1994 verschlossen Oded Goldreich und Yair Oren eine Tür: Ein vollständig nicht-interaktiver Nullwissensbeweis — ohne Hin-und-Her zwischen Prover und Verifier — konnte unter der Standarddefinition nicht existieren. Das Feld betrachtete die Frage als gelöst seit dreissig Jahren. Dann ging ein Doktorand durch die Mauer.

Wie Ben Brubaker von Quanta Magazine im Mai berichtete, konstruierte Rahul Ilango — ein PhD-Student am MIT, jetzt Postdoc am Institute for Advanced Study in Princeton — einen Nullwissensbeweis für jede NP-Aussage ohne Interaktion, ohne vertrauenswürdigen Setup und mit perfekter Sicherheit. Das war die exakte Kombination, die das Feld durchgestrichen hatte. UCLA-Kryptograf Amit Sahai sagte Quanta, die Konstruktion sei „eine unglaublich coole neue Richtung”; die Arbeit Gödel in Cryptography gewann den 2025-Machtey-Preis.

←HEUTE: Ein Resultat von 2025 (ePrint 2025/1296) zeigt, dass Geheimnis auf dem ruhen kann, das die Mathematik nicht beweisen kann, nicht nur auf dem, das schwer zu berechnen ist. →3012: Vertrauen, das auf Unbeweisbarkeit statt auf Vendor-Setup gründet, übersteht ein Jahrhundert. Drehpunkt: Die Unvollständigkeit, die Mathematiker 1931 ängstigte, wird tragend, wenn du aufhörst, Mathe um Selbstzertifizierung zu bitten.

Das System: Was ein Nullwissensbeweis verschiebt

Verfolge die Abhängigkeitsstruktur. Ein Nullwissensbeweis, 1985 erfunden von Shafi Goldwasser, Silvio Micali und Charles Rackoff, lässt einen Prover einen Verifier davon überzeugen, dass eine Aussage wahr ist, ohne sonst etwas preiszugeben. Der klassische Fall ist Kartendreifärbung: färbe jede Region so ein, dass keine zwei Nachbarregionen gleich sind. Der Prover verpflichtet sich auf eine Färbung, versteckt sie, und der Verifier deutet jeweils auf eine Grenze. Offenbare zweimal unterschiedliche Farben bei jeder Runde, über genug Runden hinweg, und der Verifier ist überzeugt, ohne je die ganze Karte zu sehen.

Der Engpass ist dieses Gespräch. Goldreich und Oren sagten, du kannst es nicht entfernen — ein nicht-interaktiver Beweis braucht einen „Simulator”, der klassisch nicht existieren kann. Ilango wechselt, auf welche Unmöglichkeit er sich stützt. Statt zu beweisen, dass ein Simulator existiert, konstruiert er Beweise, wo die ZFC-Axiome nicht widerlegen können, dass einer existiert, selbst wenn keiner existiert. Geheimnis hört auf, rechnerische Schwierigkeit zu sein, und wird eine Gödelsche Blindstelle. Er nennt das effektiv Nullwissen, und der Qualifizierer ist der ehrliche Teil.

Sage den Trade-off klar: Dies ist ein theoretisches Resultat, das sich auf eine umstrittene Neudefinition von „Nullwissen” stützt und darauf wettet, dass ZFCs Konsistenz unbeweisbar ist — kein einsatzreifes Werkzeug. Und trotz des Quantum-Labels, unter das diese Geschichte fällt, ist es klassische Komplexitätstheorie; der einzige Quantum-Faden in der Nähe ist die separate Post-Quantum-Migration.

Die Strasse: Vertrauen ohne Offenlegung

Für die Praxis lautet der Gewinn: Beweise eine Tatsache, ohne die dahinterstehenden Daten freizugeben. PAZ hat diesen Faden bereits behandelt, als die Pioniere der Quantenkryptografie einen Turing-Award erhielten. Zeige, dass ein Modell Brandschutzbestimmungen erfüllt, ohne das Modell offenzulegen. Zeige, dass ein Gebot die Spezifikation erfüllt, ohne den Preis zu verraten. Zeige, dass ein Berechtigungsnachweis gültig ist, ohne die Identität preiszugeben.

Atelier: Stelle dir einen vertraulichen Wettbewerb vor, in dem jedes Atelier beweist, dass sein Konzept Programm und Budget erfüllt, bevor eine einzige Zeichnung geöffnet wird — die Jury prüft Einhaltung, nicht Inhalte. Dasselbe Vertrauen-ohne-Offenlegung-Primitiv, angewendet auf Ausschreibungen und die datenschutzgerechte digitale Baugenehmigung.

Hack: Dieser Hack lehrt dich, wie viele Challenge-Runden ein interaktiver Nullwissensbeweis braucht, bis Betrug astronomisch unwahrscheinlich wird — die exakte Kostensumme, die Ilangas nicht-interaktive Version eliminiert. Ein Betrüger übersteht eine Runde der Dreifärbung mit Wahrscheinlichkeit höchstens 1 – 1/|E|, die Runden fügen sich als Skalierungsgesetz zusammen.

import math

# Eine Runde ertappt einen Täuscher mit Wahrscheinlichkeit >= 1/|E| (eine schlechte Kante aus |E|).
def rounds_needed(edges, target=2**-40):
    p_escape = 1 - 1 / edges                 # eine einzelne Runde überstehen
    return math.ceil(math.log(target) / math.log(p_escape))

for E in (100, 1000, 10000):
    print(f"|E|={E}: {rounds_needed(E)} Runden für Betrugswahrscheinlichkeit < 2^-40")

Führe es aus: 10’000 Kanten erfordern Hunderttausende von Runden. Dieses mit der Sicherheit linear skalierbare Gespräch ist der Engpass, der sich in jedem interaktiven Protokoll aufbaut — und was die neue Konstruktion im Prinzip beseitigt.

Der Zug

Die unmittelbare Massnahme ist nicht Ilangas Beweis; es ist die Vertrauensabhängigkeit, die du bereits hast. Die Kryptografie unter deinen signierten IFC-Dateien und E-Permits ruht auf schwierigen Problemen, die ein Quantencomputer brechen könnte — darum versendet Apple diesen Monat Post-Quantum-Corecrypto auf GitHub und die EU-Roadmap will kryptografische Inventare bis Ende 2026 und vollständige Migration bis 2035. ETH Zürichs Gruppe unter Ueli Maurer jagt seit Jahren Beweise „ohne Unlösbarkeitshypothesen”. Zeichne diese Woche deinen echten Vertrauensabhängigkeitsgraph — welche Signaturen, welche Standards, wessen Setup — und finde die dritte Abhängigkeit, die du übersehen hattest.

Quellen & Weiterführendes

• Primär: Quanta Magazine — Wie unbekannte Mathematik Geheimnisse schützt
• Vertiefung: Rahul Ilango — Gödel in Cryptography (IACR ePrint 2025/1296)