Bereitgestellt von
Featured

Satoshi Nakamoto sagte die Hash-Abwehr von Bitcoin bereits 16 Jahre vor den Befürchtungen hinsichtlich der Quanteninformatik voraus

Vor sechzehn Jahren, im Jahr 2010, antwortete Satoshi Nakamoto in einem Forum auf die Frage eines Skeptikers, und diese Antwort bestimmt bis heute, wie das Netzwerk sein Geld schützt.

GESCHRIEBEN VON
TEILEN
Satoshi Nakamoto sagte die Hash-Abwehr von Bitcoin bereits 16 Jahre vor den Befürchtungen hinsichtlich der Quanteninformatik voraus

Das Wichtigste auf einen Blick

  • Satoshi Nakamoto verteidigte SHA-256 in einem Beitrag im Bitcointalk-Forum vom 16. Juli 2010.
  • Google Quantum AI hat seine Schätzung für das Knacken der Bitcoin-Kurve im Jahr 2026 auf 500.000 Qubits gesenkt.
  • Entwickler haben BIP-360 und andere Ideen für das Jahr 2026 vorgeschlagen, um quantenresistente Adressen vorzubereiten.

Ein Forumsbeitrag, der die Regeln festlegte

Am 16. Juli 2010 stellte ein Nutzer namens bdonlan im Bitcointalk-Forum die doppelte SHA-256-Hash-Verarbeitung von Bitcoin in Frage. Er fragte, ob das Design die Sicherheit schwäche.

Satoshi antwortete direkt. Der Erfinder von Bitcoin verglich SHA-256 mit dem Sprung von der 32-Bit- zur 64-Bit-Rechenarchitektur – also nicht mit einer geringfügigen Erhöhung der Bitlänge. Bei 4 Gigabyte sei der 32-Bit-Adressraum erschöpft gewesen, sagte er, aber niemand rechne damit, dass der 64-Bit-Adressraum in absehbarer Zeit knapp werde. SHA-256 funktioniere auf dieselbe Weise, und die Mathematik gebe Bitcoin noch reichlich Spielraum.

Satoshi gab dem Netzwerk zudem einen Ausstiegsplan an die Hand. Sollte SHA-256 jemals an Sicherheit verlieren, könnten Entwickler bei einer festgelegten Blockhöhe einen Soft Fork zu einer neuen Hash-Funktion durchführen. Alte und neue Hashes würden parallel laufen, bis jeder Knoten das Upgrade durchgeführt hat.

Die Marktkapitalisierung von Bitcoin ist inzwischen auf über eine Billion angestiegen, und das Netzwerk wickelt täglich Transaktionen im Wert von Hunderten von Milliarden Dollar ab. Jeder Dollar dieser Aktivitäten hängt nach wie vor von der Hash-Funktion ab, für die Satoshi vor sechzehn Jahren in einem einzigen Forumsbeitrag eingetreten ist.

Warum Bitcoin zwei Hash-Funktionen statt einer verwendet

Der Bitcoin-Code hasht Daten zweimal: SHA256(SHA256(Daten)), eine Methode, die Entwickler als SHA256d bezeichnen. Die Kryptografen Niels Ferguson und Bruce Schneier empfahlen diesen Ansatz als Schutz vor Angriffen durch Blocklängenverlängerung – einer Schwachstelle in der von SHA-2 verwendeten Merkle-Damgard-Struktur.

Miner hashen Block-Header zweimal, um das Schwierigkeitsziel des Netzwerks zu erreichen, und Knoten hashen Transaktionen zweimal, um Merkle-Bäume zu erstellen. Wallets fügen eine dritte Ebene hinzu – RIPEMD-160 über SHA-256 –, um öffentliche Schlüssel zu Adressen zu verkürzen.

Satoshi wählte SHA-256 aus gutem Grund. Das National Institute of Standards and Technology veröffentlichte den Algorithmus im Jahr 2001 als Teil der SHA-2-Familie und bot damit einen großen Sprung in der Sicherheit gegenüber SHA-1, das zum Zeitpunkt der Einführung von Bitcoin im Januar 2009 bereits Schwachstellen aufwies. SHA-256 benötigt etwa 2^128 Operationen, um eine Kollision zu erzwingen, und etwa 2^256, um ein Präimage zu erzwingen. Sechzehn Jahre später hat noch niemand dieses Design geknackt. Kein Forscher hat einen funktionierenden Kollisions-, Präimage- oder Second-Präimage-Angriff gegen das vollständige SHA-256 gefunden. Versionen mit reduzierter Rundenzahl sind zwar der Kryptoanalyse zum Opfer gefallen, doch diese Angriffe erreichen nicht die Skalierbarkeit des eigentlichen 64-Runden-Algorithmus. Das NIST und unabhängige Gruppen wie ECRYPT-CSA stufen die vollständige Funktion weiterhin als sicher ein. Die Mining-Hardware bestätigt dies. Hersteller von anwendungsspezifischen integrierten Schaltkreisen (ASICs) haben ganze Produktlinien rund um SHA-256d aufgebaut, und die Netzwerk-Hashrate liegt mittlerweile im Exahash-Bereich. Satoshi sagte voraus, dass Moores Gesetz allein die Funktion niemals gefährden würde, und dank der Schwierigkeitsanpassungen liegen die Blockzeiten trotz exponentieller Zuwächse bei der Mining-Leistung weiterhin bei etwa zehn Minuten.

Quantencomputing verändert die Diskussion

Klassische Brute-Force-Angriffe haben Satoshi nie beunruhigt, und sie stellen auch heute noch keine Bedrohung für Bitcoin dar. Quantencomputing spaltet das Risiko in zwei separate Probleme auf.

