Nieuwe ontwikkelingen in quantumcomputing vestigen opnieuw de aandacht op mogelijke gevolgen voor Bitcoin. In een recent rapport schetsen we de huidige stand van zaken, het dreigingsmodel voor Bitcoin en de overwegingen voor vervolgstappen. Deze publicatie vat onze belangrijkste bevindingen en aanbevelingen samen. Het volledige rapport lees je hier.
Tijdlijn voor bitcoin en de voorbereiding op quantumcomputers
Wij presenteren een migratiestrategie met twee mogelijke routes voor Bitcoin in reactie op een doorbraak in quantumcomputing.
- Langetermijnpad: Deze bredere aanpak gaat uit van voldoende tijd voordat quantumcomputers daadwerkelijk een bedreiging vormen. Gebaseerd op eerdere protocolaanpassingen, zoals SegWit en Taproot, schatten we dat een volledige overstap op quantumveilige technologie ongeveer zeven jaar kan duren.
- Kortetermijnscenario: Deze route fungeert als noodmaatregel bij een onverwachte doorbraak in quantumcomputing. De nadruk ligt op het snel invoeren van beschermende maatregelen om het Bitcoinnetwerk te beveiligen. De implementatie zou ongeveer twee jaar in beslag nemen.
In beide scenario’s zijn fondsen die zorgvuldig worden beheerd – opgeslagen op gehashte adresvormen zoals P2PKH of P2WPKH zonder adreshergebruik – al beschermd tegen quantumaanvallen. Maar om deze fondsen ook veilig uit te kunnen geven in een post-quantumtijdperk, is extra infrastructuur vereist. Die wordt naar verwachting ontwikkeld tijdens de tweede fase van beide tijdlijnen.
Quantumcomputers: wanneer komen ze, en wat kunnen ze dan?
Als quantumcomputers op grote schaal realiteit worden, kunnen ze enorme versnellingen opleveren voor specifieke soorten berekeningen. Ze maken gebruik van principes uit de quantummechanica. Vooral zorgwekkend zijn de zogenoemde cryptografisch relevante quantumcomputers (CRQC’s): machines die de wiskundige basis van moderne cryptografie kunnen doorbreken. Daardoor worden algoritmen zoals Elliptic Curve Cryptography (ECC) – cruciaal voor de beveiliging van Bitcoin – kwetsbaar.
Hoewel quantumcomputing al decennialang onderwerp is van theoretisch onderzoek, blijven grote technische obstakels bestaan. Vooral het ontwikkelen van grootschalige quantummachines, zoals CRQC’s (Cryptographically Relevant Quantum Computers), blijkt bijzonder lastig. Tot nu toe heeft geen enkele quantumcomputer klassieke supercomputers overtroffen bij het oplossen van commercieel relevante vraagstukken. Ook is er nog geen systeem dat moderne cryptografie aantoonbaar bedreigt.
Verwachte tijdschema’s voor CRQC’s
Technologische vooruitgang laat zich moeilijk voorspellen. Ontwikkelingen verlopen zelden lineair, en doorbraken komen vaak onverwacht. In reactie op mogelijke veranderingen binnen de cryptografie hebben verschillende organisaties tijdschema’s opgesteld voor de overgang naar nieuwe cryptografische handtekeningen.
Een van de meest toonaangevende initiatieven komt van het Amerikaanse National Institute of Standards and Technology (NIST). Deze organisatie coördineert de ontwikkeling van cryptografische standaarden. In zijn aanbevelingen benadrukt NIST twee belangrijke mijlpalen:
- Vanaf 2030 moeten traditionele encryptiemethoden, zoals ECDSA en RSA, geleidelijk worden uitgefaseerd.
- Uiterlijk in 2035 moeten alle cryptografische systemen volledig zijn overgeschakeld op post-quantum-algoritmen.
Het Britse National Cyber Security Centre hanteert een vergelijkbare strategie. Hun migratiekader bestaat uit drie fasen en is gericht op een volledige overgang naar post-quantumcryptografie in 2035. Ook andere partijen, zoals de EU en China, werken actief aan strategieën voor post-quantumcryptografie. Formele tijdschema’s zijn daarbij nog niet gepubliceerd.
