Scalability und Privacy: Zwei Seiten desselben Bitcoins
Wer noch Zweifel hat, dürfte jetzt überzeugt sein, dass ich ein schrecklicher Fotograf bin.
Fundstücke vom Scaling Bitcoin Workshop. Am 8. und 9. Oktober traf sich die Bitcoin-Welt in Mailand, um Präsentationen zur Skalierbarkeit zu hören und in Workshops zu diskutieren. Wir berichten in mehreren Artikeln, was geschah, welche neuen Ideen vorliegen und wie die Stimmung war. Im ersten Teil geht es um ein überraschendes Thema – die Fungibilität – und ihren Zusammenhang zur Skalierbarkeit.
Zeit wurde auf dem Scaling Bitcoin Workshop nicht verschwendet. Der Südflügel der Politecnica di Milano wurde um 10 Uhr Samstag Vormittag geöffnet, jeder bekam Unterlagen und ein Gratis-T-Shirt, nahm im Hörsaal Platz, klappte den Laptop auf, fuhr Linux hoch, loggte sich ins Wlan ein – und los ging’s. Zwei Tage, Bitcoin nonstop, 20 Präsentationen, 2 Workshops.
Dank der Transkripte von Kanzure kann man die meisten Vorträge bereits nachlesen, auf dem YouTube-Channel der Veranstalter kann man die Sessions anschauen. Ich beschreibe hier einige Teilsessions oder Gesamteindrücke von diesem intensiven Bitcoin-Wochenende in Mailand.
Beginnen wir mit dem Auftakt. Für diesen brachten Adam Back und Matt Corallo ein Thema ins Spiel, das überraschend und irgendwie fehl am Platz erschien: Die Fungibilität. Nicht, dass sie unwichtig wäre – aber was, bittesehr, hat sie auf der Scaling Bitcoin verloren? Und zwar nicht nur mit einer, sondern gleich mit vier Präsentation?
Wir werden es erfahren.
Ohne Fungibilität gehört Bitcoin den Blacklist-Providern
Fungibilität bedeutet, dass ein Coin dem anderen zu gleichen hat. Da die Blockchain jedoch jede Transaktion aufzeichnet, kann es passieren – und passiert bereits – dass Coins getackt werden. Jemand markiert sie, als Hacker-Coin, Erpresser-Coin, Drogen-Coin, Bombenbauer-Coin – und schon ist ein Coin nicht mehr gleich wie der andere. Im Prinzip darf man bereits jetzt nicht mehr sicher sein, dass der Coin, den man gerade empfangen hat, wirklich ein “sauberer” Bitcoin ist und seine Historie keine “Spuren” von Terror, Drogen oder Erpressung enthält. Manche Institutionen reagieren darauf extrem allergisch.
„Jeder braucht Fungibilität,“ sagt Back, „oder niemand hat sie.“ Fungibilität gibt es ganz oder gar nicht. Wenn sie gebrochen ist, so der Langzeit-Cypherpunk und CEO von Blockstream, dann gilt: “Keine Genehmigung, kein Bitcoin.“ Dass Bitcoin „erlaubnisfrei“ (permissionless) ist, also niemand fragen muss, ob er Bitcoin benutzen darf, ist, erklärt Back schmunzelnd, „ein nettes Feature“.
Jeder weiß, was er damit meint: Erlaubnisfreiheit ist mit das Wichtigste und Schönste, das Bitcoin der Welt schenken kann. Ohne Fungibilität wird Bitcoin zu „einem Schuldschein von Blacklist-Providern” (“IOU of Blacklist-Providers”).
Hand in Hand
Fungibilität und Skalierbarkeit stehen – und damit schließt sich der Kreis – in einem Verhältnis. Oft wurde sogar argumentiert, dass das Skalieren von Bitcoin auf Kosten der Fungibilität geht und man entweder das eine oder das andere haben kann. Dass dies ein Irrtum ist, ist “eine nette Erkenntnis”, die man aus dem Scaling Bitcoin Workshop mitnehmen konnte.
Denn tatsächlich kann mehr Skalierbarkeit auch mehr Fungibilität bedeuten. Wie beides zusammenhängt, erklärt Matt Corallo, ebenfalls von Blockstream. Matt, der mit seinen blau gefärbten Haaren seinem Online-Namen “BlueMatt” alle Ehre macht, zeigt, wie die verwendeten und zur Debatte stehenden Konzepte zur Stärkung der Fungibilität skalieren:
- Lightning: skaliert natürlich super, da es eine – DIE – Skalability-Lösung ist
- Coinjoin: das Mischen von inputs skaliert auch gut, weil es Transaktionen zusammenführt
- TumbleBit dagegen, als Mixer benutzt, skaliert schlecht, weil Transaktionen verdoppelt werden
- auch Ring-Signaturen, wie sie Monero verwendet, skalieren schlecht, weil die Transaktionen größer werden
- MimbleWimble, eine verrückte Neu-Zusammensetzung von Transaktionsbeweisen, skaliert hingegen hervorragend.
