Re: Die Bedrohung durch Quantencomputer für Bitcoin und Blockchains lässt sich in zwei große Ansichten unterteilen: (1) Quantencomputer werden lange Zeit nicht relevant sein, daher besteht keine Dringlichkeit. (2) Quantencomputer sind bereits relevant, und wir müssen dringend handeln. Soweit ich weiß, sind die tatsächlichen Quantenphysiker und Sicherheitsexperten zunehmend in der Welt (2). Menschen, die glauben, wir befinden uns in der Welt (1), sind entweder mit falschen Fakten, falschen Annahmen bewaffnet oder wollen einfach nicht kritisch über die Auswirkungen nachdenken. 🧵

1/ Ausstellung 1: Der neueste Blogbeitrag von Google von Hartmut Neven (Leiter von @GoogleQuantumAI) und Kent Walker (Leiter der Öffentlichkeitsarbeit für Google/Alphabet) beschreibt den Übergang zur post-quanten Kryptographie als dringend, systemisch und erfordert jetzt koordinierte Maßnahmen, um "Fortschritte zu beschleunigen" und die Akzeptanz zu fördern.

2/ Das Argument von Google ist einfach: Quantencomputer werden die Kryptographie brechen, die das Internet sichert. Aktuelle kryptografische Methoden basieren auf Problemen, die klassische Computer nicht effizient lösen können. Quanten brechen dieses Paradigma und werden nicht "für immer ein Jahrzehnt entfernt" sein.

3/ Und sie theorisieren nicht nur. Google-Forscher haben gerade eine Arbeit veröffentlicht, die zeigt, dass das Brechen der 2048-Bit-RSA-Verschlüsselung etwa 1 Million rauschender Qubits erfordert, nicht die zuvor geschätzten Milliarden. Die Ressourcenanforderungen sinken schneller als erwartet, sodass sich der Zeitrahmen verkürzt.

4/ (Übrigens, für die Kommentatoren, die darauf hinweisen könnten, dass Bitcoin kein RSA verwendet, antworte ich vorab, dass ECDSA möglicherweise leichter zu knacken ist als RSA-2048, da Shors Algorithmus in polynomialer Zeit in Bezug auf die Schlüssellänge läuft und elliptische Kurven-Schlüssel viel kürzer sind als RSA-Schlüssel, was dies potenziell noch dringlicher macht).

5/ Frage: Warum würde Google stark in die Beschleunigung der Einführung von post-quanten Kryptographie für ihre eigenen Systeme investieren, wenn sie pessimistisch über den Fortschritt der Quanten-Technologie wären? Antwort: Sie sehen ihre eigenen Fähigkeitstrends und handeln entsprechend.

6/ Selbst wenn man annimmt, dass das, was öffentlich ist, auf dem neuesten Stand der Technik ist (was es nicht ist), ist die Position von Google rational: Bereite dich auf die Fähigkeit vor, bevor sie eintrifft, denn sobald sie da ist, bist du bereits im Rückstand. Klassische Verteidigungsstrategie. Das betrifft nicht nur Google. Führende Unternehmen, die Sicherheit priorisieren (wie @Cloudflare und @Apple), setzen post-quanten Sicherheit in ihren Fahrplänen an erste Stelle. Welchen Grund haben sie, dies zu priorisieren, den wir nicht haben?

7/ Anlage 2: Scott Aaronson, einer der prominentesten Skeptiker der Quantencomputing-Technologie und ein Physiker, der dafür bekannt ist, den Quanten-Hype zu kritisieren, hat den echten Fortschritt anerkannt, der in den letzten zwei Jahren erzielt wurde, während er die Unsicherheit über zukünftige Zeitpläne betont. @preskill hat ähnliche Beobachtungen gemacht. Hier ist Scott:

8/ Wenn Leute auf diesem Niveau, die ihren Ruf auf quantitativer Skepsis und akademischer Integrität aufgebaut haben, sagen, dass der Fortschritt real ist und sich die Zeitpläne beschleunigen könnten, sollte das jedem zu denken geben. Die Sicherheit von Billionen an Vermögenswerten auf "es wird langsam sein" zu setzen, ist leichtsinnig.

9/ Anhang 3: Die US-Regierung hat angeordnet, dass alle kritischen Systeme bis 2030 auf post-quantenkryptografie umsteigen müssen. NIST hat 2024 die PQC-Standards finalisiert. Die NSA ist offensichtlich ein wichtiger Faktor, der diese Fristen vorantreibt, indem sie von der Bedrohungsintelligenz rückwärts arbeitet. Wenn sie einen Umstieg bis 2030 verlangen, sehen sie möglicherweise Zeitpläne für Fähigkeiten, die diese Dringlichkeit rechtfertigen. Sie könnten Dinge wissen, die wir nicht wissen.

10/ Kurz gesagt, der Expertenkonsens von Personen, die tatsächlich Quantencomputer bauen, oder von Organisationen, die viel auf dem Spiel haben, lautet: Der Fortschritt hat sich beschleunigt, die Zeitpläne sind ungewiss, Vorbereitung ist entscheidend und die Einsätze sind hoch.

11/ Im Gegensatz dazu steht das "Nichtstun"-Lager. Ihre Beweise sind oft selbstreferenziell, ignorieren vollständig die Experten für Quanten und wiederholen empirisch falsche Behauptungen in einer Echokammer. Fallstudie: @coinshares Bericht (veröffentlicht am selben Tag wie der oben erwähnte Blogbeitrag von Google). Lass uns die Fehler in diesem Beitrag aufschlüsseln, da es ein anschauliches Beispiel ist.

