OT: Quantencomputer - Ende kryptographischer Verfahren vs. 'unknackbare Verschlüsselung' - Beginn der Massenarbeitslosigkeit?

Literaturhinweis @, Montag, 05.09.2016, 21:45 vor 3076 Tagen 5736 Views

bearbeitet von unbekannt, Donnerstag, 08.09.2016, 20:19

Quantum computing ist mindestens so alt wie das Gelbe Forum. Manch einer prophezeit ja, daß Quantencomputer in Bälde sämtliche Verschlüsselungen würden knacken können. Ganz so pessimistisch (oder optimistisch? - gält ja auch gegen die Geheimdienste!) sehe ich es nicht, denn einerseits meine ich, daß es grundsätzlich "unknackbare" Verschlüsselungen gibt, und daß andererseits Quantenrechner ihrerseits auch durch "Verschränkung" zumindest Verschlüsselungen gestatten, denen man ansieht, ob sie kompromittiert wurden oder nicht (schon 2001 "10 hoch 12 Atome"). "Ein Abhören wäre unmöglich, da jede Messung die Anordnung unweigerlich stört."

Vgl. @neptuns Spekulationen: "... Quantencomputer, mit dem jedes bisher mögliche Verschlüsselungssystem, sogar GnuPG, relativ leicht entschlüsselt werden kann ..."

Dagegen CalBaer: "Die Bitcoiner beschaeftigen sich schon laenger mit den Risiken durch Quantenrechner ... Man kann Computer-Algorithmen auch "quantenresistent" machen ..." (Vgl. die "kosmologische Obergrenze analytischer Operationen")

Vgl. aber "Shor-Algorithmus". Jedoch @melethron: "... dürfte es laut t'Hooft bei Quantencomputern im Determinismus nicht zu exponentiellen Leistungssteigerungen (gegenüber konventionellen Computern) kommen, da Shor's Algorithmus auf echtem Zufall basiert."

2009 gab es noch deutliche Skepsis: "... die Realisierung des Quantencomputers in großem Maßstab, so daß er klassische
Computer ersetzen könnte, ist nicht in Sicht, ja vielleicht sogar prinzipiell unmöglich ..."

Immerhin wäre der "... funktionierende Quantencomputer Evidenz fuer die Viele Welten Interpretation."

"Kein logisch abgeschlossenes System kann jemals vollständig sein (frei nach Gödel). Diese 'Gödelgrenze' kann allenfalls von einer 'Gödelmaschine' (universeller Quantencomputer) überwunden werden."

Deutlich skeptisch @Rütli noch 2014: "Quantencomputer ist als Zukunftsprojekt so konkret wie das Sonnenfeuer im Reaktor"

Erwähnens- und studierenswert ist das Thema Quantenrechner nicht nur wegen der Auswirkungen auf einerseits das Entschlüsseln von bisher als sicher geltenden kryptographischen Verfahren, sondern auch vor allem wegen der mit dem Erstarken der sog. künstlichen Intelligenz einhergehenden Befürchtungwen der zukünftigen strukturellen Massenarbeitslosigkeit. Das war ja kürzlich schon für die Übersetzerbranche prophezeit worden. Ebenso für die Industriegesellschaft als Ganzes (@Dismas: "Das Ende ist nah!". (Vgl. auch Time: "9 Ways Quantum Computing Will Change Everything" - The Week: "How quantum computing could change everything")

Ein m.E. noch ungeklärtes Kapitel ist die Auswirkung "unendlich großer" Rechenleistungen auf die Krypto-Coins wie BitCoin, deren "Mining"-Algorithmen ja davon leben, daß es einen gewissen Schwierigkeitsgrad gibt, der den intrinsischen Wert der virtuellen Währungseinheiten bedingen und (als Untergrenze) garantieren soll. Genauso, wie Gold praktisch wertlos würde, wenn der Traum der Alchemisten, es "kostenlos" zu erzeugen, wahr würde, müßte ähnliches nicht auch für computer-errechnete Hashes gelten?! Vgl. den Verfall der spanischen Goldwährung unter dem anfangs billigen Überangebot aus den südamerikanischen Kolonien.

Unten jedenfalls eine Aufstellung aktueller Literatur zu Quantencomputern, deren Theorie, die Informatik und Physik dazu usw.

Weiter mit Frei zugängliche Ressourcen zu Quantencomputern im Internet

--
Literatur-/Produkthinweise. Alle Angaben ohne Gewähr! - Leserzuschriften

Frei zugängliche Ressourcen zu Quantencomputern im Internet

Literaturhinweis @, Montag, 05.09.2016, 21:46 vor 3076 Tagen @ Literaturhinweis 3968 Views

bearbeitet von unbekannt, Montag, 05.09.2016, 21:52

Literatur zu Quantum Computing in Buchform/Kindle/eBooks etc.

Literaturhinweis @, Montag, 05.09.2016, 21:47 vor 3076 Tagen @ Literaturhinweis 4379 Views

Eine Einführung gibt z.B. die DVD "Quantendimensionen: Doppelspalt - Verschränkung - Quantencomputer" mit dem zugehörigen Begleitbuch. Dann vom Spektrum Verlag "Quanteninformation: Tekeportation - Kryptografie - Quantencomputer" sowie "Quantum Computing verstehen: Grundlagen - Anwendungen - Perspektiven".

