Der Übergang zu post-quanten-sicheren Lösungen ist entscheidend, um zukünftige Angriffe durch Quantencomputer zu verhindern und die Integrität von Blockchain-Transaktionen zu gewährleisten. In L1-Blockchains, die private Transferprotokolle unterstützen, zeigen aktuelle Analysen, dass sowohl bestehende kryptografische Primitive als auch reaktive Abwehrmechanismen wie Turnstiles nicht ausreichen, um die wachsende Bedrohung durch Harvest-Now-Decrypt-Later (HNDL)-Angriffe zu adressieren.
Warum post-quantensichere Private Transfers nötig sind
Quantencomputer würde es Angreifern ermöglichen, bislang gesicherte elliptische-Kurven-Primitiven zu brechen. Das würde zu undetektierbaren Angriffen führen, die einen katastrophalen Verlust von Geldern nach sich ziehen können. In einem solchen Szenario wäre jede nachträgliche Wiederherstellung – etwa über Turnstiles – nur ein sozial-technisches Pflaster, das das Vertrauen der Nutzer dauerhaft beschädigen könnte.
Harvest-Now-Decrypt-Later (HNDL) erklärt
HNDL ist ein Angriffsvektor, bei dem ein Angreifer Daten erntet, um sie später zu entschlüsseln, sobald die Technologie dies ermöglicht. Dieser Angriff ist besonders gefährlich für private Transferprotokolle, weil er die langfristige Vertraulichkeit von Transaktionen bedroht.
Probleme bei bestehenden L1-Lösungen
Derzeitige produktionsreife Privacy-Lösungen basieren auf elliptic-curve-basierten Primitiven oder auf unbefriedigenden Hardware-Annahmen. Beispiele wie ZCash-Sapling zeigen, dass das bloße Ersetzen von Proof-Systemen oder das Hinzufügen von Turnstiles nicht ausreicht, um einen vollständigen Schutz gegen HNDL-Angriffe zu garantieren.
Unzureichender Schutz gegen HNDL-Angriffe
Einige argumentieren, dass der aktuelle Schutz gegen HNDL-Angriffe ausreichend sei. Die Analyse weist jedoch darauf hin, dass ein quantenrelevanter Angreifer undurchschaubare Angriffe ausführen könnte, die weder von Turnstiles noch von bestehenden Verschlüsselungs-Schemen abgewehrt werden.
Turnstiles als reaktive Maßnahme
Turnstiles gelten als ineffektive Maßnahme, weil sie die Benutzertransaktionen beeinträchtigen, zeitaufwendig sind und keine präventive Sicherheit bieten. Sie stellen ein rein soziales Abwehrmittel dar, das die Fähigkeit der Nutzer, Transaktionen durchzuführen, stark einschränkt.
Standardisierungsstand von post-quantener Kryptografie
Der NIST-PQC-Prozess hat im Jahr 2022 vier Key-Encapsulation-Mechanisms (KEMs) standardisiert, jedoch bislang keine Key-Agreement-Mechanismen. Diese Lücke erschwert die sichere Schlüsselverteilung in post-quantenen Blockchain-Systemen.
- Standardisierte KEMs (2022): 4 Stück (Quelle S2)
- Marktanteil post-quantener Algorithmen in Blockchain (2023): 15 % (Quelle S1)
- Vertrauenswürdigkeit hybrider Systeme (2022): 68 % (Quelle S3)
Hybride kryptografische Ansätze als Übergangslösung
Hybride Systeme kombinieren klassische und post-quantensichere Algorithmen und bieten damit eine Übergangslösung, die die Sicherheit in der frühen Implementierungsphase erhöhen kann. Laut einer Studie aus dem Jahr 2022 nutzen bereits 68 % der untersuchten Blockchain-Projekte hybride Sicherheit.
Experten empfehlen zudem, mehrere quantensichere Algorithmen zu verwenden, um Risiken zu minimieren. Im Jahr 2023 wurde ein Richtwert von drei empfohlenen Algorithmen veröffentlicht.
