Zur Hauptseite ..\..\..\ Zur Themenliste ..\..\ Zur Bitcoin Übersicht ..\

Technische Angriffsmöglichkeiten auf Bitcoin

Kryptographische Angriffe auf Bitcoin

Randnotiz:
Der gefährlichste, weil dauerhaft erfolgversprechendste Angriff auf Bitcoin ist ausserhalb der Kryptographie zu suchen:
Massgebliche Regierungen der Welt bräuchten nichts weiteres zu tun als nach 100 Jahren schlechtem Geld endlich einmal gutes Geld
in den Verkehr zu bringen. Die Wahrscheinlichkeit dafür dürfte allerdings = 0 sein.

Grundsätzliches.
Der Aufwand, Bitcoin nachhaltig zu schädigen / sich daran regelwidrig zu bereichern ist so gross, dass praktisch kein Anreiz dafür besteht. Es ist viel lohnender, einfacher, am System teilzunehmen. Die schon länger etablierte Industrie für Miningausrüstung ist der beste Beweis für den enormen Anreiz, an diesem System mitzuverdienen.

In den vorigen Kapiteln wurden folgende Ausgangsszenarien hergeleitet:

1. Es kann bewiesen werden, dass P = NP ist.

Höchstwahrscheinlich würde es sich dabei um einen reinen Existenzbeweis handeln. Das hätte zwar nachhaltig positive Auswirkungen auf Mathematik und theoretische Informatik, doch die praktischen Auswirkungen wären = 0. Man wüsste dann zwar, dass die bislang in der Komplexitätsklasse NP geglaubten Aufgabenstellungen tatsächlich der Komplexitätsklasse P angehören, demnach in polynomialer Zeit lösbar wären, doch die Verfahren dafür müssten unabhängig davon erst gefunden werden. Kryptographische Verfahren werden intensiv getestet, selbst dann (oder gerade dann), wenn sie in praktischen, sicherheitsrelevanten Anwendungen zum Einsatz kommen. Dazu gehören Versuche, diese Verfahren zu brechen, und die Suche nach effizienten Lösungsverfahren. Ein erfolgreicher Beweis für P = NP würde diese Anstrengungen zweifellos beflügeln, aber höchstwahrscheinlich ohne Erfolg.
Und falls es doch gelingen sollte, dann wären die Folgen für Bitcoin dieselben wie im nächsten Szenario beschrieben.

2a. Die SHA256 Hashfunktion wird gebrochen

Jemand findet ein Verfahren, das die Aufgabe "Breche die SHA256 Hashfunktion" effizient, also in polynomialer Zeit (P), löst. Um das Ganze noch gefährlicher zu gestalten, nehmen wir an, dieses Verfahren kann die SHA256 Hashfunktion sehr schnell brechen.

Anmerkungen

Die Frage, ob SHA256 gebrochen werden kann, kommt immer wieder auf. Diejenigen, die dazu grundsätzlich in der Lage wären, sind von Berufs wegen damit beschäftigt, bestehende Verschlüsselungstechniken noch sicherer zu machen, und neue zu entwickeln. Die Wahrscheinlichkeit, dass es jemandem gelingt, ohne dass die Fachwelt davon erfährt, ist sehr gering.
Sicherheitstechnik, insbesondere Bitcoin, ist eine Open Source Domäne. Die Tatsache, dass sicherheitsrelevante Software nicht geheim ist, sondern grundsätzlich jeder Einblick darin hat, ist ein Grundpfeiler der Sicherheitstechnik. Die Grundidee dahinter ist, dass es in einer transparenten Umgebung mit sehr vielen Akteuren fast unmöglich ist, dass böswillige Akteure unentdeckt und koordiniert gegen den Rest arbeiten.
Die SHA256 Hashfunktion wurde zwar durch Bitcoin einer breiteren Öffentlichkeit bekannt, doch ausser in Bitcoin kommt sie in sehr viel mehr Bereichen zur Anwendung. Sie ist ein Rückgrat von dem, was man heute unter Sicherheit im digitalen Bereich versteht. Das Brechen der SHA256 Hashfunktion würde demnach einen Angriff auf die Sicherheit des digitalen Zeitalters darstellen, in dem Bitcoin vermutlich eine untergeordnete Rolle spielen wird.

Angenommen, es gelänge tatsächlich jemandem, unentdeckt die SHA256 Hashfunktion zu brechen. Diese Funktion wird fürs Mining verwendet, und bei der Adressgenerierung. Da an letzterem noch 2 weitere kryptographische Verfahren beteiligt sind, kann der Angreifer "nur" über das Mining angreifen.

Wenn er zurückhaltend agiert, dann wird er immer wieder mal einen Block minen. Für die anderen Marktteilnehmern würde es so aussehen, als ob ein neuer Miningpool hinzugekommen ist. Auf diese Weise bereichert sich der Akteur am Bitcoinsystem, ohne weiteren Schaden anzurichten.