Wissenschaftliche Einführungen sind z.B.

- "Mathematik der Quanteninformatik: Eine Einführung"

- "Quantum Computation aus algorithmischer Sicht"

- "Quantencomputer und Quantenverschlüsselung. Eine Einführung"

Ansonsten in den Listen stöbern:


Allgemeines zum Quantum Computing

Physik der Quantencomputer - Sachbücher

Sachbücher zum Thema Quantencomputer allgemein    |    Allgemeines zum Thema Quantencomputer    |    Quantencomputer und Philosophische Grundfragen    |    Thema Quantencomputer und Kosmologie    |    Thema Quantencomputer und Zukunftsforschung


Quantencomputer-Informatik/Rechnertheorie/Physikalische Grundlagen etc.

Quantencomputer und Rechnertheorie/-aufbau    |    Informatik der Quantencomputer

Quantencomputer und Kryptologie/Kryptographie    |    Mathematik der Quantencomputer

Physik

Thema Quantencomputer und Nanophysik/Nanotechnologie    |    Quantenphysik als Grundlage der Quantencomputer    |    Thema Quantencomputer und Physikalische Grundlagen

Quantencomputer, Physik und Kosmologie    |    Philosophische Fragen der Physik der Quantencomputer

Hauptbeitrag "Quantencomputer - Ende kryptographischer Verfahren vs. 'unknackbare Verschlüsselung' - Beginn der Massenarbeitslosigkeit?"

--
Literatur-/Produkthinweise. Alle Angaben ohne Gewähr! - Leserzuschriften

Quantencomputer mit >1500 qubits würden BitCoin wertlos machen, genauso wie die anderen Cryptowährungen und die Blockchain Technologie

BerndBorchert @, Dienstag, 06.09.2016, 11:23 vor 3076 Tagen @ Literaturhinweis 3689 Views

bearbeitet von unbekannt, Dienstag, 06.09.2016, 11:34

denn der Shor Algorithmus (der für Diskreten Logarithmus, nicht der für Faktorisierung) lässt sich auf elliptische Kurven, also insbesondere auf die BitCoin Kurve https://en.bitcoin.it/wiki/Secp256k1 , übertragen:
https://arxiv.org/abs/quant-ph/0301141

D.h., die Signierung der BitCoin Transaktion wird nicht mehr funktionieren, denn aus dem öffentl. Schlüssel ließe sich mit dem Quantencomputer der private berechnen, und damit könnte jede Transaktion von dieser BitCoin Adresse aus ausgeführt werden und signiert werden.

Hier wir argumentiert, dass sich deshalb nicht mehr bezahlen ließe, denn der Empfänger des Geldes könnte von dem Bezahler-Konto jeden beliebigen Betrag überweisen
https://bitcoinmagazine.com/articles/bitcoin-is-not-quantum-safe-and-how-we-can-fix-137...

Es bliebe nur ein Rest-Verfahren übrig, bei dem man vor einer Bezahlung den Kontobetrag bis auf den Bezahl-Betrag auf ein neues, eigenes BitCoin überträgt und danach die Bezahlung ausführt (ergibt Kontostand 0). Das neue eigene Konto mit dem Differenzbetrag wäre vorerst dadurch geschützt, dass seine Adresse einen hash-Urwert hat, den niemand anders kennt.

Das funktioniert aber nicht. Denn das ist keine Signatur einer Transaktion mehr. Insbesondere der Betrag der Überweisung (Anzahl BitCoins) ist nicht durch eine Signatur gegen Fälschung abgesichert. Mit anderen Worten, man könnte jeden beliebigen Betrag überweisen und es würde nicht auffallen.

Bernd Borchert

Nein, Quanten-Angriffe nur in Sonderfaellen moeglich

CalBaer @, Dienstag, 06.09.2016, 18:00 vor 3076 Tagen @ BerndBorchert 3069 Views

Denn wie im Artikel beschrieben, werden die oeffentlichen Schluessel des Senders nur bekannt, wenn man eine Transaktion signiert. Die Bitcoin-Adressen bieten keine signifikante Angriffsflaeche fuer Quantencomputer, da sie Hashes der oeffentlichen Schluessel sind. "Entleert" man Bitoin-Adressen immer vollstaendig, ist die Kenntnis der oeffentlichen Schluessel fuer einen Angreifer mit einem Quantencomputer weitestgehend* nutzlos. Das "Entleeren" (Senden der Restsumme an eine neue Bitcoin-Adresse) muss nur konsequent von den Benutzern gemacht werden (per Software automatisch).

*Moeglich waeren natuerlich Double-Spend-Angriffe, aber die Transaktion des Angreifers erscheint zeitlich immer nach der originalen Transaktion, dann wenn die Adresse schon leer ist. Miner koennen daher nur eine der beiden Transaktionen beruecksichtigen und werden sie nach der Reihenfolge des Eingangs abarbeiten.

