Big News for Quantum Computing: First Scalable Platforms

Bin gerade über folgenden Beitrag , der einen Fortschritt im Quanten-Computing in Zusammenhang mit Bitcoin-Mining beschreibt gestolpert:
Big News for Quantum Computing: First Scalable Platforms
Wenn das wirklich nur eine Verdoppelung der Mining-Geschwindigkeit bewirkt sehe ich da kein Problem für Bitcoin solange die Technologie allgemein zugänglich ist. Woher hat sie die Annahme der Verdoppelung, ist es eventuell ein (deutlich) höherer Faktor? Und was passiert wenn dann ein Trump sagt die Technologie wird nur in den USA vom Staat verwand, dann kann er 51% erreichen und seine Aussage der Rest der Bitcoins wird in USA geschürft wahr machen?

Ich bin gespannt auf Expertenmeinungen.

Die folgenden Zahlen sind nicht als exakte Werte, sondern als Größenordnung zu verstehen.

Ich gehe tatsächlich davon aus, dass das „twice as fast“ nicht ganz richtig ist.

Der Grover-Algorithmus auf einem Quantencomputer würde das Mining quadratisch beschleunigen. Benötigt man im Mittel normalerweise 2^{N} Versuche, um einen gültigen Hash zu finden, wären es mit dem Grover-Algorithmus nur noch \sqrt{2^{N}} = 2^{N/2} Versuche.

Deshalb kommt man vielleicht leicht in Versuchung zu sagen, es wäre doppelt so schnell. Schließlich hätte ein SHA-256 Hash nur noch eine Sicherheit von 128 Bit statt 256 Bit.
Das bedeutet aber eben, dass man statt 2^{256} Versuchen nur noch 2^{128} Versuche braucht, um einen SHA-256 Hash zu „bruteforcen“.

Wie gesagt überträgt sich das laut Wikipedia auch auf die Suche nach einer gültigen Teilmenge des gesamten Definitionsbereichs; also auch auf das Bitcoin Mining. Streng genommen entspricht das Mining zwar nicht exakt der Suche in einer begrenzten Menge von 2^{256} Datenbank-Einträgen. Aber aus dem Bauch heraus würde ich vermuten, dass das näherungsweise keinen Unterschied macht.

Nochmal zusammenfassend:

Wenn ein Quantencomputer mit demselben Takt und genauso fehlerfrei wie ein ASIC arbeiten würde, wäre die Geschwindigkeit tatsächlich signifikant schneller. Statt beispielsweise 10.000.000.000 Versuchen würde er nur 100.000 Versuche brauchen, wäre also 100.000mal Schneller. Bei größeren Werten vergrößert sich auch der Vorteil.

Allerdings muss es ein Quantencomputer erst einmal auf die benötigte Anzahl an Qubits und auf die benötigte geringe Fehlerrate bringen. Die Kosten werden also wahrscheinlich erst im Laufe der Zeit soweit sinken, dass sich Quantum-Mining plötzlich lohnt. Dann kann es aber auch sehr schnell gehen.

Vielleicht würde das Mining auch in einem fließenden Übergang zu Beginn erst einmal durch kleinere bzw. schlechtere Quantencomputer gestützt. Um das beurteilen zu können, müsste man sich schon sehr lange im Detail damit auseinandersetzen.

Aber selbst wenn am Tag X ein ausreichender Quantencomputer verfügbar wäre, der schlagartig zig Blöcke pro Sekunde minen könnte, hätte man wieder das Problem, dass man mit einem solchen Verhalten dem Bitcoin-Wert, also letztlich auch sich selbst schaden würde.
Also wäre es nicht ratsam, den Vorteil „auszunutzen“, außer man wollte Bitcoin durch eine Art DOS-Angriff schaden. Hoffen wir mal, dass sich kein Big Player des Geldsystems bzw. ein Staat den ersten Quantencomputer dieser Art zulegt und Bitcoin damit zerstören möchte.

Übrigens haben wir das Thema schon relativ oft angerissen:
→ Suchergebnisse für „grover“ - Blocktrainer Forum

Meinst Du nicht sobald nur die Möglichkeit bekannt bekannt würde zerstört das doch sämmtliches Vertrauen in Bitcoin.

Nein, das glaube ich ehrlich gesagt nicht.

Schon heute ist diese Möglichkeit schließlich bekannt, ohne dass es Bitcoin großartig schadet.

Es ist inzwischen auch keine wilde Theorie mehr, sondern nach meiner Einschätzung nur eine Frage der Zeit, bis solche Quantencomputer gebaut werden.

Ob es 5 oder 50 Jahre dauern wird, kann halt niemand wissen. Wie man an S. Hossenfelders Bericht sieht, gibt es immer wieder neue, wesentlich bessere Ideen zur technologischen Umsetzung eines Quantencomputers.