Grundsätzlich und tendenziell stärkt Scalability die Fungibility, so Matt Corallo. Einfach nur, weil es leichter ist, sich in einer größere Menge von Transaktionen zu verstecken. Je nach Werkzeug aber, das man benutzt, kann – und sollte – beides Hand in Hand gehen.
Nach Matt Corallos Übersicht stellten sich Joinmarket, TumbleBit und MimbleWimble vor.
Ein Smart Contract für bessere Privatsphäre
Für Joinmarket gab Adlai Chandrasekhar eine Präsentation. Der Privacy auf der Blockchain an sich stellte er ein miserables Zeugnis aus: „Die Regierung wird wissen, wie viele Bitcoins ihr habt.“ Klar kann man versuchen, seine Spuren zu verschleiern, „aber man muss lange Wege gehen, um Bitcoins zu verstecken”, und wer etwa Mixer verwendet, riskiert, dass die Coins danach als schmutzig gelten.
Eine mögliche Lösung ist Joinmarket. Dies ist eine Implementierung von Coinjoin, die einen Markt für das Mischen von Inputs aufbaut. Ich biete an, meine Inputs mit deinen zu mixen, und du gibst mir eine winzige Gebühr dafür. “Joinmarket ist eine Smart-Contract-Lösung.“
An sich skaliert Joinmarket gut. Denn wenn zwei Leute ihre Inputs zusammenführen, werden die Transaktionen kleiner und damit günstiger. Da Coinjoin nicht nur die Privatsphäre verbessert, sondern auch Gebühren spart und sogar Einnahmen generiert, gibt der Markt Usern einen Anreiz, den Raum auf der Blockchain sparsamer zu nutzen. Coinjoin skaliert also recht gut.
Allerdings ist dies Theorie. Denn tatsächlich ist Joinmarket nicht so privat, wie man es sich wünschen mag. Um seine Coins wirklich zu verstecken, sollte man sie, so Chandrasekhar, mehrere Runden durch Coinjoin laufen lassen. Fünf Mal, zehn Mal. „Effektiv gesehen bloaten wir die Blockchain damit.“
Joinmarket braucht zwar Skalierbarkeit, um zu funktionieren, ist selbst aber eher ein Hindernis, um zu wachsen.
MimbleWimble, aus dem Tor-Netzwerk entschlüpft
Ethan Heilmann und Leen Al-Shenibr haben für die University Boston TumbleBit vorgestellt. Der Unterschied zwischen CoinJoin und TumbleBit ist einfach zu verstehen:
- CoinJoin bedeutet, dass wir unsere inputs auf einen Haufen werfen und daraus dann Transaktionen bilden, in denen bestenfalls nicht mehr zu erkennen ist, welchen inputs die outputs zuzuschreiben sind
- TumbleBit bedeutet dagegen, dass du mir deine Transaktion gibst, und ich dann meine Inputs nehme und sie für dich absende. TumbleBit funktioniert wie ein Mixer, hat aber die Besonderheit, dass der Mixer dank eines kryptographisch cleveren Zero-Knowledge-Proof gar nicht weiß, welche Transaktionen er absendet.
Da ich das Whitepaper bereits ausführlich erkärt habe, möchte ich es an dieser Stelle überspringen und gleich zu MimbleWimble kommen, einem seltsamen, spannenden und verrückten Totalumbau der Blockchain.
Vorgestellt wurde MimbleWimble von Andrew Poelstra. Poelstra ist erneut ein Mitarbeiter von Blockstream; die Firma war aber lediglich an diesem Vormittag so überproportional auf dem Podium. MimbleWimble wurde, muss man anmerken, nicht von Poelstra entwickelt, sondern von einem anonymen Entwickler, der am 2. August 2016 unter dem Pseudonym Jon Elton Jedusor auf bitcointalk einen Link ins Tor-Netzwek gepostet hat, der zum das MimbleWimble Paper führte. Der seltsame Titel stammt, wie auch der Name Jon Elton Jedusor, aus den Harry Potter Büchern.
MimbleWimble verspricht vollständige Anonymität bei einer besseren Skalierbarkeit. Es implementiert Confidential Transactions und CoinJoin, verschleiert also sowohl die Beträge der Transaktionen als auch die Historie der Coins, baut aber gleichzeitig eine Blockchain so um, dass man nicht mehr, sondern weniger Platz braucht. Andrew Poelstra und sein Kollege Bryan Bishop haben sich das Paper angeschaut und waren fasziniert, als sie begriffen, dass die Kryptographie darin funktionieren kann.
Wie es funktioniert kann? Ich kann es nicht wirklich erklären. Nur so viel: Ein Full-Node müsste nur ein Minimum von Informationen verifizieren. Dass die Transaktion nicht mehr geändert werden kann und dass das Set der Unspent Outputs der Geldmenge entspricht. Mehr braucht es an sich nicht. Die Bitcoin-Nodes verifizieren jedoch zudem, an sich unnötigerweise, die historische Abfolge von Transaktion. Das könnte man sich sparen.
