Coinshares Logo

Anlegerprofil

Anlegertyp

Land

Austria

Angle down icon

Neueste Artikel und Neuigkeiten

Starseitearrow-right-grayAnalysenarrow-right-grayForschung und Datenarrow-right-gray

Quantum Die Sicherung von Bitcoin ist gar nicht so schwer

Timer12 Min. Lesezeit

Angesichts der jüngsten Behauptungen von chinesischen Wissenschaftlern, wesentliche Fortschritte beim Durchbrechen bestimmter Verschlüsselungsklassen gemacht zu haben, sowie der Ankündigung von Google, weitere Fortschritte im Bereich der Quantenchips zu erzielen, halte ich es für angebracht, einige Prinzipien von Bitcoin zu wiederholen und zu erklären, wie diese in Verbindung zur sich abzeichnenden Bedrohung durch Quantencomputer stehen.

Beginnen wir mit dem Fakt, dass jede praktische Quantenbedrohung gegenüber Bitcoin weiterhin sehr weit weg ist. Trotzdem ist es meiner Meinung nach ein Thema, das viele Leute interessieren wird. In diesem Artikel möchte ich so einfach wie möglich beschreiben, wie Bitcoin Kryptografie nutzt, und in welchem Ausmaß Quantencomputer eine Bedrohung für ihre Komponenten darstellen.

Dann werde ich, wieder möglichst simpel, erklären, welche Gegenmaßnahmen ergriffen werden können und welchen Prozess diese erfordern. Wenn Sie nicht weiterlesen möchten, hier eine kurze Zusammenfassung: Die Bedrohung, die wir aktuell sehen, kann relativ leicht abgeschwächt werden – und zwar einzig und allein mit einer Soft Fork.

Im Rest dieses Artikels werde ich erklären, warum dies meiner Meinung nach und angesichts der Komplexität des Themas die kürzeste und simpelste Beschreibung der aktuellen Situation ist.

Bitcoin nutzt zwei Klassen von Kryptografie-Tools

Die meisten Menschen wissen, dass Bitcoin Kryptografie aus Sicherheitsgründen nutzt. Aber nur wenige wissen, wie. Das ist vielleicht nicht verwunderlich, da Kryptografie vielen Menschen zu kompliziert erscheint. Tatsächlich sind die Prinzipien der Kryptografie jedoch relativ simpel: Sie baut darauf auf, dass bestimmte Funktionen in eine Richtung einfach berechnet werden können, in die andere Richtung jedoch nicht. Wir nennen sie Einwegfunktionen.

Bitcoin verwendet zwei verschiedene Arten von Einwegfunktionen für sehr verschiedene Aufgaben. Zuerst verwendet es die relativ bekannte Klasse Kryptografie-Schlüsselpaare, die aus einem Private Key und einem Public Key besteht. Dann nutzt es die weniger bekannte Klasse Hashfunktionen.

Sehen wir uns kurz an, was es damit auf sich hat.

Kryptografie-Schlüsselpaare werden verwendet, um Transaktionen zu senden und zu erhalten

Im Kern des Sicherheitsmodells von Bitcoin liegt die Nutzung von Kryptografie-Schlüsselpaaren für Transaktionen. Kurz gesagt können Transaktionen als gesendet an einen Public Key und gesendet von einem Private Key angesehen werden. Etwas umfassender wäre die Beschreibung, dass das Unlocking Script eines Unspent Transaction Output (UTXO) durch einen Public Key gesperrt ist und durch eine digitale Signatur, die vom entsprechenden Private Key ausgestellt wird, entsperrt werden kann.

Bitcoin verwendet aktuell zwei Signatur-Algorithmen: den Elliptic Curve Digital Signature Algorithm (ECDSA) und Schnorr Signatures. Beide nutzen dieselbe Public-Key-Struktur (elliptische Kurvenmultiplikation auf der Kurve secp256k1). Diese Methode ist anfällig für Quantencomputer, die den Shor-Algorithmus verwenden, da Coins, die an diese beiden Adressenarten gesendet werden, möglichem Risiko ausgesetzt werden.

