In diesem Artikel
Am 30. März 2026 publizierte Google ein Paper, das die Mathematik veränderte
Ein Team von Google Quantum AI — gemeinsam mit Stanford-Kryptograph Dan Boneh und Ethereum-Foundation-Forscher Justin Drake — veröffentlichte ein Whitepaper mit dem Titel Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities. Das Paper hat Bitcoin nicht gebrochen. Es zeigte mit präzisen Zahlen, wie viel näher diese Möglichkeit gerückt ist.
Die bisher beste Schätzung für das Brechen von Bitcoins Kryptografie verlangte Millionen physischer Qubits. Googles Paper brachte diese Zahl unter 500 000. Eine 20-fache Reduktion. Und sie zeigten via Zero-Knowledge-Proof, dass ihr Ansatz funktioniert — ohne den Angriff selbst zu offenbaren.
Wenn du Bitcoin hältst, zählt das. Nicht weil du heute handeln musst, sondern weil das Zeitfenster für Handeln gerade kürzer wurde.
TL;DR
Googles Paper vom 30. März 2026 reduzierte die geschätzten Kosten für das Brechen von Bitcoins ECDSA um das 20-Fache — von Millionen physischer Qubits auf unter 500 000 (oder ~1 200 logische Qubits nach Fehlerkorrektur). Kein Quantencomputer kann Bitcoin heute brechen: die grössten existierenden Maschinen haben ~1 000 verrauschte Qubits, eine ~500-fache Lücke. Die Risikofläche umfasst rund 3,7 Mio. BTC in Legacy-P2PK- und wiederverwendeten P2PKH-Adressen mit sichtbaren Public Keys. Moderne Adresstypen (P2WPKH, P2TR) verbergen den Public Key bis zum Spend. Bitcoin-Core-Entwickler entwerfen BIP-360 / BIP-361 für eine gestufte Post-Quanten-Migration. SHA-256 und Proof of Work sind nicht bedroht — Grovers Algorithmus halbiert nur die effektive Hash-Sicherheit, immer noch rechnerisch unmöglich. Googles interner Post-Quanten-Migrations-Termin: 2029.
Was Google tatsächlich publiziert hat
Das Paper ist von Ryan Babbush und Kollegen bei Google Quantum AI, mit Beiträgen von Dan Boneh in Stanford und Justin Drake an der Ethereum Foundation in Zug. Keine Aussenstehenden, die spekulieren. Sie bauen Quanten-Hardware und entwerfen kryptografische Standards.
Kernfund: Shors Algorithmus — der Quantenalgorithmus, der Elliptic Curve Cryptography bricht — kann Bitcoins 256-Bit-ECDLP (Elliptic Curve Discrete Logarithm Problem) mit unter 1 200 logischen Qubits und 90 Mio. Toffoli-Gates lösen. Eine alternative Konfiguration nutzt unter 1 450 logische Qubits mit 70 Mio. Toffoli-Gates.
Übersetzt auf physische Hardware mit aktuellen supraleitenden Architekturen und Fehlerraten von 10^-3: unter 500 000 physische Qubits. Frühere Schätzungen lagen im Millionenbereich.
Die Ausführungszeit ist gleich auffällig. Auf einem schnell taktenden CRQC (cryptographically relevant quantum computer) würde der Angriff etwa 9 Minuten dauern. Bitcoins Block-Zeit beträgt 10 Minuten. Die Autoren adressieren diese Überlappung direkt.
Ein Detail, das es zu verstehen lohnt: Das Team nutzte einen Zero-Knowledge-Proof, um seine Resultate zu verifizieren. Sie demonstrierten, dass der Ansatz funktioniert, ohne die spezifischen Optimierungen offenzulegen. Verantwortliche Offenlegung angewendet auf Quanten-Kryptanalyse — Verwundbarkeit beweisen, der Community Zeit für Reaktion geben, kein Bauplan herausgeben.
