Blockchain: Die langfristige Perspektive
Werden Verträge in der Blockchain auch in Jahrzehnten und Jahrhunderten noch ihre Gültigkeit haben?
▽28 Feb. 2020|Bernhard Kauer
blockchainbernhard
Wir waren letztens im Historischen Museum Frankfurt. Dort gibt es eine einzigartige Münzsammlung, welche bis zu den Römern und Griechen zurück reicht. Schaut man sich die alten Gold- und Silbermünzen an, so haben diese über zwei Jahrtausende ihren Wert behalten. Sie kosten heutzutage oft sogar ein Vielfaches ihres Materialwertes, da es sich um seltene Sammlerstücke handelt.
Bei Geldscheinen sieht das meist etwas schlechter aus. Dennoch kann man seit 70 Jahren, und offiziell zeitlich unbegrenzt, die Deutsche Mark bei der Bundesbank unentgeltlich in Euro und damit in Gold umtauschen. Denkt man an alte Bücher und Urkunden, so wird deutlich, dass Papier bei guter Lagerung durchaus mehrere Jahrhunderte seinen Wert behalten kann. Es kann aber auch, wie es die Billionenscheine der Hyper-Inflation zeigen, nach Monaten oder gar Tagen bereits wertlos werden.
Wie sieht es nun mit Währungen und Verträgen aus, die man in Zukunft digital in einer Blockchain speichern möchte? Werden die auch in Jahrzehnten und Jahrhunderten noch Gültigkeit haben? Oder ist Gold oder sogar Papier für die langfristige Aufbewahrung von Werten besser geeignet?
Über die Tauglichkeit der Blockchain als tägliches Zahlungsmittel habe ich in einem vorherigen Artikel bereits geschrieben. Hier geht es um die bisher oft ignorierte Langzeitsicherheit der Blockchain.
1. Extreme Redundanz
Ein Vorteil jeder öffentlichen Blockchain ist ihre extreme Redundanz. So können alle Teilnehmer alle Transaktionen, die jemals auf der Blockchain registriert wurden, selbst speichern. Damit hat man die perfekte Absicherung gegen alle physischen Ereignisse.
Papier kann man ähnlich einfach replizieren, auch wenn dies etwas langsamer und regelmäßig teurer als eine digitale Kopie sein wird. Damit kann man Verträge recht einfach gegen Katastrophen schützen. Dies gilt aber natürlich nicht für Papiergeld.
Geldscheine und Gold kann man nur an einem einzigen Ort aufheben. Und dort können diese vergessen werden, verloren gehen oder im Extremfall, wie es James Bond in Goldfinger verhindert, unbrauchbar gemacht werden. Auch wenn die Bundesbank beschädigtes Geld kostenlos umtauscht, so hilft dieser Service nicht gegen den Verlust.
In Summe ist also die öffentliche Blockchain bei der Redundanz eindeutig im Vorteil. Auch wenn digital preservation einige Fallstricke bereit hält, so wird die Menschheit die Informationen, welche heute in einer öffentlichen Blockchain gespeichert werden, nie vergessen.
2. Schnellere Alterung
Gold als Edelmetall altert praktisch nicht. Im Gegenteil. Alte Prägungen können einen Seltenheitswert haben, mit dem man einen unverhofften Wertzuwachs erreichen kann.
Papier altert hingegen. Jeder der schon mal 50 Jahre alte Taschenbücher in der Hand gehabt hat, wird dies bestätigen können. Gutes Papier kann dennoch bei entsprechender Herstellung und guter Lagerung einige hundert Jahre halten.
Die Sicherheit der Blockchain hängt nicht von physischen Dingen ab, sondern von den unterliegenden kryptographischen Methoden. Und interessanterweise altern diese viel schneller als Papier. So gibt es nur wenige Algorithmen, welche informationstheoretisch sicher sind, also ein Geheimnis unabhängig von der Stärke des Angreifers bewahren können. Ein Beispiel für die perfekte Sicherheit ist das One-Time-Pad Verfahren, bei dem man dafür aber auch perfekte Zufallszahlen braucht, was wiederum ein Problem für sich darstellt.
Stattdessen werden kryptographische Methoden meist als Abwägung zwischen Geschwindigkeit und Sicherheit entwickelt. Man macht dabei Annahmen, wie stark ein heutiger Angreifer ist, und schlägt darauf einen genügend großen Sicherheitspuffer. Die exponentielle Steigerung der Rechenleistung durch Moore’s law und Fortschritte in der Kryptoanalyse verbrauchen aber diesen Puffer innerhalb von 30-40 Jahren, wie es auch die Beispiele im Anhang zeigen.
Dazu kommen noch unplanbare Entwicklungen, die diese Zeit erheblich verkürzen können. So hat die Verfügbarkeit des Cloud Computing dazu geführt, dass die Kosten eines Angriffes in den letzten Jahren erheblich gesunken sind. Ein Angreifer muss sich nun keine teure Hardware mehr anschaffen, sondern kann die Rechenleistung, die er gerade für einen einzelnen Angriff braucht, kurzzeitig mieten.
