TL;DR
BIP-360 führt quantenresistente bc1z-Adressen via Soft Fork ein, mit einem neuen Pay-to-Merkle-Root-(P2MR-)Output und CRYSTALS-Dilithium-Signaturen unter Anwendung des SegWit-Witness-Discounts — ohne ihn würden Post-Quanten-Transaktionen ~200 USD kosten, weil Dilithium-Signaturen 33-mal grösser sind als ECDSA. BIP-361 schichtet eine gestufte Migration darauf: ankündigen, Legacy-Coins nach Frist einfrieren (inklusive Satoshis ~1,1 Mio. BTC in P2PK), dann Zero-Knowledge-Proof-Recovery für BIP-39-abgeleitete Wallets. Beide Vorschläge sind in Draft (Feb 2026) mit lebendigem Testnet — 50+ Miner, 100 000+ Blöcke, 100+ Beitragende. Deployment voraussichtlich 2–4 Jahre nach Konsens, gegen Googles internen 2029-Termin und McKinseys 2027–2030-Realisierbarkeitsfenster. Die Community ist gespalten über die Ethik-Schicht des BIP-361-Freeze-Schritts. Halter auf modernen Adresstypen (P2WPKH bc1q, P2TR bc1p) ohne Adress-Wiederverwendung sind heute nicht At-Rest-verwundbar.
BIP-360: Quantensichere Adressen für Bitcoin
BIP-360 ist der Bauplan. Er definiert, wie Bitcoin Post-Quanten-Kryptografie hinzufügen kann, ohne das existierende Protokoll zu brechen.
Verfasst von Hunter Beast, Ethan Heilman und Isabel Foxen Duke, führt der Vorschlag einen neuen Output-Typ namens Pay-to-Merkle-Root (P2MR) ein. Er nutzt SegWit Version 2 Outputs mit neuem Adress-Encoding: bc1z (bech32m). Wer bc1q (SegWit) oder bc1p (Taproot) Adressen kennt — das folgt derselben Progression.
Was P2MR ändert: Taproot (BIP-341) erlaubt zwei Spend-Wege — einen schnellen Keypath-Spend mit dem Public Key direkt, oder einen Scriptpath-Spend via Merkle-Tree von Skripten. Der Keypath ist effizient, aber quanten-verwundbar, weil er den Public Key offenbart. P2MR entfernt den Keypath ganz. Jeder Spend läuft über die Merkle-Root des Skript-Trees. Der Public Key erscheint im Normalbetrieb nie On-Chain.
Signaturschemata: BIP-360 aktiviert fünf neue Opcodes für CRYSTALS-Dilithium-(ML-DSA-)Post-Quanten-Signaturen. Sie basieren auf Lattice-Problemen, die kein Quantenalgorithmus effizient lösen kann. Der Trade-off ist Grösse: eine Dilithium-Signatur ist ca. 2 420 Bytes gegen ~72 Bytes für eine Standard-ECDSA-Signatur. 33-mal grösser.
Zwei weitere Schemata spielen unterstützende Rollen. FALCON wird wegen seines Signatur-Aggregations-Potenzials priorisiert — die Fähigkeit, mehrere Signaturen zu einer zusammenzufassen, was kritisch wird, wenn Signaturen so gross sind. SPHINCS+ dient als konservativer Fallback auf Hash-Funktion-Basis statt Lattice-Mathematik und bietet eine andere Sicherheitsannahme.
Ein Kandidat fiel weg. SQIsign auf Isogenie-Basis wurde verworfen, nachdem Benchmarks zeigten, dass es 15 000-mal langsamer als ECC-Verifikation ist. Theoretische Eleganz hilft nicht, wenn ein Full Node Blöcke nicht in vernünftiger Zeit validieren kann.