Binnen de sector zetten verschillende grote bedrijven al stappen. Onder andere Cloudflare, Signal en Google passen inmiddels post-quantumcryptografie toe. Ze maken gebruik van hybride handtekeningsschema’s waarin traditionele encryptie wordt gecombineerd met post-quantum-algoritmen. Een aanvaller moet dan beide systemen kraken om toegang te verkrijgen. Ook Apple heeft aangekondigd de overstap te willen maken. Naarmate PQC uitgroeit tot industriestandaard, zullen waarschijnlijk meer bedrijven volgen.
Wat staat er op het spel?
De financiële gevolgen van een mogelijke kwantumbedreiging voor Bitcoin zijn aanzienlijk. Figuur 2 toont een analyse waaruit blijkt dat circa 6,51 miljoen bitcoin mogelijk kwetsbaar is voor kwantumaanvallen. Tegen de huidige waardering vertegenwoordigt dat meer dan $ 700 miljard, oftewel 32,7% van het totale aanbod. Het gaat onder meer om fondsen op adressen die hergebruikt zijn, tegoeden beschermd met scripttypes die gevoelig zijn voor kwantumtechnologie, en activa op forks zoals Bitcoin Cash waarbij de publieke sleutel al is vrijgegeven.
Dreigingsmodel voor Bitcoin: waar liggen de grootste risico’s?
Quantumcomputers kunnen twee essentiële onderdelen van Bitcoin aantasten: het minen en de transactiesignaturen. Bij quantum mining ontstaat een probleem omdat het bundelen van rekenkracht lastig wordt. Grote quantum miners krijgen daardoor een onevenredig voordeel, wat de decentralisatie onder druk zet. Bij transactiesignaturen ligt het risico directer.
Een CRQC (cryptographically relevant quantum computer) zou in staat zijn om privésleutels af te leiden uit publieke sleutels. Daarmee kunnen fondsen worden gestolen.
De tijdlijnen van deze twee dreigingen verschillen aanzienlijk. Een quantumcomputer bouwen die beter presteert dan moderne ASIC-miners is technisch veel complexer dan een die digitale handtekeningen kan kraken. Dat komt onder meer doordat quantumprocessors trager zijn en werken met lage kloksnelheden. Ze kunnen niet tippen aan de gespecialiseerde hardware die wordt gebruikt voor Bitcoin mining. Bovendien zijn quantumalgoritmes lastig te paralleliseren.
Signaturen
Een CRQC doorbreekt het uitgangspunt dat het onmogelijk is om een privésleutel af te leiden uit de bijbehorende publieke sleutel bij ECC-gebaseerde systemen. Daardoor kan een aanvaller fondsen stelen. Binnen Bitcoin toont iemand het eigendom van een UTXO aan door een transactie te ondertekenen met de privésleutel die hoort bij de publieke sleutel. Als een CRQC deze privésleutel weet af te leiden, kunnen de fondsen worden uitgegeven.
Dit creëert twee aanvalsscenario’s. Bij uitgaven vanaf gehashte adressen worden publieke sleutels tijdelijk zichtbaar. Aanvallers hebben dan een kort venster — soms slechts minuten of uren — om de privésleutel te bepalen en fondsen weg te sluizen, mogelijk via chain reorganisaties.
Bij bepaalde outputtypes, zoals P2PK, P2MS en P2TR, blijven publieke sleutels zichtbaar zodra de fondsen zijn ontvangen. In die gevallen hebben aanvallers onbeperkt de tijd voor een quantumaanval. Wordt een adres hergebruikt, dan verandert de tijdelijke kwetsbaarheid van gehashte adressen in een permanente blootstelling. De publieke sleutel blijft namelijk op de blockchain zichtbaar na de eerste transactie.
