@klaymen: Toller Beitrag! 
Schade, dass er bisher etwas untergeht. Ich muss zugeben, dass ich das Video auch nicht komplett gesehen habe. Ich hatte mehrere deiner Gedanken auch schon, deshalb hier ein paar Überlegungen dazu:
Wahrscheinlich ist es zumindest kein großes Problem.
Ich habe mich da selbst noch nicht im Detail eingelesen und mir ist unklar, inwieweit Grover’s Algorithmus die Sicherheit von SHA-256 beeinträchtigt. Evtl. würde man damit wesentlich weniger Versuche benötigen, um einen gültigen Block zu finden. Aber das wäre kein Problem, wenn die HW irgendwann für jeden verfügbar wäre und man einen fließenden Übergang hätte.
Ich nehme an, dass die ersten dafür verwendbaren Quantencomputer so teuer wären, dass es sich nicht lohnt damit zu minen. Nehmen wir weiter an, dass die Kosten um mit einem Quantencomputer zu minen langsam im Laufe der Jahre fallen werden.
Dann kommt irgendwann der Punkt, wo die ersten Miner Quantencomputer einsetzen werden, weil es sich von da an lohnt. Wir hätten also einen halbwegs fließenden Übergang, der kein Problem darstellt.
Wenn man sich HIER mal die historische Bitcoin Hashrate ansieht (All Time, Logarihtmic Scale), haben die Übergänge von GPU zu FPGA (ab 2011) und von FPGA zu ASIC (ab 2013) relativ fließend stattgefunden (Quelle für Zeiträume: Google und Wikipedia).
Interessanter fände ich an der Stelle die mögliche Zentralisierung dieser neuen Geräte. Sobald es „mining-taugliche“ Geräte geben sollte, müssten diese auch für jeden verfügbar sein. Und am Anfang wird es wahrscheinlich wieder längere zeit nur einen Platzhirsch geben. Aber das sind keine Quantencomputer-spezifischen Probleme.
Schwieriger wird die Frage, von wem und wo so ein Gerät noch sinnvoll betrieben werden kann. Die Geräte sind sicher wesentlich empfindlicher und am Anfang sehr groß.
Was mich am meisten interessiert, ist der Proof of Work an sich.
Ob das Mining wirklich einen Proof of Work darstellt wissen wir erst, wenn wir das Landauer Prinzip irgendwann besser verstanden und validiert haben. Nur wenn für eine Bitoperation naturgesetzlich immer ein nicht unterschreitbares Minimum an Energie aufgewendet werden muss, bleibt der Proof of Work dauerhaft seinem Namen gerecht und sicher.
Es gibt Artikel zur Validierung des Prinzips, auch schon erste Versuche mit Qubits. Ich habe mich damit aber zu wenig beschäftigt, insbesondere ist mir nicht klar inwieweit Reversible Computing hier relevant werden könnte.
Das ist richtig. Ich sehe kein Problem darin, dass man schnell genug neue Verfahren findet. Allerdings gibt es neben den Satoshi Coins auch eine große Menge verlorener Coins, die dann plötzlich wieder ins Spiel kommen.
Theoretisch könnte der erste Betreiber des Shor-Algorithmus auf einem Quantencomputer ausreichender Größe sich all diese BTC sichern.
(Sorry, ich habe gesehen, du hast weiter unten etwas dazu geschrieben. Sehe ich genau wie du.)
Die Kryptographie bestand schon immer aus tickenden Zeitbomben, die auch in der Vergangenheit alle zuverlässig explodiert sind. Sowohl bei aktuellen als auch post-quantum Algorithmen kann man nicht beweisen, dass sie sicher sind. „Sicher“ bedeutet hier, dass es nur die schon bekannten Verfahren gibt um eine Verschlüsselung anzugreifen. Deshalb werden neue Verfahren auch üblicherweise 10…20 Jahre erforscht, bis man sie einsetzt.
