a16z丨Im Rennen gegen Quantencomputing: Leitfaden für eine vorsichtige Transition der Post-Quanten-Kryptographie in der Blockchain

Verfasser: Justin Thaler, a16z Crypto Forschungskooperationspartner und außerordentlicher Professor für Informatik an der Georgetown University
Übersetzung: Yangz, Techub News

Häufig werden Prognosen über den Zeitpunkt der Entwicklung kryptographischer Quantencomputer (CRQC) überschätzt, was zu dringenden und umfassenden Forderungen nach einem Übergang zur Post-Quanten-Kryptographie führt. Diese Forderungen ignorieren oft die Kosten und Risiken eines zu frühen Wechsels und übersehen die unterschiedlichen Risikoeigenschaften verschiedener kryptographischer Primitive:

Obwohl Post-Quanten-Verschlüsselung teuer ist, besteht die Notwendigkeit, sie sofort einzusetzen: „First-collect-then-decrypt“ (HNDL)-Angriffe sind bereits im Gange. Sensible Daten, die heute verschlüsselt sind, behalten auch bei Ankunft eines Quantencomputers (selbst wenn dieser erst in Jahrzehnten erscheint) ihren Wert. Zudem bestehen Performance-Overheads und Implementierungsrisiken bei der Post-Quanten-Verschlüsselung, doch für Daten, die langfristig geheim bleiben sollen, lassen sich HNDL-Angriffe nicht ignorieren.

Post-Quanten-Signaturen stellen eine andere Herausforderung dar. Sie sind weniger anfällig für HNDL-Angriffe, aber ihre Kosten und Risiken (größere Skalierung, Performance-Overheads, unreife Implementierungen und potenzielle Schwachstellen) erfordern eine vorsichtige Herangehensweise, nicht sofortigen Wechsel.

Diese Unterschiede sind entscheidend. Missverständnisse können die Kosten-Nutzen-Analyse verzerren und dazu führen, dass Teams sicherheitsrelevante Risiken wie Systemschwachstellen übersehen.

Der wahre Kern der Herausforderung beim erfolgreichen Übergang zur Post-Quanten-Kryptographie besteht darin, Dringlichkeit und tatsächliche Bedrohung in Einklang zu bringen. Im Folgenden werde ich häufige Missverständnisse über die Bedrohung durch Quantencomputing für die Kryptographie klären, einschließlich Verschlüsselung, Signaturen und Zero-Knowledge-Proofs, mit besonderem Fokus auf deren Auswirkungen auf Blockchain.

In welcher Phase befinden wir uns?

Trotz vieler Ankündigungen ist die Wahrscheinlichkeit, dass in den 2020er Jahren ein kryptographischer Quantencomputer (CRQC) entsteht, äußerst gering.

Mit „kryptographischem Quantencomputer“ meine ich einen fehlerkorrigierten, fehlertoleranten Quantencomputer, der in der Lage ist, ausreichend große Shor-Algorithmen auszuführen, um elliptische Kurven- oder RSA-Verschlüsselung innerhalb eines vernünftigen Zeitrahmens (z.B. in maximal einem Monat kontinuierlicher Berechnung, um secp256k1 oder RSA-2048 zu knacken) anzugreifen. Nach vernünftiger Einschätzung öffentlich verfügbarer Meilensteine und Ressourcen sind wir weit davon entfernt, einen solchen Computer zu realisieren. Manche Firmen behaupten, CRQC könnten vor 2030 oder sogar vor 2035 erscheinen, doch öffentlich bekannte Fortschritte stützen diese Annahmen nicht.

Alle aktuellen Architekturen – Ionentraps, supraleitende Qubits und neutrale Atome – nähern sich nicht einmal der Anzahl physischer Qubits (Hunderttausende bis Millionen), die nötig wären, um RSA-2048 oder secp256k1 mit Shor zu brechen, abhängig von Fehlerquoten und Fehlerkorrekturverfahren. Die Begrenzungen liegen nicht nur bei der Qubit-Anzahl, sondern auch bei Gate-Fideltät, Qubit-Kommunikation und der Tiefe der Fehlerkorrektur-Schaltungen, die für die Ausführung komplexer Shor-Algorithmen notwendig sind. Obwohl einige Systeme bereits über 1.000 physische Qubits verfügen, ist diese Zahl irreführend, da es an der nötigen Qubit-Kommunikation und Gate-Fideltät fehlt, um kryptographische Berechnungen durchzuführen. Neuere Systeme nähern sich den physikalischen Fehlerquoten, bei denen Fehlerkorrektur wirksam wird, aber es hat noch niemand gezeigt, dass sie mehr als wenige logische Qubits mit kontinuierlicher Fehlerkorrektur und hoher Fidelity besitzen, geschweige denn Tausende hochfide logische Qubits, die für Shor notwendig wären.

