Brute-Force ist eine Angriffsmethode im Bereich der Cybersicherheit, die sich durch ein gründliches und systematisches Ausprobieren von Passwörtern, Verschlüsselungsschlüsseln oder sensiblen Informationen auszeichnet.
Das Grundprinzip von Brute-Force-Angriffen besteht darin, alle möglichen Kombinationen auszuprobieren, bis die richtige gefunden ist. Diese ressourcenintensive Methode kann wirksam sein, wenn die angegriffenen Systeme nicht über starke Sicherheitsmaßnahmen verfügen.
Seed-Phrasen gelten jedoch nach modernen Standards als sehr sicher. Bei einer Seed-Phrase mit 12 oder 24 Wörtern aus 2048 möglichen Wörtern ist es fast unmöglich, die richtigen Wörter in der richtigen Reihenfolge zu finden. Außerdem werden die Computer und die Rechenleistung jedes Jahr fortschrittlicher. Könnte Ihre Seed-Phrase also eines Tages von einem Hacker mit Zugang zu einem Quantencomputer geknackt werden? Finden wir es heraus.
Verstehen von Seed-Phrasen
Eine Seed-Phrase, eine mnemonische Phrase oder ein Recovery-Seed ist in Kryptowährungs-Wallets von entscheidender Bedeutung, insbesondere in solchen, die dem BIP-39 (Bitcoin Improvement Proposal 39) Standard folgen. Es handelt sich um eine Folge von Wörtern, die als Sicherungs- und Wiederherstellungsmechanismus für kryptografische Schlüssel in einer Wallet dienen.
Die Seed-Phrase besteht in der Regel aus 12, 18 oder 24 Wörtern und dient als menschenlesbarer Ausdruck für den privaten Schlüssel einer Wallet. Er wird bei der Ersteinrichtung einer Wallet generiert und die Nutzer werden angewiesen, ihn sicher, offline und vor unbefugtem Zugriff geschützt aufzubewahren.
Die Sicherheit Ihrer Krypto-Brieftasche hängt stark vom Schutz der Seed-Phrase ab. Jeder, der Zugang zu Ihrer Seed-Phrase hat, kann die Kontrolle über Ihr Geld erlangen.
Kann ein Brute-Force-Angriff Ihre Seed-Phrase entlarven?
Seed-Phrasen sind äußerst widerstandsfähig gegen Hackerangriffe. Ihre Komplexität führt zu Milliarden von Kombinationen, was Brute-Force-Angriffe unpraktisch macht. Hier ist eine Analyse von einem scharfsinnigen Redditor matejcik (u/matejcik), der die Berechnungen angestellt hat:
Es gibt derzeit etwa 500 Millionen Nutzer von Kryptowährungen. Gehen wir davon aus, dass jeder Nutzer einen 12-Wort-Seed hat.
Das bedeutet, dass der Versuch, alle möglichen 12-Wort-Seeds mit brachialer Gewalt zu erzwingen, nach etwa 340 282 366 920 938 463 463 374 607 431 Versuchen (das entspricht 3,4 * 10^29) eine Chance hätte, eine nicht leere Brieftasche zu entdecken.
Laut mempool hat der Foundry USA Mining Pool eine Hashrate von 162 EH/s, was 162*10^18 Hashes pro Sekunde entspricht. Damit ist er der wohl leistungsfähigste Einzweck-Supercomputer der Welt. Da sie sich ausschließlich auf das Mining von Bitcoins konzentrieren, übertreffen sie herkömmliche Supercomputer bei dieser speziellen Aufgabe.
In 24 Stunden schürfen sie 40 Blöcke, was zu einem konstanten Einkommen von 252 BTC täglich führt.
Brute-Forcing-Seeds erfordern eine andere Hardware, die über 2000 Mal mehr Operationen pro Seed benötigt. Für dieses Experiment nehmen wir jedoch an, dass die Hardware die gleiche ist. Wenn man 162 EH/s durch 2000 teilt, ergibt sich eine Hashrate von 81 Pseeds/s, was 81 * 10^15 Seeds pro Sekunde entspricht.
Wenn wir die 3,4*10^29 Versuche pro Seed durch 81 * 10^15 Seeds pro Sekunde teilen, erhalten wir 4 Milliarden Sekunden pro Seed. Mit anderen Worten: Es würde 133 Jahre dauern, ein Saatgut mit Mitteln zu finden.