Ein separates Paper (Cain et al., arXiv:2603.28627) erreichte ähnliche Schlussfolgerungen mit anderer Architektur — Neutralatom-Qubits — was zeigt, dass die Realisierbarkeit nicht an einen einzigen Hardware-Pfad gebunden ist. Ihre Analyse zeigt, dass Shors Algorithmus mit nur 10 000 rekonfigurierbaren atomaren Qubits möglich ist — bei Fehlerraten unter 10^-4 und Kohärenzzeiten in Sekunden, die noch kein System erreicht.
Wie Bitcoins Kryptografie exponiert wird
Bitcoin nutzt ECDSA (Elliptic Curve Digital Signature Algorithm) zum Eigentumsnachweis. Jede Bitcoin-Wallet hat einen Privatschlüssel und einen entsprechenden Public Key. Der Privatschlüssel signiert Transaktionen. Der Public Key verifiziert sie. Sicherheitsannahme: aus einem Public Key ist es rechnerisch unmöglich, den Privatschlüssel abzuleiten. Tieferer Blick auf Schlüssel und BIP39-Seed-Sicherheit. Klassische Computer schaffen das nicht in sinnvollem Zeitrahmen. Quantencomputer mit Shors Algorithmus schon.
Aber hier zählen die Details. Dein Public Key ist nicht immer auf der Blockchain sichtbar. Wann und wie er sichtbar wird, bestimmt dein Risiko.
On-Spend-Angriffe sind die unmittelbarste Bedrohung. Wenn du eine Bitcoin-Transaktion broadcastest, wird dein Public Key im Mempool sichtbar — dem Wartebereich, wo unbestätigte Transaktionen vor dem Mining sitzen. Ein Quantenangreifer, der den Mempool überwacht, hätte rund 9 bis 12 Minuten Zeit, deinen Privatschlüssel aus dem Public Key abzuleiten, eine konkurrierende Transaktion zu bauen und Mittel zu stehlen. Dieses Fenster deckt sich unangenehm gut mit Bitcoins Block-Zeit.
At-Rest-Angriffe zielen auf schlafende Wallets, deren Public Key bereits On-Chain sichtbar ist. Frühe Bitcoin-Adressen (P2PK-Format, 2009 bis ca. 2012) speichern den Public Key direkt. Geschätzte 3,7 Mio. BTC sitzen in solchen Adressen. Ein Quantenangreifer muss nicht auf eine Transaktion warten — der Public Key ist schon da. Diese Coins sind jederzeit angreifbar, ohne Zeitdruck.
On-Setup-Angriffe sind die exotischste Kategorie. Sie zielen auf fixe Protokoll-Parameter — die elliptischen Kurven-Konstanten selbst. Das Google-Paper adressiert das, betrachtet es jedoch als nachrangigen Vektor.
Tieferes Verständnis von Bitcoin-Transaktionen und der Beziehung zwischen Schlüsseln und Adressen: Senden & Empfangen Bitcoin und Technical Deep Dive.
Warum das noch kein Notfall ist
Die Zahlen aus Googles Paper sind real. Genauso real ist die Lücke zwischen dem, was heute existiert, und dem, was das Paper beschreibt.
Die grössten Quantencomputer in Betrieb haben etwa 1 000 verrauschte Qubits. Googles Angriff verlangt 500 000 physische Qubits mit Fehlerraten 10^-3 — nur eine von tausend Quantenoperationen darf fehlschlagen. Aktuelle Systeme sind weit von dieser Zuverlässigkeit im Mass entfernt.
Eine 500-fache Lücke allein in der Qubit-Zahl, bevor Fehlerkorrektur einbezogen ist. Eine Maschine mit 500 000 Hochqualitäts-Qubits zu bauen ist eine Engineering-Herausforderung, die niemand gelöst oder öffentlich nahe daran zu lösen behauptet hat.
Googles eigener interner Migrationstermin ist 2029. Sie bereiten ihre Systeme bis dahin auf Post-Quanten-Kryptografie vor — nicht weil sie bis dann einen funktionierenden CRQC erwarten, sondern weil sie das Risiko in den darauffolgenden Jahren als nicht-trivial einschätzen. Das ist eine Firma, die Quanten-Hardware baut. Ihre Zeitlinie spiegelt ihre Sicht auf Erreichbares.
