Wie mindert Zcash die Risiken der Quantencomputing?

24. Nov Wie Zcash die Risiken der Quantencomputer abmildert

Zcash sieht sich denselben langfristigen kryptografischen Herausforderungen gegen Quantencomputer gegenüber wie andere Blockchain-Netzwerke, seine Architektur jedoch verleiht ihm eine besondere Position in diesem Kontext. Quantencomputing bedroht Systeme, die öffentliche Schlüssel offenlegen oder stark auf elliptischen Kurven basieren, und viele Blockchains fallen in diese Kategorie. Das geschützte Design von Zcash reduziert diese Offenlegung, indem es Schlüssel-Transaktionsdetails außerhalb der Blockchain hält, was es einem quantenbasierten Angreifer erschwert, aus historischen Daten Rückschlüsse zu ziehen. Dennoch ist Zcash nicht immun: Komponenten wie Signaturen, Beweisverifikation und Notenverschlüsselung verlassen sich nach wie vor auf kryptografische Verfahren, die vor der Quantenrevolution als sicher galten. Entwickler arbeiten an Lösungen wie Projekt Tachyon, welches Methoden zur geheimen Verteilung aufgreift, die anfällig für Angriffe wie „Ernten jetzt, später entschlüsseln“ sind, und forschen nach post-quanten Alternativen für Beweise und den Schlüsselaustausch. Ergänzend dazu gibt es Mechanismen wie die „Quanten-Rückholbarkeit“, die es Nutzern ermöglichen sollen, ihre Gelder unter stärkeren kryptografischen Bedingungen zu sichern, falls Quanten-Bedrohungen unerwartet früh eintreten. Diese Maßnahmen verdeutlichen einen gezielten, stufenweisen Ansatz zur Quantenvorbereitung und positionieren Zcash vor vielen anderen Netzwerken, während gleichzeitig anerkannt wird, dass noch erheblicher Handlungsbedarf besteht, um vollständige post-quanten Sicherheit zu erreichen.

Kann sich Zcash einem potenziellen Quantencomputerangriff widersetzen?

In unserem aktuellen Artikel über die Bedrohung für digitale Vermögenswerte durch Quantencomputing haben wir einige Risiken und mögliche Abhilfemaßnahmen betrachtet, die digitale Vermögenswerte ergreifen könnten, um „quantensicher“ zu werden. In dieser Woche werfen wir einen Blick auf das Quantenrisikoprofil von Zcash und die potenziellen Gegenmaßnahmen.

Ein kurzer Rückblick: Quantencomputing stellt eine langfristige Herausforderung für die meisten Blockchain-Systeme dar, da viele auf öffentlicher Schlüssel Kryptografie basieren, die durch Quantenalgorithmen wie Shors Algorithmus potenziell gebrochen werden kann. Falls ein ausreichend leistungsfähiger Quantencomputer entsteht, könnte er private Schlüssel aus exponierten öffentlichen Schlüsseln ableiten, Signaturen fälschen oder Beweissysteme untergraben, die auf elliptischen Kurven basieren. Dies schafft sowohl zukunftsgerichtete als auch rückblickende Risiken, da Blockchains alle historischen Daten offen speichern; Angreifer können heute verschlüsselte Daten sammeln und später entschlüsseln, wenn die Hardware leistungsfähiger ist. Für die meisten Netzwerke betrifft dieses Risiko sowohl die Integrität als auch die Vertraulichkeit, insbesondere für Blockchains, in denen öffentliche Schlüssel oder andere sensible Metadaten on-chain sichtbar sind. Während glaubwürdige Quantenangriffe in naher Zukunft nicht erwartet werden, hat die Unsicherheit bezüglich der Zeitlinien viele Projekte dazu veranlasst, ihre Exposition zu bewerten und sich auf post-quanten Übergänge vorzubereiten.

