Infatti, si parla sempre di 2^256, chissà cosa dicono i calcoli termodinamici riguardo a 2^160 o anche riguardo a 2^136.

Ricordo inoltre che se è nota la chiave pubblica di un indirizzo allora servono solo 2^128 passi per poter ricavare la chiave privata (craccare ECDSA).

Infine aggiungo che se l'obiettivo è trovare 2 chiavi private qualsiasi compatibili (una collisione rispetto a un indirizzo qualsiasi, non per forza uno dei 2^24 indirizzi con bitcoin) bastano 2^80 passi (vedere il paradosso dei compleanni). Questo sicuramente è un numero molto più ragionevole.

Chiaro che l'energia è fondamentale.

Il mio discorso voleva solo sottolineare un aspetto matematico/psicologico della faccenda, se si dice: "ci vorrebbero altri 2^47 anni a questo ritmo per avere una collisione" viene spontaneo pensare subito: quindi non succederà mai, vita dell'universo, e così via...

Se invece si guarda solo all'esponente: "ci vogliono 47 raddoppi della potenza attuale per poter avere una collisione all'anno" allora il fatto appare più fattibile (il che non vuol dire che lo sia). Basti pensare alla differenza tra un supercomputer di oggi e uno di 60 anni fa. Oppure alla potenza attuale del mining, chi l'avrebbe mai pronosticata solo 8 anni fa?

Ritengo molto utile ragionare sui grandi numeri e sul concetto di "numero di raddoppi", in quanto non siamo abituati a trattare con grandezze di queste tipo.

Faccio un esempio.

Al momento la potenza computazionale complessiva di tutti i miner del mondo è di circa 8 exahash/sec, cioè vengono effettuate circa 8*(10^18) operazioni al secondo (hash degli header dei blocchi per minarli), ovvero 2^64 operazioni al secondo. La potenza è di 2^89 operazioni/tentativi all'anno.

Supponendo per semplicità che queste operazioni siano equiparabili del tutto (ma non lo sono) a quelle necessarie per generare un indirizzo a partire da una chiave privata, in questo momento una chiave di 89 bit potrebbe essere individuata potenzialmente in 1 anno con un attacco mondiale brute force. A un sistema del genere mancherebbero "solo" 47 raddoppi per poter individuare in 1 anno una collisione con un indirizzo bitcoin.

Da notare che negli ultimi tempi la potenza computazionale dei miner raddoppia ogni 6 mesi, quindi in teoria tra 24 anni ...

L'idea è che per accedere ai bitcoin presenti "negli" indirizzi della blockchain ci sono 2 modi:

1) trovare la chiave privata esatta di un indirizzo: questo fatto è realmente irrealizzabile, ci sono circa 2^256 chiavi private possibili, sono troppe. Una eccezione si ha nel caso della particolare transazione di cui ho parlato prima, poichè in quel caso conosciamo la distribuzione delle chiavi private coinvolte, ad esempio sappiamo che le prime 60 chiavi si trovano esattamente tra 1 e 2^60. Il progetto LBC è partito proprio dalla chiave privata 1 e sta generando tutte le chiavi private in modo consecutivo e per ognuna va a ricavare l'indirizzo corrispondente e va a verificare se vi sono associati dei bitcoin.

2) trovare una delle 2^96 chiavi private compatibili di un indirizzo (leggi: individuare una collisione). Poichè le chiavi private sono molte di più degli indirizzi possibili, se sto cercando di violare almeno un indirizzo (qualsiasi, non quelli particolari della transazione puzzle) sarà molto più probabile che ci riuscirò generando a caso una chiave "compatibile" piuttosto che generando esattamente la stessa chiave che ha usato colui il quale ha generato per primo quell'indirizzo.
Ora, se io generassi 2^160 chiavi private a caso, probabilmente otterrei quasi 2^160 indirizzi distinti (è quasi così), cioè tutti gli indirizzi. Quindi per violare un indirizzo specifico il modo più economico è quello di generare tutti gli indirizzi corrispondenti alle chiavi private da 1 a 2^160 (questo vuol dire 160 bit di entropia).

Se invece il mio obiettivo non è violare uno specifico indirizzo ma solamente uno qualsiasi contenente bitcoin, serviranno meno chiavi. Poichè vi sono circa 2^24 indirizzi con bitcoin, dovrebbero bastare 2^160 / 2^24 = 2^(160-24) = 2^136 chiavi per trovare una collisione con un indirizzo contenente bitcoin.

