Это пока недоказанная гипотеза одного человека.

Да, можно и так страховаться. Только проще выбрать какие-то большие цифры в derivation path HD-кошелька. Например, импортировать в Electrum BIP39-сид и изменить путь с m/84'/0'/0' на m/84'/38654650'/98764370'/65487659'/657654997'/876456668' - сид можно публиковать на форуме - монеты никто никогда не найдет )).

В этом я сомневаюсь, но спасибо на добром слове ).Копирующую куда?
Но пожалуйста, используйте любой дистрибутив, которому доверяете, большой разницы не вижу. Я этому вполне доверяю, он давно развивается, у него хорошая репутация (ему даже Сноуден доверял, если ничего не путаю) ), а главное - он мне удобен, там встроен TOR, Electrum, LUKS-раздел для своих данных/программ... Короче говоря, лучшего я не нашел.

То есть вы не согласны, например, с этим мнением? На чем тогда основано ваше?Еще раз перечитал тот пост - не вижу такого. Вы, видимо, как-то по-своему интерпретировали прочитанное.

В битке везде в ключевых местах двойное хеширование, а оно, вроде, неуязвимо к таким атакам.

Перечитал еще раз то сообщение, никакого дерева не увидел. Там написано, что 24 слова можно хоть в инстаграм выкладывать. Значит, считаем, что их нет. Остается sha256(пароль + соль) - брейнваллет. Какая "другая идея"?

Накосячить не получится, если сразу проверять на косяки - проводить полное дешифрование.Наверное, вы правы. Только нет таких брейнваллетов. Хотя батник с циклом sha256 даже я смогу написать ).А начали мы с сохранения сида на железяках за сотни баксов, которые не горят, не ржавеют и прочее. Имея резервную копию сида в сети (в надежном и всегда доступном месте), железяка уже не нужна, достаточно бумажки. В общем-то, главный акцент был на этом надежном и отовсюду доступном месте хранения. А остальное уже спонтанно наросло и не оптимизировано.

Я считал, что это и так понятно. И тема здесь не про Electrum (то, о чем вы пишите, получается из-за неверного перевода в интерфейсе слова "sweep", его там перевели как "импорт"). Но добавил пару слов, спасибо.

А я тоже не советовал )).Думаете, новые версии openssl не будут обратносовместимы? Сомневаюсь. Но если так, то нужно будет просто скачать старую версию, актуальную на дату проведения транзакции.Можно сократить до двух компонентов, один из которых простой (в обсуждении писал об этом).Тут больше про хранение сида онлайн. Типа "поехал за границу, а там срочно продается хорошая и дешевая машина/квартира, нужны деньги сегодня"  . Можно, конечно, и аппаратник с собой таскать...Честно говоря, некоторые критические замечания вполне справедливы, поэтому мне уже самому не кажется этот вариант особо интересным. Даже подумал, а не снести ли тему?) Но пусть остается, для разнообразия, так сказать...
Мне тоже нравится из-за простоты, такой "брейнваллет с солью". Но пароль там должен быть гораздо лучше, чем здесь. То есть помнить нужно больше. И смысла для безопасности делать много кошельков не вижу, взломают один - полетят все.

 

 

Да, при условии, что этот сид электрумовский (не BIP39) и не 2FA.

Я и не думал, что обманываете, вы просто искренне заблуждаетесь, по-моему. Поверю на слово ).

Ок.Хорошо, упростим. Пусть второй пароль будет равен третьему и это будет какое-то относительно большое (от 100000 до 1000000000) и круглое число (все цифры, кроме первой - нули) или все цифры одинаковые. Если забудем, сотню вариантов можно и перебрать.

Согласен, пароль терять ни в коем случае нельзя. Но это везде так.Не очень согласен, в blockchair, например, транзакции можно довольно-таки неплохо фильтровать. Но ладно, делаем второй пароль как третий и этот пункт вычеркиваем.Выбирать нужно круглые или хорошо известные числа (номер телефона без префиксов, например). Тогда число вариантов будет относительно небольшим. При неправильном выборе -iter openssl вываливается с ошибкой через несколько секунд, так что перебор будет не очень долгим.
Очень большие проблемы только при потере шифрующего пароля. Со вторым предложением согласен, но не вижу ничего плохого в хорошо зашифрованном wallet.dat в rar архиве, выложенном повсюду. Необоснованные страхи, по-моему. Здесь фишка только в месте хранения.

Спасибо за мнение. Хочу также добавить, что я не сторонник хранения важных данных в голове, это ненадежное хранилище. Всегда пароль нужно где-то дополнительно записывать на всякий случай.


Я не в курсе этого. Не могли бы вы (для таких тупых, как я) популярно развернуть свою мысль про понижение криптостойкости с повышением итераций цикла? Желательно с ссылками на нормальные источники.

В это трудно поверить, уверен, что вы ошибаетесь.
1. Electrum с поддержкой сегвит вышел в конце 17-го.
2. Разработчики изначально были против P2WPKH-P2SH (так же, как и против BIP39), то есть не поддерживали его принципиально и не собираются.
3. Если бы вы оказались правы, то вы смогли бы восстановить свой адрес при помощи сида. Попробуйте, получится ли у вас это?