Lange bevor Quantencomputer zur realen Gefahr werden, kann man es durch einfache Aenderungen des Protokolls resistent machen (alles schon in diversen Artikeln beschrieben).

--
Ein ueberragender Teil der Oekonomen, Politiker, Banker, Analysten und Journalisten ist einfach unfaehig, Bitcoin richtig zu verstehen, weil es so revolutionaer ist.
Info:
www.tinyurl.com/y97d87xk
www.tinyurl.com/yykr2zv2

Ohne Signatur des Zahlenden funktionieren Blockchains nicht

BerndBorchert @, Mittwoch, 07.09.2016, 16:43 vor 3075 Tagen @ CalBaer 2904 Views

bearbeitet von unbekannt, Mittwoch, 07.09.2016, 16:48

Denn wie im Artikel beschrieben, werden die oeffentlichen Schluessel des
Senders nur bekannt, wenn man eine Transaktion signiert. Die
Bitcoin-Adressen bieten keine signifikante Angriffsflaeche fuer
Quantencomputer, da sie Hashes der oeffentlichen Schluessel sind.
"Entleert" man Bitoin-Adressen immer vollstaendig, ist die Kenntnis der
oeffentlichen Schluessel fuer einen Angreifer mit einem Quantencomputer
weitestgehend* nutzlos. Das "Entleeren" (Senden der Restsumme an eine neue
Bitcoin-Adresse) muss nur konsequent von den Benutzern gemacht werden (per
Software automatisch).

Aber nach einer Zahlung ist der öffentliche und damit (Annahme Elliptische Kurve gebrochen) der private Schlüssel des Zahlenden bekannt. Damit kann in der Blockchain nicht nur der Zahlungsbetrag, sondern auch das Empfängerkonto der Zahlung geändert werden ohne dass es auffällt bzw. der wirkliche Empfänger des Betrags die Umbuchung verhindern kann.

Ohne Signaturen sind Blockchains Makulatur.

Bernd Borchert

Banale Feststellung fuer die es eine einfache Loesung gibt

CalBaer @, Mittwoch, 07.09.2016, 19:58 vor 3074 Tagen @ BerndBorchert 2974 Views

bearbeitet von unbekannt, Mittwoch, 07.09.2016, 20:02

Aber nach einer Zahlung ist der öffentliche und damit (Annahme
Elliptische Kurve gebrochen) der private Schlüssel des Zahlenden bekannt.

Nochmal, was nuetzt es, wenn das Konto des Zahlenden bereits leer ist?

Damit kann in der Blockchain nicht nur der Zahlungsbetrag, sondern auch das
Empfängerkonto der Zahlung geändert werden ohne dass es auffällt bzw.
der wirkliche Empfänger des Betrags die Umbuchung verhindern kann.

Wie gesagt, ein Double-Spend-Angriff ist moeglich, nur so einfach ist das nicht. Die originale Zahlungsanweisung kann nicht abgeeandert werden, der Angreifer kann lediglich seine manipulierte Zahlungsanweisung dazugeben. Beide Zahlungsanweisung befinden sich in den Mempools der Miner, nur tritt die originale Zahlung zeitlich immer vor der manipulierten auf. Da die Zahlungsanweisungen sich gegenseitig widersprechen, muss sich der Miner fuer eine entscheiden. Er entscheidet dann sinnvollerweise nach der Reihenfolge des Eintreffens der Zahlungsanweisungen und danach ist das Konto des Zahlenden leer. Sicher ist das kein 100%er Schutz, aber siehe naechsten Abschnitt.

Ohne Signaturen sind Blockchains Makulatur.

Das ist eine banale Feststellung (zudem, es waere nicht nur Bitcoin betroffen, sondern fast das gesamte Internet), fuer die es eine einfache Loesung gibt. Quanten-Computer machen Signaturverfahren nicht generell manipulierbar, sondern nur bestimmte Verfahren wie ECS. Bis solche Quantencomputer verfuegbar sind, wird es noch mindestens 10-20 Jahre dauern. Bis dahin ist noch viel Zeit, bereits bekannte Loesungen einzusetzen.

--
Ein ueberragender Teil der Oekonomen, Politiker, Banker, Analysten und Journalisten ist einfach unfaehig, Bitcoin richtig zu verstehen, weil es so revolutionaer ist.
Info:
www.tinyurl.com/y97d87xk
www.tinyurl.com/yykr2zv2

Elliptische Kurven könnten auch anders gebrochen werden als durch Quantencomputer, und zwar aus heiterem Himmel

BerndBorchert @, Donnerstag, 08.09.2016, 21:10 vor 3073 Tagen @ CalBaer 2905 Views

bearbeitet von unbekannt, Donnerstag, 08.09.2016, 21:15

Die originale Zahlungsanweisung kann nicht abgeeandert werden,

Warum nicht? Einfach eine neue Adresse erzeugen, und dann in dem Transaktions-Eintrag in der Blockchain-Instanz die originale Zieladresse durch die eigene ersetzen, und die Signatur durch die entsprechende neue ersetzen ( Annahme ist ja, dass man aus dem öffentlichen Schlüssel den privaten per Quantumcomputer errechnen kann.) Der veränderte Eintrag ist gültig.

der
Angreifer kann lediglich seine manipulierte Zahlungsanweisung dazugeben.
Beide Zahlungsanweisung befinden sich in den Mempools der Miner, nur tritt
die originale Zahlung zeitlich immer vor der manipulierten auf. Da die
Zahlungsanweisungen sich gegenseitig widersprechen, muss sich der Miner
fuer eine entscheiden. Er entscheidet dann sinnvollerweise nach der
Reihenfolge des Eintreffens der Zahlungsanweisungen und danach ist das
Konto des Zahlenden leer. Sicher ist das kein 100%er Schutz, aber siehe
naechsten Abschnitt.

