Einführungs- und Orientierungsstudium Informatik, Teil 2. Digitales Geld: Bitcoin und Blockketten Günter Rote. Freie Universität Berlin

Größe: px

Ab Seite anzeigen:

Download "Einführungs- und Orientierungsstudium Informatik, Teil 2. Digitales Geld: Bitcoin und Blockketten Günter Rote. Freie Universität Berlin"

Richard Hochberg
vor 5 Jahren
Abrufe

1 Einführungs- und Orientierungsstudium Informatik, Teil 2 Digitales Geld: Bitcoin und Blockketten Günter Rote Freie Universität Berlin

2 Überblick Geld ohne zentrale Kontrolle Hashfunktionen zum Speichern und Wiederfinden von Daten (Hash-Tabellen) kryptographische Hashfunktionen zur fälschungssicheren Kennzeichnung Die Blockkette als Kassenbuch Verteilte Kontrolle der Blockkette, Schürfen von Bitcoins Besitz von Bitcoins, asymmetrische Verschlüsselung Ich stelle viele Details vereinfacht dar!

3 Geld ermöglicht Übergang von Tauschwirtschaft zu Geldwirtschaft Edelmetall Münzen (Gold, Silber, Kupfer) Papiergeld: ursprünglich als Ersatz für Gold heute: Geld gilt kraft Gesetzes

4 Digitales Geld Hauptproblem: Daten können ohne großen Aufwand beliebig oft kopiert werden Eintrittskarte zum Selbstausdrucken Zentrale Einlasskontrolle verhindert mehrfache Nutzung

5 Digitales Geld gibt es schon lange, zum Beispiel Kreditkarten, Überweisung (nicht anonym, unter Kontrolle der Bank) GeldKarte (anonym, unter Kontrolle der Bank) abgeleitet von staatlichem Geld

6 Bitcoin: Das Kassenbuch A zahlt an B: 5B C zahlt an D: 9B E zahlt an F : 2B G zahlt an D: 3B Transaktionen D zahlt an H: 10B

7 Bitcoin: Das Kassenbuch A zahlt an B: 5B C zahlt an D: 9B E zahlt an F : 2B G zahlt an D: 3B D zahlt an H: 10B Transaktionen Wer verwaltet das Kassenbuch? Wer stellt sicher, dass das Kassenbuch nicht im Nachhinein manipuliert wird? Blockkette, Hashfunktionen Wie ist sichergestellt, dass nur D über das Geld verfügen kann, das D gehört? kryptographische Unterschriften

8 Hashfunktionen (1) Gestreute Speicherung von Daten Petra Meier: Anne Müller: Josef Schulze: Maria Schulze: Maria Schulz: H("Maria Schulze") = 39 H("Maria Schulz") = Tabelle mit 1000 Einträgen Maria Schulz: Petra Meier: Anne Müller: Maria Schulze: Die Hashfunktion H soll jeden Zusammenhang zwischen den Daten verwischen Josef Schulze:

9 Binäre und dexadezimale Darstellung "Maria Schulze" (ASCII-Code) = ( ) 2 }{{} = "a" }{{} = "a" }{{} = "h" dezimal hex binär = ( ) = (4d c7a65) 16 (hexadezimal) jeweils 8 Bit (4d c7a ) Bit-Blöcke a b c d e f 1111

10 Hashfunktionen (1) für 32-Bit-Zahlen x h(x) = (a x + b) mod 2 32, für geeignete Konstanten a, b Längere Daten ("Maria Schulze") werden als Folgen x 1, x 2,, x n von 32-bit-Werten dargestellt x 1 x 2 x 3 x n y 1 +x 2 y 2 +x 3 y n 1 +x n h h h h(x 1 )=y 1 h(y 1 +x 2 )=y 2 h(y 2 +x 3 )=y 3 h(y n 1 +x n )=y n Hashwert mod 2 32 endgültiger Hashwert = y n mod 1000 Tabellengröße

