Feedback zu Blockchain vs PKI

3sp0 · 9. April 2021 um 14:38

Hallo und vielen Dank erst einmal für die Aufarbeitung interessanter Themen. Danke sehr! Gerne weiter so.
Zum Feedback: Ich muss sagen mir haben sich die Zehennägel umgeklappt beim Teil über Blockchain vs PKI. Hier werden einfach Äpfel mit Textmarkern verglichen. Wenn man darüber nachdenkt, wie man schnell und relativ einfach Zertifikate von verschiedenen Stellen ausgeben und zur Not auch teilweise zurückziehen kann, dann ist eine PKI einfach ein no-brainer. Die Prüfung ist trivial und offline möglich. Der QR-Code enthält die Daten und das Arzt-Zertifikat. Zunächst gucke ich, ob das Arzt-Zertifikat auf einer Blacklist steht, falls ja, abbrechen. Ich kenne das Root-Zertifikat und muss nur gucken, ob das Arzt-Zertifikat mit dem Root-Zertifikat signiert wurde. Dann prüft man, ob die Daten mit dem Arzt-Zertifikat signiert sind. Wenn also alle Signaturen stimmen, dann ist das Zertifikat gültig. Kann wahrscheinlich selbst auf einem etwas besseren Taschenrechner berechnet und gespeichert werden. Es gibt keine zentrale Datenbank. Alle Daten werden direkt im Impfausweis gespeichert.

Wie machen die das gleiche in einer Blockchain? Zwei mögliche Szenarien:

Die Daten und eine ID sind im QR Code (das ist wichtig für später bitte kurz merken: Daten im QR-Code) und in der Blockchain wird nur das Paar aus ID und Hash über die Daten abgelegt. Wenn ich jetzt offline einen Impfausweis auf Authentizität prüfen will, dann muss ich die GANZE Blockchain runterladen und auf meinem Prüfgerät parat halten. Jedes mal wenn ich einen Impfausweis prüfen will muss ich mir die ganze Blockchain angucken, jeden einzelnen Eintrag. Ich muss immer die ganze Blockchain angucken, weil dieser Spezifische Impfausweis, bzw. die ID ja zu einem späteren Zeitpunkt als ungültig erklärt werden kann. Zum Vergleich: am 27.3.2020 war die Bitcoin Blockchain 328GB groß. Natürlich werden wir nicht annähernd in die Nähe davon kommen: Sagen wir mal pro Eintrag braucht man 32byte für den Hash 32byte für die ID und nochmal 32byte für den Hash des vorherigen Blocks. Also etwa 100Byte pro Impfung. Bei nur 10 Millionen Impfungen ist diese hypothetische Version einer Blockchain schon bei 1GB. (Ja, wenn die Blocks mehr als einen Eintrag enthalten, dann wären es minimal ca 666MB). Das zu durchsuchen dauert. So kann es nicht praktikabel sein. Ich vermute, dass die Überprüfungen dann auf irgendwelchen Clustern laufen würden, also nur mit Internet praktikabel sind. Wahrscheinlich werden die auf den Clustern dann auch nicht die Blockchain verwenden, sondern sinnvolle Datenbanksysteme, um die Rechenzeit kurzzuhalten. Die Blockchain wäre dann wirklich einfach nur da, damit man den Blockchain-Bonus bezahlen kann/muss.
Alle Daten stehen zentral in der Blockchain. Auf dem QR-Code wäre dann nur ein Verweis auf einen Eintrag in der Blockchain. Das wäre ja wohl der Supergau. Einfach mal alle Gesundheitsdaten bezüglich Corona in einer Datei bzw. Blockchain speichern. Klingt nach einer sehr guten Idee. Alle Probleme die ich in 1) nenne treffen auch hier zu, nur noch viel schlimmer, da mehr Daten in der Blockchain liegen.

