Diskussion - Bitcoin und das Quanten-Risiko

[virginorange]

Meine Quanten-Computer-Einschätzung für Bitcoin:
Bitcoin überlebt Quanten-Risiko - aber nur mit Arbeit und Schmerzen

So wie in jedem Bärenmarkt können wir uns fragen: "Ist der Bitcoin-Preis vorübergehend oder dauerhaft gesunken?" Als mögliches dauerhaftes Problem sehe ich mir das Quanten-Computer-Problem für Bitcoin an.


Das Quanten-Computer-Problem für Bitcoin ist wie das Anschlussfinanzierungs-Problem bei guter Bonität. Man muss sich schon drum kümmern, aber ein existenzielles Risiko ist es nicht. Solange die Anschlussfinanzierung nicht unterschrieben ist, gibt es eine Unsicherheit über die genauen Konditionen der Anschlussfinanzierung, was einen heute zu mehr Vorsicht zwingt. Und nachdem die Anschlussfinanzierung (zu schlechteren Konditionen) durch ist, ist die Lage trotzdem schlechter als heute.


Quantencomputer kommen nicht überraschend und kommen zuerst für Staaten, für die Bitcoin eher unwichtig ist. Damit bleibt genügend Zeit Bitcoin quanten-resistent aufzustellen. Bitcoin quanten-resistent aufzustellen wird Konsens sein. Gut möglich, dass wir dennoch einen Fork bekommen. Uneinigkeit sehe ich bezüglich der Sperrung alter Adressen vs. Millionen von Coins werden entschlüsselt und auf den Markt geworfen sowie leben wir mit weniger Transkationen pro Block oder mit größeren Blöcken?


Wer bekommt den ersten Quantencomputer:
- Staat USA (z.B. NSA)
- Staat China
- IT-Großkonzerne (Google, IBM)
- später Hedgefonds
. viel später Verbrecher

Welche Verschlüsselung wird zuerst geknackt:
- Eine Kriminelle Mafia oder ein paar Hacker oder Nordkorea würde Bitcoin priorisieren, aber diese Leute werden erst viel später Quantencomputer haben.
- Ein Staat (z.B. China) würde dies strategischer anwenden (z.B. gegen das US-Militär, Gemeindienstkommunikation, das Banksystem)
- EU und USA möchten kritische Infrastruktur bis zum Jahr 2030-2035 quantencomputer-sicher umstellen.
- Die Staaten sitzen auf einem enormen Berg von nicht Quantencomputer gesicherten Daten (Diplomatische Kommunikation, Militär, Geistiges Eigentum, persönliche Daten zur Erpressung von Entscheidungsträgern) die vorrangig auf eine Entschlüsselung warten.
- Bitcoin ist für Staaten ein Ziel sehr geringer Priorität

Zeitskala unklar: Es ist schwer abzuschätzen, wie schnell die Entwicklung von Quantencomputern fortschritte macht (ca. 5-20 Jahre bis Gefahr für Bitcoin).

Quanten-Computer werden Bitcoin nicht überraschen: Das China oder die NSA in den USA heimlich einen Quantencomputer entwickelt, um damit überraschend Bitcoin anzugreifen halte ich angesichts der geringen Priorität von Bitcoin für Quatsch. Ich denke, wir werden 2-4 Jahre Vorlaufzeit haben, Bitcoin quanten-resistent zu machen. Die Begrenzte Blockchain-Kapazität, um alle UTXOs zu migrieren ist auch unproblematisch, weil die größten UTXOs über höhere Gebühren zuerst migrieren können und sich für die kleinen UTXOs anfangs nicht lohnt Quantencomputer zu bauen. Widerverwendete Adressen (37% der UTXOs) sind zwar angreifbar, aber können schnell migriert werden. Zu widerverwendeten Adressen gehören auch Lightning-Cannels.

Trade-offs mit den Quanten-resistenten Signaturen: Quantum-Resistente Signaturen benötigen mehr Speicherplatz (etwa im Rahmen von 2x bis 25x), mit einem Zielkonflikt zwischen kleiner Größe auf der Blockchain, leichter Verifikation und Quanten Resistenz (SQIsing kleiner mit langsamer Verifikation, Falcon-512 größer mit schnellerer Verifikation). Man arbeitet daran möglichst Speicher- und Rechenleistungs-effiziente Signaturen zu finden. Eine zu frühe Umstellung auf quanten-resistente Signaturen führt zur Wahl eines weniger effizienten Algorhytmus (z.B. 100x Speicherbedarf statt 3x) und würde ab Einführung die maximale Zahl an Transkationen pro Block verringern.

Transaktionszahl oder Blockgröße konstant lassen: Die größeren Singnaturen führen zu weniger möglichen Transaktionen pro Block und Diskussionen, ob man die Blöcke größer machen sollte.

