Zwei unabhängig veröffentlichte Forschungsarbeiten deuten darauf hin, dass der Ressourcenbedarf eines Quantenangriffs auf elliptische-Kurven-Kryptographie (ECC) deutlich geringer sein könnte als bislang angenommen. Damit geraten nicht nur Bitcoin und Ethereum, sondern auch weit verbreitete Sicherheitsprotokolle wie TLS und digitale Signaturen früher als erwartet in den Fokus der Quantenbedrohung.
Warum elliptische Kurven für Quantencomputer ein lohnendes Ziel sind
Elliptische-Kurven-Kryptographie basiert auf der Schwierigkeit des diskreten Logarithmusproblems auf elliptischen Kurven (ECDLP). Dieses Problem ist die Grundlage für viele Signatur- und Schlüsselaustauschverfahren, darunter ECDSA in Bitcoin und Ethereum sowie zahlreiche TLS-Konfigurationen und Public-Key-Infrastrukturen (PKI).
Ein ausreichend großer Quantencomputer kann ECDLP mit Varianten von Shors Algorithmus effizient lösen. Während klassische Angriffe astronomische Rechenressourcen erfordern würden, reduzieren Quantenalgorithmen den Rechenaufwand auf ein praktisch durchführbares Niveau – vorausgesetzt, es stehen genug fehlerkorrigierte Qubits zur Verfügung.
Gerade für Daten mit langer Schutzbedürftigkeit ist der sogenannte „harvest now, decrypt later“-Angriff relevant: Verschlüsselte Kommunikation wird heute aufgezeichnet, um sie in einigen Jahren mit einem leistungsfähigen Quantencomputer zu entschlüsseln. Das betrifft nicht nur Kryptowährungen, sondern insbesondere staatliche, medizinische und industrielle Langzeitdaten.
Neutrale Atome: ECC-256 in rund zehn Tagen mit weniger als 30.000 Qubits
Die erste Studie analysiert eine Quantencomputer-Architektur auf Basis neutraler Atome in optischen Pinzetten. Die Forschenden kommen theoretisch zu dem Ergebnis, dass ein solcher Rechner eine 256-Bit-ECC-Instanz in ungefähr zehn Tagen brechen könnte – mit weniger als 30.000 physischen Qubits.
Neutrale Atome werden dabei in optischen Pinzetten-Arrays gehalten und können flexibel im Raum umgeordnet werden. Im Gegensatz zu vielen supraleitenden Qubit-Architekturen, die meist nur lokale Nachbarschaftswechselwirkungen erlauben, lassen sich bei neutralen Atomen nahezu beliebige Kopplungsmuster realisieren. Das vereinfacht komplexe Gatterfolgen und vor allem Fehlerkorrekturschemata.
Die Autoren argumentieren, dass die Overheads für Quantenfehlerkorrektur um etwa den Faktor 100 niedriger liegen können als in früheren Schätzungen für denselben Angriff auf ECC. Experimente anderer Gruppen mit Arrays von mehr als 6000 neutralen Atomen stützen zumindest die Skalierbarkeit der Plattform – auch wenn der Sprung zu hunderttausenden stabilen, fehlerkorrigierten Qubits nach wie vor erheblich ist.
Google Quantum AI: Optimierte Quanten-Schaltkreise für ECDLP-256
Ressourcenbedarf und Angriffsdauer
Die zweite Arbeit, durchgeführt von Google Quantum AI, fokussiert sich auf die Optimierung der Quanten-Schaltkreise für das ECDLP-256. Das Ergebnis sind zwei Varianten eines Angriffs:
Die erste Variante nutzt unter 1200 logische Qubits und rund 90 Millionen Toffoli-Gatter, die zweite unter 1450 logische Qubits und etwa 70 Millionen Toffoli-Gatter. Unter Berücksichtigung realistischer Fehlerkorrektur-Overheads schätzen die Autoren, dass für einen vollständigen Angriff auf ECDLP-256 etwa 500.000 physische Qubits notwendig wären.
