Ich arbeite im Krypto-Selbstverwahrungs-Bereich. Eine Frage kommt seit April täglich rein: Macht Googles neues Quanten-Paper meine Bitcoin wertlos? Die kurze Antwort liegt zwischen den Schlagzeilen und dem Achselzucken.
Ein Team rund um Ryan Babbush, Dan Boneh, Justin Drake und Hartmut Neven veröffentlichte am 30. März 2026 unter arXiv:2603.28846 das Paper Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities. Sie brachen Bitcoin nicht. Sie rechneten vor, wie viel näher diese Möglichkeit gerückt ist, und nannten Zahlen.
Das vollständige Whitepaper liegt bei Google: quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf.
TL;DR
Googles Paper vom 30. März 2026 (arXiv:2603.28846) reduziert die geschätzten Kosten für das Brechen von Bitcoins ECDSA um den Faktor 20, von Millionen physischer Qubits auf unter 500 000 (oder rund 1 200 logische Qubits nach Fehlerkorrektur). Kein Quantencomputer kann Bitcoin heute brechen. Die grössten existierenden Maschinen haben rund 1 000 verrauschte Qubits, eine rund 500-fache Lücke. Rund 3,7 Mio. BTC in Legacy-P2PK- und wiederverwendeten P2PKH-Adressen sind am stärksten exponiert. Moderne Adresstypen (P2WPKH, P2TR) verbergen den Public Key bis zum Spend. Bitcoin-Core-Entwickler entwerfen BIP-360 und BIP-361 für eine gestufte Post-Quanten-Migration. SHA-256 und Proof of Work bleiben unberührt. NIST plant Deprecation bis 2030, Sperrung bis 2035.
Was das Paper tatsächlich zeigt
Das Paper stammt von Ryan Babbush, Mark Broughton, Nikita Khattar und Hartmut Neven bei Google Quantum AI, zusammen mit Stanford-Kryptograph Dan Boneh, Ethereum-Foundation-Forscher Justin Drake sowie Isaac Kim, Elan Sela und Volker Bergamaschi. Keine Spekulanten. Leute, die Quanten-Hardware bauen und kryptografische Standards mitgestalten.
Der Kernfund: Shors Algorithmus löst Bitcoins 256-Bit-ECDLP (Elliptic Curve Discrete Logarithm Problem) mit unter 1 200 logischen Qubits und 90 Mio. Toffoli-Gates. Eine alternative Konfiguration nutzt unter 1 450 logische Qubits mit 70 Mio. Toffoli-Gates. Auf physische supraleitende Hardware mit Fehlerraten 10^-3 übersetzt: unter 500 000 physische Qubits. Frühere Schätzungen lagen bei 13 bis 317 Mio. Eine Grössenordnung besser.
Die Ausführungszeit fällt ebenso auf. Auf einem schnell taktenden CRQC (cryptographically relevant quantum computer) liefe der Angriff in wenigen Minuten. Bitcoins Block-Zeit beträgt 10 Minuten. Die Autoren adressieren diese Überlappung direkt.
Ein methodisches Detail. Das Team nutzte einen Zero-Knowledge-Proof, um seine Resultate zu verifizieren. Sie zeigen, dass der Ansatz funktioniert, ohne die spezifischen Optimierungen offenzulegen. Verantwortliche Offenlegung, angewendet auf Quanten-Kryptanalyse: Verwundbarkeit beweisen, der Community Zeit für Reaktion geben, keinen Bauplan herausgeben.
Ein separates Paper (Cain et al., arXiv:2603.28627) kommt zu ähnlichen Schlüssen mit Neutralatom-Qubits. Die Erreichbarkeit hängt also nicht an einem einzigen Hardware-Pfad. Ihre Analyse zeigt, dass Shors Algorithmus mit nur 10 000 rekonfigurierbaren atomaren Qubits möglich ist, bei Fehlerraten unter 10^-4 und Kohärenzzeiten in Sekunden, die noch kein System erreicht. IACR ePrint 2026/625 analysiert beide Papers unabhängig und kommt zum selben Ergebnis.