- Hybrid-Nutzung in Blockchain-Protokollen (2022): 68 %
- Empfohlene Anzahl quantensicherer Algorithmen (2023): 3
Technische Bausteine für post-quantensichere Private Transfers
Die folgenden Bausteine zeigen, welche kryptografischen Primitive in bestehenden Systemen eingesetzt werden und welche Anpassungen für die Post-Quantum-Sicherheit erforderlich sind.
| Verwendung | Primitive | Sicherheitsanforderung | Instanzierung (Warnhinweis) |
|---|---|---|---|
| Verschlüsseln von Note-Plaintexts | Asymmetrische Verschlüsselung | IND-CCA2 und IK-CCA2 | DHAES (⚠) |
| Spend Authorization | Re-Randomisierbare Signatur | SURK-CMA | RedDSA on Jubjub (⚠) |
| Non-Inflation (und Non-Malleability) | Signature mit Monomorphismus | Non-Adaptive SU-CMA, Key Monomorphic | RedDSA on Jubjub (⚠) |
| Commitment zu Notes | Commitment-Schema | Binding und Hiding | Windowed Pedersen Commitments (hiding ok) (⚠) |
| Commitment zu Values | Linear homomorphes Commitment-Schema | Binding und Hiding | Homomorphic Pedersen Commitments (hiding ok) (⚠) |
| Diversifizierte Adressen | Group Hash | Unlinkability | Group Hash Jubjub Curve (⚠) |
| Proofs | SNARK | Statistical Zero-Knowledge, Completeness, Knowledge Soundness | Groth16 on BLS12-381 (zk ok) (⚠) |
Secret Distribution und KEM-Ersatz
Der wichtigste Schritt besteht darin, einen Key-Agreement-Mechanismus (KA) durch einen KEM zu ersetzen. Der führende Kandidat ist ML-KEM, der nach NIST-Standard ANO-CCA-Sicherheit und Robustheit bietet. Da der NIST-Prozess bislang nur KEMs standardisiert hat, bleibt die Implementierung von Schlüsselvereinbarungen eine offene Herausforderung.
Signaturen und ihre Herausforderungen
Für spend-authorizing Signaturen wird ein einmaliges Schlüssel-Paar empfohlen, das eine non-adaptive SU-CMA-Sicherheit gewährleistet. Hardware-Wallets müssen dabei sowohl stateful als auch stateless Varianten unterstützen. SPHINCS+ wird als möglicher stateless, hash-basierter Signatur-Algorithmus genannt, wobei ein Parameter-Set aus Firmware-Signing-Anwendungen als Referenz dienen könnte.
Empfohlene Strategien und Best Practices
- Implementierung hybrider Kryptografie, die klassische ECDH-Gruppen mit ML-KEM kombiniert.
- Verwendung mehrerer quantensicherer Algorithmen (mindestens drei), um das Risiko von Einzelpunkt-Fehlern zu reduzieren.
- Beibehaltung bewährter symmetrischer Verschlüsselung, ggf. mit längeren Schlüssellängen.
- Verzicht auf Turnstiles als primäre Sicherheitsmaßnahme, da sie die Nutzererfahrung stark einschränken.
- Einbindung von Oblivious Message Retrieval (OMR) oder dessen geteilten Varianten (OMD + PIR) für die De- bzw. Retrieval-Phase, sofern die Kosten- und Größen-Grenzen akzeptabel bleiben.
- Auswahl von SNARK-Friendly Hash-Funktionen (z. B. BLAKE3) nach gründlicher kryptanalytischer Prüfung.
FAQ
Was ist HNDL?Harvest-Now-Decrypt-Later (HNDL) ist ein Angriffsvektor, bei dem ein Angreifer Daten erntet, die später entschlüsselt werden, wenn die Technologie dies ermöglicht.Warum sind hybride Systeme erforderlich?Hybride Systeme kombinieren klassische und quantensichere Algorithmen, um eine Übergangslösung für die Sicherheit gegen zukünftige Angriffe zu bieten.
Fazit
Die Sicherstellung von post-quantensicheren privaten Transfers auf L1-Blockchains erfordert ein umfassendes Vorgehen: Die aktuelle Standardisierung liefert vier KEMs, aber keine Key-Agreement-Mechanismen; Turnstiles sind keine nachhaltige Lösung; hybride kryptografische Ansätze zeigen bereits eine hohe Akzeptanz (68 % Nutzung) und werden von Experten empfohlen (drei Algorithmen). Durch den gezielten Ersatz von Schlüssel-Agreement durch ML-KEM, die Kombination klassischer und post-quantener Algorithmen sowie die sorgfältige Auswahl von Signatur- und Hash-Primitiven kann die Branche den Übergang zu einer quantenresistenten Zukunft meistern, ohne die Nutzererfahrung zu gefährden.