Bitcoin Forum

Buenas, 

Voy a empezar a guardar los BTC en monederos de papel, ya que desconfio de todo lo que tenga www.
Pero claro , cuando me pongo a ver las webs de monederos de papel  pienso si las cuentas que crean con la clave privada ellos no la guardan no ¿
No quiero por ejemplo guardar los btc que tengo en un monedero de papel y luego que digan que alguien entro en la web y robo todos los monederos guardados y sus claves privadas.
El monedero que veo es este

https://bitcoinpaperwallet.com/

 ??? ???

La gracia del monedero en papel es crearlo sin conexión a internet. Te descargas algo que genere el wallet (por ejemplo NoBrainr o bitaddress), te desconectas o te vas a un ordenador aparte sin conexión, y trabajas ahí. Luego imprimes y a dormir tranquilito.

es curioso que cites esta web....

es que la he utilizado haces algunos meses, lo que hice fue generar un PDF desde su web y después hice mi proprio "paper wallet", ya que utilicé el pdf generado y puse una brainwallet q utilizo, de modo a tenerla tbm como paper wallet, no tiene los ahorros de mi vida, pero si tiene "algo".. ;)

Si sabes inglés, mirate este tutorial: https://www.youtube.com/watch?v=V6gUEu0ENYM

Quizas no sea perfecta, pero de camino explica muchas cosas importantes y interesantes. Desconfiar es lo mejor a la hora de hacer paper-wallets.

Vídeo no disponible

También puedes hacerlo con el cliente oficial de esta manera te aseguras de que no han manipulado el programa.
Todo por mejorar la seguridad.
Es un poco más complicado pero te garantizas cierta seguridad.

Jaja, si que raro.. le banearon la cuenta. Bueno, la manera que recomendaba el video era la de...

1. Ubuntu LiveCD en USB + www.bitaddress.org (descargarlo - esta en github)
2. Arrancar desde USB
3. Generar varias claves publicas/privada SIN CONEXION a Internet
4. Imprimir, apagar sistema y destruir ( :P )

No tiene tampoco tanta ciencia. Lo que me preocuparia a mi es que la tinta en el papel con el tiempo desaparezca :-[

ja ja ja noooooo. Puede pasar eso? nunca vi hojas borradas.
Por las dudas hacer un par y guardar en lugares distintos, contra inundación, incendio o que las termitas se coman el papel
ja jaja

Un día leí de un perro, que encontró el paquete de dólares del dueño y se lo estaba comiendo...
creo que le masticó la mitad de los billetes ja ja

Tal como he mencionado hoy mismo en algún hilo inglés, yo tengo 3 copias del mío: una en casa, otra en el curro y la tercera al otro lado del Mediterráneo :).

Lo malo de este método es que te lo robe un caco, del los de toda la vida. ;D
Cuantas más copias tengas más susceptible de ser robado. ;D

Yo sigo prefiriendo usar el cliente oficial, solo tienes que exportar la clave privada imprimirla y listo

Con el cliente oficial no es nada difícil:

Modo paranoico hacer el paso 0 y 5:
0) Formateas un computador (con linux ubuntu, Debian, ...  lo que sea que soporte QT), instalas bitcoin-qt, no has conectado a internet este computador, ni siquiera en la instalación (implica que en una USB o CD ya tienes una distribución de linux y un instalador de bitcoin-qt confiables).
1) Abres bitcoin-qt y abres la consola (Help-> Debug Window-> Console).
2) Si cifraste la wallet pones el comando: walletpassphrase tu_clave 600
3) Luego obtienes la clave privada de una de tus direcciones con el comando: dumpprivkey Tu_Direccion
4) Imprimes la clave privada y la aseguras (guarda la dirección asociada para que luego puedas transferir tus monedas ahí sin tener que importar la clave en otro cliente o plataforma en linea)
5) Destruyes tu wallet.dat con algún programa de borrado seguro y formatea nuevamente el computador para usarlo para cualquier otra cosa (obviamente, no destruyas tu billetera si tienes bitcoins en otras direcciones de la misma wallet).
6) Metes tus ahorros en esa dirección, puedes ir ahorrando en esa dirección durante toda tu vida, y puedes dormir tranquilo.

El día de tu jubilación:

0) Buscas el papel que seguro olvidaste dónde lo dejaste.
1) Importas la clave en algún servicio en linea o cliente, en el cliente oficial se usa el comando: importprivkey Tu_Clave_Privada

NOTA: prueba un par de veces todo el proceso con pequeñas cantidades antes de depositar una cantidad importante en tu billetera de papel.

como vas destruir el wallet.dat no es necesario que lo cifres.

De acuerdo, si que es bueno este metodo yo le veo de positivo no tener que preocuparte tanto de la entropia a la hora de crear las llaves. +1

Ya, obviamente, el cliente oficial se descarga aqui: http://bitcoin.org/en/download y lo verificariamos con la firma sha256sum. Me gusta.

Además del cliente oficial, puedes usar electrum para crear el monedero en papel, con electrum es más fácil, pues con ponerte encima de una dirección y con el botón derecho del ratón escoges llave privada y se te muestra. ;D

Yo no aconsejo usar NoBrainr su enlace para descarga http://trax.x10.mx (http://trax.x10.mx) no porque sea o no inseguro, sino porque no esta suficientemente testeado como puede ser bitcoin-qt y electrum.
Ni www.bitaddress.org http://www.bitaddress.org (http://www.bitaddress.org) por los mismos motivos que el anterior.

Además si se detecta posibles vulnerabilidades en el generador de entropía de bitcoin-qt y electrum. Se recomienda hacer otro monedero de papel y transferir todo el saldo del que se encuentre sospechoso.

HOla, disculpen la interrupción pero quisiera preguntar algo: ¿a qué se refieren con "entropía"?
Conozco el término en física, pero no entiendo en qué sentido se lo nombra aquí, para esta tecnología.
Gracias

Es el nivel de incertidumbre que hay en un número aleatorio.