In diesem weiteren Kontext nimmt Zcash eine etwas ungewöhnliche Position ein. Das Design seiner geschützten Transaktionen schränkt bereits die Offenlegung öffentlicher Schlüssel und Metadaten ein. In vielen gängigen Fällen kann ein Angreifer, selbst mit leistungsfähiger Quantenhardware, keine Sender-Empfänger-Beziehungen allein durch das Ledger zurückverfolgen. Dies bietet einen gewissen Grad an gegenwärtiger Resilienz, den Netzwerke wie Bitcoin oder Ethereum nicht haben, da ihre öffentlichen Schlüssel sichtbar werden, sobald Münzen ausgegeben werden. Dennoch ist Zcash nicht vollständig gegen Quantenbedrohungen isoliert. Schlüsselkomponenten seines Protokolls, einschließlich elliptischer Kurven-Signaturverfahren, Beweisverifikation und Notenverschlüsselungsmechanismen, hängen letztendlich von Annahmen ab, die von einer zukünftigen Quantenmaschine kompromittiert werden könnten. Der praktische Schutz hängt auch vom tatsächlichen Nutzerverhalten ab. Wenn Nutzer transparente Adressen verwenden, Metadaten preisgeben oder auf Infrastruktur von Dritten angewiesen sind, können Quantenrisiken über diese Kanäle wieder auftreten, selbst wenn der geschützte Pool selbst strukturell schwer zu anonymisieren ist.

Die primären Quantenrisiken für Zcash lassen sich in zwei Kategorien unterteilen: Erosion der Privatsphäre durch „Ernten jetzt, später entschlüsseln“-Angriffe und das potenzielle Risiko des Verlusts der Solidität, wenn elliptische Kurvenannahmen gebrochen werden. Ersteres betrifft die Notenverschlüsselung und andere Geheimnisse, die eines Tages entschlüsselt werden könnten, wenn Quantenmaschinen groß genug werden. Letzteres betrifft die Möglichkeit von Fälschungen oder Diebstählen, falls die tragenden Komponenten des Protokolls anfällig werden. Die Entwickler von Zcash erkennen diese Risiken an, unterscheiden jedoch zwischen Bereichen, die sofortige Aufmerksamkeit erfordern, und solchen, die durch zeitlich gut abgestimmte Updates bearbeitet werden können. Der Schutz der Privatsphäre hat hierbei die höchste Priorität, da Kompromisse in der Vertraulichkeit nachträglich nicht rückgängig gemacht werden können. Risiken der Solidität sind zwar ernstzunehmend, können jedoch mit Protokollmigrationen abgeschwächt werden, sobald klarere Quanten-Zeitleisten sichtbar werden, und das Zcash-Ökosystem hat bereits bewiesen, dass es in der Lage ist, bedeutende Updates vorzunehmen, wie den Übergang zu Halo 2, ohne das Netzwerk zu stören.

Aktuelle Mitigation-Strategien von Zcash konzentrieren sich darauf, die Abhängigkeit von elliptischen Kurvenannahmen zu verringern, Migrationwege zur post-quanten Kryptografie vorzubereiten und Mechanismen einzuführen, die es Nutzern ermöglichen, ihre Gelder zu sichern oder wiederzuerlangen, falls Quantenfähigkeiten schneller als erwartet fortschreiten. Die Entwickler von Zcash arbeiten an Techniken der „Quanten-Rückholbarkeit“ für Orchard, die es Nutzern ermöglichen sollen, ihre Vermögenswerte unter post-quanten Bedingungen ohne Verlust der Privatsphäre zu sichern. Projekt Tachyon zielt darauf ab, die interne geheime Verbreitung bei geschützten Transaktionen zu eliminieren und einen wichtigen Zugang für Ernte-und-entschlüsseln-Angriffe zu schließen. Langfristige Ziele umfassen die Erforschung von Hash-basierten Beweissystemen wie STARKs, die Untersuchung von gitterbasierten Schlüsselübergangsersatz wie Kyber und die Entwicklung von Kaltlagerprotokollen für Nutzer, die langfristige Resilienz benötigen. Während der Übergang komplex ist und sich noch entfaltet, bietet die Architektur von Zcash und die laufende Forschung einen klareren Weg zur post-quanten Anpassung als viele andere Blockchain-Systeme, auch wenn noch erheblicher Handlungsbedarf besteht, um sicherzustellen, dass die Privatsphäre und Solidität angesichts zukünftiger Quantenbedrohungen erhalten bleiben.

