The Big Whale: Google hat gerade ein Forschungspapier veröffentlicht, das in der Krypto-Ökosystem für viel Aufsehen sorgt. Können Sie in einfachen Worten erklären, worum es geht?
Charles Guillemet: Google hat einen neuen Algorithmus vorgestellt, der theoretisch ECDSA, also elliptische Kurven-Kryptographie, effizienter brechen kann. Dieser Algorithmus baut auf Shors Algorithmus auf, einem der beiden Hauptalgorithmen, die entwickelt wurden, um asymmetrische Kryptographie mit einem Quantencomputer zu brechen. Bislang wurde Shor hauptsächlich im Kontext von Angriffen auf RSA untersucht, das in Blockchains nicht verwendet wird. Was wir verwenden, ist elliptische Kurven-Kryptographie, und die Forschung zur Anwendung von Shor auf diese Art der Kryptographie war weniger fortgeschritten. Was Google zeigt, ist ein noch besserer Algorithmus, der theoretisch einem Quantencomputer ermöglichen würde, ECDSA und elliptische Kurven-Kryptographie im Allgemeinen zu brechen.
Außer, dass dieser Quantencomputer noch nicht existiert...
Es ist immer dasselbe Problem. Die Forschung schreitet auf zwei Fronten gleichzeitig voran. Auf der einen Seite die theoretischen Algorithmen: Was ist der beste Algorithmus, die beste Implementierung, um elliptische Kurven effizient anzugreifen. Auf der anderen Seite die Hardware: der Bau eines Quantencomputers mit einer ausreichenden Anzahl von Qubits und vor allem einem stabilen System. Beide Fronten machen Fortschritte. Werden wir letztendlich alles brechen können? Es ist ein Glücksspiel, niemand weiß es. Diejenigen, die behaupten, es werde in zwei oder fünf Jahren passieren, sind oft Menschen, die etwas zu verkaufen haben. Aber für mich ist das nicht der Punkt. Das eigentliche Problem ist das Vertrauen in die Kryptographie, in die Mathematik. In dem Moment, in dem Zweifel an diesem Vertrauen aufkommen, ist es an der Zeit, das Problem zu lösen.
Welche Blockchains sind von dieser Bedrohung betroffen?
Praktisch alle. Sehr wenige post-quantum Blockchains existieren unter den aktuellen Projekten. Algorand hat einige Arbeiten geleistet, es gibt Blockchains, die sich aus Marketinggründen auf das PQC-Thema positionieren. Dann gibt es Layer 2s und Protokolle, die auf STARKs basieren, wie StarkNet, die von Natur aus resistent sind, mit einigen Vorbehalten. Aber insgesamt gibt es sehr wenige. Alle großen Blockchains sind anfällig: Bitcoin, Ethereum und die anderen.
Sie erwähnten StarkNet als eine der am besten vorbereiteten Blockchains. Ein Wort dazu?
StarkNet macht aus technologischer Sicht sehr interessante Dinge, die die Forschung weit über Blockchains hinaus vorantreiben. STARKs sind ein echter wissenschaftlicher Durchbruch, effizient und post-quantum resistent, mit einigen Vorbehalten. Allerdings bleibt die Nutzung von StarkNet heute sehr gering. Es ist ein Lehrbuchbeispiel für eine erfolgreiche Technologie mit geringer Akzeptanz. In der Zwischenzeit haben andere Projekte, die technisch weniger ausgereift sind, weitaus größeren Erfolg.
Wie stehen Sie zur Migration von Blockchains zu quantenresistenten Systemen?
Wir müssen so schnell wie möglich migrieren. Auch wenn wir überhaupt nicht sicher sind, dass ein funktionaler Quantencomputer bald kommt, geht es nicht mehr um Gewissheit: Es geht um Vertrauen. Vertrauen wird erodiert, also müssen wir migrieren. Die eigentliche Schwierigkeit besteht darin, einen Konsens darüber zu finden, wie und wohin migriert werden soll, insbesondere bei Bitcoin.
Ein besonders origineller Punkt in Googles Papier: Sie liefern einen Beweis, ohne ihren Algorithmus zu offenbaren. Wie ist das möglich?