Es kommt mir so vor vor als wenn Du die "miner" für die Hüter der Blockchain hälst, die die echten vor den den manipulierten Transaktionen schützen. Aber Blockchains/Bitcoin sollen doch dezentral sein, ohne Autoritäten,oder?

Und falls die miner doch irgendwie die Hüter sind: Was ist, wenn einer von denen betrügt, indem er ankommende Transaktionen wie oben beschrieben auf seine Konten umleitet?

Ohne Signaturen sind Blockchains Makulatur.


Das ist eine banale Feststellung

Ok, was schreibe ich soviel, wir sind uns ja einig ...

(zudem, es waere nicht nur Bitcoin
betroffen, sondern fast das gesamte Internet), fuer die es eine einfache
Loesung gibt. Quanten-Computer machen Signaturverfahren nicht generell
manipulierbar, sondern nur bestimmte Verfahren wie ECS. Bis solche
Quantencomputer verfuegbar sind, wird es noch mindestens 10-20 Jahre
dauern. Bis dahin ist noch viel Zeit, bereits bekannte Loesungen
einzusetzen.

Elliptische könnten nicht nur durch Quantencomputer gebrochen werden, sondern z.B. auch mathematisch/zahlentheoretisch, sozusagen durch eine neue "Formel" , die aus dem öffentlichen den privaten Schlüssel macht und ohne viel Rechenaufwand auswertbar wäre.

Ich stelle mir da indische Doktoranden vor, die sowas herausfinden und veröffentlichen, so wie vor 15 Jahren die hier:
http://www.cse.iitk.ac.in/users/manindra/algebra/primality_v6.pdf

Bernd Borchert

Morgen koennte auch ein Asteroid aus heiterem Himmel fallen und die Erde zerstoeren

CalBaer @, Freitag, 09.09.2016, 22:48 vor 3072 Tagen @ BerndBorchert 2791 Views

Die originale Zahlungsanweisung kann nicht abgeeandert werden,


Warum nicht? Einfach eine neue Adresse erzeugen, und dann in dem
Transaktions-Eintrag in der Blockchain-Instanz die originale Zieladresse
durch die eigene ersetzen, und die Signatur durch die entsprechende neue
ersetzen ..

Die originale Zahlunsganweisung wird von ca. 5000 Nodes gebroadcastet. Ein Angreifer kann das nicht unterdruecken. Beschaeftige Dich bitte mal mit dem Protokoll.

Es kommt mir so vor vor als wenn Du die "miner" für die Hüter der
Blockchain hälst, die die echten vor den den manipulierten Transaktionen
schützen. Aber Blockchains/Bitcoin sollen doch dezentral sein, ohne
Autoritäten,oder?

Die Miner haben ein rein oekonomisches Interesse am Schutz des Systems vor diversen Manipulationen.

Und falls die miner doch irgendwie die Hüter sind: Was ist, wenn einer
von denen betrügt, indem er ankommende Transaktionen wie oben beschrieben
auf seine Konten umleitet?

Selbst wenn ein einzelner Akteur ueber einen Quantencomputer verfuegte, waere es okonomisch unsinnig, weil es dafuer keinen verwertbaren Ertrag gibt, denn die Manipulationen wuerden sofort entdeckt und publik, der Wert der Bitcoin ginge gegen Null und dadurch wuerden alle gegenwaertigen und zukuenftigen Einnahmen wertlos.

Elliptische könnten nicht nur durch Quantencomputer gebrochen werden,
sondern z.B. auch mathematisch/zahlentheoretisch, sozusagen durch eine neue
"Formel" , die aus dem öffentlichen den privaten Schlüssel macht und ohne
viel Rechenaufwand auswertbar wäre.

Diese "Formel" gibt es aber nicht, und es ist sehr sehr unwahrscheinlich, dass diese auch jemals gefunden wird, denn denn:

1) ECC ist seit 30 Jahren erforscht
2) es liegt ein mathematischer Beweis zu Grunde, den es erst einmal zu widerlegen gilt
3) Ein offenes System mit breiter Anwendung, also breiter Exposition durch wissenschaftliche Gutachten, Reviews etc.
4) es gibt eine hohe oekonomische Motivation, ECC oder auch RSA zu knacken - "Finderlohn", weil man damit ueberall Konten pluendern koennte

Nicht unmoeglich, aber eher sehr sehr unwahrscheinlich. Wahrscheinlicher ist es einfach alle privaten Schluessel durchzuprobieren und dann irgendwas zu finden. Oder eher die Sache mit dem Asteroiden ....

