1/ Die Vorhersagen zur Quantencomputing reichen lately von "Die öffentliche Schlüssel-Kryptographie wird in 2 Jahren gebrochen" bis hin zu "Es ist ein Jahrhundert entfernt." Beide sind falsch. Mein neuester Beitrag erklärt, was der tatsächlich öffentlich bekannte Fortschritt unterstützt — und was Blockchains dagegen tun sollten. Thread unten 🧵

2/ Ein kryptographisch relevantes Quantencomputer (CRQC) in den 2020er Jahren ist höchst unwahrscheinlich. Selbst Mitte der 2030er Jahre ist ambitioniert. Systeme mit 1000+ Qubits existieren, aber rohe Qubit-Zahlen sind irreführend: Wir benötigen Tausende von fehlerkorrigierten logischen Qubits und riesige T-Gate-Budgets – weit über das hinaus, was heute möglich ist.

3/ Eine große Quelle der Verwirrung: Unternehmen, die Qubits "fehlerkorrigierte logische Qubits" nennen, obwohl sie keine Nicht-Clifford-Operationen unterstützen oder in einigen gravierenden Fällen nicht einmal Fehler korrigieren können. Dies hat selbst erfahrene Beobachter ernsthaft darüber in die Irre geführt, wie nah wir an CRQC sind.

4/ Ein häufiger Fehler bei der Diskussion über quantenbedingte Bedrohungen: Alle kryptografischen Primitiven gleich zu behandeln. Verschlüsselung, Signaturen und SNARKs haben sehr unterschiedliche Risikoprofile.

5/ Das klarste kurzfristige Risiko ist Harvest-Now-Decrypt-Later (HNDL): Gegner zeichnen jetzt verschlüsselten Datenverkehr auf, um ihn zu entschlüsseln, wenn ein CRQC vorhanden ist.

6/ Deshalb muss die post-quanten (PQ) Verschlüsselung jetzt implementiert werden, trotz Kosten/Risiken. Chrome+Cloudflare haben hybride (PQ+klassische) Systeme für TLS eingesetzt; iMessage und Signal für Messaging. HNDL lässt keine Wahl für Daten, die langfristige Vertraulichkeit benötigen, selbst wenn Quanten noch Jahrzehnte entfernt sind.

7/ Signaturen sind unterschiedlich: es gibt keine Vertraulichkeit beim "Ernten." Eine vor dem CRQC erstellte Signatur kann nicht rückwirkend gefälscht werden. Unterschiedliches Risiko ⇒ unterschiedliche Dringlichkeit.

8/ Blockchains verwenden heute Signaturen zur Autorisierung, nicht zur Verschlüsselung. Ohne HNDL-Exposition können wir gezielt über die Migration von PQ-Signaturen nachdenken.

9/ Die heutigen PQ-Signaturen lassen viel zu wünschen übrig: ML-DSA ≈2,4–4,6 KB, Falcon ≈666 B–1,3 KB (aber schwierig korrekt zu implementieren), SPHINCS+ ≈7–8 KB+. Zum Vergleich: ECDSA ist nur ~64 Bytes. Größer/langsame/komplexer ⇒ höheres Bug-Risiko.

10/ Vorsicht ist geboten: Rainbow (MQ-basiert) und SIKE/SIDH (isogeniebasiert) wurden während des NIST-Prozesses klassisch gebrochen. Eine vorzeitige Bereitstellung kann nach hinten losgehen.

11/ Die Web-PKI verfolgt aus genau diesen Gründen einen Ansatz von Verschlüsselung zuerst, Signaturen später. Blockchains sollten diesem Beispiel folgen.

12/ zkSNARKs? Gute Nachrichten: Selbst nicht-PQ SNARKs haben post-quanten Zero-Knowledge. Nichts über den Zeugen wird offenbart, selbst nicht gegenüber quantenbasierten Gegnern. Was nach CRQC anfällig wird, ist die Solidität (das Fälschen neuer falscher Beweise), nicht die Vertraulichkeit oder Solidität vergangener Beweise.

13/ Ein wichtiger Punkt: In den kommenden Jahren werden Bugs und Implementierungsangriffe (Seitenkanäle, Fehlerinjektion) größere Risiken darstellen als CRQCs. Dies gilt für SNARKs, Signaturaggregationsschemata und sogar für die Signaturen selbst. Investieren Sie in Audits, Fuzzing und formale Methoden.

14/ Die besonderen Herausforderungen von Bitcoin: langsame Governance, keine passive Migration und ein nicht triviales, aufgegebenes Angebot an hochpreisigen, quantenanfälligen Adressen.

15/ Es gibt keine einfache Lösung. Bitcoin muss die Bedrohung ernst nehmen – nicht weil CRQCs vor 2030 kommen, sondern weil die Bewältigung dieser hauptsächlich nicht-technischen Probleme Jahre der Koordination erfordert.

16/ Was zu tun ist: ✅ Setzen Sie jetzt hybride PQ-Verschlüsselung ein ✅ Verwenden Sie jetzt hybride hash-basierte Signaturen, wo die Größe tolerierbar ist (Firmware-/Software-Updates) ✅ Für Blockchains: Eilen Sie nicht mit PQ-Signaturen – planen Sie jedoch Migrationspfade

17/ Datenschutzketten, die Transaktionsdetails verschlüsseln, sollten PQ-Verschlüsselung (oder Designs, die on-chain entschlüsselbare Geheimnisse vermeiden) priorisieren, um das HNDL-Risiko zu reduzieren. Signaturzentrierte Ketten können PQ-Signaturen schrittweise einführen, während sich Aggregationstechniken und Implementierungen weiterentwickeln.

18/ Behalte die Perspektive: Paradoxerweise bedeuten häufige Ankündigungen von quantenmechanischen Meilensteinen nicht, dass wir nah an der CRQC sind. Sie verdeutlichen, wie viele Brücken noch zu überqueren sind.

19/ Fazit: Dringlichkeit an tatsächliche Bedrohungen anpassen. Verschlüsselung: dringend (HNDL). Signaturen: absichtlich. SNARKs: ZK-Eigenschaft bleibt sicher; Solidität anfällig nach CRQC. Und vor allem, Bugs bleiben das größere Risiko auf kurze Sicht.