Das ist der faszinierendste Aspekt ihres Papiers. Es ist das erste Mal, dass ich so etwas in einem Forschungsartikel sehe: Die Autoren behaupten, ein Ergebnis zu haben, das den Stand der Technik übertrifft, aber sie erklären nicht, wie. Sie liefern jedoch einen mathematischen Beweis, basierend auf Zero-Knowledge, dass ihr Ergebnis tatsächlich das ist, was sie behaupten. Niemand kann widerlegen, was sie behaupten, aber niemand weiß, wie sie es erreichen. Es ist sowohl elegant als auch völlig beispiellos.
"Es ist das erste Mal, dass ich so etwas in einem Forschungsartikel sehe: Sie haben ein faszinierendes Ergebnis, aber sie sagen nicht, wie es funktioniert. Und doch kann es niemand widerlegen"
Können wir ihnen vertrauen? Hat Google ein Interesse daran, Angst vor Blockchain zu schüren?
Das Papier wurde noch nicht vollständig von der wissenschaftlichen Gemeinschaft validiert, der Peer-Review-Prozess muss seinen Lauf nehmen. Aber auf den ersten Blick habe ich keine Zweifel. Google steht dahinter, und Dan Boneh ist einer der Unterzeichner; er ist einer der angesehensten Kryptographen der Welt. Was einen möglichen Interessenkonflikt betrifft: Google hat keine post-quantum Blockchain zu verkaufen. Das ist nicht wie bei den auf PQC spezialisierten Startups, die den Weltuntergang in zwei Jahren ankündigen, wo man ihre kommerziellen Motive hinterfragen muss. Bei Google ist das weniger offensichtlich. In jedem Fall haben sie erst vor wenigen Tagen angekündigt, dass sie planen, ihre eigenen Systeme bis 2029 zu migrieren, und dieses Papier wird direkt danach veröffentlicht. Alles deutet in die gleiche Richtung.
Wir hören oft, dass der Quantencomputer ein universeller Supercomputer sein wird. Ist das ein Missverständnis?
Völlig. Die Leute denken, ein Quantencomputer sei nur ein klassischer Computer, aber viel schneller. Überhaupt nicht. Die meisten Probleme werden weiterhin effizienter von klassischen Computern gelöst. Quantenalgorithmen sind für einige sehr spezifische Aufgaben überlegen, und die wichtigste davon ist das Brechen von Kryptographie. Deshalb ist dieses Thema so zentral.
Wo stehen wir tatsächlich bei der Quantenhardware? Google erwähnt 2029...
In Wirklichkeit wissen wir nicht viel. Was wir beobachten können, ist, dass beide Fronten Fortschritte machen: Theoretische Algorithmen verbessern sich, und auch die Hardware, mit vielen verschiedenen Technologien, die verschiedene Quantenphänomene ausnutzen. Die Hauptschwierigkeit bleibt, eine große Anzahl von Qubits zu erreichen, die über die Zeit stabil sind. Um die Verschränkung zwischen Qubits aufrechtzuerhalten, benötigt man eine Umgebung mit minimalem Rauschen, insbesondere thermischem Rauschen, was bedeutet, bei Temperaturen nahe dem absoluten Nullpunkt zu arbeiten. Die großen goldenen Anlagen, die Sie auf Fotos sehen, sind Kühlschränke. Der Computer selbst ist ein kleiner Chip am Boden. Die Herausforderung besteht darin, dass der Schaltkreis ein paar Mikrowatt Wärme erzeugt, und diese Wärme erzeugt Rauschen, das die Quantenkohärenz zerstört. Je mehr Qubits Sie hinzufügen, desto schwieriger ist es, diese Kohärenz aufrechtzuerhalten. Das sind echte physikalische Probleme.
"Auch wenn wir überhaupt nicht sicher sind, dass ein funktionaler Quantencomputer bald kommt, geht es nicht mehr um Gewissheit: Es geht um Vertrauen"
Könnte eine solche Veröffentlichung das institutionelle Interesse an Blockchain und Tokenisierung dämpfen?
Jedes Mal, wenn es ein solches Ergebnis gibt, wird das Vertrauen in die Kryptographie ein wenig mehr erodiert. Und Blockchains beruhen grundlegend auf diesem Vertrauen, umso mehr, weil es in einem dezentralen System keine vertrauenswürdige dritte Partei gibt; die gesamte Sicherheit beruht auf Kryptographie. Also ja, es wirft Fragen auf. Aber es gibt Lösungen: Migrationslösungen sind verfügbar.
Wie bereitet sich Ledger praktisch vor?
