Quantencomputing und Kryptowährung: Bedrohungen und Lösungen

Quantencomputing stellt die bedeutendste langfristige kryptografische Bedrohung für Kryptowährungen dar. Während heutige Quantencomputer viel zu klein und fehleranfällig sind, um die Kryptografie zu brechen, die Bitcoin und andere Blockchains schützt, entwickelt sich die Technologie schnell weiter. Das Verständnis der Art der Bedrohung, realistischer Zeitachsen und der entwickelten Abwehrmaßnahmen ist entscheidend für alle, die langfristige Entscheidungen zur Aufbewahrung von Kryptowährungen treffen.

Dieser Leitfaden bietet eine technisch fundierte Einschätzung der Auswirkungen von Quantencomputing auf die Sicherheit von Kryptowährungen - was tatsächlich gefährdet ist, was nicht und welche Schritte Sie heute unternehmen können.

Die Grundlagen des Quantencomputings

Klassische vs. Quantenberechnung

Klassische Computer verarbeiten Informationen als Bits - jedes Bit ist entweder 0 oder 1. Quantencomputer verwenden Qubits, die gleichzeitig in einer Superposition aus 0 und 1 existieren können. Wenn Qubits verschränkt sind, können Operationen auf einem Qubit andere beeinflussen, wodurch bestimmte Berechnungen exponentiell schneller durchgeführt werden können als mit jedem klassischen Ansatz.

Wichtige Nuance: Quantencomputer sind nicht universell schneller als klassische Computer. Sie bieten Beschleunigungen nur für bestimmte Problemtypen, für die es Quantenalgorithmen gibt. Viele Rechenaufgaben profitieren nicht von Quantencomputing.

Die Probleme, die für Krypto relevant sind

Zwei Quantenalgorithmen sind für Kryptowährungen relevant:

Shor-Algorithmus - Löst effizient die Probleme der Ganzzahlfaktorisierung und des diskreten Logarithmus. Das bedroht direkt die elliptische Kurvenkryptografie (ECDSA, Schnorr), die zum Signieren von Kryptowährungstransaktionen verwendet wird.
Grover-Algorithmus - Bietet eine quadratische Beschleunigung bei der Suche in unstrukturierten Datenbanken. Das betrifft Hashfunktionen (SHA-256, RIPEMD-160) und symmetrische Verschlüsselung und halbiert effektiv deren Bit-Sicherheit.

Was Quantencomputer bedrohen

Elliptic Curve Digital Signatures (ECDSA)

Bitcoin, Ethereum und die meisten anderen Kryptowährungen verwenden ECDSA mit der secp256k1-Kurve für die Transaktionssignierung. Die Sicherheit von ECDSA basiert auf dem elliptischen Kurvenproblem des diskreten Logarithmus (ECDLP): Gegeben ein öffentlicher Schlüssel (ein Punkt auf der Kurve), ist es rechnerisch nicht praktikabel, den private key (den skalaren Multiplikator) abzuleiten.

Shor-Algorithmus kann das ECDLP auf einem ausreichend großen Quantencomputer effizient lösen. Das bedeutet:

Aus einem öffentlichen Schlüssel könnte ein Quantencomputer den privaten Schlüssel ableiten.
Mit dem privaten Schlüssel kann der Angreifer Transaktionssignaturen fälschen und Gelder stehlen.

Das ist die primäre Quantenbedrohung für Kryptowährungen.

Wann ist ein öffentlicher Schlüssel offengelegt?

Die Bedrohung durch Shor-Algorithmus gilt nur, wenn der Angreifer den öffentlichen Schlüssel kennt. Bei Bitcoin wird der öffentliche Schlüssel je nach address type zu unterschiedlichen Zeitpunkten offengelegt:

Address Type	Public Key Exposure	Quantum Risk
P2PKH (Legacy, 1...)	Exposed when spending	At risk after first spend
P2SH (3...)	Exposed when spending	At risk after first spend
P2WPKH (bc1q...)	Exposed when spending	At risk after first spend
P2TR (Taproot, bc1p...)	Exposed in the address itself	At risk immediately
Pay-to-Public-Key (P2PK)	Public key is the address	At risk immediately

Zentrale Erkenntnis: Bitcoin-Adressen, die pay-to-public-key-hash (P2PKH, P2SH, P2WPKH) verwenden, legen den öffentlichen Schlüssel erst offen, wenn von dieser Adresse eine Transaktion signiert wird. Bis dahin ist auf der Blockchain nur der Hash des öffentlichen Schlüssels sichtbar, und Shor-Algorithmus kann einen Hash nicht umkehren.