Alte UTXOs streichen oder dem Hacker überlassen: Die Streitfrage wird besonders sein, was machen wir mit den P2PK Adressen (1% der UTXOs darunter alte Adressen mit großen Beträgen i.H.v. insgesamt 1,7 - 4 Mio. Coins). Diese Adressen sind aktuell teilweise verloren oder der Eigentümer ist verstorben. (a) Lassen wir diese Adressen vom Quantencomputer knacken und auf den Markt kippen mit entsprechend negativer Preiswirkung? Oder (b) sperren wir alte Adressen mit einem Hard-Fork nach einer Übergangszeit, nach dem Motto "wer sein Update verschläft, der ist sein Vermögen los"? Blackrock, MSTR und die Börsen werden vermutlich (b) bevorzugen. Option (a) wird eine Minderheit sein.

Keine verringerte Überlebenswahrscheinlichkeit: Ich würde das Quanten-Risiko grundsätzlich durch die von mir modellierte Lindy-Überlebensfunktion als mehr als abgedeckt sehen. Von dieser Seite gäbe es also keinen Anpassungsbedarf für die Kelly-Allokation in Bitcoin. Die zweite Einflussgröße auf Kelly ist natürlich die erwartete Rendite, welche evtl. schon in den nächsten Jahren noch vor dem Quantum-Risiko brechen dürfte.


Diskussionsfragen:
Welche Fehler habe ich im meine Analyse gemacht?
Wie seht ihr das Quanten-Computer-Risiko?
Sollen alte Coins eingefroren werden oder an den Quanten-Computer-Hacker gehen? Wie wird man sich entscheiden?
Soll man die Blockgröße erhöht werden, um die Anzahl Transaktionen pro Block stabil zu halten? Wie wird man sich entscheiden?

[mole0815]

An dieser Stelle noch der Hinweis auf folgenden Thread: Die Gebühren sind niedrig? Macht eure Coins privater und (fast) quantensicher!
Dort wurde bereits viel zum Thema Quantencomputer besprochen und ich weiß nicht ob du ihn kennst - Beitrag konnte ich dort keinen von dir finden

[d5000]

Welche Fehler habe ich im meine Analyse gemacht?

Ich sehe das ziemlich ähnlich, also sehe ich im Moment keine wirklichen Fehler.

Wie seht ihr das Quanten-Computer-Risiko?

Nächste 5 Jahre: Sehr niedrig. Also sollte kein Schnellschuss geplant werden.
5-10 Jahre: Immer noch niedrig, aber wegen den letzten Fortschritten bei der Fehlerkorrektur wäre es sinnvoll, für diesen Zeitraum einen Plan zu haben. Zumindest ein bereits getestetes BIP, das man schnell einpflegen könnte.
10-20 Jahre: Mittel bis hoch.

Sollen alte Coins eingefroren werden oder an den Quanten-Computer-Hacker gehen? Wie wird man sich entscheiden?

Ich gehöre hier zu der Minderheit, dass hier kein Handlungsbedarf besteht. Die Coins werden im schlimmsten Fall zu den Hackern umverteilt und die Bitcoin-Gemeinschaft bekommt infolge der ersten Hacks auch erste Daten über die Schnelligkeit der Quantencomputer, so dass der Zeitpunkt, an dem "echte" Gefahr droht (also der Hack weniger als 2 Stunden dauert und damit eine Transaktion angegriffen werden könnte) besser vorhergesehen werden kann. Für diesen Zeitpunkt sollte es natürlich ein PQ-Upgrade geben und auch einen Recovery-Mechanismus (neue P2[W]PKH/SH ECDSA Challenges werden nicht mehr erlaubt, alte UTXOs können verschoben werden, wenn vorher ein weiterer Beweis über den Zugang zum PrivateKey in die Blockchain eingebracht wurde, z.B. eine Signatur oder TXID).

Sollte natürlich irgend ein Weg gefunden werden, wie man den PrivateKey-Besitz alter P2PK-Coins nachweisen kann, dann kann man die, bei denen das nicht klappt, sperren. Das Problem: Einen solchen Beweis müsste man meiner derzeitigen Interpretation zufolge erbringen, bevor der Quantencomputer angreifen kann (außer bei einigen Spezialfällen wie HD-Wallets), und der Beweis müsste in der Blockchain hinterlegt werden. Dann können die Besitzer die Coins eigentlich auch gleich verschieben ...

Ich glaube aber, dass es irgendeine Art von Sperrung geben wird, weil meine Position unpopulär ist. Da würde mich noch am ehesten die Variante interessieren, dass die "verlorenen" Coins später den Minern zugeteilt werden, z.B. mit einem Zuschlag zum Blockreward ab 2050 oder so.

Soll man die Blockgröße erhöht werden, um die Anzahl Transaktionen pro Block stabil zu halten? Wie wird man sich entscheiden?[/color]

Klares Ja, über ein Upgrade des Gewichts für Witnesses, nicht über einen Hardfork.