Al momento in un anno circa LBC ha generato tutti gli indirizzi relativi alle prime 2^52 chiavi, quindi diciamo che ha una potenza di "sondaggio" di 2^52 indirizzi l'anno. Se moltiplichi questo numero per 2^84, avremmo una potenza sufficiente per trovare una collisione (in un anno) con un indirizzo bitcoin in uso.

Sì, è ancora attivo. Una misura indiretta molto buona (e una volta tanto pratica, non solo teorica) di quanto siano sicuri i nostri bitcoin ci è fornita da una transazione molto particolare di cui si parla in questo thread .

In pratica l'autore della transazione ha inviato a 256 indirizzi diversi dei bitcoin. Ogni indirizzo è protetto da una chiave privata di lunghezza crescente.
La prima chiave privata è "lunga" 1 bit (quindi poteva essere solo 1), la seconda chiave privata è lunga 2 bit (quindi poteva essere 2 o 3), la terza chiave privata è lunga 3 bit (4, 5, 6 o 7), e così via fino alla chiave numero 256.

In questo modo si è costruito un termometro che rileva in tempo reale la capacità di un qualsiasi attaccante di sondare l'enorme numero di chiavi possibili (basta guardare quando i bitcoin relativi alle varie chiavi private vengono sottratti dai rispettivi indirizzi).
In brevissimo tempo furono trovate le prime 20 chiavi, poi man mano ne sono state trovate altre. Il progetto LBC è quello che è riuscito a spingersi più oltre, arrivando a individuare la chiave numero 52. Attualmente si sta cercando la chiave numero 53.

Questo vuol dire che al momento se si genera una chiave con un'entropia dell'ordine di una cinquantina di bit o poco più, la chiave è vulnerabile. L'autore della transazione, come si legge nel thread, solo in un secondo momento si è accorto che in realtà le chiavi dalla numero 161 alla numero 256 sono inutili poichè l'entropia del sistema è 160 bit.

Cosa vuol dire tutto questo da un punto di vista pratico? Che la capacità attuale di calcolo di chiavi private dovrebbe aumentare ancora di un fattore di 2^108 affinchè tutte le nostre chiavi diventino violabili, detto in altri termini dovrebbero esserci 108 raddoppi consecutivi di potenza prima che ciò accada.

Il progetto LBC però non si limita solo a verificare che le chiavi private generate corrispondano agli indirizzi di questa particolare transazione, ma controlla anche tutti gli altri indirizzi con bitcoin della blockchain. Poichè questi indirizzi sono circa 2^24, serviranno circa 2^136 tentativi prima di trovare una collisione con un indirizzo qualsiasi generato normalmente con una entropia di 160 bit. E poichè al momento siamo arrivati a violare chiavi di 52 bit, il sistema di violazione deve aumentare la sua capacità di calcolo di un fattore di 2^84 prima di poter violare almeno un indirizzo a caso della blockchain.

Per me basta il meccanismo delle 2 chiavi (di pari importanza) su 2 (1 dell'utente, 1 dell'ente terzo) di cui ho parlato + la transazione già firmata verso un nostro indirizzo utilizzabile solo fra x blocchi.

In questo modo l'utente ha alla fine 2 chiavi distinte, una che gli permette di spendere i bitcoin immediatamente con l'aiuto/vincolo dell'ente terzo, la seconda che gli permette di recuperare i bitcoin in modo autonomo in un certo futuro, qualora o lui stesso o l'ente terzo perda la chiave nel frattempo.

In questo modo ho il vantaggio di non affidare in nessun momento il possesso dei miei bitcoin a qualcun altro.
Va da sè che se ho 2 chiavi diverse le devo custodire separatamente.

Se invece uno non si fida abbastanza di se stesso bisogna tornare al concetto (contrario allo spirito di bitcoin) di affidare i propri soldi a qualcun altro proprio come succede adesso con le banche.

I don't know, I never installed LBC in a p2.x16 amazon machine.

È la questione dello scaling. Se le transazioni non aumenteranno considerevolmente in numero (a parità di difficoltà/energia impiegata) allora diventaranno ancora più costose di oggi. Quindi l'uso del bitcoin automaticamente verrebbe relegato definitivamente solo alle transazioni di una certa entità.

Inoltre la difficoltà potrebbe anche diminuire, poichè non ha senso "minare" in perdita.