Sobald Sie jedoch von einer Adresse ausgeben (und damit den öffentlichen Schlüssel in der Transaktion offenlegen), ist der öffentliche Schlüssel dauerhaft auf der Blockchain. Ein Angreifer mit einem Quantencomputer könnte dann den privaten Schlüssel ableiten und verbleibende Gelder auf dieser Adresse stehlen.

Taproot (P2TR)-Adressen legen den öffentlichen Schlüssel direkt offen (die Adresse kodiert einen angepassten öffentlichen Schlüssel, nicht einen Hash). Das bedeutet, dass Taproot-Adressen theoretisch anfälliger für Quantenangriffe sind als hashbasierte Adresstypen, auch wenn die Schlüsselanpassung eine kleine zusätzliche Hürde darstellt.

Adressen mit dem größten Risiko

Satoshis Coins - Frühes Bitcoin verwendete das Pay-to-Public-Key (P2PK)-Format, bei dem der öffentliche Schlüssel DIE Adresse IST. Etwa 1,1 Millionen BTC in Satoshis mutmaßlichen Coins liegen im P2PK-Format und sind direkt verwundbar.
Wiederverwendete Adressen - Jede Adresse, die zum Senden einer Transaktion genutzt wurde, hat ihren öffentlichen Schlüssel offengelegt. Gelder, die danach an diese Adresse gesendet werden, sind verwundbar.
Taproot-Adressen - Der öffentliche Schlüssel ist in der Adresse sichtbar.
Lange ausstehende Transaktionen - Wenn eine Transaktion vor der Bestätigung längere Zeit im Mempool bleibt, könnte ein Quantenangreifer den öffentlichen Schlüssel aus der Transaktion extrahieren und um die Wette eine konkurrierende Transaktion mit dem abgeleiteten privaten Schlüssel erzeugen.

Was NICHT bedroht ist (oder weniger bedroht)

Hashing-Algorithmen (SHA-256, RIPEMD-160)

Grover-Algorithmus bietet eine quadratische Beschleunigung für Hash-Preimage-Suchen und halbiert effektiv die Bit-Sicherheit:

SHA-256: 256-Bit-Sicherheit wird zu 128-Bit-Sicherheit gegen Quantenangriffe.
RIPEMD-160: 160-Bit-Sicherheit wird zu 80-Bit-Sicherheit gegen Quantenangriffe.

128-Bit-Sicherheit gilt weiterhin als stark (erfordert 2^128 Operationen), und aktuelle hashbasierte Schutzmechanismen sind durch Quantencomputing nicht unmittelbar gefährdet.

Bitcoin-Mining (Proof of Work)

Grover-Algorithmus könnte theoretisch eine Beschleunigung für Mining liefern (Finden eines Nonce, der einen Hash unterhalb des Ziels erzeugt), aber der Vorteil ist nur quadratisch (Wurzel), und die Ökonomie des Quanten-Minings rechtfertigt derzeit nicht die enormen Kosten von Quantenhardware. Der Difficulty-Adjustment-Mechanismus würde außerdem jede Mining-Beschleunigung ausgleichen.

Symmetrische Verschlüsselung (AES)

Grover-Algorithmus halbiert die effektive Schlüssellänge symmetrischer Chiffren (AES-256 wird äquivalent zu AES-128-Sicherheit). AES-256 mit 128-Bit-Quanten-Sicherheit bleibt stark.

Zeitachse: Wann werden Quantencomputer zur Bedrohung?

Aktueller Stand des Quantencomputings (2025)

Stand 2025 haben die größten Quantencomputer etwa 1.000-1.500 physische Qubits. Diese Qubits sind jedoch „noisy“ und haben hohe Fehlerraten. Um Shor-Algorithmus gegen secp256k1 auszuführen:

Geschätzter Bedarf: Etwa 2.500 logische Qubits.
Benötigte physische Qubits: Aufgrund des Overheads für Fehlerkorrektur sind dafür ungefähr 1-20 Millionen physische Qubits nötig (abhängig von Qubit-Qualität und Fehlerkorrekturschema).
Aktuelle Lücke: Wir liegen ungefähr 3-4 Größenordnungen von ausreichend vielen physischen Qubits mit ausreichender Qualität entfernt.