[virginorange]

Da würde mich noch am ehesten die Variante interessieren, dass die "verlorenen" Coins später den Minern zugeteilt werden, z.B. mit einem Zuschlag zum Blockreward ab 2050 oder so.

Blockrewards
Das würde ein gewisses Risiko reduzieren und wäre auch fair.

Zu niedrige Transaktionsgebühren sind eine Möglichkeit, wie Bitcoin unsicher werden könnte. Wenn die Miner 1% von Bitcoins Marktkapitalisierung erhalten, um das Netzwerk zu sichern, haben wir eine bessere Sicherheit als wenn die Miner nur 0.001% der Marktkapitalisierung erhalten.

Ich hoffe mal, dass Bitcoin populär genug ist, dass die Transaktionskosten die Miner ausreichend durchfüttern. Wenn die Adoption zunimmt, ist das denke ich 80-90% wahrscheinlich.

Transaktionen auf höheren Ebenen (Lightning, L-BTC oder evtl. kann man auch IBIT und Kraken dazu zählen) ermöglichen von Bitcoin zu profitieren ohne sich an den Kosten der Miner, die ja Bitcoin sichern, zu beteiligen. Allerdings lohnt sich solch ein Ausweichen bei niedrigen Transaktionsgebühren wenig.

Wahrscheinlich ist ein Tail-Emission (wie bei Monero) nicht notwendig. Aber ein gewisses Rest-Risiko hätten wir so ausgeschlossen.

Insbesondere finde ich eine es fair, die Hodler auch mit Inflation (z.B. 0.5% oder so) zu belasten, denn sie profitieren ja auch von den Minern. Also Hodler und Transaktionen bezahlen das Netzwerk, die Miner und evtl. auch Nodes (?) sollten etwas bekommen.

Nodes
Jetzt laufen die Nodes eher unter der Kategorie "Spende für den guten Zweck". Man verwendet Geld und Zeit um im wesentlichen uneigennützig das Netzwerk zu stärken. Der eigene Vorteil ist eigentlich nur mehr Privatsphäre.

Wobei Nodes zu bezahlen könnte zu Zentralisierung führen, wo ein Unternehmen viele 1000 Nodes betreibt, Naja, vielleicht sollte der Node doch als Spende laufen, ist zwar unfair für den Node-Betreiber, aber so hat man technisch kompetente / wirtschaftlich nicht so interessiere / gutmütige Node-Betreiber.

[d5000]

Nodes
Jetzt laufen die Nodes eher unter der Kategorie "Spende für den guten Zweck". Man verwendet Geld und Zeit um im wesentlichen uneigennützig das Netzwerk zu stärken. Der eigene Vorteil ist eigentlich nur mehr Privatsphäre.

Der Privatsphäre-Vorteil ist aber ziemlich erheblich, da es ja viele Fallstricke mit Light-Wallets gibt, die von Chainanalyseunternehmen ausgenutzt werden. Allerdings entsteht der Vorteil auch durch einen pruned node. Und trotz der derzeitigen Speicher-Bubble ist die Speicherkapazität für die komplette Bitcoin-Chain weiterhin mit knapp 100 USD (Investition für ca. 10 Jahre Lebensdauer des Speichermediums) zu erreichen.

Technisch dürfte es aber aus meiner Sicht auch gar nicht wirklich machbar sein, Nodes "automatisch" mit einer Art Reward zu bezahlen und dabei wirklich "fair" zu sein. Es gibt imo keine Möglichkeit, herauszufinden, welcher Node wirklich dem Netzwerk dient, ohne den Node tagelang zu beobachten und dieses Verhalten aufzuzeichnen, und das wäre wiederum Extra-Aktivität die in die Blockchain müsste. Das wären riesige Mengen Daten.

Eine Möglichkeit für Nodes ein Geschäftsmodell aufzubauen liegt womöglich in schnellen Archival Nodes. Wenn Technologien wie ZeroSync (Syncen ohne dabei die ganze Blockchain zu kennen, sondern nur einen Beweis) Standard werden sollten, gäbe es wahrscheinlich weniger "richtige" Full Nodes die die gesamte Blockchain vorrätig halten, deren Leistungen wären aber sehr begehrt, besonders mit guter Geschwindigkeit, und einige würden freiwillig für diesen Zugang zahlen, aber natürlich nicht "automatisiert". Das hat aber eigentlich nichts mehr mit der Quantencomputerdiskussion zu tun, wollte ich nur kurz erwähnen.

BTW: Zur Tail-Emission hat ein guter Freund mal diesen Vorschlag gemacht. Man könnte einen Teil der Transaktionsgebühren verpflichtend machen und damit den Minern eine Art Mindesteinkommen garantieren. Nur falls es jemand interessiert ... Mit dem "freiwerdenden Geld" nach einer Quantencomputer-Sperrung könnte man diesen Betrag natürlich noch mal erhöhen.