In Zukunft wird ein Durchbruch bei Quantenrechnern erwartet, der aktuelle asymmetrische Verschlüsselungsverfahren wie RSA und Eliptic-Curves unbrauchbar machen wird. Der Effekt auf symmetrische Verschlüsselung und Hash-Funktionen ist nicht so eindeutig. Die Erwartungen reichen hier von irrelevant bis zur Halbierung des Sicherheitsniveaus.
Somit kann man festhalten: die Blockchain altert einerseits schneller als das Papier auf dem man (Kauf-) Verträge abschließt. Anderseits wird dies vermutlich langsamer passieren, als die Entwertung von Geldscheinen in Hyper-Inflationszeiten. Bei der Alterung liegt der Vorteil somit eindeutig bei Gold.
3. Adaption
Wie können sich Gold, Papier und die Blockchain den Veränderungen der Zeit anpassen?
Bei Gold ist dies recht einfach möglich. Im Extremfall kann es eingeschmolzen und wieder neu in aktuelle Münzen geprägt werden. Bei Papiergeld wird man, zum Beispiel nach einer Währungsreform, altes in neues Geld umtauschen, um den Wert langfristig zu behalten.
Auch die Blockchain wird sich den verbesserten Fähigkeiten der Angreifer durch Modernisierung der kryptographischen Methoden laufend anpassen müssen, um nicht irgendwann irrelevant zu werden. Die Verträge und Werte, welche die Bits in der Blockchain repräsentieren, wird man dafür immer wieder erneuern müssen. Diese Umstellung kann bei einer Blockchain jedoch nicht zentral geschehen, wie man es z.B. bei Bankkonten hinbekommt, sondern wird, ähnlich wie der Umtausch von Papiergeld, nur dezentral und unter Mitwirkung der Eigentümer passieren können.
Das heißt aber auch, dass verlorengegangene Bitcoins letztlich wieder auftauchen werden. Zwar nicht beim originalen Eigentümer, der Bitcoins z.B. aus Versehen im Müll entsorgt hatte, sondern bei einem Angreifer der durch Fortschritte in der Kryptoanalyse in der Lage ist, deren öffentliche Schlüssel zu brechen.
Die einfache Umtauschbarkeit in normale Währungen macht dieses Recycling von alten in neue Coins sogar zu einem interessanten Geschäftsmodel. Erstmals kann man so mit erfolgreicher Kryptoanalyse direkt Geld verdienen. So würde zum Beispiel ein Brechen des bekannten öffentlichen Schlüssels, der in Block 10 enthalten ist, 50 Bitcoins und damit zurzeit etwa eine halbe Million Dollar einbringen.
Anders als vielfach angenommen, wird es daher eine langfristige Deflation in der Blockchain nicht geben.
4. Zusammenfassung
Die Alterung der kryptographischen Methoden macht eine konstante Auffrischung der in der Blockchain enthaltenen Verträge nötig. Damit ist das Auffinden nach Jahrtausenden, wie dies bei Gold möglich ist, für die Blockchain ausgeschlossen.
Was den langfristigen Erhalt betrifft, ist Bitcoin somit nicht das neue Gold, sondern spielt eher in der Papiergeld-Liga mit.
Die Blockchain ist also weder als tägliches Zahlungsmittel, noch als langfristige Wertanlage geeignet, welche - einmal erworben - nie wieder angefasst wird. Als mittelfristige Anlage für einige Jahre scheinen Kryptowährungen aber durchaus geeignet zu sein.
Anhang
Im Folgenden gibt es einen kurzen Überblick über die Lebenszeit von kryptographischen Methoden.
A.1 Symmetrische Verschlüsselung
DES
Der 56-Bit Verschlüsslungsstandard DES wurde im Jahr 1975 erstmal veröffentlicht und zwei Jahre später von der NIST als Standard der USA festgelegt. 1995 wurde eine mit DES verschlüsselte Nachricht öffentlich gebrochen. Nach weiteren Angriffen wurde der Standard im Jahr 2005 offiziell zurückgezogen. Als Lebenszeit kann man für DES daher maximal 30 Jahre rechnen.
3DES
Ähnlich ging es dem 112-Bit Nachfolger 3DES, welcher im Jahr 1995 veröffentlicht wurde. Im Jahr 2016 wurde ein Angriff bekannt, mit dem man 3DES garantiert brechen kann, sobald man 785 GB verschlüsselte Daten gesehen hat. Seitdem gilt dieses Verfahren als schwach und wird nach und nach aus allen Protokollen wie TLS entfernt. Hier hat es also gerademal 21 Jahre gedauert, bis ein signifikanter Angriff bekannt war.