Wie Bitcoins Kryptografie exponiert wird
Bitcoin nutzt ECDSA zum Eigentumsnachweis. Jede Wallet hat einen Privatschlüssel und einen entsprechenden Public Key. Der Privatschlüssel signiert Transaktionen. Klassische Computer schaffen die Umkehrrechnung nicht in sinnvollem Zeitrahmen. Quantencomputer mit Shors Algorithmus schon. Tieferer Blick auf Schlüssel und BIP39-Seed-Sicherheit.
Die Details zählen. Dein Public Key liegt nicht ständig auf der Blockchain. Wann er auftaucht, bestimmt dein Risiko.
On-Spend-Angriffe sind die unmittelbarste Bedrohung. Wenn du eine Bitcoin-Transaktion broadcastest, wird dein Public Key im Mempool sichtbar. Ein Quantenangreifer, der den Mempool überwacht, hätte wenige Minuten Zeit, deinen Privatschlüssel abzuleiten, eine konkurrierende Transaktion zu bauen und Mittel zu stehlen. Dieses Fenster deckt sich mit Bitcoins Block-Zeit.
At-Rest-Angriffe zielen auf schlafende Wallets, deren Public Key bereits on-chain sichtbar ist. Frühe Bitcoin-Adressen (P2PK-Format, 2009 bis ca. 2012) speichern den Public Key direkt. Geschätzte 3,7 Mio. BTC sitzen in solchen Adressen. Ein Quantenangreifer muss nicht auf eine Transaktion warten. Diese Coins sind jederzeit angreifbar, ohne Zeitdruck.
On-Setup-Angriffe zielen auf fixe Protokoll-Parameter, die elliptischen Kurven-Konstanten selbst. Das Paper adressiert das, betrachtet es jedoch als nachrangigen Vektor.
Tieferes Verständnis der Schlüssel-Adressen-Beziehung: Senden und Empfangen Bitcoin und Technical Deep Dive.
Warum das noch kein Notfall ist
Die Zahlen aus Googles Paper sind real. Genauso real ist die Lücke zwischen dem, was heute existiert, und dem, was das Paper beschreibt.
Die grössten Quantencomputer in Betrieb haben rund 1 000 verrauschte Qubits. Googles Angriff verlangt 500 000 physische Qubits mit Fehlerraten 10^-3. Nur eine von tausend Quantenoperationen darf fehlschlagen. Aktuelle Systeme liegen weit von dieser Zuverlässigkeit im Mass.
Zum Vergleich. Die bisher grösste reale Shor-Faktorisierung gelang 2012 mit der Zahl 21. Nicht einem RSA-Schlüssel. Der Zahl 21. Der Abstand zwischen diesem Laborergebnis und einem CRQC, der Bitcoin-Schlüssel angreift, ist qualitativ, nicht quantitativ.
Eine 500-fache Lücke allein in der Qubit-Zahl, bevor Fehlerkorrektur einbezogen ist. Eine Maschine mit 500 000 Hochqualitäts-Qubits zu bauen ist eine Engineering-Herausforderung, die niemand gelöst oder öffentlich als bevorstehend angekündigt hat.
Hier kommt der Teil, der wach halten sollte. Die 20-fache Verbesserung in diesem Paper geschah in wenigen Jahren. Die früheren Schätzungen wurden publiziert, debattiert und breit als Beweis zitiert, dass Quantenangriffe auf Bitcoin Jahrzehnte entfernt seien. Dann verschob ein einziges Paper das Ziel um eine Grössenordnung. Angriffe werden besser. Sie werden nicht schlechter.
Bitcoin ist heute nicht in Gefahr. Bitcoin muss seine Kryptografie innerhalb des nächsten Jahrzehnts upgraden. Das Fenster zählt in Jahren, nicht in Monaten, und es ist nicht unbefristet.