11 Hashfunktionen (1) Gestreute Speicherung von Daten Petra Meier: Anne Müller: Josef Schulze: Maria Schulze: Maria Schulz: h("maria Schulze") = 39 h("maria Schulz") = 4 h("otto Samsa") = 39 Kollision! Tabelle mit 1000 Einträgen Maria Schulz: Petra Meier: Anne Müller: Maria Schulze: Otto Samsa: Josef Schulze:

12 Kryptographische Hashfunktionen (2) Einbahn-Funktionen : y = h(x) EINFACH zu berechnen Ein beliebiges y ist gegeben Finde ein x mit h(x) = y SCHWIERIG Nur durch Probieren aller möglichen x-werte zu lösen y = (a x + b) mod 2 32 ist LEICHT nach x auflösbar Sichere Hashalgorithmen (SHA), zum Beispiel SHA-224, SHA-256, SHA-384 und SHA-512 Bitcoin verwendet unter anderem SHA-256

13 Die Blockkette als Kassenbuch B 1 B 2 B 3 B 4 B 5 h(b 1 ) h(b 2 ) h(b 3 ) h(b 4 ) Daten Daten Daten Daten Daten Änderung in Block B 500 macht alle Blöcke B 501, B 502, B 503 ungültig h(b i 1 ) B i ****** A bekommt 125B Daten (Transaktionen) Schürfen = Erstellen eines neuen Blocks ist schwer willkürliche Daten ( nonce ) festgelegte Prämie pro Block Damit B i gültig ist, muss h(b i ) < Schranke sein Der Wert der Schranke wird periodisch angepasst, sodass im Mittel alle 10 min ein Block erzeugt wird Derzeit (Nov 2017): Chance 1 : 10 21

14 Speicherung der Blockkette Die Blockkette und die neuen Transaktionen werden in einem Peer-to-Peer-Netzwerk geprüft, gespeichert, und weitergeleitet Alle Knoten (= Rechner) sind gleichberechtigt Neue Transaktionen werden bestätigt, indem sie in die Blockkette geschrieben werden

15 Konsensmechanismus Jeder Schürfer stellt einen Block von ca 5000 unbestätigten gültigen Transaktionen zusammen und versucht ihn zu schürfen Viele Schürfer arbeiten parallel um die Wette Wer als erstes einen gültigen Block findet, hängt ihn an die Blockkette an Alle Schürfer schwenken dann auf die verlängerte Blockkette um

16 Konsensmechanismus Jeder Schürfer stellt einen Block von ca 5000 unbestätigten gültigen Transaktionen zusammen und versucht ihn zu schürfen Viele Schürfer arbeiten parallel um die Wette Wer als erstes einen gültigen Block findet, hängt ihn an die Blockkette an Alle Schürfer schwenken dann auf die verlängerte Blockkette um

17 Konsensmechanismus Jeder Schürfer stellt einen Block von ca 5000 unbestätigten gültigen Transaktionen zusammen und versucht ihn zu schürfen Viele Schürfer arbeiten parallel um die Wette Wer als erstes einen gültigen Block findet, hängt ihn an die Blockkette an Alle Schürfer schwenken dann auf die verlängerte Blockkette um Ein neuer Block verbreitet sich im Netz nicht auf der Stelle!

18 Konsensmechanismus Jeder Schürfer stellt einen Block von ca 5000 unbestätigten gültigen Transaktionen zusammen und versucht ihn zu schürfen Viele Schürfer arbeiten parallel um die Wette Wer als erstes einen gültigen Block findet, hängt ihn an die Blockkette an Alle Schürfer schwenken dann auf die verlängerte Blockkette um Ein neuer Block verbreitet sich im Netz nicht auf der Stelle! Bei Verzweigung: Schürfer arbeiten an der längsten Kette Mechanismus: Schürfer haben ein Interesse an der Integrität der Blockkette

19 Hardware zum Schürfen Nov 2017: 1B 6000 Euro, 1 Block Euro Der Genesis-Block B 1 wurde am 3 Januar 2009 geschürft Ursprünglich: Auf einen gewöhnlichen Rechner, mit geeigneter Software Viele gleiche Rechenoperationen parallel Grafikkarten FPGA s: field-programmable gate arrays Vorgefertigte Hardware-Schaltkreise, die sich für spezielle Zwecke verdrahten ( programmieren ) lassen Seit 2013: Anwendungsspezifische integrierte Schaltkreise (ASICs) Schaltkreise, die einzig für den Zweck des Schürfens entworfen sind und nichts anderes können