Von der prinzipiellen Machbarkeit der Quantenfehlerkorrektur bis zur Erreichung der für die Kryptoanalyse erforderlichen Skala besteht eine enorme Kluft. Kurz gesagt: Ohne mehrere Größenordnungen an Qubit-Anzahl und -Fideltät ist ein kryptographischer Quantencomputer noch in weiter Ferne. Öffentlich bekannte Fortschritte stützen nicht die Erwartung, innerhalb der nächsten 5 Jahre einen solchen Computer zu entwickeln, der RSA-2048 oder secp256k1 knackt. Was die US-Regierung betrifft: Das Ziel, bis 2035 auf staatlicher Ebene vollständig auf Post-Quantum umzusteigen, ist eine realistische Zeitschiene für eine so große Umstellung. Es ist jedoch kein Vorhersage, dass bis dahin ein kryptographischer Quantencomputer entsteht.

HNDL-Angriffe – in welchen Szenarien gelten sie?

„First-collect-then-decrypt“ (HNDL)-Angriffe bedeuten, dass Angreifer heute verschlüsselte Datenströme archivieren, um sie nach der Entwicklung eines kryptographischen Quantencomputers zu entschlüsseln. Nationale Akteure haben bereits große Mengen an verschlüsselter Kommunikation, z.B. von US-Regierungsstellen, archiviert, um diese bei Eintreten der CRQC-Realität zu entschlüsseln. Deshalb ist ein sofortiger Wechsel der Verschlüsselungstechnologien notwendig – zumindest für alle, die mehr als 10-50 Jahre geheim bleiben sollen.

Im Gegensatz dazu sind digitale Signaturen (die in allen Blockchains verwendet werden) eine andere Kategorie. Wenn ein kryptographischer Quantencomputer erscheint, wird das Fälschen von Signaturen sofort möglich. Frühere Signaturen sind jedoch nicht „versteckt“ wie verschlüsselte Nachrichten. Solange man weiß, dass Signaturen vor CRQC-Entstehung erstellt wurden, sind sie nicht fälschbar. Das macht den Übergang zu post-quantensicheren Signaturen weniger dringend als bei Verschlüsselung.

Derzeit ergreifen führende Plattformen Maßnahmen: Chrome und Cloudflare haben hybride Lösungen aus X25519 + ML-KEM für TLS eingeführt; Apple nutzt PQ3-Protokolle in iMessage; Signal arbeitet mit PQXDH und SPQR. Im Gegensatz dazu wird die Einführung post-quantensicherer Signaturen in kritischer Infrastruktur verschoben, bis die Entwicklung kryptographischer Quantencomputer näher rückt, da die aktuellen post-quantensicheren Signaturverfahren Performance-Einbußen (im späteren Abschnitt detailliert) mit sich bringen.

zkSNARKs (wichtig für langfristige Skalierbarkeit und Privatsphäre von Blockchains) befinden sich in einer ähnlichen Lage. Selbst zkSNARKs, die nicht post-quantensicher sind (sie verwenden elliptische Kurven, wie heutige nicht-Post-Quantum-Algorithmen), besitzen die Eigenschaft, dass ihre Zero-Knowledge-Attribute post-quantensicher sind. Sie garantieren, dass im Beweis keine Informationen über das geheime Zeugnis preisgegeben werden – selbst für Quantenangreifer – daher gibt es keine „jetzt sammeln“-Geheimnisse für zukünftige Entschlüsselung.

Daher sind zkSNARKs weniger anfällig für HNDL-Angriffe. Wie heute erzeugte nicht-quantensichere Signaturen sind auch zkSNARK-Beweise, die vor CRQC erstellt wurden, vertrauenswürdig (d.h. die bewiesene Aussage ist wahr), selbst wenn sie elliptische Kurven verwenden. Nur nach dem Erscheinen eines kryptographischen Quantencomputers könnten Angreifer überzeugende Beweise für falsche Behauptungen finden.