12/ Fehler #1: Der Autor behauptet, dass nur ~1,6M BTC verwundbar sind, wobei vielleicht 10.200 BTC in der Lage sind, den Markt zu stören. Die Mathematik hier ist einfach falsch.

13/ Fakt: Die Einheit, die als Satoshi angesehen wird, hält allein 1.096.152 BTC über 21.924 Adressen. Alle anfällig. Und es sind nicht nur P2PK-Adressen. Jede Adresse, die einmal eine Transaktion signiert hat (und dort Restmittel hinterlassen hat), ist anfällig für einen Quantenangriff. Das betrifft viele der größten BTC-Adressen heute.

14/ Wir führen hier einen ständig aktualisierten Tracker für quantenanfällige Bitcoin: Vergleichen Sie dies mit dem ausgezeichneten technischen Bericht von @ChaincodeLabs über quantenbedingte Bedrohungen für Bitcoin hier: In jedem Fall ist die Exposition weit größer, als der Bericht von @coinshares nahelegt.

15/ Fehler #2: Ihr "Beweis", dass Quantencomputing weit entfernt ist, ist ein Zitat des CTO von Ledger. Ich respektiere diese Person und habe nichts gegen ihn, aber das ist ein reiner Appell an die Autorität mit offensichtlicher Voreingenommenheit. Wenn quantenresistente Signaturen angenommen werden, könnte jedes bestehende @Ledger-Gerät potenziell obsolet werden. Also bedenke den Anreiz und bedenke die Quelle. Wenigstens sollten wir anerkennen, dass dies eine einzelne Sichtweise ist, und eine, die potenziell "herausgepickt" wurde, um eine Bestätigungs-Bias zu unterstützen.

16/ Fehler #3: Während Nicht-Experten zu ihrem Fachwissen im Bereich Quanten konsultiert werden, wird kein Versuch unternommen, den Aufwand oder die Komplexität zu verstehen, die einzigartig sind, um post-quanten Lösungen auf eine bestehende, bereits implementierte Blockchain anzuwenden. Dazu gehören: - Millionen von verteilten Schlüsseln, die jeweils separat migriert werden müssen - keine zentrale Entscheidungsbehörde - Eigentum an Vermögenswerten ausschließlich auf der Grundlage einer digitalen Signatur (kein Rückfall)

17/ Laut begutachteter Forschung müsste die BTC-Blockchain für 76 Tage abgeschaltet werden, um Migrationstransaktionen für das bestehende UTXO-Set zu verarbeiten. Das ist der beste Fall.

18/ Fehler #4: Der Autor weist jeden, der auf die Bedrohungen durch Quantencomputer aufmerksam macht, als "Grifter" zurück. Wenn ein Quantencomputer die kryptografische Grundlage von $ Billionen an digitalen Vermögenswerten brechen kann, ist das kein ernstes Problem, weiß ich auch nicht, was dann ernst ist. Forscher und Entwickler als Grifter zu karikieren, ist selbstzerstörerisch.

19/ Selbst wenn man die Behauptung "10 Jahre weg" für bare Münze nimmt (und es gibt gute Gründe, dies nicht zu tun), klingt es weit entfernt, bis man realisiert, dass das: - die optimistische Schätzung ist, die jetzt ein paar Jahre alt ist, und die Ressourcenanforderungen schneller sinken als vorhergesagt, und - die technische Herausforderung, diese Systeme zu migrieren, wesentlich komplexer ist, als die Leute erwarten.

20/ Die gute Nachricht ist, dass wir dieses Problem lösen können. Blockchains können sich anpassen. Post-Quanten-Kryptographie existiert. Aber Warnungen von Quantenexperten abzulehnen, weil die Bedrohung fern erscheint, ist genau das, wie man unvorbereitet erwischt wird.

21/ Die Menschen mögen Sicherheit. Leider ist die einzige Sicherheit bezüglich kryptographisch relevanter Quantencomputer, dass sie Bitcoin und fast jedes andere digitale Vermögensnetzwerk brechen werden. Genau vorherzusagen, wann dieser Moment eintritt, ist eine törichte Aufgabe. Aber es gibt keinen Grund, warum er nicht früher als erwartet eintreten könnte, genau wie der Fortschritt von AI wiederholt pessimistische Zeitpläne durch exponentielle Fortschritte widerlegt hat.

22/ Ich würde es vorziehen, dass die Sicherheit von Blockchains nicht auf der Annahme beruht, dass der Fortschritt der Quantencomputing-Technologie langsam sein wird. /End

In Bezug auf Quantenzeitleisten denke ich persönlich, dass es eine Diskrepanz gibt, weil die Menschen die Nichtlinearität des Fortschritts hier nicht verstehen. Einfach ausgedrückt, werden Quantencomputer entweder nicht in der Lage sein, etwas kryptografisch Bedeutungsvolles zu tun (heute), oder sie werden in der Lage sein, jeden eingesetzten klassischen asymmetrischen Algorithmus zu bewältigen. Es gibt keinen Grund, in den Aufbau eines Systems für den Mittelweg zu investieren. Der entscheidende Unterschied zwischen dem einen und dem anderen ist die Fehlerkorrekturfähigkeit. **Deshalb** sehen Sie all die Investitionen und Anstrengungen, die dort angewendet werden. Denn sobald das geknackt ist, wird es nicht so schwer sein, diese Systeme auf kryptografische Relevanz zu skalieren. Nichts, und dann alles auf einmal.

@reardencode @dallairedemers @Ethan_Heilman Außerdem gibt es jeden Grund zu glauben, dass es, während sich die Dinge entwickeln, viel weniger Grund gibt, den Stand der Technik zu veröffentlichen. Tatsächlich könnte das bereits geschehen.