Die Technologie in sich ist ja auch nicht das Problem. Wenn Quantencomputer allgemein zugänglich sind wird sich Bitcoin schon adaptieren. Wenn aber ein Staat hin geht und sagt liebe Wissenschaftler die Technologie, die ihr da entwickelt habt ist Sicherheitsrelevant, dann verschiebt sich die Machtkonzentration über das Mining und die Absicherung von Bitcoin auf eventuell ein Staatsoberhaupt. Der Anker in die physikalische Welt ist nicht mehr dezentral und die Vertrauenslosigkeit enthebelt. Damit sinkt Bitcoin auf das Niveau anderer zentral gesteuerter Kryptos.

Für mich ist das damit das erste bennenbar und quantifizierbare Risiko. Das Quantencomputer Seeds bruteforcen war ja eher weniger möglich, aber wenn sie eine 50+1 Attacke ermöglichen, haben wir ein Thema. Ich muss mich da jetzt mal genauer einlesen, werde dann aber möglicherweise im Bullrun doch einen gewissen Teil der BTC umallokieren „müssen“. 100% BTC + Kredit ist dann nicht mehr die beste Wahl. Aber erstmal stärker mit auseinander setzen.

Ich glaube nicht, dass sich so eine Technologie für das Mining lange verheimlichen lässt.

1. kann man (gegeben das Bitcoin seinen Wert behält oder steigern kann), mit dem Mining relativ gut Geld verdienen was bedeutet, dass die gesamte Welt daran forschen wird dieses so Effektiv wie möglich zu machen. So eine Forschung kann zwar dann lokal einen großen Durchbruch haben, aber dann wissen auch sehr viele Andere, wie in etwa diese Technologie grob funktioniert und können das Wissen für sich nutzen. Bestes Beispiel ist doch Nordkorea, sie wissen dass es Atombomben gibt und dass es möglich ist sowas zu bauen. Dann setzen sie sich eben selber hin und basteln solange, bis sie es schaffen weil ihnen kein Anderer helfen will. Oder die KI-Forschung mit ChatGPT. Ja sie haben eine relativ gute KI und sind damit MArktführer, aber wie man so eine Ki trainiert und anlernt ist bekannt und kann (und wird) somit bei Bedarf nachgemacht. Und gerade wenn der Internationaler Handel eines Landes von so einer Forschung abhängt, dann wird es ein großes Interesse im Land geben diese Forschung auch zu betreiben.

2. Selbst wenn es diese Technologie wirklich nur lokal gibt und von einigen wenigen betrieben werden kann, dann kostet diese Technologie immernoch viel Energie. Genau das ist ja der Vorteil vom Mining mittels Proof Of Work gegenüber z.B. Proof of Stake. Wenn du PoW zentralisieren willst musst du die Leistung dafür an einen Ort sammeln und zusammenbringen. Das ist ineffizienter als die Leistung dort zu nutzen wo sie anfällt. Beim PoW gibt es also eine intrinsische Motivation sich zu dezentralisieren. Umso breitflächiger diese bessere Technologie aber eingesetzt wird, desto leichter ist es auch, die „Geheimnisse“ dieser Technologie zu erforschen und zu kopieren. Damit wird so eine Miningtechnologie, auch wenn sie geheim gehalten wird, sich trotzdem relativ schnell verbreiten. Und spätestens wenn alle mit dieser Technologie Minien ist es auch kein Vorteil mehr, alle haben dann wieder die gleichen Chancen.

3. Für eine 50% Attacke reicht es nicht aus, dass eine neue Technologie nur doppelt so gut ist. Das liegt daran, dass nur weil man eine doppelt so effektivere Methode für das Mining gefunden hat, bedeutet es nicht, dass alle Miner dieses Landes sofort mit dieser Methode Arbeiten können. Die verbesserten Miningeräte müssen ersteinmal hergestellt werden (ich halte es für unrealistisch, dass man mit einem einfachem Softwareupdate so eine Effizienzsteigerung bekommen kann.)
   Neue Miningeräte müssen also ein vielfaches besser bzw. effektiver sein als herkömmliche Geräte um einen signifikanten Hashratemarktanteil zu bekommen bevor diese Geräte jeder kaufen bzw. selber bauen kann.

Der Bruch der verwendeten Kryptographie ist eine mindestens genauso große Bedrohung für Bitcoin. Deshalb arbeitet man ja, wie schon oft hier geschrieben, an alternativen, quanten-resistenten Verschlüsselungen.