Grovers Algorithmus beschleunigt die Brute-Force-Suche. Bei Anwendung auf SHA-256 reduziert er die effektive Sicherheit von 256 Bit auf etwa 128 Bit – ein Wert, der nach wie vor weit außerhalb der Reichweite liegt. Forscher sagen, ein Angreifer bräuchte Quantenhardware in einem Ausmaß, wie es weltweit noch nicht gebaut wurde, sodass die Sicherheit vorerst gewährleistet bleibt. Shors Algorithmus stellt das größere Problem dar und zielt auf Signaturen ab, nicht auf Hashes. Ein Quantencomputer, auf dem er läuft, könnte einen privaten Schlüssel aus einem offengelegten öffentlichen Schlüssel auf der von Bitcoin verwendeten elliptischen Kurve ableiten. Schätzungsweise 7 Millionen Bitcoin, fast 35 % des Gesamtangebots, befinden sich in Adressen mit offengelegten öffentlichen Schlüsseln und wären einem Risiko ausgesetzt, sollte diese Hardware existieren. Google Quantum AI veröffentlichte 2026 Forschungsergebnisse, wonach die zur Knackung der Bitcoin-Kurve erforderliche Qubit-Anzahl auf etwa 500.000 physikalische Qubits gesenkt werden konnte. Aktuelle Quantencomputer arbeiten im Bereich von 1.000 bis 1.500 Qubits. Forscher gehen weiterhin davon aus, dass eine konkrete Bedrohung irgendwann zwischen 2029 und 2035 eintreten könnte, abhängig vom Fortschritt bei der Fehlerkorrektur.

Entwickler greifen die Frage über sechzehn Jahre hinweg immer wieder auf

Satoshi kam im Laufe des Jahres 2010 mehr als einmal auf Bedenken im Zusammenhang mit dem Hash-Algorithmus zurück, darunter auch die Frage, was passieren würde, wenn SHA-256 eine partielle Kollision erleiden würde. Seine Antwort blieb konsistent: Die ehrliche Blockkette muss gesichert werden, bevor sich das Problem ausbreitet, und anschließend muss auf eine neue Funktion umgestellt werden.

Spätere Bitcoin-Upgrades ließen den Kern des Hash-Verfahrens unberührt. Segregated Witness wurde 2017 aktiviert, Taproot 2021; beide zielten eher auf Effizienz und Datenschutz als auf das Hash-Verfahren ab. Die Quantenresistenz rückte für Entwickler erst dann in den Vordergrund, als sich in den 2020er Jahren das Bewusstsein für die Algorithmen von Grover und Shor in der Kryptografie-Community verbreitete.

Entwickler schlagen von Satoshi versprochene „Exit Ramps“ vor

Bitcoin-Entwickler haben bereits den von Satoshi im Jahr 2010 beschriebenen Migrationspfad vorgeschlagen, der sich jedoch auf Signaturen statt auf Hashes bezog. Es wurden mehrere Ideen auf den Tisch gebracht.

BIP-360 führt ein neues Adressformat ein: „Pay-to-Merkle-Root“-Adressen, die mit „bc1z“ beginnen und auf quantenresistenten Signaturschemata basieren. Die Entwickler haben den Vorschlag im Jahr 2026 in den Code integriert. Ein begleitender Vorschlag, BIP-361, legt dar, wie das Netzwerk ältere, anfällige Adresstypen schrittweise auslaufen lassen könnte. Die letztgenannte Methode ist dabei etwas umstrittener. Wallet-Anbieter stehen nun unter Druck, die Wiederverwendung von Adressen zu unterbinden und Nutzer auf die neueren Ausgabetypen umzuleiten, bevor eine Quanten-Frist abläuft. Die Umstellung birgt ihre eigenen Hindernisse. Entwickler benötigen noch einen Plan für Coins, die in alten Adressen gesperrt sind, deren Besitzer inaktiv oder nicht erreichbar sind, einschließlich aller Bitcoins, die mit Satoshis eigenen frühen Wallets verknüpft sind. Post-Quanten-Signaturen beanspruchen zudem mehr Blockspeicherplatz als die Signaturen, die Bitcoin heute verwendet, und Forscher testen hashbasierte Signaturschemata, um diese Migration überschaubar zu halten.

Was dies für Bitcoin-Inhaber bedeutet

SHA-256 erfordert derzeit keinerlei Maßnahmen. Die Hash-Funktion, die das Mining und die Transaktionshistorie sichert, bleibt von allen bekannten Angriffen – ob klassisch oder quantenbasiert – unberührt.

Die Gefährdung der Signaturen ist der Punkt, den es im Auge zu behalten gilt. Besitzer mit Coins in Adressen alten Stils oder jeder, der eine Bitcoin-Adresse wiederverwendet hat, sind stärker gefährdet als jemand, der moderne Ausgabetypen mit öffentlichen Schlüsseln nutzt, die bis zur Ausgabe verborgen bleiben. Satoshi schloss den Thread aus dem Jahr 2010 mit einer Warnung, die auch heute noch als aktuelle Richtlinie gilt. Jeder Angriff, der stark genug wäre, um SHA-256 zu knacken, würde wahrscheinlich auch stärkere Varianten wie SHA-512 beeinträchtigen, sodass ein vollständiger Knack allein unwahrscheinlich erscheint. Bitcoins Verteidigung beruhte nie auf Unveränderlichkeit. Es war vielmehr die Fähigkeit, zu handeln, bevor eine Bedrohung real wird.

Dieser Artikel wurde mithilfe von KI aus dem Englischen übersetzt. Die englische Originalversion ist die maßgebliche Quelle; automatische Übersetzungen können Ungenauigkeiten enthalten, insbesondere bei rechtlicher und regulatorischer Terminologie.

Tags in diesem Artikel