Neha Narula, Direktorin der Digital Currency Initiative am MIT Media Lab, hat mit einem neuen Beitrag zur Post-Quanten-Sicherheit von Bitcoin eine gezielt pragmatische Debatte angestoßen. Ihre Kernthese: Das Netzwerk muss nicht sofort jede offene Grundsatzfrage lösen, um Nutzer schon heute auf einen realistischen Pfad in eine Ära mit kryptografisch relevanten Quantencomputern zu bringen.
P2MR als pragmischer Start für Bitcoin in die Quantenära
Narula argumentiert, Bitcoin solle jetzt eine „einmalige Möglichkeit“ schaffen, mit der Nutzer ihre Coins mit möglichst geringen Nebenwirkungen in einen quantensicheren Ausgabetyp überführen können. Entscheidend sei dabei nicht, schon heute jede Streitfrage eines möglichen „Q-Day“-Szenarios zu entscheiden. Wörtlich schreibt sie: „Wir sollten die schadensarmen, risikoarmen, nutzenstarken und sicherheitskritischen Maßnahmen JETZT umsetzen und die schadensträchtigen, risikoreichen Maßnahmen für SPÄTER aufheben, wenn wir mit größerer Sicherheit wissen, dass ein CRQC nahe ist.“ Damit verschiebt sie den Schwerpunkt weg von theoretischer Vollständigkeit hin zu operativer Umsetzbarkeit.
Als derzeit beste Option nennt sie P2MR aus BIP 360, kombiniert mit einem neuen Opcode für post-quantenfeste Signaturen. Die Logik dahinter ist klar umrissen: Nutzer könnten ihre Coins in einen Ausgabetyp verschieben, der auch dann sicher bleibt, wenn ein leistungsfähiger kryptografisch relevanter Quantencomputer auftaucht — vorausgesetzt, sie legen ihre nicht quantensicheren öffentlichen Schlüssel nicht offen und verwenden Adressen nicht erneut. Narula formuliert den Vorteil so: „Verschiebt eure Coins in diesen Ausgabetyp, und solange ihr euren nicht post-quantenfesten öffentlichen Schlüssel nicht offenlegt, werden eure Coins auch in Gegenwart eines CRQC sicher sein — selbst wenn es später keinen weiteren Soft Fork für Bitcoin gibt.“
Zugleich blendet sie die Kosten dieses Ansatzes nicht aus. P2MR beseitigt den sogenannten Key-Spend-Pfad von P2TR und nimmt damit einen Teil des Effizienz- und Privatsphäregewinns von Taproot zurück. Laut Narula leakt das „genau 1 zusätzliches Bit Information“ darüber, ob weitere Vertragsbedingungen existieren. Schwerer wiegt aus ihrer Sicht das Implementierungsrisiko: Wenn Wallets oder Custody-Setups innerhalb von P2MR weiter ECDSA- oder Schnorr-Schlüssel offenlegen, etwa durch Adresswiederverwendung, fällt der Sicherheitsgewinn faktisch weg. Dennoch hält sie den Tausch für vertretbar, weil Bitcoin damit einen sofort nutzbaren, technisch begrenzten und vergleichsweise sauberen Migrationspfad bekäme.
Warum Narula die harten Fragen später klären will
Der zweite Strang ihres Beitrags betrifft die Coins, die nicht migriert werden. Narula macht ausdrücklich auf die Differenz zwischen individueller und systemischer Sicherheit aufmerksam. Ein einzelner Nutzer kann seine Bestände absichern; ob Bitcoin als monetäres System robust bleibt, hängt aber auch davon ab, wie viele andere das ebenfalls tun. Sie nennt diese unbekannte Restmenge unsicherer Coins X. Ihre Spannbreite ist bewusst grob: X sei sicher größer als null und kleiner als 100 Prozent. Als Orientierungsmarken schreibt sie, bei nur 0,0001 Prozent unsicherer Coins werde Bitcoin „wahrscheinlich in Ordnung“ sein, bei 20 Prozent könne es „ziemlich chaotisch“ werden, auch wenn selbst dann ein Überlebenspfad nicht völlig ausgeschlossen sei.
Gerade weil diese Variable offen ist, will Narula die schwierigsten Entscheidungen vertagen. Das gelte insbesondere für Notfallmechanismen nach einem Q-Day, für „Escape-Hatch“-Konstruktionen oder für die Frage, was mit dauerhaft unberührten Beständen geschehen soll. Ihre Formulierung ist bemerkenswert direkt: „Am wichtigsten ist, dass wir jetzt nicht entscheiden müssen, was wir mit Menschen tun, die voraussichtlich überhaupt nicht auftauchen werden, um etwas zu unternehmen (Satoshis Coins), um Fortschritte zu machen.“ Zwar erwartet sie langfristig eine harte Debatte darüber, ob gefährdete Altbestände potenziell gestohlen, eingefroren oder anderweitig behandelt werden müssten. Für den jetzigen Fortschritt sei diese Entscheidung aber nicht notwendig.
Hinzu kommt ein praktisches Argument, das sich durch den gesamten Beitrag zieht: Mit einem aktivierten PQ-sicheren Ausgabetyp ließe sich erstmals reales On-Chain-Verhalten messen. Wer migriert, wäre sichtbar; X würde von einer theoretischen Größe zu einer beobachtbaren Kennzahl. Narula räumt ein, dass es valide Gegenargumente gibt — etwa die Sorge, P2MR sei für Wallets zu fehleranfällig, oder dass die „blaue“ sichere Teilmenge am Ende zu klein ausfallen könnte. Sie hält diese Einwände jedoch nicht für ausreichend, um nichts zu tun. In ihrer zugespitzten Selbstbeschreibung heißt es: „Ja. Ganz genau. Das ist meine Strategie im Leben als notorische Aufschieberin.“ Der ernsthafte Kern dahinter ist weniger Ironie als Priorisierung: erst den sicheren Ausgabetyp schaffen, dann mit besseren Daten und mehr Zeit über das politisch wie spieltheoretisch heikle Restproblem entscheiden.
Narulas Fahrplan verschiebt die Bitcoin-Quantenfrage damit von einem Alles-oder-nichts-Streit auf eine Reihenfolge von Maßnahmen. Erst ein Soft Fork für einen praktikablen, post-quantenfesten Ausgabetyp, dann Koordination bei Wallets, Layer-2-Systemen und Anwendungen, und erst später die Entscheidung über Altlasten, die sich nicht rechtzeitig bewegen. Für Marktteilnehmer und Infrastrukturbetreiber ist das vor allem eine Botschaft über Timing: Wer auf vollständige Gewissheit wartet, könnte wertvolle Vorlaufzeit verlieren.