Hashfunktionen werden für Truncation, Validation, Settlement und Address Obfuscation verwendet

Die andere Hauptklasse von Kryptografie-Tools – die Hashfunktionen – erfüllt verschiedene Rollen. Es ist hier wichtig anzumerken, dass Hashfunktionen nicht zum Autorisieren von Transaktionen verwendet werden. Bitcoin nutzt zwei Hashfunktionen: SHA-256 und RIPEMD-160, wobei SHA-256 verschiedene Aufgaben erfüllt.

Die drei Hauptaufgaben von Hashfunktionen sind Truncation und Validation, Settlement und Address Obfuscation. Die Aufgaben Truncation und Validation werde ich auslassen, da sie für dieses Thema irrelevant sind.

Settlement

Wenn es um Settlement geht, wird SHA-256 von einem Netzwerk an Minern verwendet, um eine dezentralisierte zeitliche Anordnung der Transaktionen zu erreichen. Die Regelmäßigkeit von Transaktionsabwicklungen wird durch die Schwierigkeitsanpassung so geregelt, dass unabhängig davon, wie viele Miner am Abwicklungsprozess teilnehmen, im Durchschnitt alle 10 Minuten neue Tranchen von Transaktionen (Blöcke) eingegeben werden.

Da bekannt ist, dass SHA-256 nicht rückwärts berechnet, sondern nur geschätzt werden kann, kann das Netzwerk das Auffinden neuer Blöcke erschweren. Daher kann der Prozess nicht schneller als vorgesehen ablaufen. Bitcoins Emissionskurve ist also zeitlich festgelegt und kann nicht beschleunigt oder verlangsamt werden.

Dieser Prozess bringt außerdem umfassende Kosten für die Teilnehmenden mit sich. Das Ausmaß dieser Kosten dient zur Abschreckung böswilliger Akteure, die darauf abzielen, durchgeführte Transaktionen rückgängig zu machen oder Transaktionen anderer zu verhindern. Hierbei ist es wichtig anzumerken, dass kein Miner, auch wenn er 100 % des Mining-Netzwerks kontrolliert, Transaktionen anderer umleiten kann, nachdem sie durchgeführt wurden. Dies ist nur für eigene Transaktionen möglich, da sie über Public Keys anderer keine digitalen Signaturen erstellen können.

Verschleierung von Adressen

Eine weitere wichtige Rolle von Hashfunktionen ist das Verschleiern von Bitcoin-Adressen. Das effektive Versenden von Bitcoin läuft über einen Public Key. Allerdings kann Bitcoin auch an den Hash eines Public Key gesendet werden. Diese Art von Transaktion wird p2pkh oder Pay to Public Key Hash genannt. Wir betrachten p2pkh als Art von Bitcoin-Adresse. Weitere Adressarten sind p2pk oder Pay to Public Key und p2sh (Pay to Script Hash).

Das Wichtigste hier ist, dass, wenn Bitcoin an den Hash eines Public Key gesendet wird, dieser Public Key dem Netzwerk nicht offengelegt wird. Nur eine verschleierte Form des Public Key ist im Netzwerk einzusehen. Dies bedeutet, dass der Betreiber eines böswilligen Quantencomputers, der versucht, ausgehend von Public Keys die Private Keys zu berechnen, nichts in der Hand hat und daher nichts erreichen kann.

Quantencomputer Verringern die Sicherheit von Kryptografie, aber Beseitigen sie nicht zwangsläufig

Beim Analysieren der Anfälligkeit von Bitcoin für Quantencomputer müssen wir einige Dinge genau beachten: Erstens, was genau Quantencomputer tun können, und zweitens, wie genau sich dies auf Bitcoin auswirken würde. Befassen wir uns also mit diesen beiden Fragen.

Kryptografie basiert im Allgemeinen auf der Unfähigkeit von Computern, bestimmte Dinge innerhalb eines bestimmten Zeitrahmens zu berechnen. Beispielsweise wäre das Auffinden einer Hash-Kollision in SHA-256 mit normalen Computern so kompliziert, dass es selbst mit einem Computer, der so groß wie die Erde ist und die gesamte Energie der Sonne verwendet, Billionen Mal länger als das Alter des Universums dauern würde.