OK entiendo, perfecto.
Ahora cómo hacemos para detectar "posibles vulnerabilidades en el generador de entropía de bitcoin-qt"

¿hay indicios en los resultados de las claves? cuales son los síntomas de esas vulnerabilidades?

Gracias

Uno de los inconvenientes con los computadores es que son malos generando números totalmente al azar, los números generados en un programa de computador de sobremesa son el resultado de una función determinista (a la misma entrada, la misma salida), la función depende necesariamente de parámetros de entrada y otras constantes, las funciones hash permiten que la respuesta de la función sea muy diferente en la presencia de parámetros de entrada similares, pero el punto delicado está en determinar cuáles parámetros de entrada son los adecuados, no sé si entiendes la dificultad, tenemos que escoger un parámetro en donde aseguremos que el resultado de la ejecución de la función en otro momento, o en otro computador sea distinta, si no se escogen bien estos parámetros, la función podría tender a usar las mismas entradas, y aumentar así el riesgo de que por ejemplo, dos clientes bitcoin generen la misma llave privada. Para la gente normal parece fácil escoger un parámetro cualquiera, pero cuando se trata de asegurar el azar total, es un problema muy complejo para cualquier ingeniero o matemático.

Supongamos que somos los desarrolladores del programa generador de llaves privadas, se nos ocurre escoger como parámetro de entrada el tiempo en milisegundos en el cual se ejecuta la función hash, al principio resulta racional pensar que ningún cliente va a ejecutar la función en el mismo milisegundo, pero nadie podría confiar totalmente en eso con los miles de clientes y las miles de direcciones que cada uno puede generar, tendríamos demasiado riesgo de colisión. Pero el mayor peligro estaría en que alguien con el conocimiento de cómo trabaja nuestra función podría simplemente recorrer el espacio de posibles entradas (todos los milisegundos desde que se lanzó bitcoin hasta hoy), y así obtendría todas las llaves privadas que existen.

Hay muchas "soluciones", unas mejores que otras, el ejemplo que puse es un ejemplo de juguete, el verdadero problema existe en asegurar que los parámetros de entrada son distintos (o totalmente aleatorios), en todas las ocasiones que se ejecute la función, en todos los computadores que se ejecute nuestro programa. Se podría pensar en agregar parámetros "imposibles" de predecir, en éste momento se me ocurre la temperatura, pero si sabemos que la temperatura de la mayoría de lugares se mueven entre ciertos rangos, y que hay un límite de precisión, cualquiera podría también recorrer todos los posibles valores para la temperatura, además depender de que el cliente tenga el hardware necesario para medir la temperatura es impráctico.

Otras soluciones toman variables generadas por el mismo usuario, los humanos somos mucho mejores en generar comportamientos aleatorios, así, algunos programas usan variables como la cantidad de memoria usada en ese momento (la cual depende de los programas y acciones que el usuario se encuentre ejecutando en ese momento), movimientos recientes del mouse, historial reciente de entradas del teclado, etc. Por eso algunos programas que pretenden ser muy seguros te piden que tu generes la aleatoriedad necesaria, como por ejemplo te piden que muevas el mouse, a medida que lo mueves el programa lee la ubicación del puntero y genera así el parámetro aleatorio. Esta clase de técnicas funcionan bien, pero al usuario le resulta extraño que le pidas hacer cosas extrañas, además, también se podría por ejemplo encontrar una tendencia de cómo un cliente promedio mueve su mouse cuando el programa se lo pide, el rango de memoria usada en el computador promedio, las teclas que un cliente usa generalmente, etc, y así nuevamente recorrer una buena cantidad de posibles valores, causando las colisiones. Aunque los humanos somos mejores que los computadores en esto, seguimos siendo muy malos para generar aleatoriedad absoluta, pues todos tendemos a regirnos por patrones de comportamiento medibles, replicables y en muchos casos predecibles.

No estoy seguro de cómo el cliente bitcoin actual genera los números al azar de las llaves privadas, sería interesante verlo, pero el problema es difícil de resolver, por eso siempre hay riesgo de que alguien se de cuenta de que esos parámetros siguen una tendencia replicable, en cuyo caso se podría emitir un parche para mejorar la aleatoriedad, o tal vez sea muy tarde y esto signifique un robo masivo, o incluso llegue a colapsar la moneda, es improbable que ésto suceda en este momento con tanta gente inteligente al rededor del desarrollo bitcoin, pero de tanto en tanto podríamos ver estos pequeños parches para mejorar aún más la aleatoriedad.

no podría haberlo explicado mejor.
Corto conciso y con ejemplos.

Tanto bitaddress.org como bitcoinpaperwallet.com (internamente basado en el código del primero) son dos recursos excelentes. El riesgo de utilizarlos en línea es muy bajo pero, lógicamente y como se comenta más arriba, es más seguro guardar copias offline y generar las direcciones desde un ordenador no conectado a Internet, especialmente si uno quiere destinar las direcciones generadas a guardar los ahorros a largo plazo. En el caso de bitaddress.org, hacer una copia offline es muy sencillo porque todo el código HTML, CSS y JavaScript está autocontenido en un único fichero HTML.

En el caso de precaución extrema en que hubiéramos generado las direcciones en un ordenador y una impresora no conectados a Internet (ni ahora ni nunca) y que no tuviéramos dudas sobre la autenticidad del código ejecutado, la única vulnerabilidad posible estaría en algún fallo en la generación de números aleatorios del código en JavaScript. A veces se ha planteado la duda de que la calidad de los números aleatorios en este tipo de programa escrito en JavaScript pudiera no ser tan sólida como la de los ejecutables tipo Bitcoin-Qt o Electrum, que aprovechan la funcionalidad criptográfica del sistema operativo. En cualquier caso, pointbiz, autor de bitaddress.org (https://bitcointalk.org/index.php?action=profile;u=17857), continúa mejorando la herramienta y, por lo que se comenta en los mensajes más recientes del hilo relacionado en el subforo de Service Announcements, se prevé incorporar próximamente la función de JavaScript window.crypto.getRandomValues, que los navegadores web están empezando a proporcionar y que, suponiendo que esté bien implementada, debería garantizar el mismo nivel de seguridad que un programa ejecutable.