→ Kommentar zu: Quantencomputer, BITCOIN und Bugs | Jörg Hermsdorf im Interview
→ Bitcoin Quantum Computer FUD Fragen - #13 von skyrmion
→ Wann würdet ihr Bitcoin als gescheitert ansehen?

Das größte Risiko, was ich persönlich schon seit langer Zeit bei Bitcoin sehe, ist das Vertrauen auf ein einzelnes Krypto-System. Unabhängig davon, ob das ein vermeintlich quanten-resistenter Algorithmus ist oder nicht.

Die Einzehlfehler-Anfälligkeit darf man sich an dieser entscheidenden Stelle nicht erlauben.

Aber das ist doch der spannende Punkt. Diese neue Technologie wäre nicht nur doppelt so gut…

Bei der aktuellen Hashrate von ca. 6 \cdot 10^{20} s^{-1} brauchen die Miner im Mittel ca. 600s \cdot 6 \cdot 10^{20} s^{-1} = 3,6 \cdot 10^{23} Iterationen, um einen gültigen Block zu finden.

Ein fehlerfreier Quantencomputer (QC) mit einer ausreichenden Anzahl von Qubits würde dafür nur ca. \sqrt{3,6 \cdot 10^{23}} = 6 \cdot 10^{11} Iterationen benötigen, er wäre also fast eine Billion mal schneller. Pro Sekunde könnte er 1 Milliarde Blöcke finden, was in der Realität natürlich durch andere Faktoren begrenzt wird (z.B. max. Datenrate bei Verarbeitung und Übertragung).
Edit: Weitere Relativierung im Beitrag weiter unten

Du kannst nun berücksichtigen, dass der echte QC nicht fehlerfrei ist und für eine Iteration evtl. länger benötigt. Aber was soll’s. Egal welchen Faktor du dafür berücksichtigst, er wäre immer noch um ein enormes Vielfaches schneller.

Die entscheidende Frage ist eigentlich nur, wie der Übergang dahin stattfindet.

Wenn QC bis zu dem Zeitpunkt, an dem sie groß und fehlerfrei genug sind, für das Mining nutzlos sind, wäre der erste taugliche QC ein großer Einschlag. Bestimmt würde der Besitzer nicht als erstes damit Bitcoin angreifen. Aber dieses Damoklesschwert würde solange über Bitcoin schweben, bis brauchbare QC für alle interessierten Miner frei verfügbar wären.

Es gibt aber auch eine alternative mögliche Zukunft, in der kleinere und fehlerbehaftete QC schon früher unterstützend für das Mining eingesetzt werden könnten. Also eine Art Hybrid-Betrieb von QC und konventionellen Rechnern.
In dieser Zukunft würde der Übergang zu vollem QC-Mining fließend stattfinden. Schließlich wären die Hybrid-Geräte am Anfang sehr teuer und würden sich erst langsam anfangen zu lohnen. Im Laufe der Zeit würden dann immer mehr, größere und fehlerunanfälligere QC verwendet werden.

Ob so ein Hybrid-Szenario denkbar ist weiß nicht. Da ich mich zu wenig damit beschäftige ist das ein reines Bauchgefühl.

Also zusammengefasst gibt er eine Reale gefahr, die in Zukunft von allen Bitcoinern im Auge gehalten werden muss. Lt. Skyromioms und Pies darstellung gibt es aber Hoffnung, dass die Adaption nicht zentral und auch fließend stattfinden kann. Ich hoffe das sehr, denn wenn Bitcoin QCs übersteht sehe ich für die nähere Zukunft viel positives in Bitcoin.

Bitcoin „knacken“ zu können wäre für so einen Super-Quantencomputer bzw. für die, die ihn besitzen, nur ein Abfallprodukt.

Man könnte mit so einem QC auch sämtliche Veschlüsselungssysteme von Banken, von Staaten, von Armeen & Geheimdiensten etc. knacken. Darin würde ein viel größerer Mehrwert für den Besitzer eines solchen QC liegen als Bitcoin zu entschlüsseln, das durch eben jene Entschlüsselung sofort komplett wertlos werden würde. Der ökonomische Anreiz wäre also erst mal gar nicht gegeben, außer man ist ein Staat und setzt sich dieses Ziel an erste Stelle.

D.h. die heutige Verschlüsselungstechnik muss sowieso von Grund auf neu aufgesetzt und gedacht werden, um sie QC-sicher zu gestalten. Das ist nur eine Frage der Zeit und i.d.R. ist diese Zeit viel kürzer als wir denken. Das wird dann sicher auch bei BTC Anwendung finden.

Nach weiterem Nachdenken muss ich meine Aussagen zur QC-Geschwindigkeit weiter oben doch nochmal etwas weiter relativieren.