--
Ein ueberragender Teil der Oekonomen, Politiker, Banker, Analysten und Journalisten ist einfach unfaehig, Bitcoin richtig zu verstehen, weil es so revolutionaer ist.
Info:
www.tinyurl.com/y97d87xk
www.tinyurl.com/yykr2zv2

Nichts ist über Elliptische Kurven bewiesen. Alles nur Glaube+Hoffnung, nach dem Motto "Et hätt noch emmer joot jejange"

BerndBorchert @, Samstag, 10.09.2016, 14:36 vor 3072 Tagen @ CalBaer 2681 Views

bearbeitet von unbekannt, Samstag, 10.09.2016, 15:00

Die originale Zahlunsganweisung wird von ca. 5000 Nodes gebroadcastet. Ein
Angreifer kann das nicht unterdruecken. Beschaeftige Dich bitte mal mit dem
Protokoll.

Ich gebe ja zu, dass ich das Protokoll nicht genau kenne. Aber die Manipulations-Sicherheit von Bitcoin kann ja nicht allein auf diesem "majority" Prinzip beruhen: wer die meisten der 5000 nodes mit einer Transaktion beschreibt, der hat Recht. Sowas funktioniert doch vorne und hinten nicht.

Selbst wenn ein einzelner Akteur ueber einen Quantencomputer verfuegte,
waere es okonomisch unsinnig, weil es dafuer keinen verwertbaren Ertrag
gibt, denn die Manipulationen wuerden sofort entdeckt und publik, der Wert
der Bitcoin ginge gegen Null und dadurch wuerden alle gegenwaertigen und
zukuenftigen Einnahmen wertlos.

genau: wenn die Signaturen gebrochen werden können, dann werden Bitcoins wertlos, das war meine Ausgangsbehauptung (Überschrift).

1) ECC ist seit 30 Jahren erforscht
2) es liegt ein mathematischer Beweis zu Grunde, den es erst einmal zu
widerlegen gilt

Nix ist bewiesen. Außer basics, die nur Voraussetzungen sind, aber nichts mit der Berechnungssicherheit zu tun haben. Z.B. ist bewiesen, dass der Zyklus der Bitcoin Kurve tatsächlich die maximal mögliche Länge hat, also alle fast 2 hoch 256 Möglichkeiten durch-zykelt (in einem ganz allgemeinen Kontext bewiesen - glaube ich - von Gauß vor 200 Jahren).

3) Ein offenes System mit breiter Anwendung, also breiter Exposition durch
wissenschaftliche Gutachten, Reviews etc.
4) es gibt eine hohe oekonomische Motivation, ECC oder auch RSA zu knacken
- "Finderlohn", weil man damit ueberall Konten pluendern koennte

Nicht, dass ich wüsste. Die Firma RSA hat vor ca. 5 Jahren ihre Belohnungen auf Faktorisierungen von ein paar großen Primzahlprodukten zurückgezogen.

Nicht unmoeglich, aber eher sehr sehr unwahrscheinlich. Wahrscheinlicher
ist es einfach alle privaten Schluessel durchzuprobieren und dann irgendwas
zu finden.

Das ist definitiv unmöglich, es gibt fast 2 hoch 256 Möglichkeiten.

Viele Grüße,
Bernd Borchert

Ergaenzungen zum Bitcoin-Protokoll

CalBaer @, Montag, 12.09.2016, 20:53 vor 3069 Tagen @ BerndBorchert 2358 Views

Ich gebe ja zu, dass ich das Protokoll nicht genau kenne.

Ich helfe Die gerne weiter.

Aber die
Manipulations-Sicherheit von Bitcoin kann ja nicht allein auf diesem
"majority" Prinzip beruhen: wer die meisten der 5000 nodes mit einer
Transaktion beschreibt, der hat Recht.

Nein, die ueberweisende Person beschreibt nicht zielgerichtet die Nodes, sondern sie sendet einmal eine oeffentliche Nachricht "Sender, Empfaenger, Betrag, Signatur". Diese Nachricht wird von den Nodes empfangen, die sich in Reichweite befinden (Nodes, die mit dem Node des Senders gepaart sind). Die Nodes, die die Nachricht empfangen, wiederholen sie nun zu den anderen Nodes, mit denen sie wiederum gepaart sind. So pflanzt sich die Nachricht im Netzwerk fort, bis sie bei allen Nodes angekommen ist. Der Sender der Nachricht kann das nicht beeinflussen oder manipulieren.

Sowas funktioniert doch vorne und
hinten nicht.