Aber hier der Teil, der dich aufmerksam halten sollte: Die 20-fache Verbesserung in diesem Paper geschah in nur wenigen Jahren. Die früheren Schätzungen wurden publiziert, debattiert und breit als Beweis zitiert, dass Quantenangriffe auf Bitcoin Jahrzehnte entfernt seien. Dann verschob ein einziges Paper das Ziel um eine Grössenordnung. Angriffe werden besser. Sie werden nicht schlechter.
Die ehrliche Einordnung: Bitcoin ist heute nicht in Gefahr. Es muss seine Kryptografie innerhalb des nächsten Jahrzehnts upgraden. Das Fenster ist in Jahren bemessen, nicht in Monaten — aber es ist nicht unbefristet.
Das 3,7-Millionen-Bitcoin-Problem
Nicht alle Bitcoin-Adressen sind gleich exponiert. Das Risiko konzentriert sich auf eine spezifische Kategorie: P2PK-(Pay-to-Public-Key-)Adressen aus Bitcoins frühesten Jahren.
Zwischen 2009 und ca. 2012 nutzten Bitcoin-Transaktionen ein Format, das den vollen Public Key direkt auf der Blockchain speicherte. Satoshi Nakamotos eigene Coins liegen in P2PK-Adressen. Geschätzte 3,7 Mio. BTC — bei aktuellen Preisen Hunderte Milliarden Dollar wert — sitzen in solchen Adressen mit dauerhaft sichtbaren Public Keys.
Viele dieser Coins haben sich seit über einem Jahrzehnt nicht bewegt. Privatschlüssel könnten verloren sein. Besitzer könnten unerreichbar oder verstorben sein. Diese Coins können nicht zu quantensicheren Adressen migriert werden, weil niemand die Transaktion zur Bewegung signieren kann.
Das wirft eine unangenehme Policy-Frage auf, die das Google-Paper explizit aufwirft: Was passiert, wenn ein Quantencomputer mächtig genug wird, diese Privatschlüssel abzuleiten? Ist das Diebstahl? Ist es „digitales Bergen" — das Quanten-Äquivalent zum Bergen versunkener Schätze? Das Paper beantwortet die Frage nicht. Es flaggt sie für die Community zur Debatte.
Wahrscheinlich nicht deine Situation. Wenn du deine Wallet nach 2012 mit Standard-Wallet-Software erstellt hast, nutzt dein Bitcoin fast sicher moderne Adressformate: P2PKH, P2SH, P2WPKH (SegWit) oder P2TR (Taproot). Diese hashen den Public Key, bevor er On-Chain landet. Dein Public Key wird erst beim Spend offenbart — nicht während Coins ruhen. Schlafende moderne Wallets sind nicht für At-Rest-Quantenangriffe verwundbar.
Was Core-Entwickler bereits bauen
Bitcoins Entwickler warten nicht auf einen Quanten-Notfall. Post-Quanten-Kryptografie-(PQC-)Forschung ist seit Jahren in der Bitcoin-Entwickler-Community aktiv, und Googles Paper hat diese Arbeit beschleunigt.
NIST (das US-National Institute of Standards and Technology) finalisierte 2024 seinen ersten Satz Post-Quanten-Kryptografie-Standards. Diese Algorithmen — darunter CRYSTALS-Dilithium für digitale Signaturen und CRYSTALS-Kyber für Key Encapsulation — sind so designed, dass sie sowohl klassischen als auch Quantenangriffen widerstehen.
Für Bitcoin involviert der Migrationspfad mehrere BIPs, die quantenresistente Signaturschemata einführen würden. Die technischen Herausforderungen sind real:
Signaturgrösse. Post-Quanten-Signaturen sind deutlich grösser als ECDSA-Signaturen. Eine CRYSTALS-Dilithium-Signatur hat etwa 2 420 Bytes gegen ECDSAs ~72 Bytes. Direkte Implikationen für Block-Space, Transaktionsgebühren und Netzwerk-Durchsatz.
