Brace for impact: ECDLP challenges for quantum cryptanalysis

Die Autoren stellen eine abgestufte Reihe von Herausforderungen für das elliptische Kurven-Diskrete-Logarithmus-Problem auf der Bitcoin-Kurve vor, um den Fortschritt fehlertoleranter Quantencomputer zu messen und unter bestimmten Annahmen einen Zeitrahmen von 2027 bis 2033 für die erfolgreiche Kryptoanalyse vorherzusagen.

Das Wesentliche

🛡️ Der große Riss im digitalen Schloss: Ein neuer Maßstab für Quantencomputer

Stellen Sie sich vor, das Internet und unser Geld (wie Bitcoin) basieren auf einem riesigen, unzerstörbaren Schloss. Dieses Schloss wird durch eine spezielle mathematische Kurve (die „secp256k1") gesichert. Seit Jahren glauben wir, dass niemand dieses Schloss knacken kann, ohne den Schlüssel zu haben.

Aber es gibt eine neue Art von Werkzeug: den Quantencomputer. Dieser ist wie ein Meisterdieb, der nicht nur den Schlüssel sucht, sondern das Schloss selbst auflösen kann. Das Problem ist nur: Wir wissen nicht genau, wann dieser Dieb so stark sein wird, dass er das Schloss wirklich knacken kann.

Dieses Papier von der „Pauli Group" ist wie ein neues Maßband, das genau misst, wie nah wir an diesem gefährlichen Moment sind.

1. Das Problem: Zu viele Lücken im Maßband

Bisher gab es nur sehr grobe Messlatten. Man wusste: „Wenn der Computer groß genug ist, ist es vorbei." Aber man wusste nicht, ob er in 10 Jahren oder in 50 Jahren groß genug sein wird.

• Die alte Methode: Man hatte nur ein paar sehr große, sehr schwere Rätsel (wie Certicom-Challenges), die zu weit auseinander lagen. Es war wie ein Lineal, auf dem nur die Zahlen 10, 50 und 100 stehen. Dazwischen war alles unklar.
• Die neue Methode: Die Autoren haben ein Stufen-System (eine „Leiter") entwickelt. Sie nehmen die gleiche Kurve wie Bitcoin, machen sie aber immer kleiner.
  • Stufe 1: Ein winziges 6-Bit-Rätsel (das man fast mit dem Finger lösen kann).
  • Stufe 2: Ein 16-Bit-Rätsel.
  • ...
  • Stufe 100: Das riesige 256-Bit-Rätsel (das echte Bitcoin-Schloss).

Das ist wie ein Fitness-Test für Quantencomputer. Ein Computer muss erst die 6-Bit-Stufe schaffen, dann die 16-Bit-Stufe, und so weiter. Wenn er die 160-Bit-Stufe schafft, wissen wir: „Oh oh, das echte Bitcoin-Schloss ist in Gefahr."

2. Die Herausforderung: Ein „No-Go"-Rätsel

Ein großes Problem bei solchen Tests ist: Was, wenn der Rätselsteller den Schlüssel schon vorher gekannt hat? Dann ist der Test wertlos.
Die Autoren haben einen cleveren Trick angewendet: Sie nutzen einen deterministischen Algorithmus.

• Vergleich: Stellen Sie sich vor, Sie bauen ein Schloss, bei dem der Schlüssel aus dem Text „Quantum" und „Challenge" mathematisch abgeleitet wird. Niemand hat den Schlüssel vorher gewählt. Jeder kann nachrechnen, wie der Schlüssel entsteht. Wenn jemand das Schloss knackt, weiß die ganze Welt: „Wow, das war echte Leistung, kein Betrug."

3. Der Wettlauf: Klassische Computer vs. Quantencomputer

Das Papier vergleicht zwei Arten von Dieben:

• Der klassische Dieb (Normale Computer): Er versucht, das Schloss durch massives Raten zu knacken. Je größer das Schloss, desto länger dauert es. Bei Bitcoin (256 Bit) würde er so lange raten, bis das Universum alt ist. Er braucht also Milliarden von Jahren.
• Der Quanten-Dieb (Shor-Algorithmus): Er nutzt eine spezielle Quanten-Magie (den „Shor-Algorithmus"), um das Schloss viel schneller zu knacken. Aber er braucht dafür eine sehr teure Ausrüstung: Fehlerkorrigierte Quantenbits (logische Qubits).

Die Autoren haben berechnet, wie viel „Ausrüstung" (wie viele Qubits und wie viel Zeit) nötig ist, um jede Stufe der Leiter zu knacken.

4. Die Prognose: Wann passiert es?

Die Autoren haben verschiedene Szenarien durchgerechnet, je nachdem, wie gut die Hardware wird (wie bei einem neuen Auto, das schneller wird, je besser der Motor ist).