Solange Bitcoin, Ethereum und die großen Blockchains anfällig bleiben, spielt es keine Rolle, wie sehr wir unsere Geräte sichern, wenn jemand Münzen direkt auf der Blockchain stehlen kann, macht das Wallet keinen Unterschied. Das gesagt, wir verwenden auch Kryptographie für unsere eigenen Systeme: Geräte-Updates, Echtheitsnachweise und so weiter. Wir arbeiten daran, diese Bausteine auf post-quantum Lösungen zu migrieren. Wir haben auch ein eingebettetes Betriebssystem auf unseren Geräten und unseren HSMs, das kryptographische Dienste für die darauf laufenden Anwendungen bereitstellt. Was wir derzeit tun, ist, neue post-quantum kryptographische Dienste hinzuzufügen.
>> IPO: Kann Ledger auf BitGos Erfolg aufbauen?
Gibt es einen einheitlichen Standard, auf den sich alle zubewegen?
Nein, und das ist eine der Schwierigkeiten. Es gibt mehrere Standards, und die Debatten unterscheiden sich je nach Ökosystem. Im Großen und Ganzen zeichnen sich zwei große Familien von Algorithmen ab. Auf der einen Seite hash-basierte Schemata: Man baut kryptographische Primitive, insbesondere Signaturen, aus Hash-Funktionen, die eindirektionale Funktionen sind, die seit langem sehr gut untersucht wurden. Wir haben ein hohes Maß an Vertrauen in ihre Sicherheit. Auf der anderen Seite sind die Schlüssel und Signaturen groß, was praktische Herausforderungen schafft. Auf der anderen Seite gibt es gitterbasierte Schemata, die auf einem anderen Typ von mathematischem Problem basieren. Das Prinzip bleibt dasselbe: Es ist einfach, einen öffentlichen Schlüssel aus einem privaten Schlüssel abzuleiten, aber das Umgekehrte ist sehr schwierig. Es ist weniger untersucht, die Mathematik ist komplex und wird von wenigen Menschen beherrscht. Aber es ist eleganter, was effizientere Konstruktionen ermöglicht.
Und Bitcoin und Ethereum treffen nicht die gleiche Wahl?
Ethereum neigt mehr zu Gittern, fortgeschrittenen mathematischen Konstruktionen. Bitcoin neigt mehr zu hash-basierten Ansätzen. Das ist ziemlich bezeichnend: eine neue Trennlinie zwischen den beiden Ökosystemen, die sich sogar in kryptographische Entscheidungen erstreckt.
"Wenn Bitcoin gebrochen wird, wird es ein echtes Problem sein; wir müssen so schnell wie möglich migrieren"
Eine scheinbar einfache Frage: Wie migriert man eine Blockchain?
In einer zentralisierten Welt ist es sicherlich viel einfacher. Eine Entität entscheidet, und sie führt es aus. Auf einer Blockchain muss man einen Konsens finden. Aber die Schwierigkeit der Migration der zentralisierten Welt sollte auch nicht unterschätzt werden. Es gibt überall Kryptographie: in der Telekommunikation, im Zahlungsverkehr, im Internet, in der Finanzwelt, in der Verteidigung. Implementierungen sind in Hardware, auf Servern, in alten Sprachen geschrieben, über ganze Stacks verteilt. Und an jedem kryptographischen Berührungspunkt gibt es zwei Parteien: diejenige, die signiert, und diejenige, die verifiziert. Diese Migration wird ein massives Unterfangen sein, überall.
Konkret, worüber muss sich die Bitcoin-Community einig werden?
Die zentrale Frage ist der neue Signaturalgorithmus. Wir betrachten ECDSA als riskant, daher muss es ersetzt werden, entweder durch ein hash-basiertes oder ein gitterbasiertes Schema. Und sobald Sie das ändern, lösen Sie eine Kaskade von Problemen aus. Die neuen Signaturen sind größer, sie müssen on-chain gespeichert werden, sodass jeder Block weniger Transaktionen enthält. Auch die Kosten für die Verifizierung einer Signatur steigen, was ein Problem für Bitcoin ist, wo die Möglichkeit, einen Node auf bescheidener Hardware zu betreiben, immer ein grundlegendes Prinzip war.
Und die Migration der bestehenden Gelder?
