendung der vereinbarten Transaktionssequenz auf den gemeinsamen Zustand verantwortlich. Transaktionssignaturen verifizieren den Absender und autorisieren Zustandsänderungen. Experten gehen jedoch davon aus, dass ein einfacher Wechsel zu PQ-Signaturen nicht ausreicht.

Der Bericht beschreibt die Anforderungen an eine optimale Migrationsstrategie: Sie sollte die aktuelle Sicherheit nicht beeinträchtigen, einen realistischen Schutz nach dem Quantensprung bieten, keine übermäßigen Kosten verursachen und möglichst nur minimale Änderungen an der bestehenden Architektur erfordern.

In diesem Fall hängt viel von der jeweiligen Netzwerkarchitektur ab. Bei Ethereum, das über eine hochentwickelte Smart-Contract-Schicht verfügt, ist es einfacher, die Signaturlogik auf Ausführungsebene zu ändern, und flexiblere Strategien lassen sich implementieren. Im Bitcoin-Netzwerk sind Änderungen komplexer, weshalb minimale und im Voraus geplante Schritte besonders wichtig sind. BIP-360 dient hier als Beispiel.

Unabhängig von der gewählten Option müssen Eigentümer nach dem PQ-Upgrade ihre Vermögenswerte weiterhin auf neue Konten oder Adressen übertragen, die durch Post-Quantum-Signaturen geschützt sind. Diese Übertragungen müssen zusätzlich durch Prüfpunkte oder die Aktualisierung der Validatorsignaturen abgesichert werden, da sie sonst selbst angreifbar werden.

Welche Blockchains bewegen sich in die richtige Richtung?

Ein eigener Abschnitt des Berichts widmet sich Maßnahmen für den Übergang zu P2P-Kryptographie in großen Netzwerken. Im Fall von Bitcoin beispielsweise liegt die größte Schwachstelle in UTXO-Assets, deren öffentlicher Schlüssel bereits bekannt ist. Dies entspricht etwa 6,9 Millionen BTC , wovon 1,7 Millionen BTC aus älteren P2P-Ausgaben stammen, darunter auch sogenannte „Satoshi-Coins“.

Eine wahrscheinliche Lösung ist der Wechsel zu P2MR. Hash-basierte Signaturen werden ebenfalls diskutiert, da sie keine neuen kryptografischen Annahmen einführen, ihr Nachteil jedoch in ihrer großen Größe und der potenziellen Durchsatzreduzierung liegt.

Ethereum weist vier Hauptschwachstellen auf:

  • EOA auf Ausführungsebene – Transaktionen werden mit ECDSA signiert, und nach mindestens einer ausgehenden Transaktion kann der öffentliche Schlüssel aus den On-Chain-Daten wiederhergestellt werden;
  • Validatoren verwenden BLS, und öffentliche Schlüssel sind in der Kette verfügbar;
  • Paarungsbasierte Beweise in EVM – zum Beispiel Groth16;
  • Datenverfügbarkeitsschicht – verwendet KZG, wobei ein Angriff auf SRS die Korrektheit der Datenverfügbarkeit beeinträchtigen kann.

Die grundlegende Strategie besteht in diesem Fall darin, auf Hash-basierte Signaturen umzusteigen. Die große Größe der Hashes kann durch deren Aggregation mithilfe von SNARKs und Poseidon bewältigt werden.

Auf der Ausführungsebene wird eine Abstraktion der Konten verwendet, um jedes EOA unter die Kontrolle einer auf Smart Contracts basierenden Wallet zu übertragen.

Im Fall von Solana stellten Experten Fortschritte beim Übergang zu PQ fest. Konkret haben die Entwickler den Solana Winternitz Vault eingeführt. Winternitz-Signaturen basieren auf Hash-Funktionen und sind von überschaubarer Größe, obwohl sie etwa zwei Größenordnungen größer als ECDSA-Signaturen sind. Nutzer können Vermögenswerte an eine neue Adresse dieses Typs übertragen und so das Risiko eines Quantenangriffs verringern.

Das Algorand-Netzwerk gilt als eine der ersten Plattformen, die bereits Post-Quanten-Signaturen auf Konsens- und Ausführungsebene implementiert hat und dabei einem gestaffelten Fahrplan folgt. Darüber hinaus führte die Blockchain erfolgreich ihre erste quantenresistente Transaktion mit FN-DSA durch.

Die Verifizierung wurde als native virtuelle Maschinenfunktion hinzugefügt. Mithilfe von Logic Signatures (LogicSig), einer Transaktionsautorisierungsfunktion über TEAL, können Benutzer quantenresistente Konten ohne Protokolländerungen erstellen.

Das Sui-Team hat bereits mehrere Strategien für den Übergang zu postquantenmechanischer Sicherheit skizziert, doch die Autoren weisen ausdrücklich darauf hin, dass noch unklar ist, welche Strategie ausgewählt und umgesetzt wird. Mit anderen Worten: Die Richtung ist vorgegeben, aber ein endgültiger Plan steht noch nicht fest.

Im Fall von Aptos dürfte der Übergang zu PQ einfacher sein, da die Benutzeradresse nicht vom Hash des öffentlichen Schlüssels abgeleitet wird. Stattdessen wird der öffentliche Schlüssel als Kontometadaten in Form eines Autorisierungsschlüssels gespeichert.

Um auf das Post-Quantum-Schema umzusteigen, muss der Benutzer daher keine Vermögenswerte an eine neue Adresse oder ein neues Konto übertragen: Es genügt, eine Transaktion zu unterzeichnen, die den Autorisierungsschlüssel auf den Post-Quantum-Schlüssel aktualisiert.

In AIP-137 beschrieb das Aptos-Team die Unterstützung für SLH-DSA-SHA2-128 – Hash-basierte Signaturen und öffentliche Schlüssel. Nach der Implementierung müssen Benutzer ihren Autorisierungsschlüssel nur noch einmal aktualisieren.

Der Bericht stellt außerdem fest, dass einige L2-Netzwerke, darunter Optimism, Arbitrum und Base, bereits Pläne für die Zeit nach der Quantentechnologie angekündigt haben.

Im Fall von Optimism beispielsweise basiert der Übergang auf dem Ersatz herkömmlicher EOAs durch Smart-Contract-basierte Wallets, die durch einen Post-Quantum-Public-Key geschützt werden können, während die Vermögenswerte weiterhin mithilfe des EIP-7702-Delegationsmechanismus verwaltet werden. Dadurch entfällt die Notwendigkeit, Gelder an eine neue Adresse zu überweisen.

Zusammenfassend lässt sich sagen, dass das Bitcoin-Netzwerk derzeit vorsichtig agiert und sich verstärkt auf den Schutz von UTXOs und Übergangsregeln konzentriert. Ethereum hingegen bereitet eine grundlegende Überarbeitung mehrerer Netzwerkebenen vor.

Solana, Algorand, Aptos und einige L2-Anbieter zeigen bereits praxisnähere Migrationspfade auf, wobei die zentrale Frage nicht nur die Kryptographie betrifft, sondern auch die Migration der Benutzer und den Umgang mit inaktiven Assets.

Daraus lässt sich schließen, dass der Blockchain-Bereich nicht stagniert, sondern sich neuen Herausforderungen anpasst. Die entscheidende Frage ist, was sich schneller durchsetzen wird: PQ-Maßnahmen oder FTQC.

No votes yet.
Please wait...

Leave a Reply

Your email address will not be published. Required fields are marked *