Topic: Wann werden "Bitcoin relevante" Quantencomputer existieren? (Read 1127 times)

Nicht alle, aber doch ein guter Teil.
Betroffen sind in erster Linie die sog. asymmetrischen Verschlüsselungsverfahren, die bei Private / Public Key Infrastruktur zum Einsatz kommen, und das sind in der Tat genau die Sachen, mit denen wir i.d.R. Onlinebanking etc. absichern.
Es gibt allerdings seit vielen Jahren unter dem Oberbegriff Post-Quantum Cryptography eine Menge Forschung an Nachfolgern für die entsprechenden gängigen Verfahren, wobei auch an einer Standardisierung für die Migration von heutigen Verfahren zu zukünftigen gearbeitet wird.
Kurz gesagt: es wird daran gearbeitet, das Problem möglichst schmerzfrei zu lösen.

Eigentlich sind doch dann alle Verschlüsselungsverfahren obsolet, wenn es Quantencomputer gibt, oder? Online-Banking, Emailaccounts, RSA-Keys, 2FA etc. pp wären dann doch knackbar.
Wären hier nicht zentralisierte Dienste im Vorteil? Oft wird ja nach dem dritten mal das falsche Passwort eingegeben der Account für x Minuten gesperrt oder man muss ihn über einen Email-Link wieder entsperren. Okay, wenn jemand Zugang zum Email-Account hat, dann ist das natürlich auch wieder obsolet. Aber zentralisierte Dienste (oder Smart Contracts  ) könnten hier doch sicherlich Funktionen wie eine Sperre einbauen. Ist zwar auch wieder blöd, wenn man nicht ans Konto rankommt.

Plötzlich nicht, da hier natürlich sehr viel Zeit in die Entwicklung fließt. Dass jedoch manche Firmen bereits an den Computern arbeiten ist kein Geheimnis. Funktionierende Prototypen existieren auch bereits, ua. bei Google und IBM:


Klassischerweise sind aber gerade Militärs diejenigen, die in solchen Technologien die Nase vorne haben. Davon hört man natürlich relativ wenig, es darf aber durchaus davon ausgegangen werden, dass auch dort bereits einsatzfähige Quantencomputer existieren.

Uh, die Quantencomputer. 

Einen Quantencomputer zu entwickeln, wird nicht plötzlich passieren.
Wenn die Quantencomputer immer besser werden, wird man rechtzeitig reagieren.
Da die Welt zu diesem Zeitpunkt noch digitaler sein wird, würde es durch Bündelung der Anstrengung schnell gelingen, eine Lösung zu finden.


Es zeigt jedenfalls dass die IT-Infrastruktur ihre Schwachstellen hat, die es rechtzeitig zu sichern gilt.

@d5000 vielen Dank fürs übersichtliche Teilen. Das werd ich mir mal am Wochenende durchlesen. Hatte mir sowieso vorgenommen mich in der Sache mal auf den neuesten Stand zu bringen.

Diese Armageddon-Theorie schwebt ja immer ein bisschen mit, wenn Algorithmen involviert sind. Was wäre, wenn dieser oder jener geknackt wird? Aber ich fand irgendeinen Kommentar mal ganz einleuchtend, indem es hieß, dass wir dann größere Sorgen hätten als möglicherweise einen Preiscrash in Bitcoin, weil schlussendlich auch unglaublich viel Infrastruktur auf Verschlüsselungstechniken beruht. Insofern ist der Anreiz wohl ohnehin groß genug, da Präventiv Forschung zu betreiben?

Zum Mining mit Quantencomputern gibt es hier einen interessanten Blogartikel von 2021 (vielleicht schon bekannt). Das Paper von Robert Nerem und Daya Gaun, auf dem der Artikel basiert, gibt es hier.