Zeitschätzungen von Experten

Source	Estimate for Cryptographically Relevant QC	Year
NIST	"Not in the next decade, possibly in the next two"	2035-2045
IBM Quantum Roadmap	100K+ qubits by 2033 (not sufficient alone)	N/A
Google Quantum AI	Significant milestones in error correction by 2030	N/A
Various academic estimates	15-30 years for ECDSA-breaking capability	2040-2055
Pessimistic scenario	Unexpected breakthrough accelerates timeline	2030-2035

Der Konsens unter Kryptografen ist, dass die Bedrohung real, aber nicht unmittelbar bevorstehend ist. Die meisten Schätzungen gehen von 15-30 Jahren aus, bis Quantencomputer ECDSA brechen können. Fortschritte im Quantencomputing haben Erwartungen jedoch teils übertroffen, daher ist Selbstzufriedenheit nicht angebracht.

Die Bedrohung „Jetzt speichern, später entschlüsseln“

Auch wenn Quantencomputer ECDSA heute nicht brechen können, könnte ein Angreifer bereits jetzt alle Blockchain-Daten aufzeichnen, um sie auszunutzen, sobald Quantenfähigkeit vorhanden ist. Bei Bitcoin sind alle jemals offengelegten öffentlichen Schlüssel (aus Transaktionen) dauerhaft auf der Blockchain gespeichert. Diese Daten können nicht nachträglich geschützt werden.

Diese „harvest now, decrypt later“-Strategie bedeutet, dass heute offengelegte öffentliche Schlüssel in 15-30 Jahren verwundbar sein könnten. Für langfristige Bestände ist das eine relevante Bedrohung.

Post-Quanten-Kryptografie (PQC)

NIST-Post-Quanten-Standards

NIST leitet seit mehreren Jahren einen Prozess zur Standardisierung postquantenkryptografischer Algorithmen. Die ersten Standards wurden 2024 finalisiert:

ML-KEM (formerly CRYSTALS-Kyber)

Ein gitterbasiertes Key-Encapsulation-Mechanism (für Verschlüsselung/Schlüsselaustausch):

Basiert auf dem Module Learning With Errors (MLWE)-Problem.
Für dieses Problem ist kein effizienter Quantenalgorithmus bekannt.
Relativ kleine Schlüsselgrößen und schnelle Operationen.

ML-DSA (formerly CRYSTALS-Dilithium)

Ein gitterbasiertes digitales Signaturschema:

Basiert auf den Problemen Module Learning With Errors und Short Integer Solution.
Potenzieller Ersatz für ECDSA in Kryptowährungen.
Signaturgrößen sind größer als bei ECDSA (~2.400 Bytes vs. ~72 Bytes).

SLH-DSA (formerly SPHINCS+)

Ein hashbasiertes digitales Signaturschema:

Sicherheit basiert vollständig auf Eigenschaften von Hashfunktionen.
Keine Abhängigkeit von mathematischen Strukturen, die quantenanfällig sein könnten.
Sehr große Signaturen (~17.000-49.000 Bytes), aber äußerst konservative Sicherheitsannahmen.
Nützlich als Backup, falls gitterbasierte Annahmen gebrochen werden.

Post-Quanten-Signaturen vs. ECDSA

Property	ECDSA (secp256k1)	ML-DSA (Dilithium)	SLH-DSA (SPHINCS+)
Quantum resistant	No	Yes	Yes
Public key size	33 bytes	~1,312 bytes	~32-64 bytes
Signature size	~72 bytes	~2,420 bytes	~17,000-49,000 bytes
Verification speed	Fast	Fast	Slower
Key generation speed	Fast	Fast	Moderate
Mathematical basis	Elliptic curve DLP	Lattice problems	Hash functions

Der deutliche Anstieg der Signaturgröße ist die größte Herausforderung für die Blockchain-Einführung. Bitcoin-Blöcke sind in ihrer Größe begrenzt, und größere Signaturen bedeuten weniger Transaktionen pro Block.