Ein Blick darauf, wie Zcash-Entwickler die Risiken des Quantencomputings angehen

Die Entwickler von Zcash gehen das Risiko des Quantencomputings auf mehreren Ebenen an, beginnend mit der heutigen Architektur des Protokolls. Von den frühesten Entwürfen an versuchte Zcash, die Privatsphäre nicht direkt an die stärksten und fragilsten kryptografischen Annahmen zu knüpfen. Geschützte Transaktionen verwenden Null-Wissen-Beweise, verbergen Verpflichtungen und symmetrische Primitiven in einer Weise, die einschränkt, was ein zukünftiger Angreifer allein aus der Blockchain lernen kann, selbst wenn einige Komponenten geschwächt sind. Das Team hat darauf geachtet, die Abhängigkeiten von elliptischen Kurven zu isolieren, damit die Privatsphäre nicht zusammenbricht, sobald eine Annahme fehlschlägt. Diese Kompartimentierung zeigt sich in Arbeiten wie ZIP 212, die ein Szenario entfernte, in dem das Brechen der SNARK-Solidität in bestimmten Fällen sensible Informationen hätte offenbaren können, und in der breiteren Designphilosophie, die darauf abzielt, die Privatsphäre so unabhängig wie möglich von jedem einzelnen kryptografischen Baustein zu halten.

Auf dieser Grundlage arbeiten die Entwickler jetzt aktiv daran, das Protokoll auf die Bedrohungen der „Ernten jetzt, später entschlüsseln“-Strategie vorzubereiten und auf eine post-quanten Welt zu reagieren. Ein wesentlicher Fokus liegt auf Projekt Tachyon, das darauf abzielt, die interne geheime Verbreitung bei geschützten Transaktionen zu entfernen. Derzeit könnten einige Transaktionsdetails, die unter elliptischen Kurvenverfahren verschlüsselt sind, theoretisch gespeichert und Jahrzehnte später von einem leistungsfähigen Quantencomputer entschlüsselt werden. Durch die Umstrukturierung der Geheimnissicherung und die Eliminierung dieser Abhängigkeit soll Tachyon dafür sorgen, dass die On-Chain-geschützte Privatsphäre selbst gegen rückblickende Quantenangriffe robust bleibt. Das langfristige Ziel besteht darin, dass ein Angreifer, egal wie fortgeschritten, Sender-, Empfänger- oder Betrag Informationen allein aus dem Ledger nicht rekonstruieren kann, da diese Daten einfach nicht in einer entschlüsselbaren Form auf der Blockchain erscheinen.

Die Entwickler arbeiten auch an dem, was sie als „Quanten-Rückholbarkeit“ für Zcash Fonds bezeichnen, insbesondere innerhalb des geschützten Orchards. „Quanten-Rückholbarkeit“ für Zcash bezieht sich auf einen geplanten Mechanismus, der es Nutzern ermöglichen würde, ihre Gelder unter stärkeren, post-quanten Sicherheitsbedingungen sicher zu migrieren oder zurückzuerhalten, falls groß angelegte Quantencomputer auftauchen und Angreifer die Möglichkeit haben, ältere, anfällige kryptografische Schlüssel auszunutzen. Die Idee ist, den Nutzern zu ermöglichen, ihre Vermögenswerte zu migrieren oder zu „retten“, falls glaubwürdige Quantenbedrohungen früher als erwartet auftreten und dabei den Angreifern keinen Vorteil zu verschaffen. Dies erfordert Änderungen bei der Verwaltung von Schlüsseln durch Wallets und der Definition von Ausgabebedingungen, sodass die Community die Sicherheit erhöhen kann, indem sie auf post-quanten Bedingungen oder zusätzliche Überprüfungen umschaltet, und ehrliche Nutzer ihre Gelder sicher bewegen können, während quantenbasierte Angreifer nicht einfach vor ihnen herkommen können. Gleichzeitig erwägt das Team einen speziellen Langzeitspeichermechanismus für Nutzer mit hohen Beständen oder sehr langfristigen Ersparnissen, um es ihnen zu ermöglichen, vor der Reife der Quantenhardware in stärkere, konservativere kryptografische Sicherheiten zu investieren.