Personalmente, confío en bitaddress.org para mis ahorros porque lleva ya un par de años funcionando sin que nadie haya descubierto nunca ningún tipo de vulnerabilidad. Al tratarse de código autocontenido en un único fichero HTML, la única posibilidad de fraude sería que el autor generara claves privadas con trampa, pero estoy seguro de que algo tan burdo se habría descubierto ya. No obstante, la posibilidad de que haya debilidades en la generación de claves de las versiones más antiguas con las que generé mis direcciones de ahorro sí me está empezando a preocupar ahora que el cambio del Bitcoin está alcanzando niveles de vértigo y estoy pensando en pasar parte de mis bitcoins a direcciones generadas con Bitcoin-qt (de la manera descrita arriba por fernarios) para no depender de un solo sistema de generación de claves.

Una observación respecto al punto 6 de tu descripción (por lo demás impecable): utilizar una única dirección de ahorro supone un riesgo muy alto. Al llegar a tu punto 1 después de la jubilación, estarías exponiendo la totalidad de tus ahorros. Esto es peligroso tanto en lo que respecta a la seguridad (podríamos cargar la clave privada en un ordenador con algún tipo de malware) como a la privacidad (en la primera transacción que hagamos se verá el total de nuestros ahorros). Por eso, creo que lo más recomendable es hacerse unas cuantas direcciones de ahorro.

Por ejemplo, alguien que tenga 100 BTC podría tener cuatro direcciones con 20 BTC y otras cuatro con 5 BTC. De esa manera, con los ahorros repartidos en ocho direcciones, en el momento en que necesite gastar 3 BTC, le bastará con exponer una de las direcciones de 5 BTC, sin poner en riesgo el resto de ahorros.

Ahí está! dando pistas a los cacos!

Si yo tuviera dinero, o algo parecido, en mi casa, lo último que haría sería decirlo en un foro de internet

Yo supongo que lo dijo de esa manera para abreviar, siempre es bueno diversificar y usar las direcciones de papel una sola vez, de esta manera tienes 10 direcciones con 10 BTC y otras 5 con 0BTC, si necesitas 3BTC coges una dirección con 10BTC, usas los 3BTC y transfieres el resto a una de las 5 de reserva de esta manera nunca expondrás una dirección

Sí, lo hice con una sola dirección para abreviar, es recomendable diversificar en varias direcciones, tu verdadera billetera de papel debería tener varias claves privadas, las que quieras con la proporción de ahorros que creas conveniente, para aclarar: solo hay que repetir el comando dumpprivkey Tu_Direccion con las direcciones que creas conveniente e imprimir luego el resultado con todas las claves privadas. Yo imprimiría también instrucciones explicando de lo que se trata y el proceso de importación por si me pasa algo y algún familiar tiene que hacer el proceso (aunque esto significa que le estaré dando instrucciones a posible ladrón).

Correcto, pero el wallet está cifrado con BIP38. Los cacos tendrían que venir con una llave inglesa a partirme el cráneo, y eso lo pueden hacer para robarme los euros también. Así que publicar eso realmente no cambia nada.

No creo que sea necesario imprimir todo el proceso. Si pones en el papel que contiene 10 IBUS y que su valor a fecha es de 2000€ cada papelito te aseguro que se enteran de lo que tienen que hacer, aunque no sepan ni lo que es el bitcoin.  ;D

O le pones el enlace a este hilo, archivado en archive.org o algo asi ;D ... PD: Gracias, fernarios, por la explicación de la entropia y el problema de crear entradas realmente aleatorias. Es muy interesante.

¿Nos queda mencionar el problema del cambio? (Una vez jubilados) Si decidimos usar solo parte de los fondos en nuestro monedero, podriamos creer que lo que no usamos se queda en ese monedero, pero no siempre es asi. Esta es otra razon por la que es bueno hacer varias direcciones. Si tenemos 10 BTC y usamos 5 BTC para alguna transaccion es recomendable mandar los 5 BTC restantes a un monedero nuevo (o alguna otra direccion que nos pertenezca). Si no, nos podria dar una mala sorpresa cuando vayamos a ver cuanto nos queda. Igual esto no sucede con otros clientes como Electrum (no lo se) pero si que se da el caso con el cliente oficial.

Vease: http://www.reddit.com/r/Bitcoin/comments/1c9xr7/psa_using_paper_wallets_understanding_change/

En elecrum si vas a "Ajustes de Electrum" puedes desactivar "usar direcciones de cambio" y este problema no lo tienes.
En el Menú  Herramientas>Ajustes y asegurarte de que esta desmarcado la casilla usar direcciones de cambio. Por esto y otras cosas me gusta mas que el oficial. Además es más fácil importar y exportar las claves privadas.

Muy buen comentario, fernarios.

Disculpen, que son las direcciones de cambio? No entiendo lo que puede pasar si no lo desactivas.

Con el dinero fiat, cuando pagas algo que cuesta $5 con un billete de $20 te devuelven $15. Es un concepto parecido.

Toda transacción en Bitcoin tiene entradas (de donde viene el BTC) y salidas (donde se manda)... Tu dirección, por ejemplo, digamos que ha recibido dos pagos: uno de 20 BTC y otra de 10 BTC.

En total suman 30 BTC. Ahora digamos que quieres mandar 11 BTC a alguna otra dirección. El cliente (monedero) automaticamente elegirá las entradas más adecuadas.. En este ejemplo, como el pago es de 11 BTC, la entrada de 10 BTC se nos queda corto y seguramente elegirá la entrada de 20 BTC para realizar este pago. Los 9 BTC restantes es el cambio.

Cada monedero lo hace distinto, el cliente oficial usará una dirección "nueva" cada vez para almacenar estos 9 BTC. Otros clientes, como Electrum que ya mencionaron, permiten desactivar esta función.