Testnet-Status: BTQ Technologies launchte Testnet v0.3.0 am 19. März 2026. Per Veröffentlichung hat es 50+ Miner angezogen, über 100 000 Blöcke produziert und 100+ Beitragende einbezogen. Alle fünf Dilithium-Opcodes sind aktiviert und funktional. Der Vorschlag erhält Kompatibilität mit Lightning-Network, BitVM und Ark.
Tieferer Blick auf Bitcoins Skript-System und wie Taproot die Grundlage dafür legte: Technical Deep Dive.
BIP-361: Der Freeze-Vorschlag, der die Community spaltete
BIP-361 ist die schwerere Konversation. Er fragt: was tun wir mit den Coins, die nicht migriert werden können?
Co-verfasst von Jameson Lopp (CTO von Casa) und fünf weiteren Beitragenden, wurde BIP-361 am 11. Februar 2026 formell zugewiesen. Er adressiert 6,9 Mio. BTC in quanten-verwundbaren Adresstypen — rund 34 % der zirkulierenden Versorgung.
Die Aufschlüsselung: ca. 1,7 Mio. BTC in P2PK-Adressen, dem frühesten Format Bitcoins (2009 bis ca. 2012). Diese speichern den Public Key direkt On-Chain — sofort verwundbar, sobald ein hinreichend mächtiger Quantencomputer existiert. Von diesen 1,7 Mio. werden geschätzte 1,1 Mio. BTC Satoshi Nakamoto zugeschrieben.
Die verbleibenden ~5,2 Mio. BTC sitzen in anderen Legacy-Adresstypen mit unterschiedlichem Exposure-Grad — Adressen, deren Public Key durch frühere Transaktionen oder Adress-Wiederverwendung offenbart wurde.
Der Drei-Phasen-Plan:
Phase A — 3 Jahre nach Aktivierung: Neue Bitcoin können nicht mehr an Legacy-Adresstypen gesendet werden. Eine weiche Frist. Du kannst noch aus Legacy-Adressen ausgeben, das Netzwerk akzeptiert aber keine neuen Einzahlungen mehr. Eine Einbahnstrasse, die Adoption von bc1z-Adressen vorantreibt.
Phase B — 5 Jahre nach Aktivierung: Legacy-ECDSA- und Schnorr-Signaturen werden vollständig deprecated. Bitcoin in Legacy-Adressen wird eingefroren. Bewegung mit alten Signaturschemata nicht mehr möglich. Der harte Freeze.
Phase C — Nach Phase B: Ein Zero-Knowledge-Proof-Recovery-Mechanismus aktiviert sich. Wer die Frist verpasste, aber noch die Seed-Phrase hat (BIP-39 oder später), kann Eigentum der eingefrorenen Coins beweisen und sie auf eine quantensichere Adresse migrieren. Funktioniert, weil man Schlüsselkenntnis ohne Schlüssel-Offenbarung beweisen kann. Aber Haken: Coins mit Pre-BIP-39-Schlüsselformaten profitieren nicht. Das schliesst Satoshis Coins ein.
Kontext zu schlafenden Coins, Erbschaftsplanung und verlorenem Zugang im Zusammenspiel mit diesem Vorschlag: Bitcoin-Erbschaft.
Die Community ist gespalten.
Jameson Lopp, der prominenteste Befürworter, formulierte es direkt: „Es ist besser, 5,6 Mio. BTC einzufrieren, als sie Hackern zu überlassen."
Adam Back, CEO von Blockstream und einer der im Bitcoin-Whitepaper Erwähnten, widersprach. Er bevorzugt freiwillige, optionale Upgrades — keinen protokoll-erzwungenen Freeze. Der Unterschied zählt: ein Ansatz vertraut den Haltern, rechtzeitig zu handeln; der andere akzeptiert, dass viele es nicht tun, und erzwingt die Sache.
Brian Trollz, Editor bei Bitcoin Magazine, lehnte den Vorschlag rundheraus ab.
Phil Geiger von Metaplanet erfasste das Paradox: „Wir müssen Geld stehlen, um zu verhindern, dass es gestohlen wird."