20 Eigentum Unterschrift mittels asymmetrischen Verschlüsselungsverfahren Eigenschaften: Ein neues Schlüsselpaar (priv, pub) kann leicht erzeugt werden Notation: y = x pub : Verschlüsselung mit dem öffentlichen Schlüssel pub x = y priv : Entschlüsselung mit dem privaten Schlüssel priv (x pub ) priv = x, (y priv ) pub = y Aus dem öffentlichen Schlüssel pub kann der private Schlüssel priv nicht rekonstruiert werden

21 RSA (Rivest, Shamir, Adleman, 1976) (Bitcoin verwendet als Verschlüsselungsverfahren nicht RSA, sondern elliptische Kurven) Bestimme zwei große (100-stellige) Primzahlen p = 99257, q = Berechne den Modul N = p q = Berechne die Ordnung n = kgv(p 1, q 1) = Wähle eine zufällige Zahl 1 pub < n, zum Beispiel pub = Bestimme dazu die Zahl priv = mit priv pub 1 (mod n) Der öffentliche Schlüssel besteht dann aus (pub, N) Der private Schlüssel ist priv

22 RSA (Rivest, Shamir, Adleman, 1976) (Bitcoin verwendet als Verschlüsselungsverfahren nicht RSA, sondern elliptische Kurven) Bestimme zwei große (100-stellige) Primzahlen p = 99257, q = Berechne den Modul N = p q = Berechne die Ordnung n = kgv(p 1, q 1) = Wähle eine zufällige Zahl 1 pub < n, zum Beispiel pub = Bestimme dazu die Zahl priv = mit priv pub 1 (mod n) Der öffentliche Schlüssel besteht dann aus (pub, N) Der private Schlüssel ist priv Verschlüsselung der Nachricht x: y = x pub mod N Entschlüsselung: x = y priv mod N

23 Transaktionen 371/2, sig, 17B 306/3, sig, 3B T B, pub A 55B, pub B 75B, pub C

24 Transaktionen 371/2, sig, 17B 306/3, sig, 3B T B, pub A 55B, pub B 75B, pub C 05B Transaktionsgebühr, geht an den Schürfer

25 Transaktionen 371/2, sig, 17B T B, pub A T /3, sig, 3B 55B, pub B 75B, pub C 500/2, sig, 55B Die Besitzerin des privaten Schlüssels zum öffentlichen Schlüssel pub B des 2 Ausgangs von Transaktion T 500 bestätigt durch Unterschrift, dass dieser Betrag verwendet werden kann B unterschreibt mit sig := (h(t 500 )) priv B Überprüfung: (sig ) pub B? = h(t 500 ) 05B Transaktionsgebühr, geht an den Schürfer (Nur) wer den privaten Schlüssel kennt, kann die 55B ausgeben Das können alle überprüfen

26 Große Zahlen N = , 100-stellige Dezimalzahlen x, y Rechnen mit solchen Zahlen: SCHNELL Aufwand hängt von der Anzahl der Ziffern ( log N) ab N Operationen durchführen, N Möglichkeiten ausprobieren: UNMÖGLICH! Beispiel: 1 GHz Taktfrequenz = 10 9 Schritte pro Sekunde Ein Jahr lang rechnen sec Schritte 1 Million Prozessoren Schritte

27 Möglichkeiten und Grenzen Kryptogeld Weltweiter Geldtransfer ohne Kontrolle smart contracts Bitcoin: max 7 Transaktionen pro Sekunde Blockkette Grundbuch, Standesamt,

Ähnliche Dokumente

WS 2009/10. Diskrete Strukturen

WS 2009/10. Diskrete Strukturen WS 2009/10 Diskrete Strukturen Prof. Dr. J. Esparza Lehrstuhl für Grundlagen der Softwarezuverlässigkeit und theoretische Informatik Fakultät für Informatik Technische Universität München http://www7.in.tum.de/um/courses/ds/ws0910