AES
Der aktuelle Standard AES wurde als Sieger eines Wettbewerbes im Jahr 1998 gekürt. Dabei wurden gleich mehrere Versionen, von 128 Bit Schlüssellänge bis zu etwas stärkeren 256 Bit, definiert. AES hält sich mit seinen fast 22 Jahren erstaunlich gut und hat bisher maximal einige Kratzer abbekommen. Doch auch hier kommen die Einschläge näher.
A.2 Hash-Funktionen
MD5
Der Message Digest Algorithm 5, kurz MD5, wurde 1991 entwickelt und war daraufhin viele Jahre der am meisten genutzte Algorithmus zum Hashen von Daten. Im Jahr 2004 konnte man zeigen, dass das Verfahren Schwächen hat. Vier Jahre später konnte man bereits SSL Zertifikate, die mit MD5 unterschrieben wurden, fälschen. Inzwischen kann man Kollisionen auf normaler Hardware in Sekunden erzeugen. Obwohl das schwierigere Problem der kompletten Umkehrbarkeit der Berechnung noch nicht gelöst ist, gilt MD5 seitdem als cryptogaphically broken. Die Lebenszeit von MD5 betrug somit gerade mal 17 Jahre.
SHA-1
SHA-1 wurde im Jahr 1995 definiert, indem man den Vorgänger SHA-0 von 1993 in einem kleinen aber wichtigen Detail verbessert hatte. Die ersten, damals noch theoretischen, Angriffe wurden 2005 bekannt. Erst 2017 war die Hardware auch wieder dank
Moore's lawschnell genug geworden, um erstmals eine Kollision zu berechnen. Dabei wurde Rechenleistung im Wert von mehr als hunderttausend Dollar gebraucht. Inzwischen muss man dafür nur noch um die zehntausend Dollar ausgeben. Damit bieten SHA-1 Signaturen virtually no security in practice. Seit 2013, also 18 Jahre nach dessen Spezifikation, darf man laut NIST den Algorithmus nicht mehr zum unterschreiben einsetzen.
SHA-2
Unter dem Namen SHA-2 wurde im Jahr 2001, ausgehend von SHA-256, das 32-Bit Werte nutzt und SHA-512, dass mit 64-Bit Werten rechnet, gleich ein ganzer Satz Hashfunktionen definiert. Da die Berechnung eines SHA-2 Hashes signifikant länger als mit SHA-1 dauert, hat es einige Jahre gebraucht, bis sich diese Verfahren in der Praxis durchgesetzt haben. Inzwischen ist SHA-256 aber der de-facto Standard für kryptographisch-sichere Hash-Funktionen. So wird dieser zurzeit auch in mehreren Blockchains, wie zum Beispiel in Bitcoin, eingesetzt.
Praktische Angriffe auf SHA-2 sind noch nicht bekannt. Die veröffentlichten Teilerfolge zeigen jedoch einen gewissen Fortschritt. Die Angriffe der Kryptologen werden bekanntlich immer besser und niemals schlechter.
SHA-3
Besonders die überraschenden Fortschritte der Kryptologen in den Jahren 2004 und 2005, hat die amerikanische Standardisierungsorganisation NIST bewogen, einem langjährigen Wettbewerb für einen Nachfolger von SHA-2 auszurichten. Im Jahr 2012 wurde
Keccakals Sieger ausgewählt und 2015 unter dem Namen SHA-3 standardisiert.
Damit konnte man eine neue Hash-Familie etablieren, bevor der dringende Bedarf für diese wirklich da war. Wie robust SHA-3 in der Praxis sein wird, kann man heute noch nicht absehen. Die bewusste Abkehr von der Merkle-Damgard Konstruktion, die unter anderem in MD5, SHA-1 und SHA-2 verwendet wurde und Angriffe zwischen diesen übertragbar gemacht hat, sollte die Robustness von SHA-3 aber signifikant erhöhen.
A.3 Asymmetrische Verschlüsselung
RSA
Das RSA-Kryptosystem ist das bekannteste asymmetrische Verschlüsselungsverfahren, bei denen man Nachrichten mit öffentlichen Schlüsseln (public key) verschlüsselt, die nur der Besitzer des geheimen Schlüssels (private key) lesen kann.
Die Stärke von RSA basiert darauf, dass man große Zahlen nur sehr schwer in ihre Faktoren zerlegen kann. Die RSA Factoring Challenge bietet einen guten Überblick über die Fähigkeit von Angreifern. So wurde vor kurzem auch der zweite 768-Bit Schlüssel auf dieser Liste gebrochen.
Der steigenden Rechenleistung eines Angreifers begegnet man bei RSA mit immer längeren Schlüsseln. Galten 512-Bit Schlüssel vor 30 Jahren noch als sicher und wurden weithin eingesetzt, so kann man diese heute für unter 100$ per Cloud Computing brechen. Deswegen müssen RSA Schlüssel heute mindestens 2048 Bit haben. Und selbst dies wird nur noch um die 30 Jahre ausreichen.