Auswirkungen auf bestimmte Kryptowährungen

Bitcoin

Bitcoins Reaktion auf Quantencomputing wird wahrscheinlich Folgendes umfassen:

Neue Adresstypen - Ein Soft Fork, der einen neuen Adresstyp mit postquantenresistenten Signaturen einführt (ähnlich wie die SegWit- oder Taproot-Upgrades).
Migrationsphase - Nutzer müssten Gelder von alten (quantenanfälligen) Adressen auf neue (quantenresistente) Adressen verschieben.
Signaturaggregation - Forschung zur Aggregation postquantenresistenter Signaturen, um den Blockchain-Footprint zu reduzieren.
Hashbasierte Adressen bleiben nützlich - Ungenutzte P2PKH-Adressen (deren öffentlicher Schlüssel nie offengelegt wurde) bieten Quantenresistenz durch Hash-Schutz.

Die Bitcoin-Community diskutiert aktiv über Post-Quanten-Vorschläge, obwohl noch keine konkrete Umsetzungszeitlinie festgelegt wurde.

Ethereum

Ethereum steht vor ähnlichen Herausforderungen:

Ethereum-Konten legen ihren öffentlichen Schlüssel nach der ersten Transaktion immer offen (der öffentliche Schlüssel ist über ecrecover aus ECDSA-Signaturen rekonstruierbar).
Ethereums kontobasiertes Modell und das Muster der Adresswiederverwendung bedeuten, dass die meisten aktiven Konten offengelegte öffentliche Schlüssel haben.
Ethereums flexiblerer Upgrade-Mechanismus (Hard Forks) könnte eine schnellere Einführung postquantenresistenter Signaturen ermöglichen.
Die größeren Signaturgrößen von PQC sind bei Ethereum wegen seiner anderen Blockstruktur und seines Gas-Modells weniger einschränkend.

Vitalik Buterin hat Quantenresistenz als langfristige Priorität für Ethereum genannt, und Account Abstraction (ERC-4337) bietet einen Weg zur Unterstützung beliebiger Signaturschemata.

Andere Blockchains

Einige Blockchains gehen Quantenresistenz proaktiv an:

QRL (Quantum Resistant Ledger) - Von Grund auf mit hashbasierten Signaturen (XMSS) entwickelt.
Algorand - Hat Forschung zur Integration postquantenresistenter Signaturen veröffentlicht.
IOTA - Verwendet Winternitz One-Time Signatures (hashbasiert, quantenresistent), aber mit praktischen Einschränkungen.

Was Sie heute tun können

1. Hash-geschützte Adresstypen verwenden

Für Bitcoin sollten Sie P2PKH-, P2SH- oder P2WPKH-Adressen verwenden (die nur einen Hash des öffentlichen Schlüssels offenlegen) statt P2TR (Taproot), wenn Quantenresistenz Priorität hat. Sobald Sie jedoch von einer Adresse ausgeben, ist der öffentliche Schlüssel offengelegt.

2. Adressen niemals wiederverwenden

Verwenden Sie für jede Transaktion eine neue Adresse. Sobald Sie von einer Adresse ausgeben, verschieben Sie verbleibende Gelder auf eine neue, ungenutzte Adresse. Das stellt sicher, dass Ihr öffentlicher Schlüssel nur so kurz wie möglich offengelegt ist. HD Wallets (BIP-44) erleichtern dies durch automatische Erzeugung neuer Adressen.

3. Zeit der Offenlegung öffentlicher Schlüssel minimieren

Für große Cold-Storage-Bestände sollten Sie einen Ablauf erwägen, bei dem:

Gelder an eine Adresse empfangen werden, deren öffentlicher Schlüssel nie offengelegt wurde.
Wenn Sie ausgeben müssen, bewegen Sie alle Gelder in einer einzigen Transaktion (ohne Restbetrag auf der offengelegten Adresse).
Wechselgeld wird an eine frische, nicht offengelegte Adresse gesendet.

Das minimiert das Zeitfenster, in dem ein Angreifer einen bekannten öffentlichen Schlüssel ausnutzen könnte.

4. Post-Quanten-Entwicklungen beobachten

Bleiben Sie informiert über:

Fortschritte bei der NIST-Standardisierung für Post-Quanten-Kryptografie.
Protokoll-Upgrade-Vorschläge bei Bitcoin und Ethereum zur Quantenresistenz.
Fortschritte bei Quantencomputing-Hardware und Fehlerkorrektur.
Mögliche Soft Forks oder Hard Forks, die quantenresistente Adresstypen einführen.

Wenn quantenresistente Adresstypen verfügbar werden, migrieren Sie Ihre Bestände zeitnah.