Gracias fernarios, clarísimo.

Lo cual es una mala idea. Las direcciones deben usarse una única vez, por seguridad y por privacidad. Bitcoin está diseñado con este principio, quien lo diseñó no hizo que hubiera 2^160 direcciones posibles por gusto, lo hizo para que nunca nos fueran a faltar.

sirve de nada.Una buena explicación.
Añadamos que si importas una dirección y tienes activado las direcciones de cambio no pierdes los bitcoisn restantes solo se transfieren a la dirección de cambio que en el cliente oficial no se muestran, pero en Electrum si se muestran con sus correspondientes saldos.
Las direcciones de cambio se diseñaron para mejorar el anonimato. Pero se ha visto ya hace tiempo que no sirve realmente para nada y se pueden rastrear las direcciones perfectamente, solo ofuscan un poco pero nada que no se pueda rastrear.
Si sirviesen no se crearían sitios para anonimizar los bitcois. Quien te diga que tener desactivado el usar direcciones de intercambio es inseguro no tiene ni idea de lo que es el bitcoin.
Si tienes desactivado "uso de direcciones de cambio" lo único es que el cambio en lugar de ir a la dirección de cambio va a la propia dirección que lo mando.

La cantidad de direcciones es de 2^160, a partir de que se tengan creadas la cuarta parte, empezaran haber colisiones, osea que no es recomendable superar el 2^158 direcciones. Es pura probabilidad cuanto mas tires un dado más probabilidad hay de que vuelva ha salir un numero que ya hubiese salido, este dado tiene 2^160 caras.

Editado y corregido
Había puesto 2^40 cuando realmente es 2^158 que es muy diferente.

2⁴⁰ no es la cuarta parte de 2¹⁶⁰.

La cuarta parte de 2¹⁶⁰ es

2¹⁶⁰/4 = 2·2·2¹⁵⁸/2·2 = 2¹⁵⁸

No voy a describir lo ridículo es que es el número 2⁴⁰ frente a 2¹⁶⁰ porque no merece la pena.

Tienes toda la razón es que cada día que pasa me vuelvo más estúpido.

No te preocupes, todos metemos gazapos. Éste es un sitio para debatir y cada persona tiene un punto de vista diferente de las mismas cosas, es importante respetar las opiniones de los demás aunque no concuerden con las nuestras.

Postada: En ocasiones tras publicar el mensaje lo releo y prefiero modificar algo de modo que alguna cita de vez en cuando, como en el caso anterior, muestra la edición antigua del mensaje, lo siento, no es intencionado. Tendré que usar más la opción de previsualizar.

Si tienes razón yo suelo mandar los mensajes sin pensar mucho ni revisarlos.
PD
Para eso esta la opción editar ;D
Con los años uno empieza a perder neuronas.

Yo me acostumbré a usar esto en otro foro donde se recomendaba de vez en cuando. Tanto en aquel sitio como aquí he llegado a previsualizar hasta 8 veces antes de publicar :).

Edito :P :P: y es que en aquel foro no solamente se recomendaba, sino que la primera vez que escribías el mensaje no tenías la opción de publicar, sólo la de previsualilzar. Sólo después de previsualizar una vez ya te salía el botoncito de "Post".

Hay otras razones más importantes para que haya tantas direcciones posibles, aparte de que "se acaben". De hecho si las direcciones "se acabasen" el problema no sería el anonimato, sino directamente perder tus bitcoins porque alguien podría generar tu propia clave privada

Las direcciones no se van acabando en ese sentido, la generación de nuevas direcciones no sigue un orden particular, la posibilidad de que la próxima dirección generada sea igual a la tuya será la misma hoy que dentro de 100 años. Si tiras un dado hay 1/6 de probabilidad de sacar 5, si lo tiras un millón de veces, la posibilidad de sacar 5 seguirá siendo de 1/6. Además el número de las direcciones en uso (con fondos para robar) no podrá superar el número de satoshis en la red 2.100.000.000.000.000, esta cantidad es muy pequeña comparada con el total de direcciones posibles, por lo tanto nonca se alcanzará el 1/4 del que hablas, o sea, tal ves sí puedas colisionar con alguna dirección anterior pero la posibilidad de que hayan fondos seguirá siendo ínfima.

Lo que sí puede aumentar es la frecuencia con que se tira el dado, a medida que crecen los servicios y usuarios, pero ya hemos discutido en muchos hilos la ínfima posibilidad que hay de que la colisión ocurra, y si llega a ser un peligro en el futuro, con solo aumentar un byte al tamaño de las direcciones ya estaremos seguros por muchos años mas.

Estoy de acuerdo en que la ofuscación que dan las direcciones de cambio es reducida. Pero hay otra razón más importante por la que se desaconseja reutilizar direcciones. Cuando se hace un pago de una dirección 1a a otra dirección 1b, se publica en la transacción la clave pública de 1a, pero no la de 1b. Esto quiere decir que la red Bitcoin contiene a la vista de todo el mundo las claves públicas de las direcciones que han sido origen de transferencias. Debido a eso, si todo mi saldo se encuentra en direcciones que nunca han sido origen de pagos podré dormir más tranquilo, ya que estoy protegido por la seguridad criptográfica de tres operaciones: 1/ la generación aleatoria de la clave privada, 2/ el cálculo de clave pública mediante el algoritmo ECDSA y 3/ el cálculo de dirección mediante dos rondas de SHA-256 (edito: y una de RIPEMD-160). Quienes reutilizan direcciones pierden este tercer nivel de seguridad. Esto sería fatal si un día alguien rompiera el algoritmo ECDSA encontrando un algoritmo inverso para pasar de la clave pública a la privada. En ese momento, y hasta que se introdujera una nueva forma más sofisticada de firma digital, todas las direcciones reutilizadas pasarían a ser inseguras, mientras que las no reutilizadas estarían protegidas por SHA-256 (edito: y RIPEMD-160).