Das Mehrheits-Prinzip funktioniert bei Bitcoin sehr gut, allerdings ist es etwas anders. Die Miner sind ebenfalls Nodes, nur dass sie zusaetzlich Bloecke signieren. Mit der Signatur wird eine Satz von Ueberweisungsnachrichten sozusagen versiegelt. Dabei wachen die Nodes gegenseitig auf Einhaltung des Protokolls. Sollte ein Miner mogeln, wird sein Block nicht akzeptiert. Der naechste Block wird dann nicht an seinen Block angehaengt, sondern an den vorangehenden. Natuerlich koennen viele Miner versuchen zu mogeln, sodass auch an den manipulierten Block wieder ein neuer Block angehangt wird. Es kommt zur Spaltung der Kette, allerdings waechst die Kette schneller, die mehr Rechenleistung hat, sodass diese sich immer durchsetzt. Es ist also ein Mehrheitsprinzip, welches das System vor Manipulation schuetzt. Natuerlich kann man darueber diskutieren, wenn die Mehrheit manipulieren will (sog. 51% Attacke), aber oekonomisch gesehen machte das sehr wenig Sinn (der materielle Aufwand waere immens).

Nix ist bewiesen. Außer basics, die nur Voraussetzungen sind, aber nichts
mit der Berechnungssicherheit zu tun haben. Z.B. ist bewiesen, dass der
Zyklus der Bitcoin Kurve tatsächlich die maximal mögliche Länge hat,
also alle fast 2 hoch 256 Möglichkeiten durch-zykelt (in einem ganz
allgemeinen Kontext bewiesen - glaube ich - von Gauß vor 200 Jahren).

Unmoeglich ist es ja nicht dass das mathematische Verfahren geknackt wird, nur eben sehr unwahrschleinlich, jedenfalls unwahrscheinlicher als es in Zukunft mit einem Quantencomputer zu knacken. Von daher waere die Motivation schon gering, zumal man mathematische Beweise von Tausenden von Jahren erst mal zum Feind hat.

- "Finderlohn", weil man damit ueberall Konten pluendern koennte


Nicht, dass ich wüsste. Die Firma RSA hat vor ca. 5 Jahren ihre
Belohnungen auf Faktorisierungen von ein paar großen Primzahlprodukten
zurückgezogen.

Wenn man es knackt, kann man einfach Konten mit sehr viel Geld pluendern, da ist niemand auf Belohnungen einer Firma angewiesen.

Nicht unmoeglich, aber eher sehr sehr unwahrscheinlich.

Wahrscheinlicher

ist es einfach alle privaten Schluessel durchzuprobieren und dann

irgendwas

zu finden.


Das ist definitiv unmöglich, es gibt fast 2 hoch 256 Möglichkeiten.

Nicht definitiv unmoeglich, denn 2^256 ist eine endliche Menge. Genausowenig ist es unmoeglich, dass man kein mathematisches Backdoor zu ECDSA findet. Letzteres halte ich nur fuer unwahrscheinlicher, denn ersteres gibt schon mal einen genauen Rahmen vor.

Genaugenommen sind es 2^160 Moeglichkeiten, die sich mit einem Quantencomputer (Grover's algorithm) auf 2^80 Moeglichkeiten reduzieren. Man braeuchte dann immer noch die 10^22 fache Rechenleistung des heutigen Bitcoin-Miner-Netzwerkes, um alle Schluessel innerhalb eines Jahres durchzuprobieren. So schnell wird diese Quanten-Rechenleistung allerdings nicht verfuegbar sein, es wird noch einige Jahrzehnte dauern, wenn es ueberhaupt moeglich sein sollte, Quantencomputer-Technologie aehnlich zu skalieren, wie man heute Silizium-Computer-Technologie skaliert (Moore's Law).

--
Ein ueberragender Teil der Oekonomen, Politiker, Banker, Analysten und Journalisten ist einfach unfaehig, Bitcoin richtig zu verstehen, weil es so revolutionaer ist.
Info:
www.tinyurl.com/y97d87xk
www.tinyurl.com/yykr2zv2

Ob man jemals auf 2 hoch 80 Schleifendurchläufe kommen wird?

BerndBorchert @, Dienstag, 13.09.2016, 09:17 vor 3069 Tagen @ CalBaer 2610 Views

bearbeitet von unbekannt, Dienstag, 13.09.2016, 09:42

Danke nochmal für die Erklärungen zu Bitcoin. Ich bekomme ein immer deutlicheres Bild davon.

In meiner beruflichen Umgebung (IT) gibt es viele "Bitcoiner", die mich allerdings noch nicht davon überzeugen konnten. Das hat nichts mit der IT-Sicherheit zu tun, sondern mit Geld-theoretischen Überlegungen: Ich halte Bitcoin nach wie vor für ein "Zeichengeld", und damit für lange nicht so stabil wie das durch besicherten Kredit erzeugte Geld (Euro, Dollar), siehe die Diskussionen hier Forum.

Außerdem habe ich beruflich mit Bezahlverfahren zu tun, wo ich jetzt - ebenfalls skeptisch - den "Blockchain" Hype beobachte - kurz vor dem Höhepunkt:

[image]

(Für alle Leser, die hier nur kurz in den Beitrag reinschauen: das ist keine elliptische Kurve, das ist die Gartner Kurve!)

Hier ist noch ein sehr lesbarer Beitrag zur Bitcoin Signatur
https://bitcoinblog.de/2013/12/22/kryptografie-des-bitcoins-fuer-anfaenger/

Angriff auf Bitcoin

Wie kann Bitcoin gebrochen werden?

