Wichtige Erkenntnisse:
- Starkware CPO Avihu Levy veröffentlichte QSB am 09.04.2026 und ermöglichte quantensichere Bitcoin-Transaktionen ohne Protokolländerungen.
- Levys Schema kostet 75 bis 150 US-Dollar an GPU-Rechenleistung pro Transaktion und erreicht etwa 118-Bit-Preimage-Resistenz gegen Quantenangriffe.
- QSB ist das erste bekannte Schema, das Live-Bitcoin-Transaktionen gegen Shors Algorithmus sichert und dabei ausschließlich Bitcoins bestehende Legacy-Script-Regeln verwendet.
Wie ein Starkware-Manager Quantenresistenz in Bitcoin einbaute, ohne das Protokoll anzufassen
Avihu Levy, Chief Product Officer bei Starkware und Mitautor von BIP-360, veröffentlichte am 09.04.2026 ein vollständiges Forschungspapier und eine Open-Source-Implementierung. Das Schema heißt Quantum Safe Bitcoin oder QSB. Es erfordert keine Softfork, keine Community-Koordination und keine neuen Opcodes. Es läuft vollständig innerhalb von Bitcoins bestehenden Legacy-Script-Beschränkungen von 201 Opcodes und 10.000 Bytes.
Die Bedrohung, die QSB adressiert, ist spezifisch. Bitcoins primäres Signaturschema, ECDSA über die elliptische Kurve secp256k1, ist durch Shors Algorithmus auf einem ausreichend leistungsstarken Quantencomputer vollständig brechbar. Ein Angreifer mit dieser Fähigkeit könnte private Schlüssel aus jedem offengelegten öffentlichen Schlüssel wiederherstellen, Signaturen fälschen und Gelder umleiten. P2PK-Outputs, Legacy-Adressen und Taproot-Keyspend-Pfade sind alle gefährdet, sobald ein öffentlicher Schlüssel onchain erscheint.
Bildquelle: X.Levys Schema durchbricht diese Abhängigkeit auf Transaktionsebene. Anstatt sich auf die Härte elliptischer Kurven zu verlassen, baut QSB Sicherheit auf der Preimage-Resistenz von RIPEMD-160 auf, einer Hash-Funktion, die Quantencomputer nur mit Grovers Algorithmus angreifen können, der eine quadratische Beschleunigung anstelle eines vollständigen Bruchs bietet. Ein 160-Bit-Hash behält etwa 80 Bit Preimage-Resistenz gegen einen Quantengegner bei und lässt einen komfortablen Spielraum.
Die Konstruktion modifiziert ein früheres Schema namens Binohash, entwickelt von Robin Linus, und behebt zwei Probleme, die Binohash unsicher gegen Quantenangriffe machten. Das erste war ein Signaturgrößen-Proof-of-Work (PoW)-Puzzle, das vom Finden kleiner elliptischer Kurven-r-Werte abhing, etwas, das Shors Algorithmus trivial bricht. Das zweite war eine ungelöste Sighash-Flag-Schwachstelle, die es einem Angreifer ermöglichen könnte, eine gültige Puzzle-Signatur über verschiedene Transaktionen hinweg wiederzuverwenden.
Ersetzen des Signaturgrößen-Puzzles
QSB ersetzt das Signaturgrößen-Puzzle durch das, was Levy ein Hash-to-Sig-Puzzle nennt. Der Ausgeber iteriert über Transaktionsparameter, bis der RIPEMD-160-Hash eines transaktionsabgeleiteten öffentlichen Schlüssels eine gültige DER-kodierte ECDSA-Signatur erzeugt. Dieses Ereignis tritt mit einer Wahrscheinlichkeit von etwa 1 zu 70 Billionen auf. Da das Puzzle ein fest codiertes SIGHASH_ALL-Flag verwendet, wird die Sighash-Schwachstelle als Nebeneffekt eliminiert.
Der Ausgeber führt dann zwei Digest-Runden unter Verwendung einer HORS-artigen Lamport-Signaturstruktur durch und wählt Teilmengen von Dummy-Signaturen aus, die den Sighash der Transaktion über einen Legacy-Script-Mechanismus namens FindAndDelete ändern. Jede Teilmenge erzeugt eine andere Hash-Ausgabe. Die Teilmenge, die eine gültige DER-kodierte Signatur liefert, wird zum Digest für diese Runde. Das Offenlegen der entsprechenden Preimages im Witness vervollständigt die quantensichere Ausgabe.
