Quantum en crypto: hoe reëel is de dreiging?

De dreiging van quantumcomputers voor cryptomunten is niet nieuw. Maar op 31 maart verschenen twee wetenschappelijke papers die het debat fundamenteel verschoven. De eerste komt van Google Quantum AI, met medewerking van de Ethereum Foundation en Stanford University. De tweede van Oratomic, een startup met ex-Google onderzoekers en Caltech-faculteit. Beide papers verbeteren het Shor-algoritme, het beruchte algoritme dat de cryptografie achter Bitcoin en Ethereum kan kraken. De resultaten zijn significant.

Wat zeggen de papers?

Het Google-paper richt zich specifiek op de elliptische curve secp256k1. Dat is de wiskundige basis van Bitcoin- en Ethereum-handtekeningen. Het team toont aan dat het kraken van een private key mogelijk is met ongeveer 1.200 logische qubits. Op een supergeleidende quantumcomputer vertaalt zich dat naar minder dan 500.000 fysieke qubits. Dat is een twintigvoudige reductie ten opzichte van eerdere schattingen, die nog in de miljoenen liepen. Het opvallendste: de berekening zou slechts enkele minuten duren.

De Oratomic-paper pakt het vanuit een andere hoek aan. Zij tonen aan dat het Shor-algoritme uitvoerbaar is met slechts 10.000 zogenaamde neutral-atom qubits. Met 26.000 van die qubits zou het kraken van dezelfde cryptografie een paar dagen duren. Neutral-atom computers werken namelijk ongeveer duizend keer langzamer dan supergeleidende systemen. Dat maakt ze goedkoper om te bouwen. Waar een supergeleidend systeem 500.000 qubits nodig heeft, komt een neutral-atom computer dus toe met 26.000.

Hoe kwetsbaar is Bitcoin?

Bitcoin gebruikt ECDSA-handtekeningen op de secp256k1 curve. Zodra een quantumcomputer krachtig genoeg is om die te kraken, kan een aanvaller private keys afleiden uit publieke sleutels. Dat klinkt abstract, maar de gevolgen zijn concreet. Ongeveer 6,9 miljoen Bitcoin staat op adressen waarvan de publieke sleutel al zichtbaar is op de blockchain. Dat is ruwweg een derde van het totale aanbod. Hieronder vallen ook de geschatte 1,1 miljoen Bitcoin van Satoshi Nakamoto, opgeslagen in het oudste adresformaat dat de publieke sleutel permanent blootstelt.

Dat zijn niet alleen slapende coins. De Google-paper wijst op een actiever risico. Zodra iemand een Bitcoin-transactie verstuurt, wordt de publieke sleutel zichtbaar op het netwerk. Een voldoende snelle quantumcomputer zou in de seconden tot minuten tussen verzending en bevestiging de private key kunnen achterhalen. Vervolgens zou de aanvaller een eigen transactie kunnen versturen die de coins naar zijn adres stuurt. Dit scenario vereist wel een supergeleidend systeem, het snelste type quantumcomputer. Een langzamer type zoals neutral-atom, dat dagen nodig heeft per berekening, vormt dit risico niet.

Hoe kwetsbaar is Ethereum?

Ethereum deelt dezelfde kwetsbaarheid als Bitcoin: de handtekeningen die transacties beveiligen zijn niet quantumbestendig. Maar bij Ethereum gaat het probleem dieper. Bitcoin is in essentie een betaalsysteem. Ethereum is een programmeerbaar platform met meer bewegende delen.

Validators die het netwerk beveiligen gebruiken een ander type handtekening dat eveneens kwetsbaar is. Smart contracts, de zelfuitvoerende programma’s op Ethereum, bevatten soms cryptografische aannames die onder een quantumcomputer niet meer opgaan. En ook de technologie waarmee Ethereum grote hoeveelheden data efficiënt verwerkt, leunt op wiskundige methoden die niet quantumbestendig zijn. Waar Bitcoin in feite één kwetsbaarheid heeft, de handtekeningen, moet Ethereum meerdere lagen tegelijk vervangen.

Wat doet Bitcoin?

Bij Bitcoin is de reactie verdeeld. Vooraanstaande ontwikkelaars als Peter Todd en Luke Dashjr zien geen urgentie. Adam Back, oprichter van Blockstream, noemt de dreiging “ver weg” maar pleit wel voor voorbereiding. Aan de andere kant werkt Hunter Beast, protocol-ingenieur bij mijnbouwbedrijf MARA, actief aan BIP-360. Dit voorstel introduceert een nieuw transactietype dat de publieke sleutel permanent verbergt. Het werd in februari als draft opgenomen in de officiële Bitcoin-voorstellen. In maart werd het succesvol getest op het testnetwerk. Maar er bestaat nog geen werkende code in Bitcoin Core zelf.