Die Schlussfolgerung: Quanten-Mining wäre mit Grovers Algorithmus prinzipiell möglich. Es dürfte langfristig Effizienzvorteile bringen und somit die Energiekosten pro Hash senken. Doch es ist unwahrscheinlich, dass QCs einen so großen Leistungssprung auslösen, dass die Existenz eines einzigen Miners mit QC diesem schon "Superkräfte" (also das Potenzial für einen 51%-Angriff) verleiht. Der Grund scheint mit der Erkenntnis zusammenhängen, dass Quantencomputer sehr langsame Rechenzyklen haben und bei einer Laufzeit über eine bestimmten Zeitspanne am effizientesten sind, die 16 Minuten entspricht. Somit könnte ein QC-Miner, wenn die "traditionellen" ASIC-Miner länger brauchen, diese Blocks weit effizienter abgreifen, als wenn er die Länge des Zyklus auf 10 Minuten einstellt.

Ein neuerer Coindesk-Artikel kommt zu ähnlichen Schlussfolgerungen. Die Gefahr für ECDSA (um die es ja hauptsächlich in diesem Thread bisher ging) ist weit größer, liegt aber vermutlich noch weit in der Zukunft.

PS: Interessanter Aspekt in diesem Artikel, der von Coindesk verlinkt wird und in dem die Sicherheit der Signaturalgorithmen verschiedener Coins verglichen wird: Monero und Grin werden darin wegen ihrer Privacy-Techniken (die es schwieriger macht, lohnende Ziele zu identifizieren) als möglicherweise sicherer als Bitcoin beschrieben, Ethereum dagegen als möglicherweise unsicherer, da dort Public Keys aufgrund des Account-Modells viel öfter wiederverwendet werden. Am unsichersten scheint Zcash zu sein.

Ich habe jetzt nicht den gesamten Thread nachgelesen, also sorry, falls das schon mal bemerkt wurde.

Der Tatsache geschuldet, dass die Forschung und Entwicklung im Quantenbereich heute ja nochmal eine ganz andere Relevanz bekommen hat, weil wir uns in einem immer digitaleren Umfeld bewegen, könnte es da auch nicht sehr gut sein, dass F&E längst hinter verschlossenen Türen stattfinden? Alles ist eine Frage des monetären Anreizes und der ist bei Bitcoin vermutlich gegeben. Wenn also nun eine Gruppe oder Institution eben einen Quantencomputer hinbekommt, warum ist dann so klar, dass das auch öffentlich werden sollte?

Mal angenommen damit lies sich entsprechend Mining betreiben, ließe sich das ohne jeden Zweifel an irgendwelchen Daten in der Blockchain ablesen wie ein Block gemined wurde? Wenn jemand über eine solche Maschine verfügte und sie sehr geschickt mitlaufen ließe, stellt das nicht viel eher ein gewisses Risiko dar?

Oder der Klassiker: China ist out of business, weil die ihren Ban wirklich durchgezogen haben (jedenfalls so gut es geht), sehen das Ökosystem aber nun wachsen und wollen es zerstören. Die veröffentlichen ja nicht ihren wissenschaftlichen und technischen Fortschritt. Wie groß ist dann die Gefahr, dass F&E behind closed doors läuft und dann die plötzliche Attacke nach erfolgreichen Tests erfolgt?

Das "Technische" sehe ich nicht als großes Problem - Omni wird ja z.B. in der Form von Tether schon von den meisten Börsen akzeptiert. Das auf den "QBitcoin" (um ihn mal zu nennen) umzustellen, ist eine Konfigurationseinstellung bei den Börsen und Payment-Prozessoren, mehr nicht.

Der Ansatz wäre auch eher als "Backup-Lösung" gedacht, nicht dass jetzt alle ihre Bitcoins zerstören müssten. Nehmen wir mal an, ein solcher "quantensicherer 1:1 Token" wird entwickelt und schon jetzt in den nächsten Jahren zur Verfügung gestellt. Irgendwann stellt sich heraus, dass die Entwicklung bei QC doch besorgniserregend schnell vonstatten geht. Dann könnte sich der "QBitcoin" zuerst bei den Vorsichtigen und Ängstlichen durchsetzen, und wenn es wirklich so weit kommt, dass Satoshis Coins z.B. "fallen" (die wird man dadurch leider nicht retten können, es sei denn er selbst verschiebt oder "verbrennt" sie) dann könnte einfach per Protokolländerung ein 1:1 Umtausch des "QBitcoin-Tokens" in einen quantensicheren "QBitcoin-Coin" eingeleitet werden.