• Das Ergebnis: Sie schätzen, dass wir das echte Bitcoin-Schloss (256 Bit) wahrscheinlich zwischen 2027 und 2033 knacken können.
• Die Analogie: Es ist wie ein Wettrüsten. Die Quantencomputer-Hersteller (wie IBM, Google, Quantinuum) bauen gerade die Motoren. Die Kryptografen bauen die neuen Schlösser (Post-Quantum-Kryptografie).
• Die Warnung: Wenn die Quantencomputer die Stufe 160 oder 200 erreichen, müssen wir sofort handeln. Denn sobald ein Quantencomputer groß genug ist, kann er in wenigen Stunden Bitcoin-Adressen knacken, die heute offen liegen.

5. Was bedeutet das für uns? (Die „Migration")

Das Papier ist keine Panikmache, sondern ein Weckruf.

• Das Risiko: Wenn jemand heute Bitcoin-Adressen sieht, die öffentlich sind, und in 5 Jahren einen starken Quantencomputer hat, kann er das Geld stehlen.
• Die Lösung: Wir müssen unsere digitalen Währungen jetzt langsam auf ein neues, quanten-sicheres Schloss umziehen. Man nennt das „Migration".
• Der Plan: Man kann Bitcoin so upgraden, dass man erst einen neuen, sicheren Schlüssel hinterlegt, aber das alte Schloss noch nutzt. Wenn die Gefahr droht, schaltet man das alte Schloss ab und nutzt nur noch das neue.

Fazit in einem Satz

Dieses Papier baut eine transparente Leiter, an der wir ablesen können, wie nah Quantencomputer daran sind, unsere digitale Sicherheit zu knacken, und gibt uns einen klaren Zeitplan, um rechtzeitig auf neue, sichere Schlösser umzusteigen, bevor es zu spät ist.

Kurz gesagt: Wir bauen gerade eine Leiter, um zu sehen, wie hoch der Wasserstand steigt, damit wir rechtzeitig auf die höheren Stockwerke (Post-Quantum-Sicherheit) umziehen können, bevor das Wasser uns erreicht.

Technische Zusammenfassung

1. Problemstellung

Die elliptische Kurven-Kryptographie (ECC), insbesondere die auf der Bitcoin-Kurve secp256k1 ($y^2 = x^3 + 7 \pmod p$) basierende ECDSA, ist derzeit der Standard für digitale Signaturen und Blockchain-Sicherheit. Die Sicherheit dieser Systeme beruht auf der Schwierigkeit des Elliptic Curve Discrete Logarithm Problem (ECDLP).

Während Shors Algorithmus theoretisch in der Lage ist, dieses Problem auf einem fehlertoleranten Quantencomputer (FTQC) effizient zu lösen, fehlen der Community bisher präzise, skalierbare Benchmarks, um den Fortschritt früher FTQC-Systeme in diesem spezifischen Anwendungsbereich zu messen.

• Bestehende Benchmarks (wie die Certicom-ECC-Herausforderungen) sind zu lückenhaft, um jährliche Fortschritte zu erfassen.
• Aktuelle „Bitcoin-Puzzles" beschränken den Suchraum oft auf Intervalle, was sie für klassische Algorithmen (Pollard's Kangaroo) geeignet macht, aber nicht für Shors Algorithmus, der die volle Gruppenordnung benötigt.
• Es besteht ein dringender Bedarf an einer „Messlatte", die den Übergang von klassischen zu quantenbasierten Angriffen transparent macht und die Migration zu post-quanten-kryptographischen Signaturen (PQC) motiviert.

2. Methodik

Die Autoren entwickeln einen systematischen Ansatz, der von der Definition einer Herausforderungs-Suite bis zur detaillierten Ressourcenabschätzung reicht:

A. Die Herausforderungs-Suite (Challenge Ladder)

Die Autoren stellen eine abgestufte Reihe von ECDLP-Herausforderungen vor, die die Form der Bitcoin-Kurve beibehalten, aber den Primfeld-Parameter $p$ schrittweise von 6 Bit bis 256 Bit skalieren.

• Deterministische Generierung: Die Punkte $P$ und $Q$ werden nicht durch Zufallswerte, sondern durch einen deterministischen, reproduzierbaren Prozess erzeugt (basierend auf den Labels „Quantum" und „Challenge" via SHA-256). Dies eliminiert das Risiko versteckter privater Schlüssel („nothing-up-my-sleeve").
• Struktur: Für jede Bit-Länge $k$ werden bereitgestellt: der Primzahl $p$, die Gruppenordnung $n$ (die selbst eine Primzahl ist), und zwei komprimierte SEC1-Punkte.
• Ziel: Dies ermöglicht es, Algorithmen und Hardware an einem konsistenten Maßstab zu testen, beginnend bei handhabbaren 6-Bit-Instanzen bis hin zur vollen 256-Bit-Bitcoin-Instanz.

B. Klassische Kalibrierung

Die Autoren kalibrieren die Schwierigkeit der Herausforderungen gegen den aktuellen Stand der klassischen Computertechnik (Pollard's Rho).

• Sie zeigen, dass klassische Angriffe eine Komplexität von $\Theta(2^{b/2})$ haben.
• Aktuelle Rekorde liegen im Bereich von 112–129 Bit (bei Intervall-Einschränkungen).
• Dies etabliert eine klare Grenze: Instanzen unter 120 Bit sind mit massiv paralleler klassischer Hardware lösbar, während 256 Bit jenseits der Reichweite klassischer Rechner liegen.

