Suchen

Kryptoketten verbessern oder begraben

Bedroht das Quanten-Computing die Blockchains?

| Autor/ Redakteur: Anna Kobylinska und Filipe Pereira Martins* / Ulrike Ostler

Derzeit vergeht kein Tag ohne eine Meldung über neuartige Anwendungen, in denen Blockchain-Verfahren implementiert sind. Mit dem Aufkommen des Quantencomputing aber treten kryptografische Verwundbarkeiten von Blockchains überraschend in den Vordergrund. Ist es schon wieder vorbei, bevor Blockchains richtig abheben?

Firmen zum Thema

Verwundbar: Unternehmen liebäugeln mit der Blockhain-Technik; die meisten haben jedoch das wachsende Risiko von Manipulationen durch Quantensysteme noch kaum auf dem Radar.
Verwundbar: Unternehmen liebäugeln mit der Blockhain-Technik; die meisten haben jedoch das wachsende Risiko von Manipulationen durch Quantensysteme noch kaum auf dem Radar.
(Bild: gemeinfrei: Pixabay)

Das eine oder andere Unternehmen liebäugelt neuerdings mit der Blockhain-Technik als einem potenziell kosteneffizienten, Audit-freundlichen, automatisierbaren Unterbau für (vermeintlich) fälschungsresistente Ereignisprotokolle. Klassisches Wunschdenken. Der kryptografische Unterbau dieser Technologie ist nicht immun gegen quantenkryptografische Brute-Force-Attacken. Ganz im Gegenteil.

Blockchains und ihre Verwundbarkeiten

Die Datenintegrität einer Blockchain steht und fällt mit der Robustheit des Zufallszahlengenerators, der Hash-Funktion und der eingesetzten Verschlüsselung. Darüber hinaus lassen sich einmal bereitgestellte beziehungsweise veröffentlichte Daten — wie auch immer sie kryptografisch geschützt sein mögen — niemals wieder „zurückrufen“ oder wirksam verbergen. (Diese Eigenschaft der Blockkette verstößt im Übrigen gegen das Prinzip der Datensparsamkeit der DSGVO, denn ein Nutzer kann die Spuren seiner Tätigkeit aus dem gemeinsamen Protokoll niemals vollständig entfernen. Sogar dann, wenn die zugehörigen Ereignisse rückgängig gemacht werden sollten, was ja einige Blockchains zulassen, lassen sich die eigentlichen Daten aus dem Logbuch niemals vollständig entfernen.)

Eine Blockkette eliminiert den singulären Mittelpunkt des Versagens, indem sie (im Idealfall) vielen autarken Netzwerkteilnehmern in einer verteilten Architektur gleichzeitig zur Verfügung steht. Dies trifft sowohl auf öffentliche als auch auf genehmigungsbehaftete Blockchains, die „permissioned blockchains“, zu. Einzelne Netzwerkteilnehmer müssen ja über die Gültigkeit zuvor abgeschlossener Transaktionen abstimmen können und befähigt werden, bei Bedarf einen Gültigkeitsnachweis der eigenen Kopie einzuholen. Daher müssen die Daten für diese Nutzer zugänglich sein.

Die Informationen in einer Blockkette haben einen permanenten Charakter — nicht „nur“ im Interesse der Manipulationssicherheit, sondern vielmehr auf Grund der verteilten Natur der DLT-Technik (DLT = Distributed Ledger). Denn einmal „hinein gehashte“ Daten sind nicht nur permanent darin verzeichnet, sondern replizieren sich auch noch durch das Netzwerk.

Ist die Katze erst einmal aus dem Sack, ist das Rennen praktisch gelaufen. Da die verfügbare Rechenleistung potenzieller Schnüffler im Laufe der Zeit nur zu- aber niemals abnimmt, verfügt die gegebenenfalls eingesetzte Verschlüsselungsmethode, die sich im Übrigen aus Gründen der Kohärenz nachträglich nicht „aufrüsten“ lässt, zwangsweise über ein inhärentes, den legitimen Nutzern jedoch unbekanntes, „Verfallsdatum“.