Das ist das schwierigste Problem. Alle heute existierenden Bitcoins befinden sich auf Adressen, die an die alte Kryptographie gebunden sind. Jeder Benutzer müsste eine neue post-quantum Adresse erstellen und seine Gelder darauf übertragen. Bitcoin verarbeitet jedoch ungefähr 7 Transaktionen pro Sekunde. Wenn Sie jeden Block ausschließlich mit Migrationstransaktionen füllen würden, würde es ungefähr 8 Monate dauern, nur um die bestehenden UTXOs zu migrieren. Wir können es uns eindeutig nicht leisten, bis zum letzten Moment zu warten.
Was ist mit den Bitcoins, die sich nicht bewegen? Diejenigen, deren Schlüssel verloren gegangen sind, oder die zu nicht mehr existierenden Entitäten gehören?
Das ist die schwierigste Frage. Sie definieren einen Migrationszeitraum, sagen wir mindestens mehrere Jahre. Am Ende dieses Zeitraums, für diejenigen, die sich nicht bewegt haben, haben Sie nicht viele Optionen. Entweder lassen Sie sie so, wie sie sind, und warten darauf, dass jemand sie eines Tages bricht, was nicht zufriedenstellend ist. Oder Sie erklären sie für verloren: Es gibt nicht mehr 21 Millionen Bitcoins, sondern zum Beispiel 16 Millionen. Oder Sie geben die verbleibenden Bitcoins neu aus, was an sich keine schlechte Idee ist, es würde auch teilweise das langfristige Sicherheitsbudgetproblem für Miner angehen. Aber es wirft ein Souveränitätsproblem auf. Es gibt keine gute Lösung; jede Option hat erhebliche Nachteile.
"Die meisten relevanten Personen in der Bitcoin-Community sind überzeugt, dass es so bald keinen Quantencomputer geben wird. Vielleicht haben sie recht. Vielleicht auch nicht"
Ist sich die Bitcoin-Community der Tragweite bewusst?
Es ist ein ziemlich neues Erwachen. Die meisten der Personen, mit denen ich gesprochen habe, die wirklich im Kern der Bitcoin-Community sind und sich mit diesen Themen auskennen, sind überzeugt, dass es so bald keinen Quantencomputer geben wird und dass es kein Thema ist. Vielleicht haben sie recht. Vielleicht auch nicht. Das Problem ist, dass niemand es weiß, und das Vertrauen steht jetzt auf dem Spiel. Wir befinden uns bereits in einer Phase des Zweifels, und der Fortschritt wird weitergehen.
Und auf der Ethereum-Seite, wie würde es ablaufen?
Zu Beginn der Diskussionen gab es eine Idee, die ich überhaupt nicht unterstützt habe: Da Ethereum programmierbar ist, würde es ausreichen, Ihre Tokens und Ihr ETH in einen Smart Contract, ein Smart Wallet, zu stecken, dessen Ausgabebedingung die Verifizierung einer post-quantum Signatur wäre. Theoretisch könnten Sie jetzt ein post-quantum Wallet auf Ethereum implementieren.
Das klingt vielversprechend. Warum überzeugt es Sie nicht?
Weil es nicht effizient ist, die Verifizierung verbraucht viel Gas, und vor allem ist es keine nachhaltige Lösung. Es ist ein Pflaster. Man kann nicht sagen, dass alle Signaturen gebrochen sind, aber es ist in Ordnung, weil wir dieses Stück Klebeband haben, das das System zusammenhält. Also gibt es echte Diskussionen darüber, welchen Algorithmus man annehmen und welche Änderungen auf Protokollebene vorgenommen werden sollen. Es gibt alle zwei Wochen einen Anruf mit der Ethereum Foundation, an dem wir teilnehmen und unsere Ansichten teilen.
Erscheint Ihnen ein Bitcoin-Hard Fork unvermeidlich?
Ich denke, es ist die einzige Möglichkeit. Jemand wird eine neue Kette starten, behaupten, es sei Bitcoin, und ein post-quantum resistentes Bitcoin mit höherem Durchsatz anbieten, um das Migrationsproblem zu lösen. Das ist eine Möglichkeit. Dann bleibt abzuwarten, ob die Leute diese Blockchain als Bitcoin anerkennen werden. Es gibt auch andere Ansätze, wie das Hinzufügen eines neuen Opcodes, der es ermöglichen würde, STARK-Beweise direkt auf Bitcoin über Starknet zu verifizieren, was das Interesse am Protokoll über die Quantenfrage hinaus wiederbeleben würde.
>> Charles Guillemet (Ledger): "Wallets werden Passwörter ersetzen"
%201.png)
%201.png)
%201.png)
%201.png)
%201.png)