Und die benötige Zeit zum „Rückgängigmachen“ der Einwegfunktionen hängt mit den Schlüsselgrößen bzw. Digest-Längen zusammen. Größere Schlüssel benötigen mehr Zeit zum Umkehren. Beispielsweise braucht ein 256-Bit-Schlüssel, obwohl er nur doppelt so lang ist wie ein 128-Bit-Schlüssel, 2^128 oder ~10^39[1] Mal länger –

Derweil verringern größere Computer die zur Umkehr benötigte Zeit nur in Proportion zu ihrer Größe, sodass ein doppelt so schneller Computer die Umkehrzeit nur um die Hälfte verringert.

Quantencomputer hingegen reduzieren die Zeit zum Umkehren dieser Funktionen basierend auf der Größe des Computers, den Sie verwenden. Das bedeutet, dass ein Quantencomputer mit doppelt so vielen Qubits als ein anderer bestimmte Einwegfunktionen beispielsweise viermal schneller rückgängig machen kann. Die grundlegenden Annahmen zu den Arten von Kryptografie, die für Quantencomputer anfällig sind, werden also gebrochen, was aber nicht bedeutet, dass sie sofort aufhören zu arbeiten.

Nehmen wir SHA-256 als Beispiel. Laut der University of Illinois würde ein Quantencomputer, der den Grover-Algorithmus verwendet, die Sicherheit von SHA-256 von 256-Bit auf 128-Bit verringern. In anderen Worten: Ein normaler Computer, der versucht, aus einem Output den Input für SHA-256 zu finden, müsste 2^256[2] Versuche unternehmen, um garantiert einen Output zu finden, während ein Quantencomputer „nur“ 2^128 Versuche bräuchte.

Zum Vergleich: Selbst wenn man einen Quantencomputer hätte, der eine Billion Mal schneller wäre als der aktuell schnellste Quantencomputer, würde es immer noch eine Million Jahre (und eine absurde Menge an Energie) verlangen, um eine Kollision zu finden. Das ist nicht sehr praktisch, aber mit Sicherheit viel schneller als die 367 Milliarden Billionen Billionen Billionen Billionen Jahre, die ein gewöhnlicher Computer brauchen würde.

In anderen Worten: Adressen, die hinter SHA-256-Hashes versteckt sind, bleiben wahrscheinlich sicher, auch wenn Mega-Quantencomputer Realität werden. Bezüglich Mining würde ein Quantencomputer nur einem schnelleren Miner gleichkommen, und angesichts seiner Kosten und Komplexität (angenommen, es ist überhaupt möglich, einen solchen in interessanter Größe zu bauen) wäre er nicht zwangsläufig kosteneffizient.

Die Anfälligkeiten von Bitcoin sind begrenzt, und diese auszunutzen erfordert wesentlichen technologischen Fortschritt

Da wir nun einen Eindruck von den Zahlen und der Größenordnung haben, die noch immer für die Umkehrung (z. B. von SHA-256) nötig ist, wollen wir uns etwas genauer mit Bitcoins Quanten-Schwachstellen befassen.

Beginnen wir mit den ECDSA-gesicherten Adressen, die theoretisch anfällig für Quantencomputer sind, die den Shor-Algorithmus verwenden[3]. Denken Sie daran, dass es möglich ist, Bitcoin direkt an Public Keys zu senden, sodass alle Coins, die in Adressen liegen, welche einen Public Key offenlegen, anfällig für Diebstahl wären, wenn jemand ausgehend von dem Public Key den Private Key berechnen könnte. Zum Verständnis: Wir reden hierbei von ca. 1,9 Mio. Bitcoin, also 9 % des Angebots.

Transaktionen auf Schnorr-Adressen – wie zum Beispiel Taproot UTXOs – sind ebenfalls anfällig, da ihre Public Keys auch sichtbar sind. Dieses Adressformat enthält jedoch nur ca. 0,1 % der Coins, weshalb wir es für diese Analyse nicht berücksichtigen.

Forschern zufolge bräuchte ein Angreifer zum Umkehren eines Public Key innerhalb eines Tages einen Quantencomputer mit einer Fehlertoleranz und -begrenzung, die bisher noch nicht erzielt wurden, sowie 13 Mio. physischen Qubits – also ca. 100.000 Mal so viel wie der aktuell größte Quantencomputer[4]. Um dies innerhalb von einer Stunde zu tun[5], bräuchte man einen 3 Mio. Mal besseren Quantencomputer als die aktuell verfügbaren.