Dat raakt de kern van het probleem. Bitcoin’s governance is bewust traag en conservatief. De Taproot-upgrade, de laatste grote wijziging, duurde zeven en een half jaar van concept tot activering. Een rapport van Grayscale stelt dat Bitcoin’s quantumprobleem niet technisch maar bestuurlijk is. De bouwstenen bestaan, maar sociale consensus ontbreekt. Optimistische schattingen voor een quantumbestendige upgrade liggen op drie tot vijf jaar. Pessimistische schattingen lopen veel verder op.

Er is nog een pijnlijk dilemma. Ongeveer 1,7 miljoen Bitcoin staat op oude adressen met permanent zichtbare publieke sleutels. Hieronder de geschatte 1,1 miljoen Bitcoin van Satoshi Nakamoto. Wat doe je daarmee? Bevriezen is een optie, maar schendt het kernprincipe “your keys, your coins.” Het zou een precedent scheppen voor confiscatie. Niets doen riskeert dat een quantumaanvaller honderden miljarden aan waarde claimt.

Een tussenvoorstel limiteert de uitstroom uit kwetsbare adressen tot 144 Bitcoin per dag, zodat oorspronkelijke eigenaren tijd hebben om te reageren. Geen van deze opties is pijnloos.

Wat doet Ethereum?

Ethereum’s aanpak is het tegenovergestelde: gecoördineerd, gestructureerd en al in uitvoering. In januari richtte de Ethereum Foundation een Post-Quantum Security team op. In februari publiceerde Vitalik Buterin een uitgebreid stappenplan dat vier kwetsbare lagen identificeert: de handtekeningen van gewone gebruikers, de handtekeningen van validators, de technologie achter dataverwerking, en de wiskundige bewijzen die Layer 2-netwerken gebruiken. Voor elke laag bestaat een concrete oplossingsrichting.

De eerste stap is EIP-8141, gepland voor de Hegota-upgrade in de tweede helft van dit jaar. Dit voorstel maakt het mogelijk om individuele accounts over te zetten naar quantumbestendige handtekeningen. Gebruikers hoeven niet te wachten op een volledige systeemupgrade. Ze kunnen zelf migreren zodra de optie beschikbaar is. De volledige quantumbestendigheid van de consensuslaag, het systeem dat validators gebruiken om het netwerk te beveiligen, staat gepland voor 2029.

Justin Drake, onderzoeker bij de Foundation en co-auteur van de Google-paper, is uitgesproken. Hij schat de kans op een cryptografisch relevante quantumcomputer voor 2032 op minstens tien procent. Zijn boodschap: de voorbereiding moet nu beginnen. Ethereum’s voordeel is structureel. Het netwerk is gebouwd om iedere 6 maanden te upgraden, imtegreert actief AI om ontwikkeling te verbeteren en versnellen en heeft vooraanstaande onderzoekers, zoals Drake, in huis om de dreiging precies in kaart te kunnen brengen.

En de rest van crypto?

Bitcoin en Ethereum krijgen de meeste aandacht, maar de quantumdreiging raakt elke blockchain. Elk netwerk dat elliptische curve-cryptografie gebruikt, en dat zijn vrijwel allemaal, moet uiteindelijk migreren. Het goede nieuws: de oplossingen die Ethereum’s onderzoekers ontwikkelen zijn in principe kopieerbaar. Andere netwerken hoeven het wiel niet opnieuw uit te vinden.

Solana is hier een goed voorbeeld. Het netwerk is in sommige opzichten zelfs kwetsbaarder dan Bitcoin en Ethereum. Solana gebruikt publieke sleutels direct als adres. Bij Bitcoin en Ethereum worden publieke sleutels eerst door een hashfunctie gehaald, wat een extra beschermingslaag biedt. Bij Solana is honderd procent van de adressen direct blootgesteld.

Toch beweegt Solana snel. Al in december vorig jaar draaiden quantumbestendige transacties op het testnetwerk. Daarnaast bestaat er een optionele quantumbestendige kluis op basis van Winternitz-handtekeningen, waarbij bij elke transactie automatisch een nieuw sleutelpaar wordt aangemaakt. Het is een tussenoplossing, maar het werkt vandaag al.