Die empfohlene Konfiguration, die Levy Config A nennt, passt innerhalb des 201-Opcode-Limits und erreicht etwa 118-Bit-Preimage-Resistenz und 78-Bit-Kollisionsresistenz. Ein Quantenangreifer, der Grovers Algorithmus gegen diese Konfiguration ausführt, steht vor etwa 2 hoch 69 Arbeit für einen zweiten Preimage-Angriff. Shors Algorithmus bietet überhaupt keinen Vorteil, da keine elliptischen Kurvenannahmen mehr zu brechen sind.
Off-Chain-Berechnungen kosten zwischen 75 und 150 US-Dollar an Cloud-GPU-Zeit pro Transaktion zu aktuellen Spotpreisen. Die Arbeit ist peinlich parallel und wurde in frühen Tests in Stunden über mehrere GPUs hinweg abgeschlossen. Die GPU-Farm verarbeitet nur öffentliche Berechnungen, einschließlich Schlüsselwiederherstellung und Hashing. Private HORS-Preimages verlassen niemals das sichere Gerät des Ausgebers.
Es gibt echte Einschränkungen. QSB-Transaktionen sind konsensvalide, aber nicht standardmäßig und überschreiten Standard-Relay-Richtlinien. Sie erfordern eine direkte Übermittlung an einen Mining-Pool, der nicht standardmäßige Transaktionen akzeptiert, beispielsweise über Marathons Slipstream-Service. Das Schema deckt noch keine Lightning-Network-Kanäle ab. Die vollständige Onchain-Assemblierung und -Übertragung stehen in der Open-Source-Implementierung noch aus. Levy beschreibt das Schema als Notlösung, nicht als allgemeinen Ersatz für die Standard-Bitcoin-Nutzung.
Starkware-Mitbegründer Eli Ben-Sasson unterstützte die Arbeit öffentlich und erklärte, Bitcoin könne sofort quantensicher sein. Er sagte:
Levy teilte das Papier und das Repository auf X und würdigte Robin Linus für die grundlegende Arbeit an Binohash und für eine wichtige Korrektur, die den endgültigen Kosten-Sicherheits-Kompromiss prägte. Die Community war sehr zufrieden mit dem Whitepaper, da es in den sozialen Medien weit verbreitet wurde. Taproot Wizard Eric Wall schrieb auf X:
Das vollständige Papier, GPU-beschleunigter CUDA-Code, Python-Pipeline und vollständige Bitcoin-Skripte sind in Levys GitHub-Repository verfügbar. Die Nachricht folgt dem kürzlichen Prototyp, der dazu gedacht war, Bitcoin-Wallets vor Quantenrisiken zu schützen. Dieser spezifische Prototyp wurde von Lightning Labs CTO Olaoluwa Osuntokun erstellt.
Was dies für alltägliche Bitcoin-Inhaber bedeutet
Für alltägliche Bitcoin (BTC)-Inhaber ist die praktische Schlussfolgerung unkompliziert. Es existiert heute kein Quantencomputer, der in der Lage ist, Bitcoins Kryptographie zu brechen, und die meisten Forscher setzen diese Bedrohung mindestens drei Jahre bis ein Jahrzehnt in die Zukunft. Aber die Uhr beginnt in dem Moment zu ticken, in dem ein öffentlicher Schlüssel onchain erscheint, was jedes Mal passiert, wenn ein Benutzer von einer Adresse ausgibt.
Bitcoin, das in einer Wallet liegt, die noch nie eine ausgehende Transaktion durchgeführt hat, ist weniger exponiert. Bitcoin, das auf einer wiederverwendeten oder bereits ausgegebenen Adresse geparkt ist, ist eine andere Geschichte. Wenn Quantum Computing die Schwelle erreicht, werden diese offengelegten öffentlichen Schlüssel zu Zielen. Gelder zu bewegen, bevor dieses Fenster sich schließt, ist wichtiger als sie danach zu bewegen.
QSB wird noch nicht in einer Consumer-Wallet ausgeliefert. Benutzer können heute keine Standard-Wallet öffnen und eine quantensichere Einstellung umschalten. Was Levy geliefert hat, ist der kryptographische Beweis, dass der Weg existiert, aufgebaut aus Regeln, die bereits in Bitcoin vorhanden sind, und kostet etwa den Preis eines Flugtickets an GPU-Rechenleistung.
Die verbleibende Arbeit ist Engineering, Adoption und Zeit. Für eine Person, die BTC hält, ist die Handlung einfach: achten Sie auf Post-Quantum-Unterstützung von Ihrem Wallet-Anbieter, vermeiden Sie die Wiederverwendung von Adressen und verschieben Sie Gelder auf eine quantensichere Adresse, wenn diese Option in Mainstream-Software verfügbar wird. Die Werkzeuge zum Schutz dieses Bitcoin werden gerade jetzt gebaut.
Quelle: https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