Zoals in figuur 3 te zien is, zijn adressen met aanzienlijke waarde en zichtbare publieke sleutels — bijvoorbeeld van institutionele partijen die adressen hergebruiken — het meest kwetsbaar.
Mining
Bij Bitcoin mining geldt: hoe meer rekenkracht men inzet, hoe groter de kans om een geldig blok te vinden. Grover’s algoritme — een quantum zoekmethode — zorgt voor een kwadratische versnelling bij brute-force zoekopdrachten. In tegenstelling tot klassieke mining is dit algoritme echter lastig te paralleliseren. Daardoor kunnen grote gecentraliseerde quantumspelers een oneerlijk voordeel behalen. In plaats van meer participatie, kan dit leiden tot verdere centralisatie.
Naast het risico op centralisatie kunnen quantum miningtechnieken het strategisch gedrag van miners beïnvloeden. Dit kan de betrouwbaarheid van de blockchain aantasten. Zo kunnen er meer ‘stale blocks’ ontstaan: blokken die gelijktijdig worden gevonden, maar niet in de hoofdketen terechtkomen. Een toename van stale blocks maakt bepaalde aanvallen, zoals selfish mining en double-spends, goedkoper en eenvoudiger uit te voeren.
Zoals eerder benoemd, is de ontwikkeling van een quantumcomputer die beter presteert dan moderne ASIC-miners op korte termijn niet waarschijnlijk. CRQCs die digitale signaturen kunnen breken, lijken technologische gezien realistischer binnen afzienbare tijd. Daarom vormt quantum mining voorlopig geen acuut veiligheidsrisico. De kans dat deze techniek de komende decennia wordt toegepast, blijft klein. Toch is het waardevol om Proof-of-Work-mechanismen in het licht van toekomstige quantumtechnologieën te blijven onderzoeken. Door potentiële risico’s en oplossingen beter te begrijpen, kan het ecosysteem zich voorbereiden op een toekomst waarin quantum mining realiteit wordt.
Overgang naar quantumveilige beveiliging: waar liggen de grootste uitdagingen?
Quantum-Veilige Handtekeningen
Cryptografische handtekeningen die bestand zijn tegen kwantumcomputers worden al tientallen jaren onderzocht. In de afgelopen jaren is de interesse flink toegenomen en is ook de ontwikkeling in een stroomversnelling geraakt. Dat heeft geleid tot kandidaatprotocollen zoals SPHINCS+, FALCON en andere opties. Toch is het een relatief jong vakgebied. Meerdere voorstellen die aanvankelijk veilig leken, bleken later kwetsbaar te zijn – soms zelfs voor klassieke computers. Zo werd ook SIKE gekraakt.
Het vertrouwen in de huidige kandidaten groeit, maar het vakgebied blijft sterk in beweging. Tabel 1 laat een belangrijk nadeel van post-quantumhandtekeningen zien: sleutels en handtekeningen zijn aanzienlijk groter dan bij klassieke algoritmes zoals ECDSA en Schnorr, die nu in Bitcoin worden gebruikt. Ook duurt het valideren langer. Sommige voorstellen proberen dit nadeel te compenseren met het witness-discountmechanisme van SegWit. Daardoor kan de hoeveelheid data op de blockchain worden beperkt. Toch is het nog onduidelijk wat de beste manier is om quantum-veilige handtekeningen in het protocol onder te brengen. Daarnaast laten de prestaties van deze schema’s soms te wensen over. Ze bieden bovendien nog niet alle functionaliteit die klassieke handtekeningen wel hebben. Dat speelt vooral bij toepassingen in het Lightning Network en andere geavanceerde toepassingen. Het onderwerp blijft een actief onderzoeksgebied binnen de cryptografie, en verdere verbeteringen worden op korte termijn verwacht.