Charles Hoskinson, Cardano-Gründer, lieferte Aussenkritik: „Bitcoins Quanten-Fix ist ein Hard Fork, der Satoshis Coins nicht retten kann." (Zur Klarstellung: BIP-360 und BIP-361 sind als Soft Forks designed, nicht als Hard Forks — ob der Freeze in sozialer Hinsicht einen De-facto-Hard-Fork darstellt, ist eigene Debatte.)
Was es ohne Soft Fork kostet
Die Zahlen erklären, warum BIP-360 als dedizierter Vorschlag existiert statt als Anbau an das bestehende Transaktionsformat.
Eine CRYSTALS-Dilithium-Signatur ist ca. 2 420 Bytes. Eine Standard-ECDSA-Signatur ca. 72 Bytes. 33-fache Grössenzunahme. In einem System mit fixem Block-Space von rund 4 MB pro Block ist diese Zunahme keine Unannehmlichkeit — sie ist ein strukturelles Problem.
Bei aktuellen Gebührenraten und ohne Protokoll-Optimierung würde eine einzelne quantensichere Transaktion etwa 200 USD oder mehr kosten. Das macht Post-Quanten-Bitcoin für gewöhnliche Transaktionen unbrauchbar. Du könntest Ersparnisse sichern, aber sie nicht ausgeben, ohne einen signifikanten Gebührenanteil zu verbrennen.
BIP-360 adressiert das mit einer optimierten Witness-Struktur spezifisch für P2MR-Outputs. Der SegWit-Witness-Discount — der Signaturdaten ohnehin 75 % Gebührenreduktion gegen andere Transaktionsdaten gibt — gilt unter diesem Vorschlag auch für Post-Quanten-Signaturen. Ohne diesen Discount wäre das Kostenbild noch schlechter.
Die längerfristige Lösung ist Signatur-Aggregation mit FALCON. Können mehrere Signaturen in einem Block zu einem einzigen Beweis kombiniert werden, sinkt der Pro-Transaktion-Overhead drastisch. Analog zur Funktionsweise der Schnorr-Signatur-Aggregation für aktuelle Bitcoin-Transaktionen, aber adaptiert für Post-Quanten-Mathematik. FALCONs algebraische Struktur ermöglicht das, wo Dilithium das nicht tut — weshalb beide Schemata trotz Dilithiums Primärrolle als Signer im Vorschlag sind.
Was institutionelle Halter vorbereiten sollten
Heute ist keine Aktion erforderlich. Beide Vorschläge sind in Draft. Keiner ist in den Aktivierungsprozess eingetreten, und Bitcoins Konsens-Mechanik bedeutet Jahre Review, Test und Community-Debatte vor jeder Live-Änderung.
Trotzdem ist die Richtung gesetzt. Wenn Konsens entsteht — und das funktionierende Testnet deutet auf Momentum hin — müssen Custodians und institutionelle Halter Schlüssel-Rotation und Adress-Migration planen. Kein passives Upgrade. Jede UTXO muss auf einen neuen Adresstyp bewegt werden. Für Institutionen, die Bitcoin über Hunderte oder Tausende Adressen halten, ist das ein erhebliches operatives Unterfangen.
Schweizer Halter sollten beachten: FINMAs Regulierungsrahmen referenziert bereits NIST-Post-Quanten-Kryptografie-Standards. Derselbe CRYSTALS-Dilithium-Algorithmus in BIP-360 ist Teil von NISTs FIPS-204-Standard, finalisiert 2024. Es gibt regulatorische Ausrichtung, auch wenn die Bitcoin-spezifische Implementierung noch in Draft ist.
Aus meinem Bitcoin-Suisse-Sitz erwarte ich, dass die institutionelle Konversation in den nächsten 12–18 Monaten von „ob" zu „wann" wechselt — getrieben primär von Custodial-Audit-Anforderungen und Versicherungsüberlegungen.