5. Quantenresistente Seed Phrase-Sicherheit berücksichtigen

Ihre seed phrase selbst wird durch PBKDF2 und SHA-512-Hashing geschützt, die von Quantencomputern nicht effizient gebrochen werden (Grover-Algorithmus bietet nur eine quadratische Beschleunigung beim Hashing). Eine 256-Bit-Seed-Phrase behält 128-Bit-Sicherheit gegen Quantenangriffe, was als ausreichend gilt.

SafeSeed Tool

Der SafeSeed Seed Phrase Generator erzeugt Seed-Phrasen mit 256-Bit-Entropie, die auch gegen zukünftige Quantenbedrohungen für Hashing starke Sicherheit aufrechterhalten. In Kombination mit korrektem Adressmanagement (Wiederverwendung vermeiden, hashgeschützte Adressen nutzen) kann Ihr auf Seed-Phrasen basierender Cold Storage auf das Quantenzeitalter vorbereitet werden.

Häufige Missverständnisse

„Quantencomputer werden Bitcoin über Nacht brechen“

Falsch. Selbst wenn Quantencomputer leistungsfähig genug werden, um Shor-Algorithmus gegen ECDSA auszuführen, erfordert der Angriff pro öffentlichem Schlüssel erhebliche Rechenzeit und zielt auf spezifische verwundbare Adressen. Das Bitcoin-Netzwerk hätte Vorwarnzeit (da Quanten-Meilensteine öffentlich verfolgt werden) und würde Post-Quanten-Upgrades implementieren, bevor sich die Bedrohung materialisiert.

„Alle Kryptowährungen sind gleich verwundbar“

Falsch. Die Verwundbarkeit hängt davon ab, ob der öffentliche Schlüssel offengelegt ist. Gelder in ungenutzten P2PKH-Adressen sind durch Hashfunktionen geschützt, die Quantenangriffen widerstehen. Gelder in Adressen, die bereits transagiert haben (öffentlicher Schlüssel sichtbar), sind anfälliger.

„Wir müssen jetzt auf quantenresistente Krypto umsteigen“

Nicht dringend. Nach den meisten Schätzungen liegt die Bedrohung 15-30 Jahre entfernt. Postquantenkryptografische Standards reifen noch, und eine verfrühte Einführung könnte neue Schwachstellen einführen (durch unzureichend analysierte Algorithmen). Bewusstsein und Planung sollten jedoch jetzt beginnen.

„Quantencomputing macht Kryptowährungen wertlos“

Falsch. Quantencomputing ist eine kryptografische Herausforderung, keine existenzielle Bedrohung. Dieselben quantensicheren Algorithmen, die Banking, militärische Kommunikation und Internetsicherheit schützen werden, schützen auch Kryptowährungen. Blockchains werden ihre Signaturschemata upgraden, so wie sie in der Vergangenheit Adresstypen und Skriptfähigkeiten aktualisiert haben.

„128-Bit-Sicherheit gegen Quantenangriffe reicht nicht aus“

Für die absehbare Zukunft gilt 128-Bit-Sicherheit in der kryptografischen Gemeinschaft als mehr als ausreichend. NISTs Post-Quanten-Standards sind auf 128-Bit-Sicherheitsniveaus ausgelegt. Das Brechen von 128-Bit-Sicherheit erfordert 2^128 Operationen, was weit außerhalb jeder prognostizierten Rechenkapazität liegt.

Die Migrationsherausforderung

Die größte praktische Herausforderung ist nicht der kryptografische Algorithmus selbst, sondern der Migrationsprozess:

Inaktive Wallets - Gelder in Wallets, deren Besitzer ihre Schlüssel verloren haben, verstorben sind oder ihre Coins aufgegeben haben (geschätzt 3-4 Millionen BTC), können nicht migriert werden. Diese werden verwundbar, wenn Quantencomputer ausgereift sind.
Satoshis Coins - Die ~1,1 Millionen BTC in Satoshis mutmaßlichen P2PK-Adressen können nicht auf quantenresistente Adressen verschoben werden, es sei denn, Satoshi (wer auch immer es ist) ist noch aktiv.
Koordination - Ein Soft Fork oder Hard Fork, der von allen Nutzern die Migration ihrer Gelder auf neue Adresstypen verlangt, ist eine enorme Koordinationsherausforderung.
Zeitdruck - Falls Quantencomputing schneller als erwartet voranschreitet, könnte das Migrationsfenster unangenehm kurz sein.