Не знаю. Уверен, что есть блокчейны, более приспособленные для такого. Но я хотел использовать блокчейн биткоина.По сути да. Но есть нюансы.

1. Никто не знает, что там зашифровано.
2. Даже если бы хакер знал, что там сид, он не знает, сколько денег он выручит в случае успеха (стоит ли овчинка выделки?).
3. Даже если бы знал сумму, и она его устроила бы (взлом -дело недешевое), он должен найти необходимое число итераций на подбор одного варианта, а найдя это большое число (я выбрал 21 миллион, но можно взять и гораздо больше), он сразу бросит эту затею.
4. Я рекомендовал использовать сид с 13-м словом, которое не хранится в шифровке. Взломав шифр, хакер просто найдет сид с нулями, вот он обрадуется...

Интересно, много вам известно случаев взлома краденных wallet.dat?
Почему люди не боятся держать миллиарды на биткоин-адресах, а боятся опубликовать хорошо запароленный wallet.dat? Или вы считаете, что AES256 хуже ECDSA?  

Написал, можете ознакомиться тут https://bitcointalk.org/index.php?topic=5219629

В этом посте по пожеланию одного из пользователей форума я напишу инструкцию, как можно хранить резервную копию сид-фразы в блокчейне биткоина. Это не перевод и не пересказ (такая тема мне не встречалась), а только моя версия, как это можно сделать, поэтому конструктивная критика приветствуется. Ничего интересного и нового здесь не будет, просто собраны описания нескольких известных приемов для решения данной задачи. Дисклеймер: так как я не могу гарантировать 100% безопасность и работоспособность этого метода в будущем, я не могу советовать вам его использовать. Короче говоря, если что - я не виноват ). Сам я этот способ буду использовать как резервный и со страховкой. Страховкой служит надежная парольная фраза к сиду (известная как passphrase или 13-е (25-е) слово), которая, естественно, хранится отдельно в офлайне (и в голове). С хорошей парольной фразой даже при компрометации 12 (24) слов, взломать весь сид практически нереально.

---

---

Сид-фразу мы поместим в блокчейн транзакцией с опкодом OP_RETURN, который позволяет отправить до 80 байт произвольной информации.

1. Шифруем сид и получаем 16-ричную строку.

Так как работаем с сидом, нужно обезопаситься и использовать "холодный" компьютер. Допустим, что у меня такого нет, поэтому я физически отключил интернет и загрузился с флешки Tails (это такая анонимная и безопасная операционная система (linux) на флешке, если кто не знает).

Создаем текстовый файл seed.txt с сид-фразой (возьмем такую - runway exist coconut cinnamon attack laptop oil wild yellow drink lawn cattle), чтобы сократить строку, оставляю по 4 первые буквы каждого слова (этого достаточно для однозначной идентификации) и убираю пробелы (получилось runwexiscococinnattalaptoil_wildyelldrinlawncatt), сохраняем файл. Из этой папки запускаем терминал и даем команду:
Тут я поставил плохой пароль bitcointalk для примера, в реальности нужно выбрать хороший пароль, длинный (символов 12 хотя бы), уникальный, но желательно легко запоминающийся. 21000000 - это число итераций функции pbkdf2, такое огромное поставил, потому что я его легко вспомню, а главное - это сильно замедляет кодирование/декодирование (мой старенький комп почти 2 минуты шифровал/расшифровывал), что делает нереальным брутфорс и позволяет использовать не очень сложный пароль. Так, получили файл с шифрованным сидом, теперь нужно получить последовательность байтов (дамп). Даем команду:-c 1000 здесь - число колонок, поставил от фонаря побольше (можно было 80 поставить), без этого ключа будет разбивать по 32 байта на строку, а нам нужно одной строкой. Сохраняем файл enc_hex.txt на флешку или жесткий диск компа, выключаем, вынимаем флешку, включаем интернет и загружаем обычную систему.

2. Нам нужно озаботиться тем, чтобы транзакцию с шифровкой потом нетрудно было найти. Можно, наверное, придумать разные варианты, можно ее просто записать, но я стремился ничего не записывать и поэтому выбрал вариант с созданием адреса из хеша любимого слова/фразы и последующим поиском адреса в блок-эксплорере. Для этого я использовал этот brainwallet (можно любой другой), там в поле "Brain Wallet Input" вводим незабываемое слово-ключ, например имя любимой тещи, собаки итп, здесь секьюрность не важна, если украдут этот ключ, то и на здоровье. Для примера я ввел слово bitcointalk, получаем приватник L1AHAuRLxZ14PspT4UjooZa3Jx2Y9hcKfuQpC19b4AqHq8V12u9o, импортируем его в Electrum (созданием нового кошелька из приватника, я предпочитаю bech32-адрес, поэтому импортирую с соответствующим префиксом p2wpkh:L1AHAuRLxZ14PspT4UjooZa3Jx2Y9hcKfuQpC19b4AqHq8V12u9o, в принципе, можно и легаси - особой разницы нет). Получили адрес bc1qc0kwr8clxgj63dp77sr4ql9zhexq2a6aw85ltw, перевели на него 300 сатоши (для сегвит-адреса и записи одного сида этого хватит, даже с запасом) ). С этого адреса сейчас будем отправлять транзакцию с OP_RETURN. Можно было и сразу это сделать, но я разбил на две транзакции для наглядности.