Was bedeutet das für Blockchains?

Die meisten Blockchains sind nicht anfällig für HNDL: Die meisten nicht-privaten Chains (wie Bitcoin und Ethereum) verwenden primär nicht-Post-Quantum-Signaturen für Transaktionsautorisierung, also digitale Signaturen, nicht Verschlüsselung. Diese Signaturen stellen kein HNDL-Risiko dar: HNDL-Angriffe betreffen verschlüsselte Daten. Beispielsweise ist die Bitcoin-Blockchain öffentlich; die Bedrohung durch Quanten besteht darin, Signaturen zu fälschen (z.B. private Schlüssel zu stehlen, um Gelder zu steuern), nicht darin, bereits öffentlich sichtbare Transaktionen zu entschlüsseln. Das reduziert den unmittelbaren Druck, auf Post-Quantum umzustellen.

Unglücklicherweise haben selbst vertrauenswürdige Quellen wie die Federal Reserve fälschlicherweise behauptet, Bitcoin sei anfällig für HNDL, was die Dringlichkeit eines Übergangs zu Post-Quantum-Kryptographie übertrieben darstellt. Die Dringlichkeit ist geringer, aber das bedeutet nicht, dass Bitcoin warten kann: Es steht vor anderen, nicht-technischen Herausforderungen, etwa der Notwendigkeit großer gesellschaftlicher Koordination bei Protokolländerungen (siehe unten).

Ausnahmen bilden derzeit Privacy-Blockchains, bei denen viele Chains Transaktionen verschlüsseln oder anderweitig den Empfänger und Betrag verbergen. Diese Vertraulichkeit kann jetzt schon gesammelt werden, und sobald Quantencomputer elliptische Kurven knacken, könnten diese Daten rückwirkend de-anonymisiert werden.

Bei solchen Privacy-Blockchains hängt die Schwere des Angriffs vom Design ab. Bei Monero, das auf Kurven-basierte Ring-Signaturen und Schlüssel-Mirroring setzt (um Double-Spending zu verhindern), reicht das öffentliche Ledger aus, um Ausgaben rückwirkend zu rekonstruieren. Bei anderen Chains ist der Schaden begrenzter – siehe dazu die Diskussion von Zcash-Entwickler Sean Bowe.

Wenn Nutzer es für wichtig halten, dass ihre Transaktionen vor kryptographischen Quantencomputern geschützt sind, sollten Privacy-Blockchains so bald wie möglich auf post-quantensichere Primitive (oder hybride Lösungen) umstellen. Alternativ sollten sie Architekturen verwenden, die geheime Daten nicht auf die Chain setzen.

Das spezielle Problem von Bitcoin: Governance und Abspaltungen

Zwei Faktoren treiben die Dringlichkeit, Bitcoin auf post-quantensichere Signaturen umzustellen: Sie sind unabhängig von der Quanten-Technologie selbst.

Erstens ist die langsame Änderungsrate: Wenn die Community keine Einigung über geeignete Lösungen erzielt, könnten kontroverse Änderungen zu schädlichen Hard Forks führen.

Zweitens kann der Wechsel zu post-quantensicheren Signaturen nicht passiv erfolgen: Eigentümer müssen aktiv ihre Coins migrieren. Das bedeutet, dass abgelehnte, anfällige Coins nicht geschützt werden können. Schätzungen gehen von mehreren Millionen Bitcoin aus, die anfällig sind und möglicherweise aufgegeben werden.

Der Angriff auf Bitcoin ist kein plötzlicher, katastrophaler Zusammenbruch, sondern eher ein schrittweiser, gezielter Prozess. Quantencomputer werden nicht alle Verschlüsselungen gleichzeitig knacken: Der Shor-Algorithmus muss jeweils gegen einzelne öffentliche Schlüssel eingesetzt werden. Frühzeitige Angriffe werden teuer und langsam sein. Sobald ein Quantencomputer in der Lage ist, einzelne Signaturschlüssel zu brechen, werden Angreifer gezielt hochpreisige Wallets angreifen.