Einige Vorschläge sehen die Einführung einer „Quarantäne“-Phase vor: Nach einer bestimmten Blockhöhe würden Transaktionen von quantenanfälligen Adresstypen eingeschränkt oder zusätzlichen Eigentumsnachweis erfordern. Das ist hoch umstritten und würde wahrscheinlich auf starken Widerstand in der Community stoßen.

Forschung und zukünftige Richtungen

Signaturaggregation für PQC

Ein aktives Forschungsgebiet ist die Aggregation mehrerer postquantenresistenter Signaturen, um ihren On-Chain-Footprint zu verringern. Techniken ähnlich dazu, wie Schnorr-Signaturen Schlüsselaggregation (MuSig2) ermöglichen, werden für gitterbasierte Signaturen erforscht.

Quantum Key Distribution (QKD)

Einige Forscher haben vorgeschlagen, Quantum Key Distribution für Kryptowährungen zu nutzen, aber das gilt allgemein als unpraktisch für dezentrale Netzwerke (QKD erfordert direkte optische Kanäle zwischen Parteien).

Hybridschemata

Hybride Signaturschemata, die ECDSA mit einem postquantenresistenten Algorithmus kombinieren, bieten Sicherheit gegen klassische und Quantenangriffe. Wenn einer der Algorithmen sicher bleibt, ist das Hybridschema sicher. Das erlaubt einen schrittweisen Übergang, ohne vollständig auf die Sicherheit relativ neuer Post-Quanten-Algorithmen zu setzen.

Zero-Knowledge-Proofs

Zero-Knowledge-Proof-Systeme (wie STARKs), die auf Hashfunktionen statt auf elliptischer Kurvenkryptografie basieren, sind inhärent quantenresistent. Ihre zunehmende Nutzung für Blockchain-Skalierung (zkRollups) trägt ebenfalls zur Quantenresilienz bei.

FAQ

Können Quantencomputer Bitcoin brechen?

Heute nicht. Aktuelle Quantencomputer sind viel zu klein und zu fehleranfällig, um die Algorithmen auszuführen, die nötig sind, um Bitcoins Kryptografie zu brechen. Die optimistischsten Schätzungen deuten darauf hin, dass kryptografisch relevante Quantencomputer 15-30 Jahre entfernt sind. Wenn sie kommen, wird Bitcoin wahrscheinlich bereits auf quantenresistente Signaturschemata aufgerüstet haben.

Wie viele Qubits werden benötigt, um Bitcoin zu brechen?

Die Schätzungen variieren, aber das Brechen von secp256k1-ECDSA würde etwa 2.500 logische Qubits erfordern, was mit aktueller Fehlerkorrekturtechnologie ungefähr 1-20 Millionen physischen Qubits entspricht. Die größten Quantencomputer im Jahr 2025 haben etwa 1.000-1.500 physische Qubits.

Ist meine Kryptowährung vor Quantencomputern sicher?

Für die absehbare Zukunft (10-20+ Jahre), ja. Wenn Sie Best Practices befolgen - hashgeschützte Adresstypen verwenden, Adresswiederverwendung vermeiden und Ihre Seed Phrase sicher aufbewahren - sind Ihre Gelder stark geschützt. Sobald quantenresistente Adresstypen verfügbar sind, migrieren Sie Ihre Bestände.

Was ist Post-Quanten-Kryptografie?

Post-Quanten-Kryptografie bezeichnet kryptografische Algorithmen, die gegen Angriffe durch klassische und Quantencomputer ausgelegt sind. NIST hat mehrere PQC-Algorithmen (ML-KEM, ML-DSA, SLH-DSA) standardisiert, die auf mathematischen Problemen beruhen, die Quantencomputer nicht effizient lösen können, etwa Gitterprobleme und Eigenschaften von Hashfunktionen.

Sollte ich wegen des Quantenrisikos keine Taproot-Adressen mehr verwenden?

Das Quantenrisiko für Taproot-Adressen ist theoretisch und Jahrzehnte entfernt. Die praktischen Vorteile von Taproot (geringere Gebühren, bessere Privatsphäre, fortgeschrittenes Scripting) überwiegen das Quantenrisiko für aktuelle Nutzung. Für sehr langfristigen Cold Storage (20+ Jahre) bieten hashgeschützte Adresstypen (P2WPKH) jedoch eine zusätzliche Schicht Quantenresistenz.

