Hier mein grobes Verständnis. Ich lasse mich aber sehr gerne korrigieren, da ich mich erst langsam einarbeite.
Ich kann mir eigentlich auch nur vorstellen, dass man die 24 Wörter erstens aufgrund der langfristigen Zukunftssicherheit eingeführt hat. Selbst ggü. Quantencomputern, welche die Sicherheit evtl. von 256 Bit auf 128 Bit reduzieren könnten, wäre das wahrscheinlich noch sicher.
Zweitens handelt es sich eben um das „Master-Passwort“, von dem alles andere abgeleitet wird. Es kann also ruhig etwas sicherer als der Rest sein.
Auch ein Argument.
Ansonsten ist in der Kette der verwendeten Verfahren vom Mnemonic bis zum Private Key das schwächste Glied entscheidend. Im Vergleich mit der Sicherheit der anderen Verfahren ggü. Brute Force Angriffen wären die 128 Bit eines 12 Wort Mnemonics wahrscheinlich ausreichend.
Die SHA-2 Hash-Funktionen bieten ggü. Brute Force Angriffen (Preimage Resistance, nicht Collission Resistance) heute noch immer die volle Sicherheit (Quelle). Also z.B. 256 Bit für SHA-256.
Mnemonic 12 Wörter → 128 Bit
Gerade weil der Mnemonic so wichtig ist, wird vor der weiteren Schlüssel-Ableitung erst einmal die PBKDF2 Funktion mit 2048 Iterationen von HMAC-SHA512 verwendet, um einen Brute Force Angriff auszubremsen.
Bei einem 12 Wort Mnemonic hätte man also 128 Bit Sicherheit plus langsames Brute Forcen.
Bitcoin Adresse → 160 Bit / 256 Bit
Eine Bitcoin-Adresse bietet ggü. Brute Force Angriffen nur 160 Bit Sicherheit, da der Public Key bzw. das Skript bei fast allen Adresstypen letztendlich RIPEMD160 gehasht wird. Bei Native Segwit (bech32) wird der Public Key Hash RIPEMD160(SHA256(PubKey)) nur anders codiert.
Allerdings gilt das nur für Public Key Hash und alte Script Hash Adressen (P2PKH, P2WPKH, P2SH). Bei den Native Segwit Skripten wird nur SHA256 gehasht (P2WSH), man hat dort also wohl eine höhere Sicherheit.
Unabhängig davon muss man beim Durchführen einer Transaktion den Public Key veröffentlichen, wobei dann für einen Brute Force Angriff allerdings kaum Zeit bleibt.
Bitcoin Public Keys und Taproot Adressen → 128 Bit
Für das Brute Forcen eines Elliptic Curve Public Keys von 256 Bit benötigt man „nur“ eine Größenordnung von 2¹²⁸ Schritten (Quelle), also hat man eine Sicherheit von 128 Bit.
Wie meint ihr das genau?