Sobre las COLISIONES. Empiezo a preocuparme de que me preocupe en unos años?

[SUPERANTONIO]

Siempre he defendido que la posibilidad de colisiones es posible matemáticamente pero imposible en la práctica y así sigo pensando, y defendiendo, aunque nunca me ha dado por ponerme a calcular más allá que observar los cálculos que la gente publica en el foro y fuera de él. Que si los átomos del universo, los grande arena el mar, ect….
A raíz de este artículo http://elbitcoin.org/peligro-de-colision-dentro-de-10-mil-millones-de-anos-quizas/ publicado ayer, y dando por bueno lo que dice en lo que se refiere a cálculos, voy a hacer mi reflexión, y me encanaría saber la opinión de los que saben, o bien si mi reflexión está equivocada, que también puede ser.

Estamos en un escenario en el que los 7.000.000.000 de habitantes del mundo conocen bitcoin y tienen acceso, digamos en 10 años. Bitcoin es Mainstream, y todos cliquean una dirección por segundo.
Si nos vamos a un escenario en que cada uno de esos 7milM tiene un ordenador de dentro de 10 años cliqueando y buscando colisiones podría quizás, y digo solo quizás porque no sabría calcularlo, unas 117.000 (podrían ser 100.000 pero para facilidad de cálculo digo este) direcciones por segundo (me parece razonable), por lo que en lugar de haber un 50% de probabilidades 11.700 millones de años sería un 50% en 100.000 años o cual sigue siendo bastante.

Dicho esto, el cálculo está hecho para colisionar con "una" dirección concreta, ya sea la de Satoshi con muchos bitcoin o mi modesta cuenta para la jubilación 1AntonioQ4MDLA2Nw637aAqqeG8pUuL9kc
Pero si de lo que se trata es de colisionar con una dirección en la que hay saldo todas valen. Digamos que hay 1.200.000 de direcciones bitcoin con algo de saldo (Me he inventado el numero pero no me parece disparatado), por lo que en ese escenario la probabilidad de colisión sería del 50% en 0.8333 años, o sea, 50% en un mes.

Por suerte (o no) a día de hoy Bitcoin no es usado por toda la humanidad, ni todos los que usan bitcoin están buscando direcciones (la otra minería), pero yo me hago una pregunta:

¿ EMPIEZO A PREOCUPARME DE QUE EN UNOS AÑOS EMPIECE A PREOCUPARME ?

Los desarrolladores deberían plantearse otro Hard en referencia a esto por dos motivos.
-Si Bitcoin triunfa ese escenario puede dar antes de lo que se piensa
-Es más fácil explicarlo a la gente, sobre todo a los informáticos al uso, si después de la cuenta que he hecho sigue siendo 50% cada 11.700 Millones de años…. así sí.

El año que viene hay un Halving y se plantea ampliar el tamaño del bloque, lleno de polémica pero algo se tiene que hacer según mi opinión si no queremos que pete Blockchain
Esto debería empezar a estudiarse y dejarse de "es imposible". hoy sí, pero dentro de 10 años......

Saludos!!!




 

[1713528624]

1713528624

[1713528624]

1713528624

[1713528624]

1713528624

[1713528624]

1713528624

[lukyforvar]

No sé si es correto lo que voy a decir, pero ahí voy.

Creo que el razonamiento que haces no es correcto, el problema de colisión no es contra 1 dirección, es contra una dirección previamente creada. Por tanto, a medida que pasan los días hay más direcciones en la bolsa de la posibles colisiones, pero muchas de esas colisiones serían contra direcciones sin saldo.

No es que tengas que multiplicar 1 por 1.200.000, es que el número de direcciones a colisionar va incrementando pero solo habría 1.200.000 donde realmente sí sería un problema. Con lo cual el riesgo es practicamente nulo.

[SUPERANTONIO]

Creo que el razonamiento que haces no es correcto, el problema de colisión no es contra 1 dirección, es contra una dirección previamente creada. Por tanto, a medida que pasan los días hay más direcciones en la bolsa de la posibles colisiones, pero muchas de esas colisiones serían contra direcciones sin saldo.

Las direcciones NO se crean previamente, las direcciones existen, concretamente 2^160
Todas serían contra direcciones sin saldo excepto cuando haya una colisión
Incluso puede colisionar con una sin saldo pero que "haya" tenido saldo. para mi eso tambien es una colisión. Los que saben utilizan carteras deterministas, pero eso se considera colisión en todos los sentidos!

No es que tengas que multiplicar 1 por 1.200.000, es que el número de direcciones a colisionar va incrementando pero solo habría 1.200.000 donde realmente sí sería un problema. Con lo cual el riesgo es prácticamente nulo.

Claro, si solo hay 1.200.000 con saldo en cuanto se colisione con una de ellas "Bingo"
Si solo hubiera 1 con saldo pues 1.200.000 más difícil

Si yo juego un número a la lotería y tu juegas 10 tienes 10 veces más posibilidades que yo de que te toque.
De momento mi razonamiento/calculo me sigue pareciendo correcto.



NOTA
Aquí estoy debatiendo una posibilidad de colisión PURA y aleatoria
Otra cosa es que a alguien le hackeen su clave privada o que alguien haya creado una dirección determinista con una clave débil. Eso es otra cuestión y ahí sí que los buscadores de "oro" encuentran!

[lukyforvar]

No, a ver, creo que no me he explicado bien.