Y es más: quien realiza pagos repetidos usando la misma clave privada para firmar, publica no solo la clave pública (la misma, varias veces) sino varias firmas hechas con la misma clave privada. Esto va reduciendo poco a poco el esfuerzo que hay que hacer para averiguar la clave privada a partir de las firmas conocidas. Los usuarios de android lo saben bien…

De acuerdo que la reducción en ese esfuerzo no es significativa hoy en día (excepto bugs gordos como el que ya hemos visto) pero dentro de X meses o años puede descubrirse una vulnerabilidad en ECDSA así en plan "con 8 firmas te averiguo la clave privada en una semana". Y no debemos olvidar que la NSA está en el ajo.

En fin, que no reutilicéis direcciones. Yo por mi parte he quitado el "Firstbits: 12345" que tenía ahí debajo de kitty, y en mi perfil he editado el campo "Your bitcoin address".

En eso estoy de acuerdo, cuanto más uses una dirección más propenso es encontrar la clave privada, pero es del todo ridículo lo que mejora en su descifrado. Es más fácil que se encuentre una colisión. Además eso no es lo mismo que las direcciones de cambio, las cuales se usan para recibir el cambio en caso de necesitar dividir la moneda, quizás porque me gusta más controlar yo las direcciones y no el cliente prefiero tener desactivado las direcciones de cambio. Yo suelo recomendar sobretodo con monederos en papel y de gran cantidad, es que se usen una sola vez pero si te quedan unos satosis nadie se va a matar para intentar sacártelos. Por eso el otro pos puse que se creasen direcciones en papel con 0BTC para pasar los sobrantes de un pago en una dirección de papel. Lo mejor suele ser crear la mitad con 0.
Si creo 10 direcciones de papel con 10btc cada una creo otras 5 con 0btc.

Supongo que te refieres a que es ridículo que alguien pueda encontrar la clave privada a través de la pública por fuerza bruta (y, además, para eso sería mejor aplicar la fuerza bruta directamente sobre la dirección). Pero no lo es que en los próximos años se pueda descubrir un algoritmo que permita hallar la clave privada con complejidad no exponencial. Otra posibilidad es que se lleguen a construir auténticos ordenadores cuánticos. Creo que ya se conoce una variante del algoritmo cuántico de Shor que permite precisamente hacer ese cálculo inverso de claves ECDSA en tiempo polinomial. En definitiva, la criptografía de curvas elípticas seguramente dejará de ser segura en algún momento futuro.


Es lo mismo en el sentido de que no utilizar direcciones de cambio implica reutilizar direcciones.

Por cierto, me he dado cuenta de que en mi último mensaje olvidé mencionar que la dirección no reutilizada está protegida no por una sino por dos funciones criptográficas, ya que se usa también RIPEMD-160 en el cálculo de la dirección. Esto da un nivel adicional de seguridad, ya que para poder pasar de la dirección a la clave pública habría que romper dos funciones criptográficas, la SHA-256 desarrollada en EE UU y la RIPEMD-160 desarrollada en Europa. A Satoshi no se le pasaba ni una.

Mi mensaje, al que probablemente haztecoin está respondiendo, se refería a averiguar la privada a partir de las múltiples firmas hechas cuando se hacen múltiples envíos usando la misma clave privada. Por ejemplo, en la transacción d08efb37e631000781a6f118b5741562d26da1d2f358b2ce50d945be2e9021db (http://blockchain.info/tx/d08efb37e631000781a6f118b5741562d26da1d2f358b2ce50d945be2e9021db), la clave privada asociada a la dirección 19GgbRa54uQKkuvpWtajV86BurRuubvk12 se usa 4 veces, para firmar 4 salidas. He aquí las firmas y las claves públicas:


Las firmas son distintas, por supuesto; la clave pública es naturalmente la misma. Ante una hipotética vulnerabilidad de ECDSA que permitiera obtener la clave privada a partir de múltiples firmas hechas con ella, reutilizar direcciones abre la puerta para que te vacíen el monedero.

Las probabilidades de esto tal como está el panorama hoy día son las de siempre, cero coma cero cero cero bla bla bla, pero hay gente haciéndole cosquillas a ECDSA según escribo esto y en cualquier momento puede saltar la liebre.

Corrijo una tontería que escribí en mi último mensaje, para que no quede ahí para la posteridad:


Me equivoqué al apuntar en ese breve comentario entre paréntesis, ahora tachado, que sería más "fácil" hacer un ataque de fuerza bruta sobre la dirección que sobre la clave pública. En principio, parecería lógico que así fuera porque las posibles direcciones privadas son 2²⁵⁶ mientras que el total de direcciones son 2¹⁶⁰ (es decir, cada dirección Bitcoin puede ser generada por alrededor de 2⁹⁶ pares diferentes de claves pública y privada). Pero pasé por alto que la seguridad del algoritmo ECDSA de N bits es en realidad de N/2 bits. Esto quiere decir que dada una clave pública de N bits se puede encontrar la clave privada en un máximo de 2^N/2 operaciones. En el caso de Bitcoin, serían 2¹²⁸ intentos, muchos menos que ir probando claves privadas hasta dar con uno de los 2¹⁶⁰ valores posibles de la dirección. Por lo tanto, incluso en el caso de los ataques de fuerza bruta, conocer la clave pública "facilita" las cosas.

Para quienes tengan curiosidad por la explicación matemática, la razón de que basten 2¹²⁸ intentos y no haya que probar uno a uno con todos los casi 2²⁵⁶ posibles valores de la clave privada es la existencia de un algoritmo conocido como "algoritmo del canguro" o "algoritmo lambda" de Pollard, que permite ir avanzando a saltos. La primera vez que vi una mención a ese algoritmo fue en un mensaje de gmaxwell en este foro (https://bitcointalk.org/index.php?topic=186105.msg1935535#msg1935535). Para más detalles, hay un artículo en la Wikipedia inglesa: http://en.wikipedia.org/wiki/Pollard's_kangaroo_algorithm .

Si en algún momento revientan el cifrado de curvas elípticas el bitcoin no valdrá nada.
Una de las peculiaridades es que las direcciones del bitcoin son perpetuas.
En ese caso habría que crear otra moneda que usase un algoritmo no sensible a dicho ataque.
Si una dirección puede crearse con barias claves el echo de que puedas usar más claves para dicha dirección es más inseguro que solo puedas usar una. ;D

De todas maneras esto son cosas irrelevantes pues siempre se pueden atacar por otros lados, el ataque del 51% es mucho más económico y factible que atacar el cifrado de curvas elípticas incluso teniendo millones de transacciones firmadas, o atacar directamente todos los nodos de la red es mucho más fácil que atacar el cifrado teniendo o no la clave publica y con millones de transacciones hechas.

No valdrán nada las direcciones reutilizadas. Quienes no reutilizamos direcciones seguiremos teniendo a salvo nuestros bitcoins. De acuerdo que algo así desencadenaría una crisis de confianza en el sistema y seguramente bajaría el valor, pero no tendría por qué ser un golpe mortal.

Además, las primitivas criptográficas no se revientan de la noche a la mañana. Primero habrá avances, bien a través de nuevos algoritmos clásicos o a través de ordenadores cuánticos capaces de aplicar el algoritmo de Shor, que hagan que lo que requería millones de años pase a requerir siglos o décadas. En ese momento, se considerará rota la criptografía de curvas elípticas, pero habrá tiempo para plantear alternativas y seguramente surgirán nuevos algoritmos más seguros (si no, habría que incrementar la longitud de clave, aunque eso sería un parche con problemas de escalabilidad).


Pero ya hay direcciones que son inseguras y que no deben utilizarse. Por ejemplo, cualquier dirección generada por brainwallet.org con un nombre o una palabra que esté en un diccionario común es hoy en día insegura. Si un día pasan a ser inseguras todas las direcciones reutilizadas o todas las direcciones generadas por criptografía de curvas elipticas, simplemente se ampliará el espectro de direcciones que no se deben utilizar y habrá que adoptar nuevos modelos de generación de direcciones. Con un rango de 2¹⁶⁰ valores, siempre habrá direcciones aleatorias de sobra.


Tal vez bastaría con crear nuevos tipos de script para validar las transacciones con otros modelos de criptografía (en su defecto, en curvas elípticas con tamaños de clave mucho mayores).


No. Depende de la complejidad del ataque conocido. Fíjate que si en la generación de direcciones Bitcoin omitiéramos el tercer paso de las operaciones de hash y utilizáramos directamente la clave pública como dirección, tendríamos un par único clave privada/pública mientras que en el modelo existente puede derivarse la misma dirección de un quintillón (!) de pares de clave pública/privada diferentes. Sin embargo, por lo que he comentado en mi mensaje anterior, Bitcoin sería menos seguro si no hubiera esas operaciones de hash.


Eso depende del nivel de popularidad de Bitcoin. A partir de un cierto nivel crítico, del que tal vez estemos ya muy cerca, el ataque del 51% se hace inviable. Y eso es algo que se podrá mantener durante siglos, a diferencia de la seguridad de las primitivas criptográficas, que sí tiene fecha de caducidad. Revisar y fortalecer los algoritmos de hash o el de la firma digital es algo que en algún momento futuro habrá que afrontar con el consenso necesario, mientras que el ataque del 51% es harina de otro costal porque NO es un problema de Bitcoin, sino algo inherente a cuaquier sistema descentralizado. La idea de Bitcoin y de cualquier moneda descentralizada es que el 51% de los nodos (en Bitcoin medidos según el poder computacional) serán honrados. Si no se cumple ese requisito básico, ni Bitcoin ni ningún sistema descentralizado puede funcionar.

Un ataque del 51% sirve para hacer dobles pagos, por ejemplo, pero no puedes "robar" mis bitcoins, creo que no es comparable

Sólo una puntilla:


y cualquier título o frase de cualquier canción, de libros, tweets, publicaciones en facebook, en foros… (http://arstechnica.com/security/2013/10/how-the-bible-and-youtube-are-fueling-the-next-frontier-of-password-cracking/) (en inglés, sorry!).

Si fuese necesario cambiar el algoritmo de cifrado o de hash, ese echo implicaría la creación de otra moneda, Seria el bitcoin v2 o lo que sea, pero seria otra, si lo único que se hiciese fuese aumentar la clave podría hacerse sin la necesidad de cambiar el protocolo, en este caso si que habría lista de direcciones inseguras.
Si hay que cambiar el algoritmo de firmas o el hash harían que la cadena de bloques fuese incompatible con el nuevo algoritmo por lo tanto seria necesario crear otra moneda.

Se podía crear una moneda con creación de moneda según los btcs creados de esta manera la nueva moneda empezaría donde termino la anterior.


La cantidad de nodo no es algo que crezca por su popularidad. Dentro de pocos solo algunos tendrán la cadena de bloques completo; pues resulta que el tamaño de la cadena de bloques pronto se hará insoportable para la gran mayoría. Mira el tamaño que tiene hoy en día imagínate el tamaño dentro de unas décadas.

Supongo que cuando dice diccionario se refería a diccionarios de ataque, que no es lo mismo que el de la RAE.
Estos diccionarios traen un conjunto de claves posibles, el 99 por ciento de las claves que usa la gente se encuentran en esos diccionarios el los cuales se encuentran palabras que no existen como "pk2" o "m0n0" entre otras incluyendo frases mal escritas y populares.

Estamos ya muy off-topic y tal vez sea mejor abrir hilos nuevos (o reflotar antiguos) si queremos continuar discutiendo algunos de estos temas concretos que van saliendo, como el alcance de un ataque del 51%, los peligros de las brainwallets, las consecuencias del tamaño de la cadena de bloques, etc. Comentaré solamente una cosa que ha dicho haztecoin que no veo clara:


Incluso en los escenarios más catastrofistas, no creo que fuera necesario pasarse a otra cadena de bloques diferente. En Bitcoin las salidas de las transacciones llevan una especie de libro de instrucciones que dice las normas que se deben cumplir para liberar esa salida y poder utilizarla como entrada de otra transacción. Esas instrucciones se enuncian mediante un lenguaje de script en el que se usan operaciones codificadas como, por ejemplo, OP_HASH160 u OP_CHECKSIG y ese lenguaje de script se podría extender en el futuro. Esta es una de las partes de Bitcoin que menos conozco, pero entiendo que la adopción de primitivas criptográficas más sofisticadas podría abordarse añadiendo nuevas operaciones para hacer una nueva forma de script estándar más complejo. Además, la eventual necesidad de una criptografía más robusta es uno de los pocos casos en que sería fácil lograr el consenso necesario para hacer un fork. Ahora mismo no hay ninguna criptomoneda que no utilice la misma criptografía de clave elíptica que Bitcoin, por lo que probablemente sería más sencillo hacer algo así desde dentro de Bitcoin y no abandonándola por otra moneda creada ad hoc como reemplazo.

Aparte de eso, creo que cambiar el tamaño de clave utilizado con ECDSA sería igual de problemático que pasarse a un algoritmo totalmente diferente. Bitcoin utiliza una forma concreta de ECDSA con claves de 256 bits y con una curva base concreta (secp256k1). Esto no está parametrizado de ninguna manera, por lo que cambiar a otra curva base con otro tamaño de clave debería tener las mismas implicaciones que un cambio total en la naturaleza del algoritmo.

Quizás se entienda mejor con un ejemplo.
Pongamos que se descubre una vulnerabilidad en el SHA que permita tener el texto necesario a partir del SHA con lo que se eliminaría la necesidad de la fuerza bruta en la minería; En ese momento minar por fuerza bruta seria ridículo y usar el SHA también, entonces la gente empezaría a utilizar otras monedas como Litecoin que no usan el SHA con lo cual empezaría a perder valor el bitcoin y a aumentar el valor de las monedas no afectadas por dicho problema, pues la cadena de bloques quedaría seriamente comprometida, pues uno podría crear una nueva cadena desde el principio mucho más larga que la ya existente anulando toda la cadena

Entendía que estábamos habando del menor nivel de seguridad que dan las direcciones que se han utilizado para un pago. En eso no hay ninguna diferencia entre Bitcoin y Litecoin. Las dos usan ECDSA, SHA-256 y RIPEMD-160. Y cuando una dirección se ha utilizado en un pago, se pierde la seguridad que añaden estas dos últimas funciones de hash y quedas solo protegido por ECDSA. Supongo que al menos estarás ya de acuerdo con esto. Si no, no entiendo cuál es tu argumento para negarlo.

Lo que estás comentando ahora es otra cuestión diferente, que es la seguridad del sistema de prueba-de-trabajo. Si se descubriera una vulnerabilidad en SHA-256, podría ser necesario cambiar el algoritmo por otro, por ejemplo SHA-3 (o el propio Scrypt de Litecoin si durara más que SHA-256, que lo dudo), y ahí haría falta el consenso para hacer un fork y que a partir de un determinado número de bloque se utilizara SHA-3 para la prueba-de-trabajo. En cualquier caso, las debilidades en los algoritmos de hash se suelen encontrar poco a poco. Es un problema mucho más difícil de tratar que el de encontrar algoritmos para resolver logaritmos discretos y no parece razonable pensar que se vaya a encontrar un algoritmo que con unas pocas operaciones te revele el valor de nonce necesario que junto a unos datos arbitrarios haga que sha-256 devuelva un valor menor de un umbral. Tendría que ser algo así de brutal para que SHA-256 ya no se pudiera utilizar en absoluto. La mayoría de vulnerabilidades imaginables que se puedan encontrar, como algoritmos para producir colisiones, no impedirían seguir utilizándolo durante muchos años hasta el número de bloque en que se pasara a utilizar SHA-3, o lo que sea, para la prueba-de-trabajo. Un hard fork de este tipo no sería para nada el fin de Bitcoin.

El único problema real que supondría el fin de Bitcoin sería que fracasaran todas las primitivas criptográficas coocidas y no se encontaran reemplazos; es decir, que un día no hubiera ninguna función hash segura ni ningún sistema de clave pública segura. Pero en ese caso, morirían todas las aplicaciones de la criptografía.

Una pregunta, disculpen si no va en este hilo pero está relacionado creo.

Hagamos una suposición que recibo un pago grande, por ejemplo 1.000 BTC (es suposición por ahora no tengo posibilidades de cobrar ese dinero, ja ja)

La pregunta es ¿cuál es la mejor manera de guardarlos? por ej. hacerme 100 claves privadas de 10 btc en papel?

Espero que no sea una pregunta muy tonta.
Gracias!

La cantidad es considerable podrías hacer 100 claves de 10 btc y otras 5 de 0 btc. O podrías hacer 10000 de 1 btc.
Cuanto más diversifiques mejor. Lo más importante es que solo las uses una vez.

Una tablita para que quede todo bien ordenado.

dirección A	|saldo	|dirección B	|saldo
1.............	|1BTC	|1......	|0
1.............	|1BTC	|1......	|0
1.............	|1BTC	|1......	|0
1.............	|1BTC	|1......	|0
1.....	|1BTC

Gracias por la respuesta haztecoin, si me permitis y no es abuso ¿para qué las de saldo en 0 cero?

Como las direcciones de papel solo se deben usar una vez por seguridad, necesitas otra dirección donde trasferir el resto del dinero.
Pongamos por ejemplo, que tengo que hacer un pago de 0.5 BTC, pues el resto, los otros 0.5 BTC, los transfieres a otra dirección que no hubieses usado. Si la cantidad sobrante es pequeña, no es necesario trasferirlo a otra y la puedes dejar en el monedero online.

Bien, para terminar de cerrar el concepto, cuando decíamos mas arriba:

... Cuando se hace un pago de una dirección 1a a otra dirección 1b, se publica en la transacción la clave pública de 1a, pero no la de 1b. Esto quiere decir que la red Bitcoin contiene a la vista de todo el mundo las claves públicas de las direcciones que han sido origen de transferencias. Debido a eso, si todo mi saldo se encuentra en direcciones que nunca han sido origen de pagos podré dormir más tranquilo, ya que estoy protegido por la seguridad criptográfica de tres operaciones..

Por ejemplo aca veo ahora en blockchain
https://blockchain.info/es/address/1JLJp8A1T4FCJnbVQ5EgQhyYyhi1E1M3iD

Transferencias de 28 btc a cierta cuenta.
Los btc salen de 6 seis direcciones y van a 1 una sola.
Sin embargo blockchain muestra las direcciones origen 6 (seis) y la dirección destino ¿o estoy entendiendo mal algo?

eso es una tontería yo lo digo por seguridad pues el equipo siempre se debe considerar zona hostil. Nadie va reventar el cifrado de curvas elípticas, y si lo hiciesen el sistema no serviría de nada lo bitcoins no valdrían nada

Es un concepto criptográfico, pero dirección bitcoin es distinto de clave pública. La dirección bitcoin la obtenemos de la clave pública tras pasar esta última por unas funciones hash.

Gracias Luiscar por la respuest, pero esto es muy nuevo para mi y no se nada de criptografía, estoy recien ahora leyendo algo para introducirme en el funcionamiento de bitcoin.

En blockchain.info veo dos número (por ejemplo el link que puse arriba), por lo que me decis son direcciónes, no claves publicas, las claves públicas no se ven, ok. O sea se pasan por funciones hash y se muestran direcciones.

De todas maneras y aca viene la pregunta: ¿unas son direcciónes de salida (las seis del ejemplo que completan la transferencia de 28 btc) y otra es la dirección de entrada?
¿Es correcto?

Gracias!

En el mensaje de dserrano5 tienes en el apartado code un ejemplo de diferentes transacciones que generan firmas diferentes pero desde la misma clave pública, que es el numerajo de la derecha y que es distinto de la dirección.

Para recibir bitcoins solamente necesita publicarse la dirección pero no su clave pública, si embargo enviar bitcoins implica una firma con al clave privada y la publicación de la clave pública (obtener la dirección de la clave pública es trivial).

No se trata de una función hash, tan solo una función. Una función hash significa que a partir de un dato A, genera un dato B, pero que sería imposible que a partir de un dato B calcular A.

En el caso de la función que pasa de la clave pública a la dirección de bitcoin, es una función reversible, es decir, sabiendo la dirección pública de bitcoin, puedes calcular trivialmente la clave pública

Nope, una función hash es cualquier función computable de rango finito, de hecho las funciones hash se usan en muchos contextos asumiendo su reversibilidad.

Muchos hash se construyen como no reversibles (Función hash de un solo sentido (One-Way Hash Function, OWHF), como el de llave pública a llave privada de bitcoin), pero no todos los hash tienen que ser OWHF.

Llevas razón, me he documentado y un hash no tiene porque ser irreversible. Aun así la función que genera la dirección de bitcoin a partir de la clave pública es más bien una codificación, que un hash.

Me parece que confundes el "hash 160" con la clave pública.

A partir de la dirección puedes en efecto averiguar el hash 160, pues la dirección no es más que una codificación de este hash con algo de redundancia para detectar errores de tecleo o transmisión. Ahora bien, hallar la clave pública desde aquí no es posible.

En estos días lei de alguien que tenia en un monedero de papel como 1600 BTC o más y por accidente boto el papel!
O sea que no me parecen tan seguros los monederos de papel, botarlo es casi lo mismo que olvidar la clave... (broma)
Hablando en serio, eso si paso, pero después de 2 horas en el contenedor de basura, logro encontrar el papel y qué hizo?
se fue y lo jugo todo en just-dice.com y al cabo de unas horas los perdio!

Yo desatendiendo todas las recomendaciones tambien hice un monedero solo de papel. Ya que no voy a vender unsolo bitcoin hasta mi jubilacion dentro de 25 anos. Estoy transfiriendo ahí todos mis ahorros mes a mes. Me hice un tatoo de mi clave privada en un lugar del cuerpo que no se ve...

Con esto los secuestradores no necesitan pedir rescate. ;D

Además estarías revelando la clave privada al tatuador y a todas tus ex novias.

Pues en algo estoy confundido, porque si no puedo hallar la clave pública a partir de la dirección, no se como se comprueba la firma de una transferencia

Porque se puede comprobar una dirección con una clave publica, y cuando se firma una transacción se indica la clave publica.

Porque quien emite la transacción transmite en la misma la firma y su clave pública (para verificar la firma), sin embargo, la única información que se necesita de quien recibe los fondos es su dirección bitcoin, no siendo necesaria su clave pública ya que el que recibe el pago no ha tenido que firmar nada.

Cuando realizo una transacción, firmo las outputs que había recibido previamente, y lo hago usando mi clave privada. Al mismo tiempo, publico la clave pública para que los demás puedan comprobar la firma. En este sentido, funciona igual que PGP: lo que se firma con la privada se verifica con la pública.

Gracias, conozco la dinámica de la encriptación con claves públicas/privadas, lo que no sabía es que se incluía la pública en la transferencia, por eso no me cuadraba.

Me suge una duda, con el enorme poder de cálculo que está adquiriendo la red, sería posible en algún momento que la propia red Bitcoin reventara su seguridad?

¿Te refieres a una red tipo SkyNet de Terminator, que cobra consciencia propia? :D

Realmente no es tan poder de calculo, más bien es poder especifico de calculo, pues mucho solo sirve para minar y no para hacer nada más.

No, me refiero a que tanto poder de cálculo derive en una ruptura del cifrado.


Gracias

Antes de que haya un verdadero riesgo se habrían implementado medidas de seguridad para evitarlo.

El cliente Armory permite crear un monedero de papel sin problemas. Me parece mucho más seguro que hacerlo usando un servicio online.