Bedrohlich: Quantencomputer wie der „IBM Q“ stellen die Manipulationsresistenz klassischer Blockchains in Frage.
Bedrohlich: Quantencomputer wie der „IBM Q“ stellen die Manipulationsresistenz klassischer Blockchains in Frage.
(Bild: IBM)

Diese Eigenschaften von Blockchains haben eine enorme praktische Tragweite. Die DLT-Technik mag Unternehmen eine Lösung zur Konsensfindung und zur Gewährleistung von Datenintegrität bieten, nicht jedoch ein geeignetes Vehikel für die sichere Aufbewahrung sicherheitskritischer Daten.

Denn aus Sicht eines legitimen Nutzers wächst das Risiko eines Bruchs der Sicherheitsmechanismen der Blockkette durch bösartige Netzwerkteilnehmer kontinuierlich. (Aus diesem Grunde ist es unter anderem ratsam, sensible Informationen wie etwa biometrische Identitätsdaten, niemals in der Blockkette aufzubewahren.)

Die Aufbewahrung vertraulicher Daten in einer Blockkette bringt mit sich eine Vielzahl von Problemen technischer wie auch juristischer Natur. Konsortium-kontrollierte (also private) Blockchains umgehen einige dieser Herausforderungen durch den Aufbau hierarchischer Kontrollstrukturen, welche die Vorteile dezentralisierter Datenspeicherung und intelligenter Konsensbildung nivelliert.

Solange sich die Blockchain-Technik auf klassische Kryptografie mit Bits und Bytes stützt, lässt sich die Geheimhaltung sensibler Daten in diesem Logbuch niemals zuverlässig gewährleisten. Quanten-Computing lässt daran neuerdings erst recht Zweifel aufkommen.

Die „Quantifizierung“ der Blockkette

Die Sicherheit einer Blockchain wird derzeit durch klassische kryptografische Funktionen gewährleistet. Solange diese mathematischen Problemstellungen massive Rechenressourcen erforderlich machen, wiegt sich die Blockchain-Gemeinde zum Teil in dem illusorischen Irrglauben an die Manipulationssicherheit des verteilten Protokolls. Das Quanten-Computing ändert die Spielregeln.

Eine Blockchain besteht aus Datenblöcken, in denen jeweils so und so viele Transaktionen aufgezeichnet werden. Diese Datenblöcke reihen sich chronologisch aneinander. Zur Gewährleistung der Manipulationssicherheit enthält jeder nachfolgende Datenblock die Hash-Summe seines Vorgängers. So bauen die Blöcke aufeinander auf.

Ein bösartiger Teilnehmer könnte einen der historischen Datenblöcke manipulieren, sollte es ihm gelingen, die Ausgabe der Hashing-Funktion beizubehalten. (Dann müsste der Fälscher ja noch seine Variante der Blockchain hinreichend vielen anderen Teilnehmern wie ein Kuckuck-Ei unterjubeln, um Folgen zu erwirken.) Diese Rechenaufgabe überfordert derzeit die Leistung klassischer Computer-Systeme — nicht jedoch die Kapazitäten eines Quantencomputers. Nicht zuletzt, weil diese Systeme in ihren Algorithmen Exponentialgrößen einsetzen.

Der Schlüssel zum Erfolg? Russische Forscher am RQC in Moskau konnten den konzeptionellen Beweis für eine Blockchain auf der Basis eines quantenkryptografischen BSchlüsselaustauschverfahrens im Netzwerk der Gazprom-Bank erbringen.
Der Schlüssel zum Erfolg? Russische Forscher am RQC in Moskau konnten den konzeptionellen Beweis für eine Blockchain auf der Basis eines quantenkryptografischen BSchlüsselaustauschverfahrens im Netzwerk der Gazprom-Bank erbringen.
(Bild: RQC)

Forschern am Russischen Quantenzentrum in Moskau (RQC) ist es gelungen, einen konzeptionellen Beweis für eine quantenresistente Blockchain zu erbringen. Die vorgeschlagene Lösung verzichtet auf die Authentifizierung mit Hilfe von digitalen Signaturen und Elliptic Curve Cryptography zugunsten eines quantenkryptografischen Schlüsselaustauschverfahrens. Ein Prototyp wurde im Netzwerk der Gazprom-Bank getestet.

