Das Lightning Network ist nicht „hilflos kaputt“

Ein Beitrag von Udi Wertheimer sorgte vor ein paar Wochen in allen Krypto-Medien für Schlagzeilen mit der deutlichen Behauptung: Das Lightning Network sei in einer Post-Quanten-Welt „hilflos kaputt“ und seine Entwickler könnten nichts dagegen tun. Die Schlagzeile verbreitete sich schnell. Für Unternehmen, die eine echte Zahlungsinfrastruktur auf Lightning aufgebaut haben oder diese evaluieren, waren die Auswirkungen beunruhigend.

Es verdient eine maßvolle Antwort.

Wertheimer ist ein angesehener Bitcoin-Entwickler, und seine grundsätzliche Sorge ist berechtigt: Quantencomputer stellen, sofern sie jemals ausreichend leistungsfähig werden, eine echte langfristige Herausforderung für die kryptografischen Systeme dar, von denen Bitcoin und Lightning abhängen. Dieser Teil ist wahr und die Bitcoin-Entwicklergemeinschaft arbeitet bereits ernsthaft daran. Aber die Darstellung von Lightning als „hilflos kaputt“ verschleiert mehr als es verrät, und Unternehmen, die Infrastrukturentscheidungen treffen, verdienen ein klareres Bild.

Was Wertheimer richtig gemacht hat

Bei Lightning-Kanälen müssen Teilnehmer beim Öffnen eines Zahlungskanals öffentliche Schlüssel mit ihrer Gegenpartei teilen. In einer Welt, in der es kryptografisch relevante Quantencomputer (CRQCs) gibt, könnte ein Angreifer, der diese öffentlichen Schlüssel erhält, theoretisch Shors Algorithmus verwenden, um den entsprechenden privaten Schlüssel abzuleiten und von dort Gelder zu stehlen.

Dies ist eine echte strukturelle Eigenschaft der Funktionsweise von Lightning. Was die Überschrift auslässt

Die Bedrohung ist weitaus spezifischer und bedingter als „Ihr Lightning-Guthaben kann gestohlen werden“.

Erstens werden die Kanäle selbst durch einen Hash geschützt, solange sie geöffnet sind. Finanzierungstransaktionen verwenden P2WSH (Pay-to-Witness-Script-Hash), was bedeutet, dass die rohen öffentlichen Schlüssel innerhalb der 2-von-2-Multisig-Anordnung in der Kette verborgen bleiben, solange der Kanal offen bleibt. Blitzzahlungen sind ebenfalls Hash-basiert und werden über HTLCs (Hashed Time-Lock Contracts) weitergeleitet, die auf der Offenlegung von Hash-Vorbildern und nicht auf offengelegten öffentlichen Schlüsseln basieren. Ein Quantenangreifer, der die Blockchain passiv beobachtet, kann die Schlüssel, die er benötigen würde, nicht sehen.

Das realistische Angriffsfenster ist viel enger: ein Force-Close. Wenn ein Kanal geschlossen wird und eine Commitment-Transaktion in der Kette übertragen wird, wird das Sperrskript zum ersten Mal öffentlich sichtbar, einschließlich des local_delayedpubkey, eines standardmäßigen öffentlichen Schlüssels mit elliptischer Kurve. Der Knoten, der es sendet, kann seine Mittel konstruktionsbedingt nicht sofort beanspruchen: Eine CSV-Zeitsperre (CheckSequenceVerify), normalerweise 144 Blöcke (etwa 24 Stunden), muss zuerst ablaufen.

In einem Post-Quantum-Szenario könnte ein Angreifer, der den Mempool beobachtet, sehen, dass eine Commit-Transaktion bestätigt wird, den nun offengelegten öffentlichen Schlüssel extrahieren, Shors Algorithmus ausführen, um den privaten Schlüssel abzuleiten, und versuchen, die Ausgabe vor Ablauf der Zeitsperre auszugeben. HTLC-Ausgaben bei erzwungenem Schließen erzeugen zusätzliche Fenster, von denen einige nur 40 Blöcke lang sind, etwa sechs bis sieben Stunden.

Dies ist eine echte und spezifische Schwachstelle. Aber es ist ein zeitgesteuerter Wettlauf gegen einen Angreifer, der für jede einzelne Ausgabe, die er stehlen möchte, innerhalb eines festen Zeitfensters aktiv eines der schwierigsten mathematischen Probleme lösen muss, die es gibt. Es handelt sich nicht um eine passive, stille Belastung aller Lightning-Wallets gleichzeitig.

Der Quanten-Hardware-Realitätscheck

Hier ist der Teil, der es selten in die Schlagzeilen schafft: Kryptografisch relevante Quantencomputer gibt es heute nicht, und die Kluft zwischen dem, wo wir sind, und dem, wo wir sein müssten, ist enorm.

Um die Kryptografie mit elliptischen Kurven von Bitcoin zu durchbrechen, muss der diskrete Logarithmus auf einem 256-Bit-Schlüssel, einer etwa 78-stelligen Zahl, gelöst werden, wobei Millionen stabiler, fehlerkorrigierter logischer Qubits verwendet werden, die über einen längeren Zeitraum laufen. Die größte Zahl, die jemals mithilfe des Shor-Algorithmus auf tatsächlicher Quantenhardware faktorisiert wurde, beträgt 21 (3 × 7) und wurde 2012 mit erheblichen klassischen Nachbearbeitungshilfen erreicht. Der jüngste Rekord ist eine hybride quantenklassische Faktorisierung einer 90-Bit-RSA-Zahl, ein beeindruckender Fortschritt, aber immer noch etwa 2⁸³ Mal kleiner als das, was tatsächlich nötig wäre, um Bitcoin zu knacken.

Die Quantenforschung von Google ist real und sehenswert. Die von seriösen Forschern diskutierten Zeitpläne reichen von optimistischen Schätzungen für die späten 2020er Jahre bis hin zu konservativeren Prognosen für die 2030er Jahre oder darüber hinaus. Nichts davon bedeutet: „Ihr Lightning-Guthaben ist heute gefährdet.“

Die Entwicklergemeinschaft sitzt nicht still

Auch Wertheimers Darstellung, dass Lightning-Entwickler „hilflos“ seien, stimmt nicht mit dem überein, was tatsächlich geschieht. Allein seit Dezember hat die Bitcoin-Entwicklergemeinschaft mehr als fünf ernsthafte Post-Quantum-Vorschläge hervorgebracht: SHRINCS (324-Byte-Stateful-Hash-basierte Signaturen), SHRIMPS (2,5-KB-Signaturen über mehrere Geräte hinweg, etwa dreimal kleiner als der NIST-Standard), BIP-360, Blockstreams Hash-basiertes Signaturpapier und Vorschläge für OP_SPHINCS, OP_XMSS und STARK-basierte Opcodes in Tapscript.

Der richtige Rahmen ist nicht, dass Lightning kaputt und nicht reparierbar ist. Es ist so, dass Lightning, wie alle Bitcoins und wie die meisten kryptografischen Infrastrukturen im Internet, ein Basisschicht-Upgrade erfordert, um quantenresistent zu werden, und t