3. Копируем шестнадцатеричную строку из сохраненного в 1-м пунуте файла enc_hex.txt и в Electrum формируем транзакцию, поле "Pay to" заполняем так:
(запятую с нулем в конце не забываем).



Отправляем. Вот моя транзакция: https://www.blockchain.com/ru/btc/tx/0e0546d004f3373822178ceddb3084247912e400b75e5971e66522f6b398f123

---

Теперь - как восстановить исходный сид?

4. Вспоминаем ключевое слово (bitсointalk в моем примере) и получаем адрес (как во 2-м пункте). Адрес вставляем в блок-эксплорер и легко находим нашу транзакцию. Жмем на нее, открываются детали, и внизу страницы видим наш зашифрованный сид 3222e79b5c94efcea7b8e1704e1bdd8fb9257baf7bbecf1a9bb5b5a5b8da094ad570dddc7754220 c2e2359081956d238ba24429639c90b2348f15f052617aab8. Сохраняемем эту строчку в текстовый файл (у меня enc_hex.txt) и переносим его на флешку.

5. Выключаем интернет, перезагружаемся в Tails. Там копируем с флешки файл с шифровкой, запускаем из папки с файлом терминал и даем команду:Затем такую:
(значение параметра -iter обязательно должно совпадать с тем, которое использовали при шифровании, поэтому важно его не забыть, лучше записать где-нибудь).
Всё, открываем файл seed.txt и переписываем на бумажку сид-фразу (разделяя слова по четыре буквы). Если кошелек при вводе слов сида не предлагает возможные варианты, то полное написание слов находим в BIP39-словаре (спасибо bomj за поправку).


И последнее. Если вам необходимо сохранить сид-фразу из 24-слов, то они так просто не влезут в 80 байт. В этом случае шестнадцатеричную строку шифровки следует разбить на две части и создать два выхода OP_RETURN. Либо взять не мнемонику сид-фразы, а энтропию в iancoleman-конвертере, тогда получится ровно 80 байт.



p.s. Если кто-то хочет повторить, потренируйтесь сначала в тестнете, старайтесь не захламлять блокчейн бесполезным мусором.

У меня леджер, работаю со всеми тремя типами адресов, контроль выходов, конечно, есть.Да, при создании нужно указать тип и derivation path.То есть один кошелек на аккаунт, поэтому вам придется заводить несколько кошельков и работать с ними по очереди (открыть можно все одновременно, но аппаратник подключится к одному). Общего баланса разных кошельков нет.

Мне всё больше нравится способ хранения зашифрованного сида в блокчейне биткоина.
Поигрался с openssl, получилось запихать зашифрованную AES256 энтропию сида из 24 слов ровно в 80 байт, как раз укладывается в ограничение опкода OP_RETURN (можно, конечно, и не выпендриваться, а разбить на несколько выходов, так просто изящнее )).
Плюсы размещения в блокчейне очевидны - хранилище никуда не исчезнет и отовсюду доступно, openssl тоже есть практически в любом линуксе. По-моему, это лучше всех этих железяк. Но для спокойствия я бы дополнительно использовал 25-е слово для генерации сида, его, естественно, хранил бы отдельно.

Как спрятать microSD карточку вариантов много можно придумать, для такой маленькой вещи щелка всегда найдется. Вопрос только - зачем ее прятать? Шифруйте данные и всё. 

Хоть у меня и леджер, но возражать не буду ). Только если будет трезор, то сид нужно обязательно делать с passphrase.Я бы рекомендовал для больших сумм кошельки на двух устройствах, то есть холодные или мультиподписные с аппаратным (некоторые даже делают мультиподписной аппаратного с холодным, но это уже извращение, имхо, хотя почему бы нет, если у тебя 1000 битков). Это дает дополнительный контроль над параметрами транзакции.

Электрум не может создавать кошелек с P2WPKH-P2SH адресами (на 3), но импортировать такие кошельки и работать с ними он может так же, как и с остальными типами. Это касается и работы с аппаратными кошельками.

Я достаточно далек от этого, не знаю. Но RAM для электрума дело не первостепенное, главное, чтобы Python 3.6 крутился без проблем.А почему это так важно, по-вашему? По-моему, для бэкапа достаточно аккуратно записать и надежно спрятать 12 слов сид-фразы.

Параноить в этом деле никогда не повредит, но как генерацию ключей можно испортить, если источником энтропии будете вы с монеткой? В конце концов, можно и на другой офлайн-машине (на той же малинке) сверитьсяТакой комп, конечно, жалко списывать. А на распберри электрум можно запустить?