Die Entwickler von Zcash erkunden vollständige post-quanten Übergänge für die verbleibenden anfälligen Bereiche: Signaturen, Beweissysteme und Verschlüsselung. Auf der Seite der Beweise könnte dies bedeuten, dass hashbasierte oder STARK-ähnliche Systeme untersucht werden, die ganz ohne elliptische Kurven auskommen, während sie die Leistung und Kürze, auf die Zcash angewiesen ist, beibehalten. Für den Schlüsselaustausch und die Notenverschlüsselung sind gitterbasierte Schlüsselmechanismen wie die, die vom Nationalen Institut für Standards und Technologie standardisiert wurden, naheliegende Kandidaten, obwohl ihre Integration in mobile Wallets und vorhandene Schaltungen nicht trivial ist. All dies muss durchgeführt werden, ohne die Prüfbarkeit zu brechen oder die Nutzerbasis zu fragmentieren, weshalb das Team die Quantenmigration als einen stufenweisen Prozess betrachtet: Zunächst die Privatsphäre festigen, dann Rückweg für Gelder bereitstellen und schließlich schrittweise vor-quantum Primitiven durch ausgereifte post-quanten Alternativen ersetzen. Das Ergebnis ist keine sofortige „Quanten-Abschirmung“, sondern ein Fahrplan, der Zcash zunehmend weniger abhängig von Kryptografie macht, von der erwartet wird, dass sie von Quantencomputern geschwächt wird.

Wie schneidet Zcash im Vergleich zu anderen Chains im Hinblick auf Quantenresistenz ab?

Zcash schneidet im Vergleich zu vielen großen Blockchains im Kontext der Quantenresistenz günstig ab, da sein geschützter Pool es vermeidet, kritische Transaktionsdaten on-chain offenzulegen. Bitcoin, Ethereum und die meisten älteren Netzwerke basieren auf elliptischen Kurvensignaturen, die öffentliche Schlüssel offenlegen, sobald eine Transaktion gesendet wird. Ein zukünftiger Quantengerät, das Shors Algorithmus ausführt, könnte die entsprechenden privaten Schlüssel ableiten und historische Mittel anfällig machen. Im Gegensatz dazu legen Zcash’ vollständig geschützte Transaktionen keinen Sender- oder Empfänger-Öffentlichkeitsnamen auf dem Ledger frei. Dieser strukturelle Unterschied verringert das Offenlegungsrisiko für Quantenangreifer und bietet einen stärkeren Basisschutz, auch wenn die zugrunde liegende Kryptografie weiterhin elliptische Kurvenannahmen verwendet.

Im Vergleich zu anderen datenschutzorientierten Chains nimmt Zcash ebenfalls eine besondere Position ein. Monero beispielsweise verwendet Ring-Signaturen, Stealth-Adressen und RingCT, um Transaktionsflüsse zu verschleiern, aber diese Mechanismen basieren nach wie vor auf elliptischer Kurvenkryptografie, von der erwartet wird, dass sie von Quantencomputern gebrochen wird. Sobald die elliptische Kurvenkryptografie anfällig wird, kann Moneros Anonymitätset rückblickend aufgefaltet werden, da Ringmitglieder und Ableitungen von Stealth-Adressen letztendlich von der Schwierigkeit des diskreten Logarithmus abhängen. Dennoch gibt es Monero, wie auch Zcash, eine Entwicklergemeinschaft, die bereits über Lösungen und Planungen für potenzielle Quantenanfälligkeiten diskutiert. Zcash’ geschützter Pool hingegen verbirgt standardmäßig weitaus mehr Informationen. Bei sorgsamer Nutzung, das heißt ausschließlich geschützte Transaktionen und keine Metadatenleckagen, bietet Zcash ein Maß an zukunftsgerichteter Vertraulichkeit, das viele andere Privacy-Coins unter demselben Bedrohungsmodell nicht erreichen können.