a16z Crypto wies darauf hin, dass die Bedrohung durch Quantencomputing übertrieben ist und die Wahrscheinlichkeit, dass CRQC (Cryptography-Related Quantum Computer) vor 2030 extrem gering ist. Digitale Signaturen und zkSNARKs unterliegen nicht “Zuerst sammeln und dann knacken”-Angriffen, und ein zu frühes Wechseln birgt Risiken. Aktuelle Bedrohungen sind Code-Schwachstellen und Governance-Schwierigkeiten, und es wird empfohlen, Audit-Tests statt übereilter Upgrades zu priorisieren.
a16z widerlegt die CRQC-Erzählung vor 2030
a16z Crypto veröffentlichte einen Analyseartikel auf seinem offiziellen Konto, in dem festgestellt wird, dass das Zeiturteil des Marktes, dass “Quantencomputing Kryptowährungen bedroht”, oft übertrieben ist und die Wahrscheinlichkeit, dass Quantencomputer mit realistischer Zerstörungskraft vor 2030 erscheinen, extrem gering ist. Der sogenannte “kryptographisch sinnvolle Quantencomputer” bezeichnet fehlertolerante, fehlerkorrigierende Quantencomputer, die arbeiten können, und der Shor-Algorithmus ist groß genug, um elliptische Kurvenkryptographie oder RSA innerhalb angemessener Zeit anzugreifen.
Basierend auf einer vernünftigen Interpretation öffentlicher Meilensteine und Ressourcenschätzungen sind wir noch weit davon entfernt, einen Quantencomputer dieses Niveaus zu bauen. Alle aktuellen Architekturen – gefangene Ionen, supraleitende Qubits und neutrale atomare Systeme – können nicht annähernd an die Größenordnung von Hunderttausenden oder sogar Millionen fester Qubits heranreichen. Die Grenzfaktoren sind nicht nur die Anzahl der Qubits, sondern auch die Gattertreue, die Qubit-Konnektivität und die Tiefe der kontinuierlichen Fehlerkorrekturschaltung, die für den Betrieb des tiefen Quantenalgorithmus erforderlich ist.
Einige Systeme verfügen derzeit über mehr als 1.000 physische Qubits, aber diese Zahl ist höchst irreführend. Diese Systeme verfügen nicht über die für kryptographische Berechnungen erforderliche Qubit-Konnektivität und Gate-Fidelität. Es besteht immer noch eine große Lücke zwischen dem Beweis, dass Prinzipien der Quantenfehlerkorrektur machbar sind, und dem Maßstab, der zur Erreichung der Kryptanalyse erforderlich ist. Kurz gesagt: Solange die Anzahl der Qubits und die Genauigkeit nicht um mehrere Größenordnungen erhöht werden, sind kryptographisch sinnvolle Quantencomputer weiterhin unerreichbar.
Drei weit verbreitete Missverständnisse über Quantenpanik
Quantenvorteil ist verwirrend: Demonstrationen, die “Quantenvorteil” behaupten, richten sich auf von Menschen entworfene Aufgaben, nicht auf tatsächliches Passwortknacken
Quantenannealer sind irreführend: beansprucht Tausende von Qubits, bezieht sich aber auf Annealer, nicht auf Gate-Modell-Maschinen, die den Shor-Algorithmus ausführen
Logischer Qubit-Missbrauch: Einige Firmen behaupten, “logische Qubits” zu sein, verwenden aber Distanz-2-Codierung, um Fehler zu erkennen und nicht zu korrigieren
HNDL-Angriffe gelten nicht für Signaturen und zkSNARKs
Der Artikel wies darauf hin, dass gängige digitale Signaturlösungen und Zero-Knowledge-Systeme wie zkSNARKs nicht anfällig für das Quantenangriffsmuster “erst sammeln, dann knacken” sind. Harvest Now, Decryption Later (HNDL)-Angriffe beziehen sich darauf, dass feindliche Kräfte jetzt verschlüsselten Datenverkehr speichern und ihn dann entschlüsseln, nachdem ein kryptographisch bedeutender Quantencomputer aufgetaucht ist. Dieser Angriff stellt eine reale Bedrohung für die Kryptographie dar, weshalb sich die Kryptographie heute grundlegend verändern muss – zumindest für diejenigen, die seit mehr als 10 bis 50 Jahren Vertraulichkeit benötigen.
Die digitale Signatur, auf die alle Blockchains angewiesen sind, unterscheidet sich jedoch von der Verschlüsselung: Sie besitzt nicht die Geheimhaltung eines nachverfolgbaren Angriffs. Mit anderen Worten: Wenn Quantenoperationen im Zusammenhang mit der Kryptographie auftauchten, war es möglich, Signaturen zu fälschen, aber Signaturen in der Vergaangenheit “verbargen” Geheimnisse nicht wie verschlüsselte Nachrichten. Solange du weißt, dass die digitale Signatur vor dem Erscheinen des CRQC erzeugt wurde, kann sie nicht gefälscht werden. Dies macht den Übergang zu postquantenmechanischen digitalen Signaturen weniger dringend als den Übergang zur postquantenmechanischen Kryptographie.
zkSNARKs (Zero-Knowledge Concinct Non-Interactive Arguments of Knowledge) sind entscheidend für die langfristige Skalierbarkeit und Privatsphäre von Blockchains und befinden sich in einer ähnlichen Situation wie Signaturen. Obwohl zkSNARKs elliptische Kurvenkryptographie verwenden, sind ihre Zero-Knowledge-Eigenschaften post-quantensicher. Das Zero-Knowledge-Attribut stellt sicher, dass während des Beweisprozesses keine Informationen über geheime Zeugen preisgegeben werden – nicht einmal für Quantengegner – sodass keine vertraulichen Informationen verfügbar sind, die jetzt für spätere Entschlüsselung “gesammelt” werden können.
Daher sind zkSNARKs nicht dem Capture-First-and-Decrypt-Angriff ausgesetzt. So wie heute erzeugte Nicht-Post-Quanten-Signaturen sicher sind, ist jeder zkSNARK-Beweis, der vor dem Aufkommen kryptografisch sinnvoller Quantencomputer erstellt wurde, vertrauenswürdig. Erst nach dem Aufkommen kryptografisch bedeutsamer Quantencomputer können Angreifer überzeugende Beweise für falsche Angaben finden. Dieses technische Detail ist entscheidend, um die Authentizität von Quantenbedrohungen zu verstehen.
Die drei Hauptkosten und Risiken einer vorzeitigen Migration
Wenn die Blockchain zu früh auf quantenresistente Lösungen umgestellt wird, kann das Probleme wie Leistungsverschlechterung, technische Unreife und potenzielle Sicherheitslücken mit sich bringen. Die Leistungskosten von Post-Quanten-Signaturen sind äußerst beträchtlich. Hash-basierte Signaturen sind 7–8 KB groß, während heutige elliptische Kurven-basierte digitale Signaturen nur 64 Bytes haben, was etwa einem 100-fachen Größenunterschied entspricht. Die Gitterlösung ist etwas besser, mit ML-DSA-Signaturen von 2,4 KB bis 4,6 KB, was immer noch 40- bis 70-mal größer ist als die aktuelle Lösung.
Was bedeutet dieser Größenzuwachs für die Blockchain? Größere Signaturen bedeuten höhere Transaktionsgebühren, langsamere Blockpropagation und höhere Knotenspeicherkosten. Für Blockchains wie Bitcoin, die bereits mit Skalierbarkeitsproblemen konfrontiert sind, könnte der Umstieg auf post-quantumistische Signaturen das Problem dutzende Male verschärfen. Darüber hinaus sind Post-Quanten-Signaturschemata bei der Implementierung von Sicherheit herausfordernder als elliptische Kurven-basierte Signaturen, und ML-DSA birgt mehr Sicherheitsrisiken und komplexe Refucy-Sampling-Logik, die Side-Channel-Schutz erfordert.
Die Lehren der Geschichte sind noch mehr Warnungen. Rainbow (ein MQ-basiertes Signaturschema) und SIKE/SIDH (ein homologiebasiertes Verschlüsselungsverfahren) sind führende Kandidaten, die später im NIST-Standardisierungsprozess mit traditionellen Computern geknackt wurden. Dies demonstriert das normale Funktionieren der Wissenschaft, legt aber auch nahe, dass eine vorzeitige Standardisierung und Einführung nach hinten losgehen kann. Blockchain-spezifische Herausforderungen machen vorzeitige Migration ebenfalls besonders gefährlich, wie etwa die einzigartigen Anforderungen der Blockchain an Signaturschemata, insbesondere die Fähigkeit, schnell große Signaturen zu aggregieren.
a16z Sieben Vorschläge: Vorsichtig mit Quantenbedrohungen umgehen
A16Z betonte weiter, dass im Vergleich zu den noch nicht entstandenen Risiken im Bereich Quantencomputing die realistischeren Herausforderungen, denen Mainstream-Public-Chains wie Bitcoin und Ethereum derzeit gegenüberstehen, aus der Schwierigkeit kollaborativer Upgrades, der Komplexität der Governance und Schwachstellen im Implementierungs-Layer-Code resultieren. Es empfiehlt, dass Entwickler quantenresistente Wege im Voraus auf Grundlage eines angemessenen Bewertungszeitraums planen, anstatt Migrationen zu überstürzen. Gleichzeitig wird darauf hingewiesen, dass in absehbarer Zukunft traditionelle Sicherheitsfragen wie Codefehler, Side-Channel-Angriffe und Fehlerinjektion weiterhin eine priorisierte Investition verdienen als Quantencomputing und sich auf die Stärkung von Audits, Fuzzing und formaler Verifikation konzentrieren sollten.
a16z Zusammenfassung der sieben Kernempfehlungen
Setzen Sie noch heute hybride Verschlüsselung ein: Zumindest in Szenarien, in denen langfristige Vertraulichkeit entscheidend ist
Verwenden Sie hashbasierte Signaturen: In niedrigfrequenten Szenarien tolerierbarer Größe, wie etwa Software-Updates
Die Blockchain ist sorgfältig geplant: Überstürze dich nicht mit der Migration, sondern beginne jetzt, deinen Weg zu planen.
Zuerst die Datenschutzkette: Wenn die Leistung akzeptabel ist, sollte der Übergang so schnell wie möglich erfolgen
Sicherheit priorisieren: Auditing und Testing sind dringlicher als Anti-Quanten-Tests
Finanzierung von Quantenforschung und -entwicklung: Verhindern, dass Gegner zuerst Fähigkeiten erlangen
Betrachten Sie die Ankündigung rational: Behandeln Sie Fortschrittsberichte als Meilensteine und nicht als Handlungsauslöser
Blockchain-Entwickler sollten dem Beispiel der Web-PKI-Community folgen und einen umsichtigen Ansatz bei der Bereitstellung post-quantumistischer Signaturen verfolgen. Dies hilft Post-Quanten-Signaturschemata, sich in Bezug auf Leistung und Sicherheit weiter zu verbessern. Es ist besonders wichtig, dass die Bitcoin-Community jetzt mit der Planung beginnt, da langsame Governance und eine große Anzahl von hochwertigen, potenziell verlassenen und quantenanfälligen Adressen besondere Herausforderungen darstellen.