1. Man löst das ECDLP. Falls man das Problem löst sind elliptische Kurven für Kryptografie wertlos. Bitcoin wäre am Ende. Einfach forken ginge nicht, da die alten Blocks immer noch auf elliptische Kurven setzen.
2. Quantencomputer könnten (d.h. in der Theorie können sie es bereits, nur existieren bisher keine Quantencomputer) alle bestehenden Verschlüsselungsmethoden brechen: RSA, DSA, DH, ECDH, ECDSA und die restlichen Methoden wären wertlos.
3. Implementierungsfehler

Bei 2. meint der Autor wohl nicht alle, sondern nur die public-key Verschlüsselungsmethoden, nicht die symmetrischen Verschlüsselungen wie AES256, wobei AES128 wegen des von Dir genannten Grover's algorithm unbrauchbar wäre.

Er spricht übrigens bei der Bicoin Kurve von einem Sicherheitniveau von 128 bits, da hat er wohl 256 schon durch 2 geteilt. Wie kommst Du auf 160 bzw. 80 bits? das wäre grenzwertig, denn 2 hoch 80 Schleifendurchläufe (parallelisierbare) sind zwar noch nicht machbar, aber 2 hoch 60 sind heutzutage schon in Reichweite, auf klassischen Rechnern.

Bernd Borchert

Weitere Erlaeuterungen

CalBaer @, Freitag, 16.09.2016, 22:56 vor 3065 Tagen @ BerndBorchert 2434 Views

IT-Sicherheit zu tun, sondern mit Geld-theoretischen Überlegungen: Ich
halte Bitcoin nach wie vor für ein "Zeichengeld", und damit für lange
nicht so stabil wie das durch besicherten Kredit erzeugte Geld (Euro,

Ja, Bitcoin wird auch in Zunkunft volatil bleiben, vor allen wegen den bevorstehenden Massnahmen der ZBs und Regierungen. Aber die Legitimitaet der BTC ist ein voellig anderes Thema.

ebenfalls skeptisch - den "Blockchain" Hype beobachte - kurz vor dem

Blockchain ist in der Tat ein Hype, besonders in der Finanzbranche. Die geplanten Anwendungen der Blockchain haben wenig mit Bitcoin zu tun, vor allem weil nach Vorstellungen der Finanzwelt nur ein permissioned, intransparent und mutable System zulaessig ist.

Downside of Bitcoin: A Ledger That Can’t Be Corrected
http://www.nytimes.com/2016/09/10/business/dealbook/downside-of-virtual-currencies-a-le...

1. Man löst das ECDLP. Falls man das Problem löst sind elliptische
Kurven für Kryptografie wertlos. Bitcoin wäre am Ende.

Post-quantum cryptography
https://en.wikipedia.org/wiki/Post-quantum_cryptography

Einfach forken
ginge nicht, da die alten Blocks immer noch auf elliptische Kurven setzen.

Bitcoin wurde schon immer um Protokoll-Erweiterungen ergaenzt, von daher ist diese Aussage falsch. Zudem waeren nur, wie bereits erlaeutert, die Bitcoin-Adressen betroffen, von denen der Public-Key bekannt ist. Lange bevor die Quantum-Computer zur ernsten Gefahr werden, wird man seine Coins auf eine quantum-resistente Adresse schicken koennen. Allerdings wird es die naechsten 30 Jahre sowieso nicht zur ernsthaften Gefahr.

2. Quantencomputer könnten (d.h. in der Theorie können sie es
bereits, nur existieren bisher keine Quantencomputer) alle bestehenden
Verschlüsselungsmethoden brechen: RSA, DSA, DH, ECDH, ECDSA und die
restlichen Methoden wären wertlos.

siehe 1)

3. Implementierungsfehler[/i]

Ja klar, die gibt es immer, bei allen moeglichen Systemen einschl. derer bei den Banken. Von daher ist das kein spezifisches Argument gegen Bitcoin. Fuer Bitcoin spricht allerdings Open-Source (hoher Analysegrad) und Permissionlessness (es gibt keine administrativen Zugriffsrechte, daher ist nichts durch Brechen oder Umgehen von administrativen Zugriffsrechten knackbar).

wobei AES128 wegen des von Dir genannten Grover's algorithm
unbrauchbar wäre.

Nicht unbrauchbar - nur leichter knackbar, falls entsprechend leistungsstarke Quantencomputer jemals verfuegbar sind.

Er spricht übrigens bei der Bicoin Kurve von einem Sicherheitniveau von
128 bits, da hat er wohl 256 schon durch 2 geteilt. Wie kommst Du auf 160
bzw. 80 bits?

Weil von den 256 bits des privaten Schluessels nur 160 bit effektiv genutzt werden.

das wäre grenzwertig, denn 2 hoch 80 Schleifendurchläufe
(parallelisierbare) sind zwar noch nicht machbar, aber 2 hoch 60 sind
heutzutage schon in Reichweite, auf klassischen Rechnern.