Stellen wir uns eine unglaublich reiche Person vor, die in speziell angefertigte Hardware investiert, die 100 Mal teurer ist als Foundry USA. Diese Hardware wurde speziell für das Brute-Forcing von Saatgut entwickelt und arbeitet ein Jahr lang, um ein bestimmtes Saatgut zu finden - sagen wir, Ihres.
Dieser Vorgang würde den Verzicht auf mindestens 40 Blöcke oder 250 BTC pro Tag erfordern, wovon ein erheblicher Teil die Stromkosten dieses energieaufwendigen Vorgangs decken würde.
Zusammenfassend lässt sich sagen, dass ein Brute-Force-Angriff auf 128-Bit-Seeds nicht praktikabel ist und wahrscheinlich auch nie sein wird.
Welche Auswirkungen könnte das Quantencomputing auf Brute-Force-Angriffe haben?
Die Quanteninformatik könnte zu einem bedeutenden Durchbruch bei der Verschlüsselung führen, wodurch die derzeitigen Standards leicht zu knacken wären. Es wird sogar behauptet, dass hochwertige verschlüsselte Daten in Erwartung dieser Entwicklung gespeichert werden, und einige große Plattformen bieten bereits mit Quantenbits ausgestattete Server an.
Wie lange würde es also dauern, bis das Quantencomputing in der Krypto-Szene zu einem weit verbreiteten Brute-Force-Werkzeug wird? Was können wir in Bezug auf seine Anwendung erwarten, und welche Sicherheitsbedenken könnten auftreten?
Das Erzwingen einer Seed-Phrase ist nicht vergleichbar mit dem "Brechen einer Verschlüsselung", worin sich Quantencomputer auszeichnen. Einige Quantenalgorithmen können den Schwierigkeitsgrad verringern, aber das reicht nicht aus.
Im Wesentlichen könnte die Schwierigkeit von 128 Bit auf 64 Bit reduziert werden. Dies ist zwar eine erhebliche Verringerung, doch würde dies einen viel größeren Quantencomputer erfordern als einen klassischen. Zweitens wäre jeder Versuch um mehrere Größenordnungen langsamer. Drittens ist die Möglichkeit, dies durch den "Kauf von mehr Hardware" zu kompensieren, aufgrund der unzureichenden Verfügbarkeit von Hardware begrenzt.
Außerdem ist der 64-Bit-Schwierigkeitsgrad derzeit knackbar, aber er steht kurz davor, "in der Regel den Aufwand nicht wert" zu sein. Die Herausforderungen des Quantencomputings machen es "im Grunde genommen nie lohnenswert", Seed-Phrasen zu bruteforcen.
Abschließende Überlegungen
Brute-Force ist für die Sicherheit von Seedphrases und privaten Schlüsseln kein großes Problem. Es ist höchst unwahrscheinlich, dass eine Einzelperson oder ein Unternehmen über die finanziellen und technologischen Ressourcen verfügt, um ein geladenes Krypto-Wallet akribisch zu durchforsten und Brute-Force einzusetzen.
Selbst mit einem Quantencomputer kann derselbe Algorithmus, der bei Seed-Tests von Quantencomputing profitieren könnte, auch das Bitcoin-Mining um einen ähnlichen Faktor beschleunigen und dabei viel weniger Rechenleistung erfordern als Brute-Force-Versuche. Einfach ausgedrückt: Das Mining von BTC und anderen Kryptowährungen ist weitaus profitabler als der Versuch, Seed-Phrasen mit Brute-Force zu erzwingen.
Saatgutphrase sicher aufbewahren
Ihre Sorge sollte nicht den Schwachstellen aus der Sicht der Brute-Force-Methode gelten, sondern vielmehr der Art und Weise, wie Sie Ihre Seed-Phrasen sichern und speichern. Die Seed-Phrase ist das einzige Hindernis für den Schutz Ihrer Daten vor neugierigen Blicken. Wir haben viele Szenarien erlebt, in denen Menschen versehentlich ihre Seed Phrases preisgeben oder sie auf kompromittierten Geräten speichern.
Die Tangem Wallet erlaubt es Ihnen, eine sichere Krypto-Wallet einzurichten, ohne eine Seed-Phrase zu verwenden. Es generiert Ihren privaten Schlüssel offline in einem sicheren Chip und gibt ihn niemals an jemanden weiter; nicht einmal an Sie oder Tangem. Holen Sie sich noch heute eine kernlose Hardware-Geldbörse und genießen Sie die Gewissheit, dass Ihre Ersparnisse/Investitionen immer vorhanden sind.