de
Zurück zur Liste

Schwächt das Taproot-Upgrade die Resistenz von Bitcoin gegen Quantencomputer?

source-logo  bitcoinblog.de 18 März 2021 10:20, UTC

Langsam wird die Aktivierung des seit langem erwarteten Taproot-Upgrades für Bitcoin greiftbar. Doch es mehren sich auch kritische Stimmen. Ein Entwickler warnt, dass Taproot die Resistenz von Bitcoin gegen Quantencomputer schwächt.

Taproot. Das seit mehreren Jahren erwartete Upgrade für Bitcoin soll Smart Contracts, wie Multisig-Konstruktionen oder Lightning-Channels, effektiver und privater zugleich machen. In einem anderen Artikel haben wir bereits beschrieben, wie Taproot funktioniert und welche Vorteile es mit sich bringt.

Viele Entwickler sehnen das technisch anspruchsvolle Upgrade herbei. Es herrscht ein weitgehender Konsens darüber, dass Taproot wünschenswert ist; diskutiert wird derzeit vor allem, auf welche Weise es aktiviert wird.

Nun hat jedoch der unabhängige Bitcoin-Entwickler Mark Friedenbach einen Einspruch eingelegt. Unter dem Titel „Warum ich gegen Taproot bin“ erklärt er, was ihn an dem Upgrade stört:

„Es existieren ernstzunehmende Bedrohungen von Bitcoin durch Quantencomputer, und die vorgeschlagene Taproot-Erweiterung verschlimmert die Situation noch. Wir sollten nicht erlauben, dass Taproot aktiviert wird, und wenn, dann sollten wir User demotivieren, es zu benutzen.“

Aber wie – und warum? Beginnen wir am Anfang: Bei den Gründen, weshalb Mark Friedenbach Taproot mag.

„Der Punkt, ab dem alles ganz schrecklich schief lief.“

Das Post von Mark zählt viele Vorteile von Taproot auf: Das Upgrade ersetzt den Signaturalgorithmus ECDSA mit dem einfacheren, simpleren und patenteren Schnorr-Algorithmus. Das ist in mehr Beziehungen gut, als man aufzählen kann:

Schnorr-Signaturen werden eine Menge komplexer Operationen – etwa Multisig-Konstruktionen – vereinfachen, die Signatur-Operation beschleunigen und den Speicherbedarf senken. Darüber hinaus werden sie die Privatsphäre verbessern, da mit ihnen Smart Contracts nicht länger von Standardtransaktionen zu unterscheiden sind.

Daneben optimiert Taproot einige weitere Details im Zusammenhang mit Signaturen. An sich hat das Upgrade nur Vorteile. „So weit, so gut. Das sind alles Features, für die ich schon lange werbe, und einige beruhen sogar auf Vorschlägen von mir.“ Allerdings gehört zu Taproot auch ein Feature, welches Transaktionen noch effizienter machen soll: Es platziert einen aggregierten öffentlichen Schlüssel nackt im Output.

Um zu verstehen, was nackt in diesem Zusammenhang bedeutet, sollte man wissen, dass Adressen bei Bitcoin und anderen Kryptowährungen keine öffentlichen Schlüssel sind, sondern mathematische Ableitungen von diesen, wofür in der Regel mehrere Hash-Algorithmen zum Einsatz kommen. Wenn Taproot stattdessen den nackten öffentlichen Schlüssel verwendet, erhöht das (aus komplexen Gründen) die Privatsphäre und spart Platz. Der „clevere Hack“ macht Taproot noch ein Stückchen besser.

„Und das,“ befrüchtet Friedenbach, „ist der Punkt, von dem zukünftige Historiker sagen werden, dass nach ihm alles ganz schrecklich schief lief.“

Eine Gefahr schon Ende des Jahrzehnts?

Leider muss man ein paar Dinge über Quantencomputer wissen, um zu begreifen, warum. Quantencomputer gelten seit langem als die Zukunft des Rechnens, weil sie nicht nur Bits mit zwei Zuständen benutzen, sondern Qubits, die noch einen dritten Zustand haben können. Die Vision von Quantencomputern ist so alt, dass sie schon beinah lächerlich wird.

Aber eben nur beinah. 2019 und 2020 konnten Google und IBM die sogenannte „Quantenüberlegenheit“ demonstrieren: Sie bildeten Quantencomputer, die Probleme lösten, welche normale Computer nicht lösen können. Einer der Bereiche, in denen Quantencomputer als potenziell überlegen gelten, ist die Kryptographie. Theoretisch können Quantencomputer etwa Hashalgorithmen umkehren und den privaten Schlüssel aus dem öffentlichen Schlüssel berechnen.

Vor allem letzteres ist für Bitcoin-User ziemlich gruselig: Denn jeder Bitcoin wird durch Signaturen geschützt. Um Bitcoins zu überweisen, muss man eine Transaktion mit einem privaten Schlüssel signieren. Wenn es möglich wäre, diesen privaten Schlüssel zu errechnen, könnte man Bitcoins stehlen. Es wäre das schlimmste, was dem System passieren könnte.