MimbleWimble macht nun etwas Zauberhaftes mit den Daten der Transaktionen, entfernt kurzerhand die Skripte, mischt Inputs und Outputs, ersetzt die Beträge durch blinde Beweise, die glaube ich etwas mit der Differenz von Input und Output zu tun haben. Das Ergebnis ist weitgehend vollständige Anonymität und eine bessere Skalierbarkeit. Der Beweis, meint Andrew Poelstra, geht auf. MimbleWimble schlägt damit zwei Fliegen mit einer Klappe.
Poelstra meint, man könnte MimbleWimble vielleicht per Softfork oder auf einer Sidechain einführen. Falls das funktiniert, wäre es durchaus einen vielversprechenden Versuch wert.
Und damit ging der erste Block auf dem Scaling Bitcoin Workshop und mit ihm ein extrem inspirierter Vormittag vorüber. In den Arkaden der Politecnico gab es Imbiss und Espresso, bevor die nächsten Präsentationen begannen.
Hallo Christoph, wie war denn so die Stimmung und wie viele Leute waren da ?
Waren auch die großen Miner vertreten ?
Wie waren die Workshops ?
Hallo Thomas, Stimmung war gut, sehr nett, große Miner, ja, waren auch da. Ich werde die nächsten Tage noch mehr schreiben, viel zu viel drin, um es in einem Artikel abzukappseln.
MimbleWimble klingt ja fast nach heiliger Gral. Da bin ich mal gespannt!
Ja, klingt sehr vielversprechend! Allerdings ziemlich kompliziert und würde (soweit ich das überblicke) einen Hardfork erfordern, denn im Prinzip verwirft es die öffentliche Blockchain. Wenn man die ganze Blocksize Debatte betrachtet, ist ein Konsens sehr unwahrscheinlich. Zumal große Player wie Coinbase (die gerne Accounts sperren, wenn sie z.B. von Gambling, DNM oder Mixern kommen) sich mit Sicherheit stark quer stellen würden.
Hier kannst du das genauer nachlesen, inklusive verlinktem Whitepaper: https://bitcoinmagazine.com/articles/mimblewimble-how-a-stripped-down-version-of-bitcoin-could-improve-privacy-fungibility-and-scalability-all-at-once-1471038001
Meiner Meinung nach hat Satoshi nicht ohne Grund den Bitcoin so ins Leben gerufen wie er ist, d.h. pseudonym und prinzipiell einfach.
Mittlerweile aber droht der Bitcoin immer mehr zu einer komplexen nicht mehr greifbaren Blackbox zu werden, der man selbst nur noch vertrauen aber dies nicht mehr nachprüfen kann.
Das Thema Fungibilität sehe ich nicht als ein Problem an, denn es steht Jedem frei Transaktionen zu taggen und somit Black- oder Whitelisten zu erschaffen.
Wenn dies tatsächlich ein Problem darstellen sollte, kann man dem damit begegnen, dass man nahezu alle Transaktionen willkürlich taggt, so dass Blacklisten nicht mehr gut funktionieren.
Des Weiteren ist es auch eine Frage der Philosophie. Wenn ich von Regierungen und öffentlichen Instanzen Transparenz statt Mauscheleien und Verschleierungen erwarte, so sollte ich als Privatmann oder privates Unternehmen nicht Gleiches tun und mich hinter einer Vollverschleierung verstecken.
Damit hält man Tür und Tor für Lobbiismus, Korruption und Vetternwirtschaft weiterhin offen, denn es ist naiv zu glauben, dass der Staat vertreten von einzelnen Personen, wird diese Mechanismen nicht genauso nutzen wie jeder Bürger auch.
Meiner Ansicht nach haben Regierungen und Institutionen sehr viel mehr durch die Pseudonymität zu verlieren als der einzelne Bürger selbst, so dass die Gefahr nicht von irgendwelchen Behörden, sondern von den Bürgern selbst ausgeht, die diese ganzen Mauscheleien zu Tage fördern und Korruption entlarven.
Deshalb bin ich der Meinung, hat Satoshi nicht ohne Grund den Bitcoin pseudonym gemacht, womit Finanzflüsse sichtbar werden, womit eben nicht mehr gigantische Summen problemlos verschoben werden können, gleichzeitig aber die Identität hinter der Pseudonymität weitestgehend gewahrt bleibt bzw. nur unter nennenswerten Aufwendung aufgedeckt werden kann.
Ich finde den Weg den DASH momentan geht, vernünftig. Man bietet optional eine integrierte Mixer-Funktionalität an, so dass der Nutzer entscheiden kann.
Damit bleibt das Prinzip einfach und die meines Erachtens nach gesellschaflich wertvolle Pseudonymität erhalten.