Più verosimilmente aumentare la potenza di calcolo diventerà con il tempo molto meno redditizio per i miner, poichè l'energia a disposizione non può certo raddoppiare ogni 6 mesi. Quindi la difficoltà del mining non continuerà più ad aumentare, almeno non ai ritmi odierni.

Inoltre anche l'aumento di valore del bitcoin non può certo continuare all'infinito.

Secondo me il problema principale si avrà quando la produzione di bitcoin diminuirà ulteriormente (nel giro di pochi anni). A quel punto saranno principalmente le fee delle transazioni a sostenere il sistema, e allora diventeranno evidenti agli utenti i costi reali di tutto il meccanismo.  

Al momento il sistema converte di fatto quantità crescenti di energia elettrica in bitcoin (e ogni 2048 blocchi l'energia richiesta per minarli aumenta).  In seguito tutta l'energia servirà solo ad assicurare la regolarità della blockchain rendendo la sua violazione controproducente. Deve essere costoso mantenerla sicura in modo tale che risulti molto costoso anche tentare di violarla: è proprio su questo concetto che si basa tutto il meccanismo.

Il fatto che il sistema sia costoso ed esoso di risorse "by design" ovviamente non implica che questo costo debba continuamente salire, mentre mi sembra plausibile che si instaurerà una qualche relazione tra il valore del sistema bitcoin e l'energia necessaria ad assicurarne il corretto funzionamento. Quello che al momento è molto difficile è stimare quale sarà l'ordine di grandezza dell'equilibrio che si raggiungerà sia in termini energetici (si spera non troppo alti) che in termini di apprezzamento della moneta (qui tutti o quasi sperano in valori "stellari")

Ubuntu 17.04, this works for me:

Posso essere d'accordo per quanto riguarda la fase di produzione della moneta (e siamo proprio ancora in questa fase per quanto riguarda bitcoin).

Il problema è che sembra veramente eccessivo l'uso di tutta quella energia anche solo per fare circolare la moneta.

Questa situazione si può verificare perchè sono accadute prima le seguenti cose:

1) i russi sono venuti a sapere (o credono di sapere) che tu hai molto denaro

2) i russi sanno che rubare bitcoin è più semplice che rubare euro

In altre parole il rapporto rischi/benefici dal loro punto di vista è conveniente.

Ribadisco che in caso di aggressione, se hai veramente il denaro che loro pensano tu abbia, c'è poco da fare, glielo darai (se invece non ce l'hai allora sono guai seri).

Le contromisure effettive per me sono solo quelle che vanno a modificare direttamente i punti 1) e 2), e si tratta comunque di misure preventive, come quelle già discusse finora. È chiaro che il punto 2) richiede anche delle soluzioni tecniche. Non vedo cos'altro si possa fare!

Se si vogliono custodire 2 chiavi con lo "sforzo" di custodirne una sola è sufficiente scegliere due chiavi "legate" tra loro: ad esempio, n e n+1. Si deve custodire solo n.

Il wallet "custodito" insieme al servizio esterno è un wallet temporaneo di deposito di bitcoin che uno intende momentaneamente non movimentare (o che è disposto a movimentare seguendo una procedura che lo cauteli il più possibile). Se si parla di 3 mesi, 6 mesi o 2 anni dipende dal tuo orizzonte temporale e dalla voglia che hai di recarti fuori casa per il rinnovo. Se poi ti serve muoverli tutti o una parte prima della scadenza devi recarti nel luogo apposito e ovviamente farti fare anche una nuova transazione di garanzia.
A me non sembra complicato, quei bitcoin li puoi spendere tutti o in parte sempre solo passando per questo servizio esterno. Se poi tu ti fidi talmente di loro da "lasciargli" i bitcoin senza che ti rilascino una transazione di garanzia puoi certamente farlo.

Il portafoglio per le spese quotidiane invece (se mai bitcoin avrà anche questo tipo di funzione) resta fuori da questo discorso.

Riallacciandosi al tema del thread, poichè l'entropia reale del sistema è di soli 160 bit e non di 256 bit, è sufficiente lanciare una moneta 160 volte, e non 256. I restanti 96 bit possono essere impostati tutti a 0, non "servono".

Analogamente nel caso del dado a 20 facce è sufficiente lanciare il dado 40 volte, non 64. Le restanti 24 cifre esadecimali possono essere scelte a mano, dal momento che non possono fornire alcuna entropia aggiuntiva al sistema.