Außerdem sind Nutzer, die Address-Reuse vermeiden und keine Taproot-Adressen (bei denen der öffentliche Schlüssel direkt offengelegt wird) verwenden, auch ohne Protokolländerung relativ geschützt: Ihre öffentlichen Schlüssel bleiben verborgen, solange sie nicht ausgegeben werden. Wenn sie schließlich eine Transaktion senden, wird der öffentliche Schlüssel sichtbar. Dann beginnt ein kurzer Echtzeit-Wettlauf: Einerseits müssen ehrliche Nutzer ihre Transaktionen bestätigen lassen, andererseits versuchen Angreifer mit Quantenhardware, den privaten Schlüssel vor der Bestätigung zu erlangen und die Coins zu stehlen. Besonders gefährdet sind Coins, bei denen der öffentliche Schlüssel bereits offengelegt wurde, z.B. bei früheren P2PK-Outputs, wiederverwendeten Adressen oder Taproot.

Für bereits aufgegebene, anfällige Coins gibt es keine einfache Lösung. Einige Optionen sind:

• Die Community setzt eine „Deadline“, nach der alle nicht migrierten Coins als „verbrannt“ gelten.

• Die betroffenen Coins werden von Besitzern, die kryptographische Quantencomputer haben, übernommen.

Zweite Option bringt erhebliche rechtliche und sicherheitstechnische Probleme mit sich: Der Einsatz von Quantencomputern, um Coins ohne Private Keys zu stehlen, könnte in vielen Jurisdiktionen als Diebstahl oder Computerbetrug gewertet werden.

Außerdem basiert „Verlassen“ auf der Annahme, dass die Coins inaktiv sind. Es ist unklar, ob wirklich keine lebenden Besitzer mit den Schlüsseln existieren. Nachweis des Besitzes könnte unzureichend sein, um rechtlich die Kontrolle wiederzuerlangen. Diese Unsicherheit erhöht das Risiko, dass quantenanfällige Coins in die Hände böswilliger Akteure gelangen, die Gesetze ignorieren.

Ein weiteres spezielles Problem ist die geringe Transaktionskapazität von Bitcoin. Selbst bei finaler Migration würde es Monate dauern, alle anfälligen Coins auf post-quantensichere Adressen zu übertragen.

Diese Herausforderungen machen eine frühzeitige Planung für den post-quantensicheren Übergang von Bitcoin unerlässlich – nicht, weil kryptographische Quantencomputer wahrscheinlich vor 2030 entstehen, sondern weil die Governance, Koordination und technische Umsetzung Jahre dauern werden.

Das tatsächliche Risiko für Bitcoin ist real, aber der Zeitdruck entsteht durch die Beschränkungen des Netzwerks, nicht durch die unmittelbare Existenz eines Quantencomputers. Andere Blockchains stehen vor ähnlichen Herausforderungen, doch bei Bitcoin ist das Risiko besonders groß: Frühere Transaktionen setzen den öffentlichen Schlüssel direkt auf die Chain, was einen großen Anteil der Coins anfällig macht. Diese technische Besonderheit, die lange Historie, die Wertkonzentration, die niedrige Transaktionsrate und die starre Governance verschärfen die Problematik.

Hinweis: Die oben beschriebenen Schwachstellen betreffen die kryptographische Sicherheit der Bitcoin-Signaturen, nicht die ökonomische Sicherheit des Netzwerks. Diese basiert auf Proof-of-Work (PoW), das aus drei Gründen weniger anfällig für Quantenangriffe ist:

• PoW hängt von Hash-Operationen ab, die nur durch den quadratischen Geschwindigkeitsvorteil des Grover-Algorithmus beeinflusst werden, nicht durch den exponentiellen Vorteil des Shor-Algorithmus.

• Die tatsächlichen Kosten für Grover-gestützte Suche machen es unwahrscheinlich, dass ein Quantencomputer in der Lage ist, in realistischem Rahmen eine signifikante Beschleunigung im PoW zu erzielen.

• Selbst bei signifikanten Beschleunigungen würde dies nur großen Minern einen Vorteil gegenüber kleinen verschaffen, ohne das grundlegende Sicherheitsmodell zu zerstören.

Kosten und Risiken post-quantensicherer Signaturen

Um zu verstehen, warum Blockchain nicht eilig auf post-quantensichere Signaturen umstellen sollte, müssen wir die Performance-Kosten und unser Vertrauen in die noch sich entwickelnde Sicherheit betrachten.