Der NIST-Fahrplan setzt die Deadline
NIST, das US-National Institute of Standards and Technology, finalisierte am 13. August 2024 drei Post-Quanten-Standards: FIPS 203 (ML-KEM, Schlüsselaustausch), FIPS 204 (ML-DSA, digitale Signaturen) und FIPS 205 (SLH-DSA, zustandslose Hash-Signaturen). Diese Algorithmen widerstehen klassischen wie Quantenangriffen.
Der offizielle NIST-Migrationszeitplan ist konkret. Deprecation klassischer Verfahren bis 2030, vollständige Sperrung bis 2035. Für Bitcoin bedeutet das ein Upgrade-Fenster von unter zehn Jahren.
Googles interner Migrationstermin liegt bei 2029. Sie bereiten ihre Systeme auf Post-Quanten-Kryptografie vor, weil sie das Risiko in den darauffolgenden Jahren als nicht-trivial einschätzen, nicht weil sie bis dann einen funktionierenden CRQC erwarten. Eine Firma, die Quanten-Hardware baut, kennt die Engineering-Lücke besser als jeder Aussenstehende. Ihre Zeitlinie spiegelt ihre Sicht auf das Erreichbare.
Das 3,7-Millionen-Bitcoin-Problem
Bitcoin-Adressen tragen nicht alle dasselbe Risiko. Die Exposure konzentriert sich auf P2PK-(Pay-to-Public-Key-)Adressen aus Bitcoins frühesten Jahren.
Zwischen 2009 und ca. 2012 nutzten Bitcoin-Transaktionen ein Format, das den vollen Public Key direkt auf der Blockchain speicherte. Geschätzte 3,7 Mio. BTC, bei aktuellen Preisen Hunderte Milliarden Dollar wert, sitzen in solchen Adressen mit dauerhaft sichtbaren Public Keys.
Viele dieser Coins haben sich seit über einem Jahrzehnt nicht bewegt. Privatschlüssel könnten verloren sein. Besitzer könnten unerreichbar oder verstorben sein. Diese Coins lassen sich nicht zu quantensicheren Adressen migrieren, weil niemand die Transaktion zur Bewegung signieren kann.
Das Paper wirft eine Policy-Frage auf und flaggt sie explizit. Was passiert, wenn ein Quantencomputer mächtig genug wird, diese Privatschlüssel abzuleiten? Ist das Diebstahl? Ist es digitales Bergen, das Quanten-Äquivalent zum Bergen versunkener Schätze? Das Paper beantwortet die Frage nicht. Es übergibt sie der Community.
Wahrscheinlich nicht deine Situation. Wenn du deine Wallet nach 2012 mit Standard-Software erstellt hast, nutzt dein Bitcoin fast sicher moderne Adressformate: P2PKH, P2SH, P2WPKH (SegWit) oder P2TR (Taproot). Diese hashen den Public Key, bevor er on-chain landet. Dein Public Key zeigt sich erst beim Spend, nicht während Coins ruhen. Schlafende moderne Wallets bleiben unverwundbar für At-Rest-Quantenangriffe.
Was Core-Entwickler bereits bauen
Bitcoins Entwickler warten nicht auf einen Quanten-Notfall. Post-Quanten-Kryptografie-Forschung läuft seit Jahren, und Googles Paper hat diese Arbeit beschleunigt.
Für Bitcoin involviert der Migrationspfad mehrere BIPs, die quantenresistente Signaturschemata einführen würden. Die technischen Herausforderungen sind real.
Signaturgrösse. Post-Quanten-Signaturen liegen deutlich über ECDSA-Signaturen. Eine ML-DSA-Signatur (FIPS 204) wiegt etwa 2 420 Bytes gegen ECDSAs rund 72 Bytes. Direkte Implikationen für Block-Space, Transaktionsgebühren und Netzwerk-Durchsatz.