Migratiepaden
Als de Bitcoin-gemeenschap besluit om kwetsbare fondsen over te zetten naar quantum-resistente formaten, moeten in korte tijd grote aantallen UTXO’s worden verplaatst. Er worden momenteel meerdere strategieën onderzocht, elk met hun eigen afwegingen. Sommige benaderingen richten zich op het veilig uitgeven van outputs met gehashte adressen, waarbij de publieke sleutel pas laat wordt vrijgegeven. Andere voorstellen doen suggesties om het gebruik van direct kwetsbare UTXO’s tegen quantumaanvallen te beperken of te reguleren. Zulke strategieën vereisen meestal veranderingen in de consensusregels, zoals via een soft fork. Tegelijk vormt het in de praktijk verplaatsen van grote volumes UTXO’s een aanzienlijke uitdaging. Zelfs met continue toewijzing van blokruimte kan dit proces tussen de 4 en 18 maanden duren.
Filosofisch Dilemma: Laten we toe dat fondsen worden gestolen?
De Bitcoin-gemeenschap staat voor een fundamentele vraag: moeten quantum-kwetsbare fondsen permanent onbruikbaar worden gemaakt (‘verbrand’), of toegankelijk blijven voor quantumcomputers (‘gestolen’)? Deze afweging raakt aan de kernwaarden van Bitcoin, zoals eigendomsrecht, weerstand tegen censuur en onveranderlijkheid. Bij de burn-benadering wordt quantumkwetsbaarheid gezien als een fout in het protocol. Die moet conservatief worden gerepareerd, om te voorkomen dat vermogen wordt herverdeeld ten gunste van degene die als eerste over een krachtige quantumcomputer beschikt. De steal-benadering daarentegen stelt dat verbranding het eigendomsrecht schendt. Daarbij zouden tegoeden worden afgenomen van gebruikers die het risico niet kennen of niet op tijd kunnen migreren.
De gevolgen van deze keuze zijn niet alleen filosofisch, maar ook economisch. Een collectieve burn zou miljoenen bitcoins permanent uit circulatie halen. Dat kan de waarde van de resterende munten verhogen en biedt de markt meer zekerheid. Wordt quantumdiefstal toegestaan, dan ontstaat er een grootschalige verschuiving van vermogen naar partijen met toegang tot quantumtechnologie. Dat zou leiden tot grote onzekerheid en langdurige volatiliteit, naarmate tegoeden systematisch verdwijnen. De besluitvorming over dit vraagstuk vormt een belangrijk moment in de ontwikkeling van Bitcoin-governance. De gemeenschap moet veiligheid afwegen tegen fundamentele principes zoals gebruikerssoevereiniteit en non-interventie.
Wat nu?
De opkomst van krachtige quantumcomputers (CRQC’s) zou een grote omslag betekenen voor de digitale wereld. Veel van de huidige beveiligde communicatie, authenticatie en infrastructuur komt dan onder druk te staan. Hoewel quantumcomputers momenteel nog niet praktisch inzetbaar zijn, wordt er al volop gewerkt aan voorbereidingen om Bitcoin tegen deze dreiging te beschermen. Binnen de cryptografiegemeenschap én onder Bitcoin-ontwikkelaars loopt onderzoek naar risico’s en mogelijke oplossingen. In dit rapport belichten we twee gebieden die op korte termijn aandacht vereisen: het stoppen van adreshergebruik en het kritisch heroverwegen van de burn-versus-steal-benadering bij kwetsbare fondsen.
Het moment om proactief te handelen is nu. Die kans blijft niet oneindig bestaan. Op de hoogte blijven van ontwikkelingen in quantumtechnologie en cryptografie is essentieel, net als het verkennen van mitigatiestrategieën en de bredere effecten daarvan op het Bitcoin-ecosysteem. Wie wil bijdragen aan de langetermijnveiligheid van Bitcoin in een post-quantumtijdperk, moet nu al doordachte en weloverwogen stappen zetten. Alleen dan kunnen we straks met kennis van zaken besluiten nemen, zolang de tijd nog in ons voordeel is.
Deze gastbijdrage is geschreven door Clara Shikhelman en Anthony Milton. De opvattingen in dit artikel zijn volledig hun eigen en weerspiegelen niet noodzakelijkerwijs de standpunten van BTC Inc of Bitcoin Magazine.