Deshalb finde ich es eine ganz entscheidende Absicherung, dass Bitcoin Adressen mit drei unterschiedlichen Verfahren aus dem Private Key berechnet werden. Drei bewährte Verfahren wird man nicht gleichzeitig brechen.
Umso seltsamer ist deshalb der Punkt:
Ich habe das auch immer wieder gelesen und bin mir bis heute nicht sicher, ob ich das richtig verstanden habe.
Wenn es wirklich so ist, wäre das m.E. eine der dümmsten Entscheidungen, die in der Bitcoin Entwicklung jemals getroffen wurden. Bei extrem Sicherheits-relevanten Themen verlässt man sich niemals nur auf eine Technologie (Diversität: Gürtel + Hosenträger).
Allerdings weißt ich nicht, ob man sich als Laie hier täuscht. Hier wird das allerdings gut erklärt und es sieht so aus.
Soweit ich weiß gibt es noch kein Verfahren, von dem alle überzeugt sind. Der NIST Prozess zur Standardisierung von Pots-quantum Verfahren läuft ja auch noch.
Einen schönen Überblick bietet der NIST Bericht zur Runde 2 oder auch dieses Video auf dem 35C3 (schon drei Jahre alt, gibt es auch übersetzt).
Die Public Keys oder Signaturen dieser Verfahren sind teilweise einige Megabyte groß. Ein Lichtblick sind aus meiner Sicht die Supersingular Isogenies. Siehe z.B. auf Wikipedia oder in diesen Videos: 36C3 Vortrag, Microsoft Research.
Die Keys sind dabei nur ca. eine Größenordnung größer als heute. Der Rechenaufwand ist größer als bei anderen Post-Quantum Verfahren, aber das wäre bei Bitcoin schätze ich kein riesiges Problem.
Im NIST Verfahren ist auch ein Isogeny-basiertes Verfahren dabei (SIKE), in diesem Fall allerdings nicht für digitale Signaturen. Man forscht aber an Isogeny-basierten Signaturverfahren (z.B. CSIDH, SeaSign etc.). Es wird spannend wie klein die Signaturen sein werden können.
NIST schreibt im Status Bericht: „NIST sees SIKE as a strong candidate for future standardization with continued improvements“. Es ist also noch mehr Forschung und Bewährung notwendig.
Edit (Ergänzung):
Es gibt u.a. noch die gitter-basierten und die hash-basierten Verfahren, die man hier erwähnen sollte, weil sie seit langer Zeit die Post-Quantum-Kandidaten schlechthin sind.
Bei den hash-basierten Verfahren war das Problem soweit ich weiß, dass man mit dem Private Key nur wenige oder sogar nur ein Mal signieren kann, da man sonst auf ihn zurückrechnen kann. Man dürfte also jeden Public Key und jede Bitcoin-Adresse nur einmal verwenden.
Natürlich kann am Ende auch ein hash-basiertes Verfahren am besten für die Blockchain geeignet sein. Aber Iota hat z.B. erst vor kurzem von solch einem Verfahren (WOTS) zurück auf einen nicht quanten-resistenten Standard gewechselt. Grund waren das mehrfache Verwenden von Adressen, Rechenleistung, Signaturgrößen von einigen kByte und dass es kein Standard ist.
Auch ein Punkt, wo ich dir zustimme, und den ich bisher nicht nachvollziehen kann. Man kann sich nicht darauf verlassen, dass man schon irgendwann ein post-quantum Verfahren findet, das gleichzeitig auch die vorteilhaften Schnorr Features mitbringt.
Zweitens benötigen neue Verfahren wie schon gesagt mindestens 10…20 Jahre, bevor man sie scharf einsetzen sollte. Alle Verfahren im aktuellen NIST Auswahlprozess sind schon seit langem bekannt.
Wenn man also davon ausgeht, dass es in den nächsten 20 Jahren Quantencomputer geben wird, die den Bitcoin Signaturen gefährlich werden, dann werden die Schnorr-Features wohl zwangsweise wieder wegfallen.