Das würde (siehe meine Beiträge weiter oben) nicht so schnell gehen. Für jede von Satoshis Addressen würde man am Anfang Jahre brauchen mit einer extrem teuren (Quanten)-Rechenleistung. Außerdem würden ja nur wenige Prozent der Coins neu verteilt, dann wären wir sogar einen der größten Crashgefahren (es besteht ja immer die "Gefahr" dass Satoshi selbst die Coins irgendwann verkauft) für immer los, weshalb eine schnelle Erholung möglich wäre.

Das wäre nur dann der Fall, wenn sich alle "quantensicheren" Algorithmen eben nicht als quantencomputersicher herausstellen, oder als untauglich für Public-Key-Kryptographie. Gibt es nur einen, der taugt, würde es technisch gehen. Es müssten nur die Entwickler sich für so eine Option offen zeigen (aber das sollte auch kein Problem sein, wenn die Alternative die "Nutzlosigkeit" des Bitcoins wäre).

Was anderes wäre es, wenn sich SHA256 als untauglich herausstellen sollte und man massenhaft Kollissionen finden würde, weil man dann "alternative Blöcke" errechnen könnte. Davon geht aber meines Wissens nach die heutige Forschung eben nicht aus, da kein effizienter Quantencomputeralgorithmus dafür existiert.

Am besten wäre in der Tat eine Umsetzung direkt im Core-Protokoll. Eine Möglichkeit könnte Simplicity sein, eine neue Skriptsprache, die eigene Erweiterungen ermöglicht und womöglich auch den Einsatz solcher Algorithmen ermöglichen würde (bin mir da aber nicht sicher). Sie muss aber noch per Softfork ins Protokoll übernommen werden.

Dennoch könnte eine Umsetzung zuerst als Token sozusagen als Proof-of-Concept dienen und für erste Erfahrungen sorgen, bis der Ernstfall eintritt.

Interessanter Ansatz, besonders die Implementierung verschiedener Algo-Kandidaten nimmt eine Menge Risiko raus bis die/der Algo sich als sicher bewiesen hat.
Allerdings bezweifle ich das es eine breite Akzeptanz für solch eine Lösung geben wird und irgend eine Implementierung zur Quantensicherheit wird sicher seinen Weg ins Protokoll finden. Dazu haben die aktiven Entwickler sicher bereits erste Ideen.

Dies wird sowieso passieren wenn dieses Thema angegangen wird, aber die Einführungen von SegWit- und Native SegWit-Adressen war auch ziemlich Problemlos. Ist ja nicht so das bei Bitcoin so etwas über Nacht und ohne Vorankündigung geschieht.

@D5000
Problem ist natürlich, dass dann die ganze Adoption erstmal dahin wäre. Das ganze Ecosystem von Software und Akzeptanzstellen, müsste auf den neuen Coin umgestellt werden und würde sicher für viel Verwirrung sorgen. Wenn Bitcoin Adressen dann wirklich geknackt werden könnten, würden ohnehin die ganzen verlorenen Bitcoins und Satoshi Bitcoins etc. in den neuen Coin eingewechselt werden und Bitcoin + der neue Coin wären bei einem Wert von 0.01 € wahrscheinlich innerhalb von Tagen. Ich denke es gibt keine Möglichkeit Bitcoin Quantencomputer-sicher zu machen. Entweder ein Computer der das kann wird erfunden, oder eben nicht.

Gerade ist mir ein Gedanke zum Thema gekommen ... vielleicht wird da mal ein Projekt draus?

Im Prinzip bräuchten wir, um einen Bitcoin "quantencomputersicher" machen zu können, nicht eine komplete Umstellung des Protokolls, sondern nur einige weitere Befehle in Bitcoin Script, bzw. eine Unterstützung von Post-Quanten-Algos im Bitcoin-Code, um Transaktionen mit diesen Algos zu signieren und die Signatur überprüfen zu können. Wir könnten Bitcoins dann auf eine "Post-Quanten-Adresse" transferieren und kein Quantencomputer käme "ran". Bis ein solches Update des Bitcoincodes kommt, dürfte aber noch einige Zeit vergehen.