Es ist nicht leicht, die aktuelle Wachstumsrate bei physischen Qubits zu schätzen. Zum Teil, weil es viele verschiedene Arten von Qubits gibt, aber auch, weil wir nicht viele Datenpunkte haben. Laut Daten von Quantum Zeitgeist ähnelt das Wachstum in funktionellen physischen Qubits dem gewöhnlicher Computerchips, wie vom Mooreschen Gesetz beschrieben – die Zahlen verdoppeln sich ca. alle zwei Jahre. Demnach würde es mehr als 15 Jahre dauern, um 13 Mio. Qubits zu erhalten.

Und dabei gehen wir davon aus, dass es überhaupt möglich ist, einen solchen Umfang von Qubits zu erhalten und gleichzeitig eine niedrigere als die aktuell erreichte Fehlerquote zu erzielen – und wir haben noch nicht einmal über Kosten gesprochen.

Zur Beseitigung der primären Schwachstellen ist lediglich ein neues Adressformat via Soft Fork erforderlich

Sollte diese Quanten-Überlegenheit jedoch irgendwann eintreten, gibt es immer noch viele Maßnahmen zur Risikominderung, um Coins zu schützen. Diese reichen von einfachen vertrauensbasierten Lösungen, die keine Änderungen an Bitcoin erfordern, bis hin zu einem echten Ersatz der Krypto-Tools. 

Die einfachste Schutzmaßnahme ist jedoch, nur Adressformate zu verwenden, die hinter Hashes versteckt sind, und dann nach außen gehende Transaktionen direkt an Miner oder Pools zu senden, mit der Annahme, dass diese keine böswilligen Quantencomputer verwenden und versuchen, von Ihnen zu stehlen (wofür sie natürlich auch strafrechtlich haftbar wären). Eine weitere Methode ist, Transaktionen zu senden, die klein genug sind, dass das einstündige Betreiben eines ultrafortgeschrittenen (und wahrscheinlich riesigen und teuren) Quantencomputers mehr kosten würde als der Wert der Transaktion.

Solche Arten der Risikominderung werden die bekannterweise paranoide Bitcoin-Community jedoch wahrscheinlich nicht zufriedenstellen. Deshalb wird vermutlich eine neue Adressenart mit quantenresistenter Kryptografie nötig sein. Tatsächlich wurde bereits ein Entwurf eines Bitcoin Improvement Proposal (BIP) für ein neues, quantensicheres Adressformat vorgeschlagen, das derzeit diskutiert wird. Die Einführung eines neuen Adressformats wäre zwar keine kleine Änderung, würde aber nur eine Soft Fork erfordern, sodass sie wahrscheinlich keine großen Kontroversen auslösen würde.

Das Hauptproblem, das aktuell das Verlangen nach dringenden Handlungen einschränkt, ist, dass die meisten quantensicheren Alternativen Signaturgrößen aufweisen, die viel größer als die aktuellen Bitcoin-Signaturen sind. Dies kann problematisch sein, da Bitcoin die Blockgröße stark limitiert, wodurch Transaktionen mehr Daten erfordern und dies die Anzahl der Transaktionen, die in einen Block passen, reduziert. Auch dies kann durch die Erhöhung des Witness-Anteils an Bitcoin-Blöcken gelöst werden – die technisch gesehen nicht der Blockgröße unterliegen –, aber dieses Thema würde wahrscheinlich einen eigenen Artikel erfordern, um es im Detail zu besprechen.

Nach der Einführung müssten Coins, die aktuell in anfälligen Adressen liegen, an neue, sichere Adressen übertragen werden. Die Verantwortung dafür liegt bei den Eigentümern der einzelnen Adressen. Interessanterweise sind die meisten anfälligen Coins jene, die angeblich Satoshi Nakamoto gehören. Das bedeutet, dass diese Coins bewegt werden müssen, was beweisen würde, dass Satoshi noch am Leben ist – ansonsten würden sie eine Honeypot-Belohnung für die Entwickler von Quantencomputern darstellen.

Fassen wir zusammen: Quantencomputer stellen eine Bedrohung dar, allerdings keine aktuelle oder besonders problematische

Problematische Quantencomputer liegen, wenn man davon ausgeht, dass sie realisierbar sind, noch in der Zukunft. Es ist also noch Zeit, um die nötigen Änderungen zu besprechen und vorzunehmen. Sollten diese Computer irgendwann existieren, kann Bitcoin relativ einfach modifiziert werden, um das von ihnen ausgehende Risiko zu mindern.

Das Hauptrisiko bezüglich Bitcoin ist der Diebstahl von Coins von Adressen mit sichtbaren Public Keys. Diese Adressen machen etwas weniger als 10 % aller Coins aus. Um diese nach der Einführung von praktischen Quantencomputern von entsprechender Größe zu sichern, müssten Coins in solchen Adressen an neue, quantensichere Adressformate übertragen werden.

Dann, sollte ein Quantencomputer mit ausreichender Größe und Kapazität existieren, wären alle Adressen, die ECDSA oder Schnorr verwenden – selbst solche, die durch ein Hash verschleiert sind – anfällig, da ihre Keys möglicherweise in der kurzen Zeit, in der ihre signierten Transaktionen in Mempool warten, umgekehrt werden könnten. In diesem Fall müssten alle Coins an quantensichere Adressen übertragen werden.

Ein quantensicheres Adressformat kann via Soft Fork zu Bitcoin hinzugefügt werden, was bedeutet, dass es von denen, die dies möchten, eingeführt werden kann. Wer es nicht möchte, kann es ignorieren. Damit wäre die Änderung also relativ einfach umzusetzen und würde wahrscheinlich nicht als so problematisch betrachtet werden, dass die Einführung verzögert würde.

[1] das heißt, 340.282.366.920.938.463.463.374.607.431.768.211.456 Mal.

[2] Das heißt, ~10^78, oder 115.792.089.237.316.195.423.570.985.008.687.907.853.269.984.665.640.564.039.457.584.007.913.129.639.936 Versuche.

[3] Der Grund dafür ist, dass die elliptische Kurvenmultiplikation, die sie auf der secp256k1-Kurve verwenden, anfällig ist.

[4] Die Schätzung „physischer Qubits“ stellt eine gewisse Schwierigkeit dar, da es viele verschiedene Arten von Qubits gibt, deren Leistung und Charakteristiken nicht immer gleich sind. Ausgehend von dem Wissenslevel unseres Publikums haben wir für diesen Artikel nicht reine Genauigkeit, sondern Lesbarkeit, Verständlichkeit und Verallgemeinerbarkeit priorisiert.

[5] Dies wird als entscheidender Anfälligkeitszeitraum angesehen, da selbst Public Keys, die hinter einem SHA-256 versteckt sind, für kurze Zeit im Netzwerk sichtbar sind – wenn sie sich im Prozess des Ausgebens befinden, aber noch nicht durch einen Miner einem Block hinzugefügt wurden.

Geschrieben von
Christopher Bendiksen
Veröffentlicht am17 Dez 2024

Willkommen bei CoinShares
to CoinShares

Personal data

0102

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, um Funktionen für soziale Medien bereitzustellen und um unseren Datenverkehr zu analysieren. Wir geben auch Informationen über Ihre Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter, die diese mit anderen Informationen kombinieren können, die Sie ihnen zur Verfügung gestellt haben oder die sie aus Ihrer Nutzung ihrer Dienste gesammelt haben. Wenn Sie die Verwendung von Cookies akzeptieren, erklären Sie sich mit der in der Datenschutzrichtlinie und der Cookie-Richtlinie beschriebenen Verarbeitung dieser Daten einverstanden.

 

Wir verwenden Cookies auf unserer Website, um unsere Dienste zu optimieren. Erfahren Sie mehr über unsere EU-Cookie-Richtlinie oder unsere US-Cookie-Richtlinie.

  • Notwendig
    Question circle icon
  • Präferenzen
    Question circle icon
  • Statistisch
    Question circle icon
  • Marketing
    Question circle icon