Meiner Meinung nach gibt es keinen einzigen Grund hier eine Blockchain zu verwenden. Im Gegenteil, man holt sich damit jede Menge neue Probleme rein. Für mich einfach nicht nachvollziehbar. Jeder, der sich schon mal über so was Gedanken gemacht hat, weiß, dass hier eine PKI die passende Lösung ist.

TimDuran · 9. April 2021 um 22:42

FÜNF BLOCKCHAINS!!!

Ich kann hier nur Folge 385 von Logbuch Netzpolitik empfehlen: LNP385 Fümpf Blockchains!!! | Logbuch:Netzpolitik

Hier nehmen Tim und Linus mal das auseinander, was die Regierung da mit dem Impfausweis so vorhat.

TLDR: Im Grunde gibt es EINEN EINZIGEN Grund eine Blockchain zu verwenden: Um den Besitz eines Bits, lückenlos von seiner Erstellung, bis zum aktuellen, und allen zukünftigen Eigentümern nachvollziehbar zu machen und zu signieren.

Das war’s. Der Impfpass wird aber (so jedenfalls mein aktueller Stand…) NIEMALS seinen Besitzer wechseln! Die Nutzung einer Blockchain für diesen Impfpass, ist somit völlig sinnlos. Hier haben sich die Verantwortlichen ziemlich sicher vom Hype-Begriff blenden lassen…

Damit aber nicht genug. Nicht nur, dass die Blockchain hier völlig sinnfrei eingesetzt wird. Nein, es werden sogar FÜNF BLOCKCHAINS zum Einsatz gebracht!!!

Als der Herr von IBM von dem Treffen in der Firmenzentrale wieder eingetroffen ist, sind wahrscheinlich erstmal die Sektkorken geflogen und man hat sich kaputtgelacht, dass man den Deppen nicht nur eine, sondern gleich FÜNF Blockchains untergejubelt hat…

3sp0 · 10. April 2021 um 09:38

Alles richtig. Mir geht es in diesem Beitrag darum darzustellen, dass die Blockchain eine ungeeignete Technologie ist. Es ist nicht so, dass die einfach nur komplizierter wäre. Nein, die hat erhebliche Nachteile. (Zum Beispiel vermutlich keine offline-checks).

TimDuran · 10. April 2021 um 11:25

Da stimme ich Dir zu 100% zu! Für den hier benötigten Zweck ist eine Blockchain (geschweige denn FÜNF BLOCKCHAINS!!!) völlig fehl am Platz.

fab · 10. April 2021 um 22:42

Hallo liebes Die-Lage-Team,

ich bin ebenfalls ein IT-ler und finde, dass Ihr einen Aspekt etwas unterschlagen habt. Etwa bei Minute 89 im podcast relativiert Ihr die negativen Konsequenzen einer Blockchain-Lösung und sagt, dass es vielleicht die etwas zu große und unhandliche Lösung sei, aber es sei ja die Hauptsache, dass sie am Ende funktioniert. Ich stimme grundsätzlich zu, dass es möglich ist eine Blockchain-Lösung umzusetzen, aber das Ausmaß dieser technischen Fehlentscheidung und die impliziten Folgen habt Ihr noch nicht ganz erfasst.

Ich habe selbst in meiner beruflichen Vergangenheit schon als „Blockchain“-Experte viele potentielle Pilotprojekte und Geschäftsideen aus technischer Perspektive bewerten sollen. Wirklich qualifiziert war ich dazu nicht - als Student. Doch ich rutschte in diese Rolle, weil ich relativ früh selbst Kryptowährungen besaß. In dieser Zeit war ich zu Anfang mit Feuereifer dabei - Es ging um permissioned Blockchains, Multichain, Smart Contracts… Allerdings war ich von den Ideen die an mich herangetragen wurden zunächst verwirrt und und im weiteren Verlauf zunehmend konsterniert. Es waren ausschließlich Ideen, die man einfach besser ohne Blockchain umgesetzt hätte. Nach anfänglichem begeisterten drauf-los-coden, versuchte ich irgendwann, diesem Thema aus dem Weg zu gehen.