Nun gibt es ja Token-Protokolle, die auf Basis von OP_RETURN-Transaktionen (die "eigentlich" keinen Wert haben), Tokens auf der Bitcoin-Blockchain ermöglichen. Das bekannteste ist sicher Omni (Grundlage von Tether), daneben gibt es noch Counterparty.

Man könnte nun ein solches Token-Protokoll für einen "quantensicheren Token" benutzen, indem man die entsprechenden Befehle für Post-Quanten-Algorithmen in die Skriptsprache einbaut. Man bastelt dann damit einen Token, der nur mittels den quantensicheren Algorithmen transferiert werden kann.

Wir wollen aber doch einen quantencomputersicheren BTC, kein Token.

Aber wir können mittels Proof of Burn beweisen, dass ein Bitcoin vernichtet wurde, und dann pro "geburntem" Bitcoin eine Token-Einheit kreieren, der 1:1 an den Bitcoin "gepeggt" werden könnte, da er ja genauso knapp ist wie der Bitcoin.

Wir hätten dann sozusagen einen quantensicheren Bitcoin. (Genauer: einen mit Bitcoin 1:1 gepeggten Stablecoin auf der Bitcoin-Blockchain, der quantensicher ist).

Man könnte sogar mehrere Tokens mit verschiedenen Algo-Kandidaten erstellen, die alle auf den selben Proof-of-Burn-Prozess verweisen. Wenn einer dieser Algos sich als knackbar herausstellt, so hätte man immer noch die anderen. (Bei einem Trade müssten dann alle Tokens, die auf die selben Bitcoins zurückgehen, übertragen werden).

Einziges Problem: Den Post-Quanten-Bitcoin könnte man nie wieder in einen echten Bitcoin verwandeln - es sei denn, man ändert das Protokoll (und zwar ziemlich stark) ...

Nur so'n WTF-Gedanke kurz vorm Wochenende. (Vielleicht sollte das eher in einen eigenen Thread, aber passte hier gerade schön rein ... werde noch mal drüber nachdenken.)

Der SIKE-Algo ist auf jeden Fall erst mal raus, denn auch in der höheren Sicherheitsstufe SIKEp751 war nach 20h und 37min Schluss.
Aber das war wohl noch nicht mal der erste Vorfall dieser Art. Ein anderer Finalist im NIST-Auswahlverfahren ist auch bereits gescheitert.
Die RAINBOW Signature wurde auch bereits nach 53 Stunden mittels eines normalen Laptop geknackt -> https://eprint.iacr.org/2022/214.pdf
Scheint also noch einiges an Testaufwand auf die restlichen Algos aufgewendet werden müssen, bevor man davon sprechen kann das diese Sicher sind,

https://www.heise.de/news/Post-Quantum-Kryptografie-Kandidat-SIKE-mit-Laptop-geknackt-7201756.html

Nur mal fix Coins und Token auf eine andere Adresse transferieren, damit wird es wohl nicht getan sein. Nach einer entsprechenden Implementierung im Bitcoin Code wird es ja auch noch eine weile dauern bis der erste Hardwarewallethersteller mit einem neuen Modell um die Ecke kommt. Ob die BIP-39 Wortliste dann noch funktioniert/ausreichend ist? Wenn nicht, dann erst mal die alten Seed Plates im Garten ausbuddeln und eine ggfl. eine neue klopfen.
Und nicht zuletzt daran denken hier im Forum eine neue Adresse im Adressverzeichnis hinterlegen, sonst könnte sich ja auch ein Quantencomputerbesitzer Zugriff auf Useraccounts hier schnappen...
Ein Glück haben wir da noch ein wenig Zeit bis dies alles für uns relevant wird.

Ja krass. Aber wenigstens ist der Miterfinder ehrlich und sagt, woran es hapert. Wenn durch solche Vorfälle die Entwicklung besserer wird ist doch alles gut. Hauptsache es gibt rechtzeitig Post-Quantum-Algorithmen und wir können unsere Coins und Tokens zu sicheren Adressen hinschicken.