Ein Projekt namens Quantum Resistant Ledger (QRL) versucht sich an dieser Problematik ohne Quantentechnik: unter Verwendung von klassischen Hash-basierten kryptografischen Verfahren und eines Signaturalgorithmus namens XMSS (eXtended Merkle Signature Scheme) mit einem OTS-Schema.

Diese Methoden gelten als immun gegen klassische wie auch quantenkryptografische Brute-Force-Attacken. Ein Algorithmus wie ECDSA erliegt im Gegensatz dazu ganz leicht einer Shor-Attacke seitens eines Quantencomputers.

Die bessere Blockchain? Ein BlockDAG-Ledger „wächst“, indem neue Datenblöcke alle auffindbaren Endpunkte des Graphen referenzieren statt nur das Ende der längsten Blockkette (wie bei Satoshis ursprünglichem Blockchain-Protokoll)
Die bessere Blockchain? Ein BlockDAG-Ledger „wächst“, indem neue Datenblöcke alle auffindbaren Endpunkte des Graphen referenzieren statt nur das Ende der längsten Blockkette (wie bei Satoshis ursprünglichem Blockchain-Protokoll)
(Bild: DAGlabs)

Andere interessante Ansätze stützen sich auf BlockDAG/Tangle-Protokolle wie SPECTRE und PHANTOM und BlogDAG-Ledger wie TIM.

Verwickelt: Das BlockDAG/Tangle-Protokoll verspricht Quantum-resistenz dank einer neuen Topologie der Transaktionsaufzeichnung
Verwickelt: Das BlockDAG/Tangle-Protokoll verspricht Quantum-resistenz dank einer neuen Topologie der Transaktionsaufzeichnung
(Bild: IOTA Support)

Die vernichtende Manipulationssicherheit quantenverschränkter Blockchains

Del Rajan und Matt Visser von der Victoria Universität im neuseeländischen Wellington schlagen vor, die Blockchain quantenmechanisch von Grund auf neu aufzusetzen. In der Zeit verschränkte Quantenpartikel könnten die Manipulationssicherheit des Protokolls auf ein neues Niveau heben, glauben die Sicherheitsforscher. (Die Verschränkung von Quantenpartikeln gelingt sowohl über den Raum als auch über die Zeit hinweg — Einsteins „spooky action“ übertragen auf eine Zeitachse). So gesicherte Datenblöcke ließen sich nämlich nicht manipulieren, ohne die ganze Information zu vernichten.

Es ist diese Art von zeitlicher Verschränkung, die Rajan und Visser nutzen, um eine Quantenblockkette ins Leben zu rufen. Die Grundidee besteht darin, Daten in einem Quantenteilchen zu kodieren und so den ersten Quantenblock zu erzeugen. Der nachfolgende Datenblock entstünde dann durch die zeitliche Verschränkung des ersten Teilchens mit dem zweiten, dann dem dritten und so weiter.

Die Daten des vorangegangenen Teilchens würden an das folgende Teilchen übergeben werden, das Teilchen des alten Blocks dann aber verworfen. Dadurch würde jeder Fälschungsversuch gegen historische Daten in die Leere greifen und ein Angriff gegen aktuelle Daten diese sofort vernichten.

Auf gutem Wege

Alle Subsysteme dieses Designs seien bereits experimentell realisiert worden, sagen Rajan und Visser. Was noch fehle, sei ein Quanten-Netzwerk mit der Fähigkeit, Informationen zu routen, ohne sie zu beschädigen. Die Forschung sei aber bereits auf guten Wegen.

Quanten-Computing kann inzwischen auch ein anderes akutes Problem praktischer Blockchain-Implementierungen zu den Akten legen: Die Schwächen eines mathematischen Zufallszahlengenerators. Klassische Computer können eigentlich keine echten Zufallszahlen generieren; erst quantenmechanische Systeme meistern diese Aufgabe.

Damit dürften Quantencomputer unter anderem die byzantinische Fehlertoleranz von Blockchains verbessern. (Byzantinische Fehler führen potenziell zu folgenschweren Anomalien der Konsensbildung bei Blockchains.)

*Das Autoren-Duo

Die Autoren des Artikels, Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45942130)