Und nicht nur mir ging es so: Alle technisch versierten Kolleg_innen die zu diesem Zeitpunkt mit mir zusammen arbeiteten haben das früher oder später realisiert und sich anderen (sinnvollen) Projekten zugewandt. Übrig blieben immer viele hübsch designte Marketing-Slides, aber kein tragfähiges technisches Produkt und vor allem: keine kompetenten Entwickler_innen, die daran motiviert gearbeitet hätten.

Ich denke es ist hochriskant, in eine technisch schlecht durchdachte Lösung von staatlicher Seite so viel Geld, Zeit und Commitment zu investieren. Es besteht das Risiko, dass wir am Ende etwas bekommen, was wirklich schlecht funktioniert (s. DE-Mail, beA, PC-Wahl), teuer ist, Sicherheitslücken aufweist und zwar nicht, weil es unmöglich ist Blockchain auf dieses Problem anzuwenden, sondern weil die Menschen die diese Lösung am Ende entwickeln müssen frustriert sind, schlechte Stimmung im Betrieb herrscht, Schlüsselpersonen das Unternehmen verlassen, hohe Personalfluktuation herrscht und am Ende irgendetwas von denen hingeschustert wird, die aus persönlichen Gründen das Unternehmen nicht verlassen können.

Was denkt Ihr wie sich die Entwickler_innen bei Ubirch zurzeit mit der Situation fühlen, deren Produktidee ursprünglich eine volkommen andere war? Ihnen gilt aktuell der Spott der gesamten IT-Branche in Deutschland. Und das schlimmste ist - Diese Personen wissen wahrscheinlich, dass vollkommen zurecht gespottet wird. Da kann doch nichts funktionsfähiges bei herauskommen!? Ich hoffe sehr, dass Deutschland doch noch auf die europäische PKI-Lösung umschwenkt, so wie wir auch von einer zentralen, proprietären CWA auf eine dezentrale, Open-Source Lösung umgeschwenkt sind.

vieuxrenard · 10. April 2021 um 23:07

Die deutsche Lösung soll angeblich mit den europäischen Vorgaben kompatibel sein. Also wird es wohl auch irgendeine PKI Struktur geben. Wozu man dann noch die Blockchain braucht weiß ich allerdings auch nicht …

Sascha_L · 12. April 2021 um 06:22

Wie machen die das gleiche in einer Blockchain? Zwei mögliche Szenarien:

Die Daten und eine ID sind im QR Code (das ist wichtig für später bitte kurz merken: Daten im QR-Code) und in der Blockchain wird nur das Paar aus ID und Hash über die Daten abgelegt. Wenn ich jetzt offline einen Impfausweis auf Authentizität prüfen will, dann muss ich die GANZE Blockchain runterladen und auf meinem Prüfgerät parat halten. Jedes mal wenn ich einen Impfausweis prüfen will muss ich mir die ganze Blockchain angucken, jeden einzelnen Eintrag.

Wenn ich mir das PDF von Ubirch ansehe ist Ubirch auch zentraler Teil des Verifikationsprozesses. Und da Ubirch auch zentral die Verankerung der Daten in den Blockchains vornimmt, können die die Prüfung wahrscheinlich auch effizient durchführen. Warum man bei so einer zentralen Instanz mehrere Blockchains braucht? Keine Ahnung.

proton · 12. April 2021 um 15:06

Da man eh schon Fachkräftemangel hat in der Informatik, warum möchte man dann auch noch zu einer Nische, wie Blockchain greifen, obwohl es viele gute verteilte hochskalierende Datenbanklösungen gibt mit denen Experten auch jede Menge Erfahrungen haben. Insbesondere, wenn schnell eine zuverlässige Lösung gefunden werden soll ist das doch das A und O. Warum experimentiert man da mit Blockchain?