Einer der vom NIST ausgewählten Post-Quantum-Algorithmen hat sich jetzt doch als Knackbar erwiesen...alerdings nicht von einem Quanten Computer sondern mittels einer herkömmlichen Single-Core CPU

Allerdings handelte es sich auch nicht um einen Top-Kandidaten für einen zukünftigen Standard. Dennoch zeigt dieses Beispiel wie genau da noch hingeschaut werden muss, um am ende die Post Quanten Situation nicht zu verschlimmbessern.

https://t3n.de/news/algorithmus-quantencomputern-1489626/

Ein passender Artikel zu dem Thema Quantencomputer: https://www.krone.at/2757382




Nicht schlecht was an der TU Graz geleistet wird

Quantencomputer wird die Zukunft sein. Forschung und Industrie investieren jedes Jahr mehr in IT Infrastruktur und die Verbesserung von Rechenleistungen. Die Nachfrage steigt und das Angebot wird nachziehen. Es ist nur eine Frage der Zeit bis Quantencomputer überall eingesetzt werden. Ob es jetzt 2030 oder 2040 sein kann ich nicht sagen, aber es wird wahrscheinlich schneller gehen als gedacht. Man muß nur an die Supercomputer denken die ganze Räume ausgefüllt haben und 15 Jahre später hatten viele einen leistungsstarkeren Rechner zu Hause. Für die Industrie sind die Computer wichtig um die Automatisierung voranzutreiben, und die Forschung kann so mehr Daten aufeinmal analysieren. Auch in der Crypto Welt werden die Quantencomputer großen Einfluß haben. Vielleicht werden die vielen GPUs nicht mehr zum minen gebraucht und CPUs werden wieder wichtiger.

Um wieder auf die Bitcoin relevanten Quantenomputer zurück zu kommen, um welche es hier im Thread ja gehen soll...

Wissenschaftler haben berechnet das ein Quantencomputer mit mindestens 317 Millionen bzw. bis zu 1,9 Milliarden Qubits nötig wäre, um einen Schlüssel wärend der Transaktionsdauer zu knacken und diese Transaktion zu manipulieren.
Aber auch der Aufbau des Quantencomputers selbst hat einen Einfluss darauf wie viele Qubits letztendlich notwendig sein werden. Es wird auf jeden Fall noch einige Zeit vergehen bis diese Technologie für Bitcoin gefährlich wird und dann wird nicht nur Bitcoin vor dem Problem der Quantensicherheit stehen.

Quelle: https://t3n.de/news/quantencomputer-bitcoin-verschluesselung-1447559/

Danke @d5000 für die Erklärungen und Links. Diese Spezialisierung erklärt den Unterschied zu den anderen Rekord-Quantencomputern (wobei diese wohl derzeit auch nur sehr spezielle Aufgaben lösen können). JUPSI soll ja für die Erforschung und Optimierung von Lebensmittel-Lieferketten, Bahn-Fahrplänen oder Verkehrsgestaltung eingesetzt werden.

Das Thema der Skalierung von Quantencomputern scheint schwierig zu sein so lange supraleitende Schaltkreise zum Einsatz kommen. Nach drei neuen unabhängigen Studien wurden jetzt Konstruktionsmethoden für Silizium Quantencomputer mit 99 %iger Genauigkeit vorgestellt.
Dies dürfte ein weiterer Meilenstein in dieser Technologie sein, da die Quantenzustände bis zu 35 sek. stabil bleiben statt wie bisher nur 100 Mikrosekunden in den herkömmlichen supraleitenden Systemen.

https://www.wissenschaft.de/technik-digitales/silizium-quantencomputer-machen-fortschritte/

Zwar immer noch weit entfernt unserem BTC gefährlich werden zu können, aber eben ein Schritt näher zu einem universell nutzbaren Quantencomputer.
Das Thema Quantensicherheit haben die Bitcoin Entwickler sicher schon im Hinterkopf, auch wenn es allein durch Satoshis Coins eine starke Auswirkung haben könnte. Aber das Thema Quantensicherheit betrifft ja dann ganz viele Bereiche unserer Welt.