Voor de meeste andere netwerken geldt een structureel voordeel. Ze zijn minder gedecentraliseerd dan Bitcoin en Ethereum. Dat klinkt als een nadeel, en voor censuurbestendigheid is het dat ook. Maar het maakt protocolwijzigingen aanzienlijk eenvoudiger. Waar Bitcoin jaren debatteert over een enkele upgrade, kunnen kleinere netwerken binnen maanden een quantumbestendige handtekeningstandaard doorvoeren. De technische oplossingen zijn beschikbaar. De implementatie is het makkelijke deel. De politiek eromheen, en dat is uniek voor Bitcoin, is het moeilijke deel.

Conclusie

Met de papers van 31 maart verschoof quantum van een verre donkere wolk naar een concreet risico. De benodigde qubits daalden van miljoenen naar honderdduizenden. De benodigde rekentijd daalde van uren naar minuten. Huidige quantumcomputers hebben rond de duizend qubits, nog een factor vijfhonderd verwijderd van wat nodig is.

Justin Drake schat de kans op een cryptografisch relevante quantumcomputer voor 2032 op minstens tien procent. Dat klinkt laag, maar de consequenties zijn enorm. En voorbereiding kost tijd. Decentrale netwerken kunnen niet in een weekend upgraden. Bitcoin’s Taproot-upgrade duurde zeven en een half jaar. Zelfs optimistische schattingen voor een quantumbestendige Bitcoin-upgrade liggen op drie tot vijf jaar. Je wilt als netwerk niet pas net voor de deadline voorbereid zijn. Die onzekerheid alleen al kan het vertrouwen van houders ondermijnen, lang voordat een quantumcomputer daadwerkelijk een sleutel kraakt.

Dat maakt de houding van de verschillende ecosystemen bepalend. Ethereum pakt dit het meest overtuigend aan. Er is een dedicated team, een concreet stappenplan tot 2029, en de eerste upgrade staat al gepland voor dit jaar. Het feit dat Justin Drake nauw betrokken is bij de Google-paper, als co-auteur, wekt extra vertrouwen. De mensen die het risico het best begrijpen, zijn dezelfde mensen die aan de oplossing werken. Bitcoin heeft meer uitdagingen. Niet technisch, maar bestuurlijk. De oplossingen bestaan, maar consensus komt langzaam. Andere netwerken kunnen profiteren van het pionierswerk en sneller schakelen.

Quantumcomputers vormen vandaag geen directe dreiging. Maar het is niet langer de vraag of ze cryptografie zullen kraken. Het is de vraag wanneer. En de netwerken die nu beginnen met voorbereiden, staan straks het sterkst.

Dit artikel is geen beleggingsadvies. Het is geen gepersonaliseerde aanbeveling. Het bevat algemene informatie, op basis waarvan u (op eigen verantwoordelijkheid en voor eigen rekening en risico) beslissingen kunt nemen. BeursBrink raadt u aan om zelf advies in te winnen bij derden.

Tenzij anders vermeld, zullen wij dit artikel niet actualiseren. Het kan dus goed zijn dat de inhoud van dit artikel bij latere lezing is achterhaald door de actualiteiten en de ontwikkelingen. Het kan ook zijn dat met een bepaald aspect in het artikel geen rekening is gehouden. Hoewel BeursBrink zorgvuldigheid betracht, kan het ook voorkomen dat er onvolkomenheden in het artikel staan.

U bent zelf verantwoordelijk voor uw beleggingsbeslissing(en).

Aan het rapport en de inhoud ervan kunnen ook geen rechten worden ontleend. Het artikel is gebaseerd op aannames en vormt geen enkele garantie voor een bepaalde ontwikkeling of resultaat. BeursBrink is nooit aansprakelijk voor gebruik van dit artikel of de daarin opgenomen informatie.

Beleggen brengt grote risico’s en kosten met zich mee. U kunt uw inleg of een deel ervan verliezen. De waarde van uw belegging kan fluctueren. In zijn algemeenheid wijst BeursBrink erop dat het niet verstandig is om te beleggen met geld wat u nodig heeft om te kunnen voorzien in uw dagelijkse voorzieningen. In het verleden behaalde resultaten bieden voorts geen garantie voor de toekomst.

BeursBrink is niet verantwoordelijk voor de inhoud en/of juistheid van teksten, afbeeldingen of hyperlinks die door derden worden geplaatst in het artikel. Evenmin is BeursBrink verantwoordelijk voor informatie en/of berichten die door gebruikers van het artikel via internet verzonden worden.