Ab wann wird die Suche nach einer Collision günstiger als das Mining?

[Atrax]

Über das Thema von Collisions wurde schon beinahe endlos geschrieben. Und beinahe immer ist die universelle Antwort: "Nicht möglich".

Ist das tatsächlich so?

Nehmen wir nur mal die Adress-Kollision.

Noch vor wenigen Jahren wurde behauptet, es brauche 3,3 Dezillionen Jahre, um eine vollständige  Adresse mit Vanitygen zu reproduzieren. Dies bei einer Rate von rund 7000 Keys/Sekunde.
Das wären 3.300.000.000.000.000.000.000.000.000 Jahre.

Ich bin mir nicht sicher, ob meine Annahme richtig ist, aber bei zwei Geräten, welche je 7000 Keys/Sekunde produzieren, würde sich die Zahl halbieren, richtig?

Sofern diese Annahme richtig ist, dann sollte es schon heute unter Einsatz moderner Rechner möglich sein, genug Rechenpower bereitzustellen, um hier eine Collision herbeizuführen.

Obwohl in der Öffentlichkeit dieses Thema immer wieder mal zur Sprache kommt, ist die Nicht-Durchführung einer solchen Attacke ein No-Brainer - denn eine Adresse zu haben würde ja nur bedeuten, dass man alle Satoshis und Bitcoin, welche ab dem Moment der Kollision auf die Adresse übertragen werden, quasi "stehlen" könnte.

Statt also sich auf eine Pub-Key-Kollision zu konzentrieren, würde es Sinn machen, möglichst viele Private Keys zu produzieren - wie seinerzeit beim LBC.

Für einen Private Key sind 2^256 Kombinationen möglich.

Das wären 115792089237316195423570985008687907853269984665640564039457584007913129639936 Kombinationen.

Schaue ich nun auf die Entwicklung der Hashrate der Bitcoin-Hardware und würde diese als Massstab für die Entwicklung nehmen, Dann sähe die Rechnung doch so aus:

        BTC-Mining                                  Collision
   
CPU       115 Mhash/s                                 8000 Mkey/s
GPU      2568 Mhash/s (Faktor 22)                 1470257 MK/s (Faktor 183)
ASIC      18000000 Mhash/s (Faktor 156521)    ??

Mal angenommen, ein ASIC für die Suche nach einer Kollision würde mit demselben Faktor arbeiten wie ein neuer ASIC-Miner, dann hätten wir - bei einer pessimistischen Annahme - 1'248'000'000 Mkey/s, also 1'248'000'000 Millionen Keys pro Sekunde pro Rechner. Ausgeschrieben: 1'248'000'000'000'000 Private Keys pro Sekunde oder 1.248×10¹⁵ Keys pro Sekunde.

Bei 20000 Rechnern ergäbe dies pro Tag 3.59424×10²² Private Keys.

In einem Jahr: 1.3118976×10²⁵

Nehmen wir die aktuelle Hashrate des Bitcoin-Netzwerkes und nehmen optimistisch an, dass jeder Miner mit unrealistischen 18 Th angehängt ist, dann hätten wir heute 20'166'666 Rechner.

Machen wir das obige Beispiel also mit dieser Menge. Und wir erhalten dann pro Jahr 7.8713856×10²⁹ Private Keys.

Irre ich mich, oder wäre damit eigentlich sichergestellt, dass mit 100-prozentiger Wahrscheinlichkeit genügend Private Keys produziert worden wären, um eine Attacke zu fahren?

Folgt die Frage: Lohnt sich das. Und: Wäre man damit nicht juristisch gesehen in kritischem Fahrwasser?

Allein aus den frühen Tagen von Bitcoin existieren Konten, auf denen nie etwas bewegt worden ist und die wahrscheinlich verloren sind, i.e. die Besitzer haben ihre Keys verloren oder die Besitzer sind gestorben. Alles in allem sind dies rund 400'000 Bitcoin. Das wären - Kurs jetzt - rund 10'324'383'648 Euro. Stellen wir dem die Kosten für die Produktion von ASICS sowie die Kosten für den Strom gegenüber, sehen wir hier immer noch eine gigantische Gewinnmarge.

Meine Frage: Wo mache ich hier einen Rechenfehler?

[1713865265]

1713865265

[1713865265]

1713865265

[1713865265]

1713865265

[1713865265]

1713865265

[Chris601]

Ich habe deine Rechnungen nicht nachgerechnet, kann dir aber zumindest prinzipiell folgen.

Ja, juristisch wäre das interessant, einen Diebstahl nachzuweisen, wenn man einen ANDEREN Schlüssel verwendete als der rechtmäßige Besitzer. Das wäre aber meiner Meinung nach technisch noch interessanter, da es eine kryptographische Schwachstelle beweist, die bisher nur theoretisch besteht.

Ich glaube aber nicht, dass sich eine solche Idee als Geschäftsidee "lohnen" wird. Wenn aktiv damit begonnen werden sollte, fremde Bitcoin einfach zu "nehmen", ist Bitcoin praktisch kaputt und der Kurs würde sich entsprechend entwickeln.

[Atrax]

Ja, juristisch wäre das interessant, einen Diebstahl nachzuweisen, wenn man einen ANDEREN Schlüssel verwendete als der rechtmäßige Besitzer. Das wäre aber meiner Meinung nach technisch noch interessanter, da es eine kryptographische Schwachstelle beweist, die bisher nur theoretisch besteht.

Ich denke, es kommt auf die Jurisdiktion an. Schlüssel finden - bei der Polizei melden. Wenn nach fünf Jahren niemand den Schlüssel respektive die Coins für sich reklamiert, gehören sie einem rechtmässig.

Und ich halte es nicht für eine kryptographische Schwachstelle. Dass es zu einer solchen Kollision kommen kann, liegt auf der Hand. Deshalb ja auch die Entwicklung von "quantumresistenten" Coins wie etwa den XX-Coin von Chaum (ich setzte das "quantumresistent" in Anführungszeichen, weil diese Resistenz bis heute noch nicht bewiesen ist  - ausser eben rein theoretisch).

Ich glaube aber nicht, dass sich eine solche Idee als Geschäftsidee "lohnen" wird. Wenn aktiv damit begonnen werden sollte, fremde Bitcoin einfach zu "nehmen", ist Bitcoin praktisch kaputt und der Kurs würde sich entsprechend entwickeln.

Da bin ich ganz bei Dir - teilweise. Ein "guter Player" würde dies absolut transparent machen - damit hätten die Entwickler die Möglichkeit, Bitcoin Core rechtzeitig anzupassen. Auch wäre dieses Szenario auf P2PKH reduziert. Mal angenommen, es würde ein Key gefunden und die Assets auf ein Treuhand-Konto überwiesen, dann hätten die ursprünglichen Besitzer die Möglichkeit, während fünf Jahren ihre Besitzansprüche geltend zu machen.

"Verlorene" Bitcoin könnten wieder in den Kreislauf eingespiesen werden - kurzum: Ja, es könnte den Kurs kurzfristig tanken lassen, aber langfristig wäre es ein Gewinn für Bitcoin.