Praktische Hinweise zur Sicherung deiner Bitcoin heute — unabhängig von Quanten-Zeitlinien — siehe Self-Custody-Anleitung und BIP39 Seed-Phrase-Sicherheit.
Was Bitcoin-Halter jetzt tun sollten
Die Quanten-Bedrohung ist real, aber nicht unmittelbar. Was heute zählt:
Adresstypen prüfen. Generiert deine Wallet Adressen beginnend mit bc1q (P2WPKH) oder bc1p (P2TR/Taproot), nutzt du moderne Formate. In der Theorie noch quanten-verwundbar, exponiert den Public Key aber erst beim Spend — gibt dir Zeit zur Migration, sobald quantensichere Adressen verfügbar sind. Bei Coins in sehr alten Adressformaten (besonders P2PK von 2009–2012) ist das Risiko höher. Vollständige Adresstyp-Aufschlüsselung: Wallets — Sicherheit.
Adressen nicht wiederverwenden. Jedes Mal, wenn du aus einer Adresse ausgibst, wird dein Public Key On-Chain offenbart. Frische Adressen pro Transaktion limitieren das Exposure-Fenster. Die meisten modernen Wallets erledigen das automatisch.
Seed-Phrase sicher halten. Aktiviert sich BIP-361 und du verpasst die Phasen-A- und -B-Fristen, hängt Phase-C-ZK-Recovery vollständig davon ab, dass du Eigentum der ursprünglichen Seed-Phrase beweisen kannst. Verlust bedeutet permanente Einfrierung. Gilt unabhängig von Quantencomputing — deine Seed-Phrase ist in jedem Szenario die letzte Verteidigungslinie.
Informiert bleiben, keine Panik. McKinsey schätzt Quantenangriffe zwischen 2027 und 2030 als realisierbar. Googles interner Quanten-Migrationstermin ist 2029. Die Bitcoin-Entwickler-Community bewegt sich, wie dieser Artikel dokumentiert. Die Zeitlinie ist in Jahren bemessen. Aber Jahre vergehen schnell, wenn Migration aktive Schritte jedes Halters verlangt.
Mehr zu Adress-Privatsphäre und Reduktion deiner On-Chain-Exposure: Bitcoin-Privatsphäre.
Quellen
- BIP-360 Draft — Hunter Beast, Ethan Heilman, Isabel Foxen Duke. „Pay to Merkle Root." Bitcoin Improvement Proposals, Februar 2026.
- BIP-361 Draft — Jameson Lopp et al. „Legacy Signature Sunset." Formell zugewiesen 11. Februar 2026.
- Google Quantum AI — Babbush et al. „Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." März 2026.
- NIST Post-Quanten-Kryptografie-Standards — FIPS 203 (ML-KEM), FIPS 204 (ML-DSA/Dilithium), FIPS 205 (SLH-DSA/SPHINCS+). Finalisiert 2024.
- BTQ Technologies — Testnet v0.3.0 Press Release, 19. März 2026.
- CoinDesk — Zitate von Jameson Lopp und Adam Back zur BIP-361-Debatte.
- Bitcoin Magazine — Brian Trollz redaktionelle Antwort auf BIP-361.
- McKinsey & Company — Quantencomputing-Realisierbarkeitsschätzungen, 2027–2030 Fenster.
Was als Nächstes kommt
Dieser Artikel deckte ab, was Bitcoin-Entwickler bauen. Für die zugrundeliegende Bedrohung — wie Googles Paper die Mathematik veränderte und was es für deine spezifische Wallet bedeutet — siehe Quantencomputer und Bitcoin: Was Halter wissen müssen.
Für die technischen Grundlagen, die diese Vorschläge ermöglichen, beginne mit Technical Deep Dive. Für praktische Schritte zur Sicherung deiner Bitcoin heute siehe Wallets — Sicherheit.