Konsens-Änderungen. Jede Änderung an Bitcoins Signaturschema erfordert einen Soft Fork oder Hard Fork — ein Protokoll-Upgrade, das jeder Node im Netzwerk übernehmen muss. Bitcoins Upgrade-Prozess ist absichtlich konservativ. Das SegWit-Upgrade dauerte Jahre von Vorschlag bis Aktivierung.
Rückwärtskompatibilität. Existierende UTXOs, durch ECDSA geschützt, brauchen einen Migrationspfad. Nutzer müssen aktiv Mittel auf neue quantenresistente Adresstypen bewegen. Das geht nicht automatisch.
Die Arbeit läuft. Zwei Vorschläge — BIP-360 (quantensichere Adressen) und BIP-361 (gestufter Migrationsplan, der irgendwann verwundbare Coins einfriert) — sind in Draft mit funktionierendem Testnet. Vollständige Analyse, was diese Vorschläge für Halter bedeuten: BIP-360 und BIP-361: Bitcoins Quanten-Upgrade-Pfad.
Was Bitcoin-Halter jetzt tun sollten
Keine Panik. Kein Quantencomputer kann Bitcoins Kryptografie heute brechen. Die Lücke zwischen aktueller Hardware und dem Benötigten ist enorm. Du hast Zeit.
Adressen nicht wiederverwenden. Jedes Mal, wenn du Bitcoin an dieselbe Adresse empfängst und davon ausgibst, wird dein Public Key für diese Adresse On-Chain sichtbar. Eine frische Adresse pro Transaktion minimiert das Sichtbarkeits-Fenster. Jede moderne Wallet generiert Adressen automatisch — sicherstellen, dass deine es tut.
Moderne Adresstypen verwenden. Falls deine Wallet noch Legacy-Adressen generiert (beginnen mit „1"), zu einer Wallet wechseln, die SegWit (Adressen beginnend mit „bc1q") oder Taproot (Adressen beginnend mit „bc1p") unterstützt. Diese Formate hashen den Public Key — er bleibt verborgen bis zum Spend. Die meisten Hardware-Wallets und seriösen Software-Wallets nutzen diese Formate by default. Die Bitcoin-Wallet-Anleitung Schweiz führt durch die richtige Wallet-Auswahl.
Alte Wallets prüfen. Wenn du seit den frühen Tagen dabei bist und Coins in P2PK-Adressen hast, sie zu modernem Adressformat bewegen. Der konkreteste Schritt für frühe Adopter.
Informiert bleiben. Bitcoin-Core-Mailingliste und BIP-Diskussionen verfolgen. Wenn Post-Quanten-Signaturvorschläge reif werden, muss die Community ein Upgrade koordinieren. Verständnis der Zeitlinie hilft, vorbereitet zu sein.
Keine finanziellen Entscheidungen aus Quantenangst. Die Fundamentaldaten von Bitcoin — Geldpolitik, Dezentralisierung, Settlement-Garantien — sind unverändert. Die Kryptografie braucht ein Upgrade. Ein bekanntes, traktierbares Engineering-Problem mit aktiver Lösungsarbeit.
Mehr zu Wallet-Sicherheit: Wallets — Sicherheit. Privatsphäre-Praktiken, die auch Quanten-Exposure reduzieren: Bitcoin-Privatsphäre.
Quellen
- Babbush, R. et al., „Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities", Google Quantum AI Whitepaper, 30. März 2026
- Cain, M. et al., „Shor's algorithm is possible with as few as 10,000 reconfigurable atomic qubits", arXiv:2603.28627
- Google Research Blog, „Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly", März 2026
Neu bei Bitcoin? Beginne mit Kapitel 1 — es dauert 8 Minuten zu lesen und gibt das Fundament, alles in diesem Artikel zu verstehen.
Bereits Halter? Wallet-Sicherheit prüfen — sicherstellen, dass moderne Adresstypen genutzt werden und Adressen nicht wiederverwendet werden. Diese zwei Gewohnheiten sind heute der beste Schutz.