Die meisten post-quantensicheren Primitive basieren auf fünf Hauptansätzen: Hash, Kodierung, Gitter (Lattice), Multivariate Quadratische Gleichungen (MQ) und Code-basierte Verfahren. Ihre Sicherheit basiert auf der Annahme, dass Quantencomputer bestimmte mathematische Probleme nicht effizient lösen können. Je stärker die Struktur, desto effizienter können die Protokolle sein – aber desto mehr Angriffsflächen bieten sie auch. Es besteht ein grundlegender Zielkonflikt: Stärkere Annahmen führen zu besserer Performance, aber potenziell zu geringerer Sicherheit.

Hash-basierte Verfahren gelten als konservativ, weil wir am meisten Vertrauen haben, dass Quanten sie nicht effizient angreifen können. Ihre Performance ist jedoch am schlechtesten: Die standardisierten Hash-basierten Signaturen (z.B. bei NIST) sind mit mindestens 7-8 KB Signaturgröße erheblich größer als heutige elliptische Kurven-Signaturen (64 Byte). Das ist etwa ein Faktor 100.

Gitterbasierte Verfahren sind derzeit die wichtigsten Kandidaten für Standardisierung. NIST hat zwei der drei ausgewählten Signaturalgorithmen auf Gitterbasis: ML-DSA (ehemals Dilithium) mit Signaturgrößen zwischen 2,4 KB (128-Bit-Sicherheit) und 4,6 KB (256-Bit-Sicherheit), also 40-70 mal größer als heutige elliptische Signaturen. Falcon, ein weiteres Gitterverfahren, hat kleinere Signaturen (Falcon-512: 666 Byte; Falcon-1024: 1,3 KB), ist aber komplex in der Implementierung, was NIST als besondere Herausforderung ansieht. Der Entwickler von Falcon, Thomas Pornin, bezeichnet es als „die bisher komplexeste kryptographische Implementierung, die ich umgesetzt habe“.

Im Vergleich zu elliptischen Signaturen sind Gitterverfahren auch in der Implementierung herausfordernder: Sie erfordern mehr sensible Zwischenwerte und komplexe Ablehnungs- und Sampling-Logik, die Schutz gegen Seitenkanäle und Fehler erfordert. Falcon erhöht zusätzlich die Anforderungen an konstante Laufzeit bei Gleitkomma-Operationen; bereits mehrere Seitenkanal-Angriffe auf Falcon konnten den Schlüssel rekonstruieren.

Diese Probleme stellen direkte Risiken dar, im Gegensatz zu den weit entfernten Bedrohungen durch kryptographische Quantencomputer.

Bei der Einführung leistungsfähigerer post-quantensicherer Verfahren ist Vorsicht geboten. Frühere führende Kandidaten wie Rainbow (MQ-basiert) und SIKE/SIDH (code-basiert) wurden bereits durch klassische Computer geknackt, noch vor der Standardisierung. Diese Angriffe fanden in fortgeschrittenen Phasen des NIST-Standardisierungsprozesses statt. Das zeigt, dass frühe Standardisierung und Einsatz riskant sein können.

Wie bereits erwähnt, gehen Internet-Infrastrukturen vorsichtig vor: Die Migration von MD5 und SHA-1 hat sich technisch bereits vor Jahren vollzogen, aber die praktische Umsetzung dauerte Jahre und ist in manchen Umgebungen noch im Gange. Diese Algorithmen sind zwar inzwischen vollständig gebrochen, aber die Umstellung ist langwierig.

Einzigartige Herausforderungen bei Blockchain im Vergleich zum Internet

Glücklicherweise können Blockchain-Projekte wie Ethereum oder Solana, die von Open-Source-Communities gepflegt werden, schneller auf neue Standards umstellen als klassische Infrastruktur. Andererseits profitieren sie von häufigem Schlüsselwechsel, was die Angriffsfläche verkleinert – im Gegensatz zu Blockchains, bei denen Coins und Schlüssel unbegrenzt offenliegen können.

Dennoch sollte die Blockchain vorsichtig bei der Einführung post-quantensicherer Signaturen sein. Beide Ansätze – HNDL-Resistenz und Signatur-Upgrade – sind notwendig, aber eine vorsichtige, schrittweise Herangehensweise ist ratsam, um Risiken durch unausgereifte Verfahren zu minimieren.