Wird Ethereum von Quantencomputing betroffen sein?

Ja, Ethereum verwendet dieselbe ECDSA-Kryptografie wie Bitcoin und steht vor ähnlichen Quantenbedrohungen. Ethereums Kontomodell bedeutet, dass die meisten aktiven Konten offengelegte öffentliche Schlüssel haben. Ethereums Upgrade-Mechanismen (Hard Forks, Account Abstraction) bieten jedoch Wege zur Einführung postquantenresistenter Signaturen. Die Ethereum Foundation hat Quantenresistenz als langfristige Priorität anerkannt.

Ist SHA-256 quantensicher?

SHA-256 ist deutlich widerstandsfähiger gegen Quantenangriffe als ECDSA. Grover-Algorithmus reduziert die effektive Sicherheit von SHA-256 von 256 Bit auf 128 Bit, was weiterhin extrem stark ist. SHA-256 gilt für die absehbare Zukunft als quantensicher.

Was passiert mit verlorenen/aufgegebenen Bitcoin, wenn Quantencomputer eintreffen?

Gelder in Adressen mit offengelegten öffentlichen Schlüsseln (aus vergangenen Transaktionen), die von ihren Besitzern nicht migriert werden können, würden für Quantenangriffe verwundbar. Dazu gehören Satoshis geschätzte ~1,1 Millionen BTC und geschätzte 3-4 Millionen BTC in verlorenen Wallets. Wie die Bitcoin-Community mit diesen Coins umgeht (falls überhaupt), ist eine offene und umstrittene Frage.

Die Grundlagen des Quantencomputings​

Klassische vs. Quantenberechnung​

Die Probleme, die für Krypto relevant sind​

Was Quantencomputer bedrohen​

Elliptic Curve Digital Signatures (ECDSA)​

Wann ist ein öffentlicher Schlüssel offengelegt?​

Adressen mit dem größten Risiko​

Was NICHT bedroht ist (oder weniger bedroht)​

Hashing-Algorithmen (SHA-256, RIPEMD-160)​

Bitcoin-Mining (Proof of Work)​

Symmetrische Verschlüsselung (AES)​

Zeitachse: Wann werden Quantencomputer zur Bedrohung?​

Aktueller Stand des Quantencomputings (2025)​

Zeitschätzungen von Experten​

Die Bedrohung „Jetzt speichern, später entschlüsseln“​

Post-Quanten-Kryptografie (PQC)​

NIST-Post-Quanten-Standards​

ML-KEM (formerly CRYSTALS-Kyber)​

ML-DSA (formerly CRYSTALS-Dilithium)​

SLH-DSA (formerly SPHINCS+)​

Post-Quanten-Signaturen vs. ECDSA​

Auswirkungen auf bestimmte Kryptowährungen​

Bitcoin​

Ethereum​

Andere Blockchains​

Was Sie heute tun können​

1. Hash-geschützte Adresstypen verwenden​

2. Adressen niemals wiederverwenden​

3. Zeit der Offenlegung öffentlicher Schlüssel minimieren​

4. Post-Quanten-Entwicklungen beobachten​

5. Quantenresistente Seed Phrase-Sicherheit berücksichtigen​

Häufige Missverständnisse​

„Quantencomputer werden Bitcoin über Nacht brechen“​

„Alle Kryptowährungen sind gleich verwundbar“​

„Wir müssen jetzt auf quantenresistente Krypto umsteigen“​

„Quantencomputing macht Kryptowährungen wertlos“​

„128-Bit-Sicherheit gegen Quantenangriffe reicht nicht aus“​

Die Migrationsherausforderung​

Forschung und zukünftige Richtungen​

Signaturaggregation für PQC​

Quantum Key Distribution (QKD)​

Hybridschemata​

Zero-Knowledge-Proofs​

FAQ​

Können Quantencomputer Bitcoin brechen?​

Wie viele Qubits werden benötigt, um Bitcoin zu brechen?​

Ist meine Kryptowährung vor Quantencomputern sicher?​

Was ist Post-Quanten-Kryptografie?​

Sollte ich wegen des Quantenrisikos keine Taproot-Adressen mehr verwenden?​

Wird Ethereum von Quantencomputing betroffen sein?​

Ist SHA-256 quantensicher?​

Was passiert mit verlorenen/aufgegebenen Bitcoin, wenn Quantencomputer eintreffen?​

Verwandte Leitfäden​