Im heutigen Xing Newsletter gibt esa uch was zu dem Thema Qantentechnik: https://www.faz.net/aktuell/wirtschaft/unternehmen/quantentechnologie-rekordinvestitionen-von-25-milliarden-dollar-17742123.html
Dachte mir das könnte euch (die tiefer in dem Thema sind) ev. interessieren


So wie auch bei den ganzen KI Themen, Dronen etc.
Wäre natürlich gut wenn sich alle an gewisse Regeln halten

Das ist wohl, wie ich bei einem anderen Artikel gelesen (und beim Stichwort "Kanada" schon vermutet habe) ein D-Wave-Quantencomputer, ein sogenannter "Annealing Quantencomputer" (siehe dazu den Wikipedia-Artikel).

Dabei handelt es sich um einen Spezialfall, der nur für bestimmte Optimierungsaufgaben taugt, aber dort wohl tatsächlich schneller als ein "regulärer" Computer ist. D-Wave-Geräte können meines Wissens (und auch laut besagtem Wikipedia-Artikel) Shors Algorithmus nicht ausführen, also den, der zum Knacken von ECDSA benötigt wird und somit vom Public Key einen Private Key errechnen könnte. Sind also keine Gefahr für Bitcoin.

Ich hab da tatsächlich mal in einem anderen Thread oberflächlich recherchiert (bin kein Mathematiker). Um mittels Shors Algorithmus eine mit 2048-bit-RSA-verschlüsselte Nachricht in 8 Stunden entschlüsseln zu können, bräuchte man 20 Millionen qbits (Quelle). ECDSA-256, das von Bitcoin genutzt wird, scheint laut einer Meinung auf Stackexchange ein wenig einfacher zu knacken zu sein (ECDSA ist eigentlich deutlich schwerer zu knacken, aber Bitcoin nutzt mit 256 bit weit kürzere Keys als RSA-2048, so dass die Sicherheit vergleichbar ist), dürfte aber immer noch Millionen qbits benötigen.

Edit: Habe eine bessere Quelle gefunden: hier werden die verschiedenen Algorithmen verglichen. ECDSA-256 würde 7,43 "megaqbit days" benötigen (also "Millionen Qbit-Tage"). Das würde bedeuten, ein Quantencomputer mit 1 Million qbits bräuchte 7,43 Tage. Das "absolute Minimum" um ECDSA-256 zu brechen, wäre allerdings schon ein Quantencomputer mit 2619 qbits, dieser würde aber (wenn ich richtig gerechnet habe) 2672 Tage benötigen.

(Noch n' Edit: Dann gibt es noch die Unterscheidung von "logischen" und "physischen" Qbits. Die 2619 sind logische qbits, aber für diese braucht man wohl deutlich mehr physische qbits. Ein 2619-Qbit-Computer würde es also auch in Jahren nicht schaffen Bitcoin zu knacken.)

Das ist also doch ne Hausnummer höher als die heutigen experimentellen Geräte. Ich meine auch, dass es nicht möglich ist, einfach so z.B. 40.000 5000-qbits-Computer rechnen zu lassen um die 20 Millionen qbits zu erreichen, da man alle qbits auf einmal benötigt (das scheint falsch zu sein, siehe oben). Zudem steigen wohl die Herausforderungen, mehr qbits zu beherrschen, stark an.

Dazu kommt ja: Du bräuchtest, um richtig "abzusahnen" und auch Coins zu ergattern, bei denen die Besitzer alle Sicherheitsmaßnahmen beachtet haben (also besonders: niemals eine Adresse wiederverwenden!) einen Rechner der den Key in den normalerweise 10 Minuten - 1 Std. knackt, also dem Zeitraum zwischen der Veröffentlichung der Transaktion und damit des Public Key und der Confirmation.

Ein Problem wären allerdings vielleicht Satoshis Coins, weil die mit P2PK gemint wurden, d.h. der öffentliche Schlüssel ist seit dessen geminten Block bekannt, der Kriminelle hat also alle Zeit der Welt, um rumzurechnen. (Edit: Ja, das scheint sich zu bestätigen, die wären für einen universellen 2600-qbit-QC ein lohnendes Ziel.)

Vorher würde ich als Quantencomputer-bewaffneter Krimineller mich erstmal an alle Bankserver u.ä. ranmachen

(Alles ohne Gewähr, darf gerne korrigiert werden ...)