Es ist richtig, dass die Miner bei der aktuellen Hashrate von ca. 6 \cdot 10^{20} s^{-1} im Mittel ca. 600s \cdot 6 \cdot 10^{20} s^{-1} = 3,6 \cdot 10^{23} Iterationen brauchen, um einen gültigen Block zu finden.

Allerdings wird diese Hashrate nicht durch ein einzelnes Mining-Gerät erreicht, sondern durch mehrere Millionen Geräte, die alle parallel arbeiten. Ein einzelnes Gerät schafft nur in der Größenordnung von 10^{14} Iterationen pro Sekunde.

Diese Feststellung ist natürlich auch bei einem QC relevant.

Ein einzelner fehlerfreier Quantencomputer (QC) mit einer ausreichenden Anzahl von Qubits würde wie oben geschrieben für einen Block nur ca. \sqrt{3,6 \cdot 10^{23}} = 6 \cdot 10^{11} Iterationen benötigen.

Allerdings stellt sich neben anderen limitierenden Faktoren, wie z.B. max. Datenrate bei Verarbeitung und Übertragung, die Frage, wie viele Iterationen der QC überhaupt pro Zeit schafft?

Auf die Schnelle habe ich bei einer Google-Suche Taktraten im Bereich von MHz bis maximal GHz gesehen.

Welcher Wert für welche QC gilt weiß ich nicht. Ebenso wenig weiß ich, ob innerhalb eines QC Takts eine komplette Iteration des Grover-Algorithmus durchgeführt werden kann.
Aber selbst wenn ich im Best Case (für den QC) von 1 GHz Taktrate und einer Iteration pro Takt ausgehe, bräuchte der einzelne QC aktuell lustigerweise genau 10 min um einen Block zu finden.

Das ist natürlich einerseits immer noch beeindruckend. Aber andererseits heißt das, selbst ein einzelner QC im „single-threaded“ Betrieb wäre aktuell noch nicht übermäßig gefährlich.

Nur falls eine kräftige Parallelisierung auf einem QC (-> mehr Qubits), oder durch paralleles Mining vieler QC erreicht werden würde, könnten die QC eine wirkliche Bedrohung werden. In letzterem Fall hätte man allerdings ja schon wieder eine gewisse Dezentralisierung erreicht.

Diese Betrachtungen basieren auf Abschätzungen anhand heutiger Daten. Sollte die maximal mögliche Anzahl an Qubits durch eine neue Technologie plötzlich explodieren, und damit eine massive Parallelisierung innerhalb eines einzelnen QC ermöglichen, sähe das evtl. anders aus.

Dann stellt sich die Frage, wie schnell Bitcoin seine Verschlüsselung ändern könnte. Was müssten dann Leute machen, die ihre BTC auf einer Cold Wallet haben ? Davon abgesehen hassen Kapitalanleger nichts mehr als Unsicherheit. Der Kursverfall wäre - falls nicht deutlich vorher eine quantensichere Verschlüsselung vorhanden wäre - mit Sicherheit enorm.

Vermutlich würde die neue Verschlüsselung aber weit vor einer flächendeckenden Ausbreitung der QC passieren, wobei ich leider viel zu wenig Sachkenntnis habe, wie kompliziert das wäre.

Also in diesem Thread geht es ja eigentlich vorrangig um das Mining, nicht um die Verschlüsselung.

Bzgl. Verschlüsselung kannst du mal in die ersten beiden Threads schauen, die ich oben verlinkt habe.

Wenn nicht durch bahnbrechende neue Technologien schon in 5 Jahren QC für jeden verfügbar und bezahlbar sind, wird der Übergang auf Post-Quantum-Verfahren schon klappen. Allerdings wird man Rückschritte bzgl. Speicherplatz und Features in Kauf nehmen müssen (siehe andere Threads).

Ist die Hälfte von 256 Bit nicht 255 Bit?

256 Bit: 115792089237316195423570985008687907853269984665640564039457584007913129639936
255 Bit: 57896044618658097711785492504343953926634992332820282019728732000000000000000000

Jein.

Ohne speziellen Kontext sind 128 Bit natürlich die Hälfte von 256 Bit. Unter anderem z.B. bei der Angabe von Speicher, Datenmenge etc. .

Aber im Kontext von binären Zahlen und insbesondere bei der Angabe der Sicherheit, geht es bei der Angabe von N Bit eigentlich um die Zahl 2^{N}. Deshalb hast du natürlich Recht, dass es hier trügerisch ist, von der Hälfte zu sprechen. Die Hälfte von 2^{N} ist wie du sagst eben 2^{N-1}, also im Allgemeinen nicht 2^{N/2}.

Deshalb ja meine Aussage, dass das „nicht ganz richtig“ ist: