Im Harry-Potter-Universum gibt es einen nützlichen Spruch, wenn Sie jemanden davon abhalten müssen, Ihre geheimen Pläne zu verschütten oder während eines Duells Scheiße zu reden. Es heißt Mimblewimble, auch bekannt als Zungenbrecher-Fluch. Es ist auch der Name einer Datenschutztechnologie, die für Kryptowährungen entwickelt wurde - denn irgendjemand muss Krypto seltsam halten.
Die ersten Münzen, die Mimblewimble verwenden - verschiedene Versuche mit den Namen Grin und Beam -, wurden im Januar herausgebracht. Aber seitdem sind Streitigkeiten darüber ausgebrochen, wie privat das zugrunde liegende Protokoll tatsächlich ist, nachdem ein unabhängiger Forscher einen Angriff nachgewiesen hat, der seiner Meinung nach das Datenschutzmodell grundlegend lahmgelegt hat. Mimblewimble-Befürworter sagen, dass es mögliche Korrekturen gibt. Die Einschränkungen von Mimblewimble sowie die Sicherheitslücken in Zcash und Monero, die in den letzten Wochen aufgezeigt wurden, zeigen jedoch, wie schwierig es ist, die Privatsphäre im Bereich des digitalen Geldes zu gewährleisten.
Privatleben
Privatsphärenmünzen sind eine Reaktion auf die Erkenntnis, dass Bitcoin überhaupt nicht privat ist. Die Wahrnehmung der Bevölkerung hält Bitcoin für heimlich, aber sowohl die Bullen als auch die Räuber sind weit davon entfernt. Alle Bitcoin-Transaktionsdaten sind öffentlich und stehen allen zur Analyse offen. Kombinieren Sie dies mit einigen strategischen Vorladungen, um die persönlichen Daten zu erhalten. Kryptowährungsaustausche müssen für ihre Kunden gesammelt werden, und es ist ziemlich trivial, who's who zu entwirren. Das ist ein großes Geschäft geworden. Laut Beschaffungsdaten des Bundes geben Behörden wie das Federal Bureau of Investigations und das Department of Homeland Security jetzt jährlich Millionen für Software aus, um die Personen zu ermitteln, die hinter Transaktionen stehen. Aus diesem Grund hat sich das dunkle Netz in der Hoffnung, verborgen zu bleiben, weitgehend der Privatsphäre zugewandt.
"Es ist sehr viel schwieriger, Dinge anonym und privat zu halten, als nur die kryptografischen Aspekte richtig zu machen."
Florian Tramer, Universität Stanford
Das stellt sich als große Herausforderung heraus. Nehmen Sie Mimblewimble, das seine Privatsphäre zum Teil dadurch erhält, dass es viele Transaktionen in einem einzigen, undurchschaubaren Paket sammelt. Das macht es für einen Snooper schwieriger zu analysieren, welche Transaktion welche ist. Eine zusätzliche von Grin and Beam verwendete Komponente namens Löwenzahn stellt sicher, dass diese Aggregation erfolgt, bevor die Transaktionen an andere Knoten im Netzwerk gesendet werden. (Zuerst kommt ein "Stamm" von verknüpften Knoten, in dem die Transaktionen kombiniert werden sollen, gefolgt von der "Blume", wenn die Transaktionen tatsächlich gesendet werden, daher Löwenzahn.) Der frühere Google-Ingenieur Ivan Bogatyy sagt, das Protokoll sei fehlerhaft, weil ein Angreifer könnte einen Knoten einrichten, der alle anderen abhört. Ein solcher "Superknoten" würde fast immer Transaktionen vor der Aggregation, Stamm oder ohne Stamm abfangen und könnte verwendet werden, um herauszufinden, wer wen bezahlt hat.
Der Angriff zeigt eine bekannte Einschränkung von Mimblewimble, sagt Giulia Fanti, Professorin an der Carnegie Mellon und eine der Designerinnen von Dandelion: "Ich denke, es war für allgemeine Benutzer überraschender als für die Leute, die tatsächlich mit der Technologie arbeiten." Das Problem, fügt sie hinzu, ist, dass die Harry-Potter-Münzen einfach noch nicht genug verwendet werden. Vermutlich würden mehr Transaktionen eine schnellere Aggregation bedeuten, was es für den Superknoten schwieriger macht, Transaktionen ausfindig zu machen, die von der Herde losgeblieben sind. Dieses Prinzip gilt laut Fanti für viele Anonymitätstechnologien, die häufig darauf angewiesen sind, sich in einer Menschenmenge zu verstecken.
Die Harry-Potter-Münzentwickler behaupten, der Angriff sei nicht so schlimm. Das Entwicklerteam von Grin ist sich bewusst, dass das Datenschutzmodell von Mimblewimble dies nicht abdeckt und an Lösungen gearbeitet hat. Laut Beam wird das Problem bereits durch die Verwendung von Täuschungstransaktionen gemindert, die die Aggregation effektiver machen.
Dennoch ist es nützlich zu zeigen, dass ein theoretischer Angriff auch billig und praktisch ist, stellt Andrew Miller, Professor an der University of Illinois, fest, der auch als Vorstandsmitglied der Zcash Foundation fungiert. „Es verändert die Konversation“, sagt er. „Es hat nicht einmal viel Mühe gekostet. Es hat gezeigt, wie weit verbreitet das Problem in Anbetracht der aktuellen Größe des Netzwerks ist. “
Seitenkanal Blues
Als relativ junges Protokoll bietet Mimblewimble noch nicht die gleichen Datenschutzgarantien wie die von Zcash und Monero verwendeten Methoden, sagt Florian Tramer, Kryptographieforscher bei Stanford. Sie gibt es schon länger, fügt er hinzu, und sie verlassen sich auf kampferprobte kryptografische Techniken wie Ringsignaturen und wissensfreie Beweise.
"Die große Frage, die in diesem Bereich zu beantworten ist, sind die Erwartungen an die Privatsphäre, die wir von verschiedenen Technologien haben", sagt Tramer.
Trotzdem bleibt die Privatsphäre laut Tramer schwierig. Kürzlich veröffentlichte er eine Reihe von Angriffen auf Monero und Zcash, die bemerkenswert waren, weil sie nicht einmal die ausgefallene Kryptographie, die diese Münzen verwenden, ins Visier nehmen mussten. "Das ist der Teil, in den die Leute viel Mühe gesteckt haben", fügt er hinzu. "Aber wenn man sich das Gesamtbild anschaut, wie diese Systeme miteinander interagieren, stellt man fest, dass es sehr viel schwieriger ist, Dinge anonym und privat zu halten, als nur die kryptografischen Aspekte richtig zu machen."
ERFAHREN SIE MEHR
Der WIRED-Leitfaden zur Blockchain
In diesem Fall entwickelten Tramer und Kollegen so genannte Side-Channel-Angriffe, die sich mit den Interaktionen zwischen privaten Geldbörsen und öffentlich zugänglichen Netzwerken befassten. Da die Details von Transaktionen verschlüsselt sind, muss eine Brieftasche prüfen, ob jede Transaktion, die sie sieht, für sie bestimmt war oder nicht. Das Team von Tramer stützte seinen Angriff auf die Beobachtung, dass Brieftaschen abhängig von der Antwort auf diese Frage unterschiedliche kryptografische Überprüfungen durchführen. Ein Gegner kann viel lernen, indem er auf diese subtilen Unterschiede in Timing und Verhalten achtet. Mithilfe der von Tramer entwickelten Techniken kann ein Angreifer den Zahlungsempfänger für anonyme Transaktionen im Netzwerk ermitteln und die IP-Adresse eines Computers ermitteln, auf dem die privaten Schlüssel für eine öffentliche Adresse gespeichert sind.
Diese Schwachstellen wurden Monero und Zcash gemeldet und Tramer ist zufrieden damit, wie schnell beide Teams sie behoben haben. Die Monero-Korrektur war recht einfach, da das Design bereits versucht hat, Brieftasche und Netzwerk getrennt zu halten. Die Überlappung war im Wesentlichen eine Lücke, die geschlossen werden musste. Zcash hatte ein schwierigeres Problem, da die Wallet- und Netzwerkprozesse durch das Design miteinander verbunden sind. Dies ist zum Teil ein Artefakt der Ursprünge des Netzwerks, bei dem Datenschutztechnologien anstelle von Bitcoin hinzugefügt wurden, anstatt von Grund auf neu aufzubauen. „Ein Teil dieses Angriffs wurde ermöglicht, indem auf einem Client aufgebaut wurde, der nicht mit Blick auf Privatsphäre und Anonymität erstellt wurde. Dies ist dem Zcash-Team bewusst “, sagt Tramer.