Noch ist das in einigermaßen weiter Ferne. Um Bitcoin-Signaturen zu brechen, bräuchte ein Quantencomputer mindestens einige tausend Qubits, die über hunderte Milliarden von Oprationen stabil bleiben. Beides ist derzeit noch eine riesige und ungelöste Herausforderung. Doch die Technologie schreitet schnell voran; Friedenbach notiert, dass sich die Anzahl der Qubits alle 18 Monate verdoppelt, weshalb Quantencomputer schon Ende des Jahrzehnts private Bitcoin-Schlüssel errechnen könnten.

Aber was bedeutet eine Gefahr für Bitcoin konkret? Das Szenario ist nicht so schrecklich, wie man auf den ersten Blick meinen könnte – aber weiterhin ziemlich beängstigend.

„Eine Vertrauenskrise, von der wir uns vielleicht niemals erholen würden.“

In der Regel werden Bitcoins einer Adresse zugeschrieben. Diese ist eine durch mehrere Hashfunktionen abgeleitete Formulierung des öffentlichen Schlüssel, verrät diesen aber nicht. Da es für Quantencomputer noch viel schwieriger ist, Hashes zu brechen, sind Bitcoins auf Adressen sehr viel sicherer als Bitcoins, die nackten öffentlichen Schlüsseln zugeordnet sind.

Wenn Sie also Ihre Bitcoins auf einer Adresse speichern und jede Adresse nur einmal benutzen, werden Ihre Coins auch vor Dieben mit Quantencomputern sicher sein.

Derzeit gibt es allerdings 6,25 Millionen Bitcoins, für die die öffentlichen Schlüssel bekannt sind. „Wir haben also 6,25 Coins, die unmittelbar gestohlen werden können, wenn jemand Zugang zu einem Quantencomputer hat, der groß genug ist, um die Kalkulationen für den diskreten Logarithmus secp256k1 auszuführen“ (also den privaten Schlüssel zu errechnen). „Das entspricht etwa einem Drittel aller Bitcoins, die derzeit existieren.“

Immerhin sind nur 1,75 Millionen dieser Bitcoins an öffentliche Schlüssel auf der Blockchain gebunden. Es handelt sich in der Regel um nicht ausgegebene Coins von frühen Minern. Wenn diese gestohlen werden, wäre es ein gefährliches Drama, aber Bitcoin könnte es überleben. Die restlichen gut vier Millionen angreifbaren „Bitcoins sind vulnerabel, weil sie Schlüssel oder Skripte mehrfach verwenden, was eine eher neuartige Praxis ist und eine leider häufige Praxis bei einigen Treuhandservices.“ Wenn diese durch Quantencomputer gestohlen werden, „würde dies zu einer Vertrauenskrise führen, von der wir uns vielleicht niemals erholen könnten.“

Bitcoin-Entwickler sollten alles tun, um eine solche schlechte Praxis zu verhindern. In keinem Fall sollten sie eine Technologie bewerben, die User zwingt, sich eine Schwäche gegen Quantencomputer aufzuladen, um die Vorteile von Schnorr-Signaturen zu genießen. Indem Taproot öffentliche Schlüssel nackt auf die Blockchain stellt, „tauschen wir Quantenresistenz gegen kleine Effizienzsteigerungen und trendige Krypto-Eigenschaften“. Daher sollte man Taproot in der derzeiten Form „NICHT implementieren“, schließt Friedenbach.

Aber wie sehen das die anderen Entwickler?

Ein „totes Pferd“ und ein Problem, das „trivial“ zu lösen ist

Luke Dashjr hat Friedenbachs Post in der Mailingliste der Bitcoin-Entwickler geteilt. Er empfiehlt allen, es zu lesen und ernst zu nehmen, meint aber auch, dass es kein ernsthafter Grund gegen Taproot ist: „Es dürfte relativ trivial sein, mit einer weiteren Softfork eine Hash hinzuzufügen, um das Problem zu fixen.“

Matt Corallo von ChainCodeLabs erklärt, dass das Problem keineswegs neu sei. „Wir haben das Problem schon zu Tode geritten, und ich bin nicht sicher, warum wir das tote Pferd erneut satteln müssen.“ Corallo meint, dass Taproot den desaströsen Problemen, die ein plötzlich realisierter starker Quantencomputer für Bitcoin bedeuten würde, nichts hinzufügt. Dem stimmen andere Entwickler zu: Quantencomputer seien ein Problem, das man in Zukunft lösen müsse, aber kein Grund, Taproot abzulehnen.

Es scheint ein grober Konsens zu bestehen, dass die Problematik existiert, aber weniger stark gegen Taproot spricht, als Friedenbach meint. Das Upgrade wird also vermutlich wie geplant kommen – und hoffentlich, in Zukunft, Bemühungen, Bitcoin quantensicher zu machen.

bitcoinblog.de