Konsens-Änderungen. Jede Änderung an Bitcoins Signaturschema erfordert einen Soft Fork oder Hard Fork, ein Protokoll-Upgrade, das jeder Node im Netzwerk übernehmen muss. Bitcoins Upgrade-Prozess ist bewusst konservativ. Das SegWit-Upgrade dauerte Jahre von Vorschlag bis Aktivierung.
Rückwärtskompatibilität. Existierende UTXOs, durch ECDSA geschützt, brauchen einen Migrationspfad. Nutzer müssen aktiv Mittel auf neue quantenresistente Adresstypen bewegen. Das geht nicht automatisch.
Zwei Vorschläge stehen in Draft mit funktionierendem Testnet: BIP-360 (quantensichere Adressen) und BIP-361 (gestufter Migrationsplan, der irgendwann verwundbare Coins einfriert). Vollständige Analyse, was diese Vorschläge für Halter bedeuten: BIP-360 und BIP-361: Bitcoins Quanten-Upgrade-Pfad.
Was Bitcoin-Halter jetzt tun sollten
Keine Panik. Kein Quantencomputer bricht Bitcoins Kryptografie heute. Die Lücke zwischen aktueller Hardware und dem Benötigten ist enorm. Du hast Zeit.
Adressen nicht wiederverwenden. Jedes Mal, wenn du Bitcoin an dieselbe Adresse empfängst und davon ausgibst, wird dein Public Key für diese Adresse on-chain sichtbar. Eine frische Adresse pro Transaktion minimiert das Sichtbarkeits-Fenster. Jede moderne Wallet generiert Adressen automatisch.
Moderne Adresstypen verwenden. Falls deine Wallet noch Legacy-Adressen generiert (beginnen mit „1"), wechsle zu einer Wallet, die SegWit (bc1q) oder Taproot (bc1p) unterstützt. Diese Formate hashen den Public Key. Er bleibt verborgen bis zum Spend. Die meisten Hardware-Wallets und seriösen Software-Wallets nutzen diese Formate by default. Die Bitcoin-Wallet-Anleitung Schweiz führt durch die richtige Auswahl.
Alte Wallets prüfen. Wenn du seit den frühen Tagen dabei bist und Coins in P2PK-Adressen hast, bewege sie zu modernem Adressformat. Der konkreteste Schritt für frühe Adopter.
Informiert bleiben. Verfolge die Bitcoin-Core-Mailingliste und BIP-Diskussionen. Wenn Post-Quanten-Signaturvorschläge reif werden, muss die Community ein Upgrade koordinieren. Verständnis der Zeitlinie hilft, vorbereitet zu sein.
Mehr zu Wallet-Sicherheit: Wallets und Sicherheit. Privatsphäre-Praktiken, die auch Quanten-Exposure reduzieren: Bitcoin-Privatsphäre.
Quellen
- Babbush, R., Boneh, D., Drake, J., Gidney, C., Zalcman, A., Broughton, M., Khattar, N., Neven, H., Bergamaschi, V. et al., Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities, Google Quantum AI Whitepaper, 30. März 2026. arXiv:2603.28846. Volltext: quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf
- Cain, M. et al., Shor's algorithm is possible with as few as 10,000 reconfigurable atomic qubits, arXiv:2603.28627
- IACR ePrint 2026/625, unabhängige Analyse beider Papers. eprint.iacr.org/2026/625
- NIST, Post-Quantum Cryptography Standards FIPS 203/204/205, finalisiert 13. August 2024. csrc.nist.gov/projects/post-quantum-cryptography
Neu bei Bitcoin? Beginne mit Kapitel 1, es dauert 8 Minuten zu lesen und gibt das Fundament, alles in diesem Artikel zu verstehen.
Bereits Halter? Wallet-Sicherheit prüfen, sicherstellen, dass moderne Adresstypen genutzt werden und Adressen nicht wiederverwendet werden.