Besondere Herausforderungen ergeben sich durch die Anforderungen an schnelle Signaturaggregation (z.B. BLS), die derzeit noch nicht post-quantensicher sind. Die Forschung arbeitet an SNARK-basierten post-quantensicheren Signaturaggregationstechniken, die vielversprechend, aber noch in der frühen Phase sind.

Im Bereich SNARKs wird derzeit vor allem auf Hash-basierte Strukturen gesetzt. Doch in den kommenden Monaten und Jahren könnten Gitter-basierte Lösungen attraktiver werden, z.B. weil sie kürzere Beweise (ähnlich wie bei Signaturen) ermöglichen.

Aktuelle Sicherheits- und Implementierungsrisiken

In den nächsten Jahren werden Implementierungsfehler und Sicherheitslücken bei komplexen kryptographischen Primitive wie SNARKs eine größere Gefahr darstellen als die Bedrohung durch kryptographische Quantencomputer. Diese Lücken sind gut dokumentiert und könnten von Angreifern ausgenutzt werden, noch bevor ein Quantencomputer existiert.

Die Community wird Jahre brauchen, um Schwachstellen zu identifizieren und zu beheben, und um post-quantensichere Implementierungen gegen Seitenkanäle und Fehler zu härten. Frühzeitige Migration könnte dazu führen, dass Blockchains in suboptimale Lösungen „gefangen“ werden, die später durch bessere ersetzt werden müssen.

Was sollten wir tun? Sieben Empfehlungen

Angesichts der dargestellten Realität sollten alle Stakeholder einige Prinzipien beachten: Die Bedrohung durch Quantencomputer ernst nehmen, aber nicht auf der Annahme basieren, dass sie vor 2030 entstehen. Der aktuelle Stand der Technik unterstützt diese Annahme nicht, aber es gibt Maßnahmen, die wir jetzt ergreifen können und sollten:

• Sofortige Einführung hybrider Verschlüsselung (post-quantensicher + klassisch), z.B. in Browsern, CDN, Messaging-Apps (wie iMessage und Signal). Diese schützt vor HNDL und kompensiert Schwächen einzelner Verfahren.

• Bei akzeptabler Skalierung sofort Hash-basierte Signaturen verwenden. Software-Updates und ähnliche Szenarien sollten jetzt auf hybride Hash-basierte Signaturen setzen, um gegen mögliche Implementierungslücken gewappnet zu sein. Ohne bereits implementierte post-quantensichere Signaturen wird die sichere Verteilung nach CRQC schwierig.

• Blockchain-Entwickler sollten jetzt die Planung für den Übergang zu post-quantensicheren Signaturen vorantreiben. Sie sollten den Ansatz der Netzwerk-PKI-Community übernehmen, vorsichtig zu sein, um die Entwicklung sicherer, leistungsfähiger Lösungen zu ermöglichen. Das gibt Zeit, größere Signaturen zu handhaben und bessere Aggregationstechniken zu entwickeln.

• Für Bitcoin und andere Layer-1-Blockchains: Es ist essenziell, Migrationspfade und -richtlinien für den Umgang mit anfälligen Coins zu entwickeln. Passive Migration ist unmöglich; Planung ist daher entscheidend. Besonders bei Bitcoin, das mit langsamer Governance und hohen Werten an anfälligen Coins konfrontiert ist, ist eine frühzeitige Planung dringend.

• Gleichzeitig sollte die Forschung an SNARKs und aggregierbaren Signaturen weiter vorangetrieben werden (möglicherweise noch Jahre). Frühzeitige Migration könnte suboptimale Lösungen zementieren oder später zu erneuten Migrationen zwingen.

• Für Ethereum: Das Modell der Konten (Externally Owned Accounts und Smart Contracts) bietet unterschiedliche Migrationswege. Bei Nicht-Notfällen könnten Smart Contracts auf Upgrade-fähige Versionen umgestellt werden, während EOA-Konten auf neue post-quantensichere Adressen übertragen werden müssten. Im Notfall ist ein Hard Fork geplant, um anfällige Konten zu sperren und Nutzer durch Nachweis ihrer Schlüsselwörter zu schützen.

• Für Nutzer: Gut geprüfte, upgradefähige Smart Contracts könnten eine sanftere Migration ermöglichen. Wichtig ist, dass die Ethereum-Community weiterhin an post-quantensicheren Primitive und Notfallplänen arbeitet.