Damit liegt der geschätzte Ressourcenbedarf etwa bei der Hälfte früherer Zahlen für RSA‑2048 und rund 20-mal niedriger als einige der bislang zitierten Annahmen für Angriffe auf ECC. Wäre ein solcher Quantencomputer heute verfügbar, könnte ein einzelner 256-Bit-Schlüssel in weniger als neun Minuten kompromittiert werden – ein kritischer Zeithorizont für Kryptowallets, Börsen und Finanzinfrastrukturen.
Zero-Knowledge-Proof statt vollständiger Offenlegung
Besonders bemerkenswert ist der Disclosure-Ansatz dieser Arbeit: Die Forscher veröffentlichen nicht alle algorithmischen Details, die zu den Ressourcenoptimierungen führen. Stattdessen legen sie ein Zero-Knowledge Proof vor, der die angegebenen Komplexitätswerte mathematisch bestätigt, ohne den vollständigen Angriffsweg preiszugeben.
Diese Vorgehensweise wurde in Abstimmung mit US-Regierungsstellen als Modell für „verantwortungsvolle Veröffentlichung“ im Quanten-Kryptoanalysebereich entwickelt. Sie reflektiert die Einschätzung, dass der Fortschritt bei Quantencomputern inzwischen so weit ist, dass vollständige, frei verfügbare Exploit-Beschreibungen ein ernstzunehmendes Missbrauchsrisiko darstellen könnten.
Zwischen Alarmismus und langfristiger Planung: Wie hoch ist die reale Gefahr?
Beide Studien liegen aktuell als Preprints ohne Peer Review vor. Zudem existiert derzeit kein Quantencomputer, der Hunderttausende fehlerkorrigierte Qubits bereitstellt; die heute verfügbaren Systeme bewegen sich im Bereich von wenigen hundert bis einigen tausend fehleranfälligen Qubits. Aus Sicht vieler Kryptographen handelt es sich daher um eine langfristige, aber reale Bedrohung.
Gleichzeitig zeigt der Trend der letzten Jahre, dass Ressourcenschätzungen für Quantenangriffe systematisch fallen – sowohl durch bessere Hardware als auch durch algorithmische Optimierungen. Institutionen wie das NIST reagieren bereits mit der Standardisierung von Post-Quanten-Kryptographie (PQC), etwa Verfahren wie CRYSTALS-Kyber und CRYSTALS-Dilithium, um mittel- bis langfristig ECC und RSA in sicherheitskritischen Anwendungen abzulösen.
Konkrete Schritte: Vorbereitung auf die Post-Quanten-Ära
Organisationen sollten die aktuellen Ergebnisse als Signal verstehen, ihre Quanten-Migrationsstrategie zu konkretisieren. Dazu gehören insbesondere eine Inventarisierung aller eingesetzten Kryptoverfahren (TLS, VPN, PKI, Signaturen, interne Protokolle), die Bewertung der erforderlichen Vertraulichkeitsdauer der Daten und die Einführung von Krypto-Agilität, also die Fähigkeit, Algorithmen ohne tiefgreifende Architekturänderungen zu ersetzen.
In der Praxis bewährt sich ein schrittweiser Ansatz: Pilotprojekte mit PQC-Algorithmen, der Einsatz von Hybrid-Schemata (klassische plus post-quanten-sichere Verfahren parallel) sowie die frühzeitige Anpassung von Hardware, Firmware und Protokollen. Gerade Betreiber von Finanzinfrastrukturen, kritischen Netzen und Cloud-Diensten sollten ihre Roadmaps jetzt anpassen, um nicht von einem beschleunigten Quantenfortschritt überrascht zu werden.
Die aktuellen Studien zu Quantenangriffen auf elliptische-Kurven-Kryptographie markieren keinen sofortigen Kollaps klassischer Kryptosysteme, aber sie verkürzen den wahrgenommenen Zeithorizont deutlich. Wer heute Verantwortung für sensible Daten oder kritische Infrastrukturen trägt, sollte diese Warnsignale ernst nehmen, die eigene Kryptolandschaft überprüfen und aktiv den Übergang zur Post-Quanten-Kryptographie vorbereiten – bevor das Fenster für eine geordnete, sichere Migration sich schließt.