Sono le chiavi private che controllano i bitcoin. Quindi ognuna delle 2^96 chiavi private permette di spendere i bitcoin dello stesso indirizzo. Un indirizzo non è altro che l'hash di una chiave (privata->pubblica->hash).

Poichè la corrispondenza chiave privata - chiave pubblica è biunivoca, puoi pensare a un indirizzo come all'hash di una chiave privata (anche se non è così). Le chiave private sono lunghe 256 bit, mentre i loro hash (indirizzi) sono solo 160 bit. Quindi le chiavi private sono molte di più degli indirizzi.

Ci sono circa 2^256 chiavi private distinte, e 2^160 indirizzi. Quindi ci dovrebbero essere ben 2^96 chiavi private distinte che controllano lo stesso indirizzo. Ma questo non modifica la probabilità di avere una collisione.

Diciamo che ci sono al momento 2^24 indirizzi con bitcoin (qualche milione).

Se ci fosse una sola chiave privata per ogni indirizzo la probabilità di generare a caso una chiave privata corrispondente a un indirizzo contenente già dei bitcoin sarebbe 2^24/2^160 ovvero 1 su 2^136.

Ma anche nel caso reale, pur essendoci 2^96 chiavi private per indirizzo, la probabilità di una collisione non cambierebbe, in quanto bisogna moltiplicare per 2^96 sia il numeratore che il denominatore della stessa frazione. Infatti ci sono 2^24 indirizzi con bitcoin controllati da un totale di 2^24*2^96 chiave private distinte, su 2^160*2^96 chiavi possibili.

Le soluzioni proposte presuppongono sempre un certo tipo di scenario, di contesto.

La mia proposta si riferisce a un ipotetico futuro in cui le criptovalute siano diffuse quanto le valute fiat odierne, per questo il modello di gestione del problema è simile a quello delle banche odierne. Ripeto: io sto parlando di moltissime persone che vogliano custodire i risparmi di una vita assicurati in bitcoin, non di trading / speculazioni, che si riferiscono per forza sempre a una esigua minoranza della popolazione (io non ce la vedo la gran parte della popolazione italiana diventare trader compulsiva).

Se invece tu ti riferisci a una situazione tipo quella odierna in cui la maggior parte dei bitcoin sono di fatto ancora sugli exchange, allora ti riferisci a un mondo dove le criptovalute sono rimaste un prodotto di nicchia puramente speculativo.  Dal mio punto di vista in questo caso rimaniamo in una situazione in cui il low profile garantisce una buona sicurezza di base, visto che comunque le criptovalute sarebbero ancora poco diffuse.

Nella mia idea io ho una chiave privata, il servizio esterno ha una seconda chiave privata (che non può inviare mai a nessuno ma solo utilizzare in loco) e basta. Per muovere i bitcoin servono entrambe le firme. E non si può fare nulla online ma solo in presenza.

La transazione firmata che il servizio mi deve consegnare inizialmente mi tutela dal fatto che i gestori del servizio in futuro possano cambiare idea e non vogliano più firmare nuove transazioni (o perdano la loro chiave privata, o il loro servizio chiuda). È il modo per stabilire che alla fine il vero possessore dei bitcoin sono io. Di prassi è una transazione che non andrebbe mai usata, se ho bisogno prima dei miei bitcoin mi reco presso il servizio esterno e insieme firmiamo direttamente una transazione.



No, il punto non è tanto separare le chiavi ma eleggere un luogo distinto da casa mia e coinvolgere altre persone che non siano miei parenti come condizione per poter muovere i miei bitcoin. Questo è importante perchè un servizio esterno mi può imporre dei vincoli maggiori e quindi in qualche modo mi libera dalla responsabilità di dover prendere delle decisioni sotto minaccia; ad esempio, senza cambiare protocollo, se nell'accordo con il servizio esterno ci fosse anche il fatto che il servizio può firmare solo transazioni con un nlocktime spostato in là di almeno 144 blocchi (1 giorno), questo creerebbe un lasso di tempo che non dipende più da me: in pratica rinuncio alla possibilità di poter spendere immediatamente i miei bitcoin in modo che risulti oltremodo rischioso per un ladro imbastire un furto (dovrebbe diventare anche un sequestratore di persone). Se ci pensi con le banche attuali e il trasferimento fiat avviene più o meno la stessa cosa, il trasferimento effettivo di denaro via banca è molto più lento di quanto non appaia, in quanto si tratta per lo più di transazioni "non confermate" (reversibili) che diventano "confermate" (definitive) solo dopo molto tempo.