Wenn er aggressiv vorgeht, wird er in kurzer Zeit so lange alle Blöcke für sich minen, bis die Difficulty Parameteranpassung reagiert, und die Schwierigkeit (deutlich) erhöht. Doch das kann ihm nichts anhaben, denn er weiss ja, wie man das Verfahren brechen kann. Also wird er in dem Stil weitermachen, bis alle Bitcoins gemined sind. Stand 2020 wären das insgesamt 2,5 Millionen Bitcoins, die der Akteur an sich reissen könnte. Sollte der Akteur seine Bitcoins auf dem Markt anbieten, dann wird der Bitcoin Kurs deutlich fallen, und wahrscheinlich sehr lange brauchen, um sich zu erholen.
Das wäre langfristig aber kein existenzbedrohender Schaden für Bitcoin, denn....

... in solch einem Szenario wird es höchstwahrscheinlich zu einem Hard Fork kommen. Das bedeutet, der stark überwiegende Rest der Bitcoin Marktteilnehmer wird sich zusammentun, und eine veränderte Version des Bitcoinprotokolls starten, die resistent ist gegen diese Art Angriff. Der Akteur würde "seine" Blockchain, die ja die ursprüngliche Bitcoin Blockchain gewesen ist, behalten, und der Rest würde sich der neuen Blockchain zuwenden. Der Markt würde mit starker Mehrheit entscheiden, dass die neue Blockchain der wahre Bitcoin ist. Dadurch würde nicht nur Bitcoin gerettet werden, sondern auch der Akteur aus dem Rennen geworfen werden.
Ein sehr ähnliches Szenario ist übrigens bei Ethereum 2016 passiert: Das heutige Ethereum Classic ist das ursprüngliche Ethereum.

Bisher hat Bitcoin alle Hard Forks eindeutig für sich entscheiden können. Der Wert des originalen Bitcoin übersteigt die Werte der Coins aller bisherigen Forks um das Zigfache.
In einem Szenario wie dem zuvor geschilderten wäre der Druck für einen Hard Fork allerdings sehr gross.

Der Akteur könnte nach Erhöhung der Difficulty aber auch einfach aufhören zu minen. Dann würde für sehr lange Zeit überhaupt kein Block mehr gemined werden können, weil die Schwierigkeit der Rechenaufgabe für die verbleibende Miningkapazität viel zu hoch wäre. Auch dann käme es höchstwahrscheinlich zu einem Hard Fork.

2b. Das ECDSA Verfahren wird gebrochen

Das betrifft "nur" Bitcoins, die auf Adressen liegen, die schon einmal verwendet worden sind.

Wir ignorieren fürs weitere, dass keine Anreize existieren, Bitcoin zu schaden. Sollte der Angreifer es dennoch vorhaben, dann wir er so viel Schaden wie möglich anrichten wollen, ohne entdeckt zu werden. Er könnte z.B. möglichst viele Adressen, auf denen Bitcoins liegen, in möglichst kurzer Zeit brechen, und die Bitcoins auf seine eigenen Adressen transferieren. Wenn er sich dafür nur Adressen mit moderaten Bitcoinmengen heraussucht, dann bleibt er lange unerkannt.
Attackiert er dagegen Adressen mit sehr vielen Bitcoins, das dürften dann Adressen von Bitcoinbörsen oder vgl. sein, dann wird er zwar schneller reich, doch er wird dafür viel schneller entdeckt.
(Ob es tatsächlich Adressen gibt, auf denen sehr viele Bitcoins lagern, sei mal dahingestellt, denn deren Besitzer dürften sich des Risikos bewusst sein. Erläuterung siehe hier)
Die Kompromittierung der Adresse einer Bitcoinbörse wird wahrscheinlich sofort erkannt werden, nämlich von der Börse selbst nach dem Minen des nächsten Blocks, also etwa nach 10 Minuten.
Sobald bekannt wird, dass Bitcoins "verschwinden", könnte folgendes passieren:

Die Miner werden vom Rest des Marktes überzeugt, das Mining vorübergehend zu stoppen, bis eine Lösung gefunden wird.
Dringlichkeitsmeldungen werden die Runde machen, in denen Bitcoinbesitzer angewiesen werden, ihre Ersparnisse auf neue Adressen zu transferieren, und in Zukunft keine Adressen mehr wiederzuverwenden. Nach dieser Massnahme könnte man sich zurücklehnen und in Ruhe überlegen, ob und ggfs. was man unternehmen könnte.

Wenn der Akteur sich so verhält, dass die Angriffe nicht in die Öffentlichkeit gelangen, dann wird er "nur" langsam, aber sicher reicher. Die beraubten Besitzer, deren Anzahl verlorener Bitcoins einerseits existentiell sein mag, andererseits viel zu gering um systemrelevant zu sein, würden vermutlich lange kein Gehör finden, nicht einmal in der Bitcoinszene.