• Für Entwickler: Die enge Kopplung von Konten an spezifische Signatur-Primitive sollte gelockert werden. Die Entwicklung von Account-Abstract-Mechanismen, die eine flexible Aktualisierung der Authentifizierung erlauben, ist ein wichtiger Trend. Das erhöht die Flexibilität bei der Migration.

• Für Privacy-Blockchains: Bei akzeptabler Performance sollte eine möglichst frühe Umstellung auf post-quantensichere Verfahren erfolgen. Der Schutz der Nutzer-Privatsphäre ist hier besonders akut gefährdet, da HNDL-Angriffe bereits heute möglich sind. Hybride Lösungen oder architektonische Änderungen, die geheime Daten nicht auf die Chain setzen, sind zu erwägen.

Kurzfristige Priorität: Sicherheit bei der Implementierung, nicht nur bei der Theorie. Komplexe Primitive wie SNARKs und post-quantensichere Signaturen sind anfällig für Implementierungsfehler (Seitenkanäle, Fehler). Es ist essenziell, jetzt auf Audits, Fuzzing, formale Verifikation und mehrschichtige Sicherheitskonzepte zu setzen, um die Risiken zu minimieren. Frühzeitige Migration ohne ausreichende Sicherheit kann mehr Schaden anrichten als Nutzen.

Was tun? Sieben Empfehlungen:

1. Sofort hybride Verschlüsselung einsetzen, z.B. in Browsern, Messaging-Apps, CDN.

2. Hash-basierte Signaturen bei akzeptabler Skalierung sofort verwenden, um eine „Notfallreserve“ zu schaffen.

3. Blockchain-Entwickler sollten jetzt die Migration zu post-quantensicheren Signaturen planen, um zukünftige Risiken zu minimieren.

4. Für Bitcoin: Migrationspfade für anfällige Coins entwickeln, Governance- und Koordinationsprozesse vorbereiten.

5. Forschung an SNARKs und aggregierbaren Signaturen weiter vorantreiben, um bessere Lösungen zu entwickeln.

6. Ethereum-Account-Modelle auf flexible, upgradefähige Strukturen umstellen, Notfallpläne entwickeln.

7. Privacy-Blockchains sollten frühzeitig auf post-quantensichere Verfahren umstellen, um Nutzer-Privatsphäre zu schützen.

Kurzfristig: Fokus auf sichere Implementierung, nicht nur auf theoretische Sicherheit. Die Risiken durch Implementierungsfehler sind in den kommenden Jahren größer als die Bedrohung durch Quantencomputer. Investitionen in Audits, Tests und formale Verifikation sind notwendig, um die Sicherheit zu gewährleisten.

Finanziere die Entwicklung von Quantencomputern. Eine zentrale sicherheitspolitische Erkenntnis ist, dass wir die Förderung der Quantenforschung und die Ausbildung entsprechender Fachkräfte aufrechterhalten müssen. Wenn ein Land kryptographisch relevante Quantencomputer erlangt, stellt das eine nationale Sicherheitsgefahr für die Welt dar.

Bleibe wachsam bei Ankündigungen zu Quantenhardware. Die Vielzahl der Ankündigungen in den nächsten Jahren zeigt, wie weit wir noch von kryptographisch relevanten Quantencomputern entfernt sind: Jeder Meilenstein ist eine Brücke, die noch überquert werden muss, und wird mediale Aufmerksamkeit und Aufregung auslösen. Diese Meldungen sind eher Fortschrittsberichte als Hinweise auf eine unmittelbare Entwicklung.

Natürlich könnten unerwartete Durchbrüche die Zeitlinie beschleunigen, oder technische Engpässe sie verzögern. Ich halte es für äußerst unwahrscheinlich, dass innerhalb von fünf Jahren ein kryptographischer Quantencomputer entsteht, aber die Wahrscheinlichkeit ist gering. Die hier vorgeschlagenen Maßnahmen helfen, mit dieser Unsicherheit umzugehen und Risiken wie Implementierungsfehler, voreilige Deployment-Entscheidungen und fehlerhafte Übergänge zu vermeiden.

Hinweis: Aufgrund des Umfangs und der Komplexität der Kryptographie wurden in dieser Übersetzung einige Inhalte gekürzt.