Du bist Dir nicht ueber die Dimension des Faktors 2^20 bewusst. 2^20 entspricht ca. 30 Jahren Innovation nach Moore's Law. Und es gibt heute nicht mal Quantencomputer, die 2^60 Durchlaeufe in einem Jahr schaffen. Von daher ist das kein akutes Problem.

--
Ein ueberragender Teil der Oekonomen, Politiker, Banker, Analysten und Journalisten ist einfach unfaehig, Bitcoin richtig zu verstehen, weil es so revolutionaer ist.
Info:
www.tinyurl.com/y97d87xk
www.tinyurl.com/yykr2zv2

Ist Bitcoin auch resistent gegen Brechen von ECDSA bei den neu geschürften Coins?

BerndBorchert @, Mittwoch, 21.11.2018, 17:07 vor 2270 Tagen @ CalBaer 3001 Views

bearbeitet von unbekannt, Mittwoch, 21.11.2018, 17:34

Heute mal wieder ein Artikel zum Thema, ob Quantencomputer Bitcoin gefährden
https://www.wired.de/article/experten-befuerchten-quantencomputer-koennten-die-blockcha...

Das nehme ich als Anlass für folgende Frage an Dich, die mich schon länger beschäftigt:

Von Dir weiß ich aus diesem thread, dass ein Brechen von ECDSA nicht notwendigerweise Bitcoin wertlos macht. Vielen Dank nochmal für diese Klärung!

Denn die Abwehrreaktion der Bitcoin Teilnehmer bestünde dann darin, dass ein Konto bei jeder Überweisung geleert wird, indem der verbleibende Restbetrag gleichzeitig auf eine neues eigenes Konto überwiesen wird. Somit ist der öffentliche Schlüssel des Kontos mit dem eigenen Guthaben nie bekannt, denn er wird erst bekannt mit einer Überweisung vom Konto weg. Die Kontonummer ist ein Hash-Wert des öffentlichen Schlüssels, aus ihr kann der öffentliche Schlüssel nicht berechnet werden. Also heißt das insgesamt, dass auch wenn man aus dem öffentlichen EC Schlüssel den privaten berechnen kann, bitcoin mit dieser "Umgehung" dennoch sicher bleibt.

Übrigens kann man das auch so formulieren: Bitcoin ist nicht nur mit dem asymmetrischen Elliptische-Kurven Signierverfahren gesichert, sondern auch noch zusätzlich (wie ein 2. Wall bei einer Burg) durch eine Variante des hash-basierten Lamport Signierverfahrens, das auch asymmetrisch ist, aber nicht durch Quantencomputer bedroht ist.

Nach all dem die Frage: Was ist mit den bitcoins, die beim Minen neu entstehen: Wenn die nach der Entstehung einem Konto zugerechnet werden, ist diese Zurechnung ebenfalls doppelt abgesichert (EC + Lamport) oder kann diese Zuordnung jemand, der aus dem öffentlichen den privaten EC Schlüssel berechnen kann, manipulieren?

Ist da eine Lücke?

Bernd Borchert

Eine andere Frage wäre (Einschätzung), wie sehr die Benutzbarkeit von Bitcoin darunter leiden würde, wenn man bei jeder Überweisung ein neues Konto kreieren müsste.

Edit. Noch eine Frage (die wohl nie beantwortet werden wird ...): Hat der Erfinder von Bitcoin diese Doppel-Absicherung durch EC und Lamport beabsichtigt, oder hat er mit dem Hashen der öffentlichen Schlüssel nur bezweckt, die Kontonummern klein zu halten?

Google und Microsoft haben … (mT)

DT @, Dienstag, 06.09.2016, 12:29 vor 3076 Tagen @ Literaturhinweis 3530 Views

bearbeitet von unbekannt, Dienstag, 06.09.2016, 16:02

bekannte Wissenschaftler von ihren Lehrstühlen weg angeworben und zahlen ihnen ein Vielfaches, dazu statten sie sie noch mit massiv Kohle aus.

Es sieht wohl aus, als könnten sie basierend auf der supraleitenden Technologie einen Durchbruch schaffen:

http://www.heise.de/newsticker/meldung/Googles-Forscher-bauen-analogen-Quantencomputer-...

http://www.heise.de/newsticker/meldung/US-Forscher-melden-programmierbaren-und-skalierb...

http://www.heise.de/newsticker/meldung/Ende-2017-soll-der-Quantenchip-von-Google-kommen...

Angeblich sind 50 Qbits drin!

https://www.technologyreview.com/s/601668/google-reports-progress-on-a-shortcut-to-quan...

Google Reports Progress on a Shortcut to Quantum Supremacy

Quantum computers could be closer than we thought, thanks to new steps toward an easier way to build them.

Vor allem die Skalierbarkeit ist extrem wichtig, und das ist bei der supraleitenden Technologie gegeben.

Hier liegt der Schlüssel:

http://www.nature.com/nature/journal/v534/n7606/full/nature17658.html

Das könnte John Martinis, Rob Schoelkopf und anderen, u.a. B. Shore, S. Lloyd, David Deutsch und Co. den Nobelpreis bringen.

RSS-Feed dieser Diskussion

Werbung

Wandere aus, solange es noch geht.