Insgesamt würde das Brechen von ECDSA schlimmstenfalls zu grösserem Vertrauensverlust in Bitcoin führen, doch auch dies wäre langfristig kein existenzbedrohender Schaden.

3. jemand gelingt es, einen Quantencomputer zu bauen, der die SHA256 Hashfunktion effizient, also in polynomialer Zeit (P), lösen kann. Um das Ganze noch gefährlicher zu gestalten, nehmen wir an, er kann die SHA256 Hashfunktion in sekundenschnelle brechen.

2c. Die RIPEMD160 Hashfunktion wird gebrochen

Diese Hashfunktion kommt nur bei der Adressgenerierung zum Einsatz, und dort "nur" als "Verstärkung" der SHA256 Hashfunktion. Das Brechen von RIPEMD160 alleine hätte keine Auswirkung.

2c. Ein geeigneter Quantencomputer wird erschaffen

Anmerkungen

Quantencomputer sind nicht etwas, das zwei 17-jährige in einer Garage aushecken, sondern ein theoretisches und praktisches Thema in der internationalen Fachwelt. Experten, die an Quantencomputern arbeiten, und solche, die sich mit Kryptographie beschäftigen, sind fachlich nahestehend. Daher ist es unwahrscheinlich, dass jemand unbemerkt einen geeigneten Quantencomputer herstellen kann.
Der Betrieb von Quantencomputern ist extrem Material-, Personen- und damit Kostenaufwendig. Das bedeutet, dass die Fachwelt gezwungen ist, Budgets für sich zu gewinnen. Dadurch werden ausserhalb der Fachwelt liegende Bereiche zwangsläufig mit involviert, beispielsweise Regierungen, Hochschulen, grosse Unternehmen, und letztlich ggfs. über Fortschrittsnachrichten sogar die gesamte Öffentlichkeit.

Die Grundidee hinter beiden genannten Punkten ist wieder, dass es in einer transparenten Umgebung mit sehr vielen Akteuren fast unmöglich ist, dass böswillige Akteure unentdeckt und koordiniert gegen den Rest arbeiten. Hinzu kommt:

Die Bedrohung durch Quantencomputer wird intensiver wahrgenommen als das "konventionelle" Brechen von kryptographischen Funktionen. Das liegt daran, dass es bei Quantencomputern in der Vergangenheit Fortschritte gegeben hat, und in Zukunft geben wird. Allein die Tatsache, dass es einfache, aber funktionierende Quantencomputer überhaupt gibt, ist als Fortschritt zu werten. Aus diesem Grund wird sich Bitcoin ggfs. rechtzeitig weiterentwickeln, wenn notwendig durch proaktive Hard Forks. Ein grundsätzliches Problem bei Quantencomputern ist die Anzahl Qbits, die für das Brechen kryptographischer Funktionen noch viel zu gering ist. Eine wirksame Weiterentwicklung bei Bitcoin wäre daher, die bestehenden kryptographischen Funktionen einfach zu vergrössern, z.B. statt SHA256 wird dann SHA384 verwendet. Damit könnte man der Gefahr durch die immer grösser werdende Anzahl Qbits in Quantencomputern systematisch entkommen.

Angenommen, jemand stellt unentdeckt einen geeigneten Quantencomputer her.
Damit könnte er alle drei Verfahren gleichzeitig brechen. Die möglichen Vorgehensweisen und Folgen für das Bitcoinsystem wären exakt dieselben wie bisher beschrieben:
Durch das Brechen der SHA256 Hashfunktion würde der Angriff über das Mining erfolgen, und durch das Brechen des ECDSA Verfahrens würden alle wiederverwendeten Adressen angegriffen werden.
Die Tatsache, dass Bitcoin Adressen doppelt verhasht sind, also mit SHA256 und RIPEMD160, würde erfordern, dass der Quantencomputer so gross ist, dass er die durch die Verkettung bedingte extrem erhöhte Schwierigkeit brechen kann.
Das ist jedoch extrem unwahrscheinlich, da

ein Angreifer, der die Fähigkeit besitzt, immer "nur" eine Funktion brechen zu können, mit Sicherheit nicht warten wird, bis sein Gerät in der Lage sein wird, 2 verkettete Funktionen zu brechen.
eine so fortschrittliche Technik nicht über sehr lange Zeit geheim gehalten werden kann, bzw. sie sich während dieser Zeit öffentlich wahrnehmbar nochmal entwickeln würde, sodass das Bitcoinsystem Zeit haben würde, proaktiv darauf zu reagieren.

Wäre der Angreifer tatsächlich so geduldig, dann könnte er nicht nur die wiederverwendeten Adressen abräumen, sondern alle Adressen.
Das wäre das Ende von Bitcoin, da die Marktteilnehmer dem Angreifer nichts mehr entgegenzusetzen hätten. Man müsste Bitcoin sprichwörtlich neu erschaffen.

Abschliessend sei nocheinmal betont, dass es keinen Anreiz gibt, Bitcoin zu zerstören.

Zum Anfang

Datenschutzhinweise

September 2020