C. Quanten-Ressourcenabschätzung (Resource Estimation)

Der Kern der Arbeit liegt in der Übersetzung von Shors Algorithmus für ECDLP in physikalische Ressourcenanforderungen unter verschiedenen Fehlerkorrektur-Szenarien:

1. Logische Ressourcen: Berechnung der benötigten logischen Qubits und Toffoli-Gatter (nicht-Clifford-Operationen) basierend auf optimierten reversiblen Arithmetik-Schaltungen (HJNRS-Familie).
2. Physikalische Mapping: Projektion dieser logischen Anforderungen auf drei verschiedene Fehlerkorrektur-Architekturen:
   • Surface Code (2D): Der Standardansatz mit Gitter-Chirurgie (Lattice Surgery). Unterscheidung zwischen konservativen und aggressiven Annahmen (Fehlerraten, Zykluszeiten).
   • Repetition Cat Code: Nutzung von Bosonischen Qubits mit starkem Rausch-Bias (Bit-Flip unterdrückt, Phasenfehler dominant), was den Overhead reduziert.
   • LDPC Cat Code: Eine Kombination aus Cat-Qubits und Low-Density Parity-Check-Codes, die eine noch höhere Kodierungsrate und geringeren Speicherbedarf ermöglicht.

3. Wichtige Beiträge

1. Reproduzierbare Benchmark-Suite: Eine vollständige, deterministisch generierte Liste von ECDLP-Instanzen (6–256 Bit) mit allen notwendigen Parametern und Code zur Nachgenerierung.
2. Vergleichsbasis: Eine klare Trennung zwischen intervall-beschränkten Puzzles (klassisch lösbar) und der vollen Gruppenordnung (quantenrelevant).
3. Detaillierte Ressourcenmodelle: Umfassende Tabellen, die logische Qubits, Toffoli-Zähler und die daraus resultierenden physikalischen Qubit-Anforderungen sowie Laufzeiten für verschiedene Bit-Längen und Architekturen auflisten.
4. Zeitliche Projektion: Eine Synthese aus algorithmischen Fortschritten und Hardware-Roadmaps (IBM, Google, Quantinuum, Alice & Bob, etc.), um ein realistisches Zeitfenster für den ersten erfolgreichen Angriff zu bestimmen.

4. Ergebnisse

• Ressourcenbedarf für 256 Bit (Bitcoin):
  • Surface Code (konservativ): Benötigt mehrere Millionen physikalische Qubits und mehrere Tage Laufzeit.
  • Surface Code (aggressiv): Kann auf unter eine Million Qubits und Stunden-Laufzeit reduziert werden, wenn die Produktion von Magie-Zuständen (Magic States) effizienter wird.
  • Cat-Code-Architekturen: Deutlich effizienter. Die Repetition Cat Code benötigt ca. 126.000 Cat-Qubits (Laufzeit ~9 Stunden). Die LDPC Cat Code-Architektur reduziert dies weiter auf ca. 38.000 Cat-Qubits (Laufzeit ~17–18 Stunden unter aggressiven Annahmen).
• Zeitfenster für Krypto-Analyse: Unter Berücksichtigung der aktuellen Hardware-Roadmaps und der algorithmischen Fortschritte liegt das wahrscheinliche Zeitfenster für den ersten erfolgreichen Angriff auf 256-Bit-ECC zwischen 2027 und 2033.
• Schwellenwerte: Ein Durchbruch bei 160–200 Bit wäre ein starkes Warnsignal, da dies den Übergang in den Bereich markiert, in dem die Migration von Bitcoin-Adressen kritisch wird.

5. Bedeutung und Implikationen

• Transparenz für die Migration: Die vorgestellte „Leiter" (Ladder) bietet der Community ein gemeinsames Werkzeug, um Fortschritte zu verfolgen. Sie dient als „Frühwarnsystem".
• Dringlichkeit für Bitcoin: Da Bitcoin-Adressen, deren öffentliche Schlüssel bereits in der Blockchain sichtbar sind (z. B. bei Transaktionen), angreifbar sind, sobald ein FTQC verfügbar ist, ist eine proaktive Migration zu post-quanten-Signaturen (z. B. via Soft-Forks wie BIP 360) essenziell.
• Technologische Richtung: Die Ergebnisse unterstreichen, dass Architekturen mit Rausch-Bias (wie Cat-Qubits) und effizienten Fehlerkorrektur-Codes (LDPC) den Weg für frühe kryptographische Anwendungen ebnen könnten, noch bevor die extremen Qubit-Zahlen für Surface-Code-Implementierungen erreicht sind.
• Fazit: Die Autoren betonen, dass es besser ist, sich auf das Worst-Case-Szenario vorzubereiten (früheres Erscheinen von FTQC), als die exponentielle Wand der klassischen Komplexität zu unterschätzen. Die Migration sollte erfolgen, bevor die ersten FTQC-Geräte die 160–256-Bit-Stufen der Herausforderungsleiter erreichen.