A lo que se llama colisión no es a generar 1 dirección nueva que conincida con 1 dirección en concreto, es a que conincida con cualquier otra previamente generada.

Por ejemplo, hay 1.200.000 que tienen saldo. Y hasta ahora se han generado 500.000.000 de direcciones. En este caso colisión sería que una nueva dirección creada estuviera en el grupo de las 500.000.000 creadas hasta la fecha. Por lo tanto, conforme pasan los días la bolsa de las direcciones a colisionar es mayor.

Imagina que tenemos una lista inmensa con todas las direcciones posibles de bitcoin, cuando se genera una dirección se redondea con un circulo. La colisión sería ir a redondear una dirección que ya había sido redondeada.

[roterdam]

si tanto te preocupa no deberias usar una direccion minada de reserva que empieze por 1antonio es mas vulnerable :-)
para un ahorro usa una que empieze por 3, esto es una multifirma,
con eso creo que ya no tendras dudas ni preocupaciones  :-)

[dserrano5]

¿ EMPIEZO A PREOCUPARME DE QUE EN UNOS AÑOS EMPIECE A PREOCUPARME ?

No. El foro e internet están llenos de la matemática necesaria, y la fotito del sol y demás.

—Pero, la paradoja del cumpleaños!!

Que no, coñe!

[Nubarius]

SUPERANTONIO, creo que tiene razón lukyforvar. Estás mezclando el ataque de colisiones con lo que sería simplemente la búsqueda de direcciones concretas. Los tiempos que mencionas al principio se refieren al ataque de colisiones y no los puedes dividir por el número de direcciones conocidas.

Voy a intentar explicar la situación tal como yo la entiendo.

El número de direcciones posibles Bitcoin es 2¹⁶⁰, que corresponden a los números enteros entre 0 y 2¹⁶⁰ - 1, que son las posibles imágenes de la función hash RIPEMD-160.

Haré dos suposiciones importantes (válidas a día de hoy):

1) RIPEMD-160 es una buena función hash, en el sentido de que arroja resultados que se distribuyen como si se tratara de una lotería perfecta entre los 2¹⁶⁰ valores posibles.

2) Disponemos solamente de algoritmos de búsqueda clásicos (es decir, no disponemos de un ordenador cuántico capaz de ejecutar el algoritmo de Grover).

Bajo estas hipótesis, podemos tratar el problema como si se tratara de un problema de extracción de bolas numeradas de una urna. Supongamos entonces que tenemos 2¹⁶⁰ bolas en una urna y vamos extrayendo una bola (con reposición) hasta encontrar la que tiene el número que buscamos. Entonces tendremos que hacer un número de extracciones del orden de magnitud de 2¹⁶⁰ para que la probabilidad de encontrar la bola buscada sea muy alta. Recordemos que 2¹⁶⁰ es un número enorme (más de un "octillón", en la escala larga española), del orden de magnitud de la cantidad de átomos de la Luna.

Supongamos ahora que en lugar de buscar una única bola concreta hay más de un millón de bolas que nos sirven. Para hacer fáciles los cálculos, supongamos que son 2²⁰ (1.048.576) el número de bolas que nos sirven. Entonces, el número de extracciones necesario será mucho más bajo: 2¹⁶⁰/2²⁰. Pero, ojo, esto todavía son 2¹⁴⁰ operaciones, un número que sigue siendo enorme (más de un septillón español).

Pero un problema diferente es el de ir extrayendo bolas hasta que salgan dos iguales, sin importarnos cuál sea su número. Esto es lo que se conoce como "ataque del cumpleaños" (por la llamada paradoja del cumpleaños, el hecho antiintuitivo de que en todo grupo humano a partir de 23 personas lo más probable es que haya al menos dos personas con el mismo cumpleaños). En ese tipo de ataque, el exponente se reduce a la mitad. Para 2¹⁶⁰ bolas posibles bastaría, para encontrar dos bolas de igual número, con llevar a cabo alrededor de 2⁸⁰ operaciones.

Es este último número, 2⁸⁰ (más de un cuatrillón español), el que se ha utilizado para las estimaciones temporales de "11.700 millones de años" del artículo de elbitcoin.org. El error en tu argumento, SUPERANTONIO, creo que está aquí. Es como si hubieras dividido 2⁸⁰ por 2²⁰, lo que te daría un valor ciertamente preocupante. Pero lo correcto, salvo que haya algo que se me escape, sería utilizar 2²⁰ como divisor de las 2¹⁶⁰ operaciones de la búsqueda por fuerza bruta. Por eso, el intento de encontrar una de entre 1.200.000 direcciones con saldo requeriría muchísimo más tiempo que esos 11.700 millones de años o 100.000 años. Si no me he equivocado, tendrías que multiplicar esos tiempos por 2⁶⁰ (2¹⁴⁰/2⁸⁰) en lugar de dividir por 2²⁰.

[jaime]

Esto debería empezar a estudiarse y dejarse de "es imposible". hoy sí, pero dentro de 10 años......

Saludos!!!

Dentro de 127.000 años quizás debas preocuparte si toda la red bitcoin, en vez de minar, se dedicara desde hoy mismo a buscar tu dirección y robarte esos "ahorros"

Quizás esto te interese...

http://diyhpl.us/~bryan/papers2/bitcoin/bitcoin-birthday.pdf

(en inglés, pero se entiende bien)

[Anillos2]

si tanto te preocupa no deberias usar una direccion minada de reserva que empieze por 1antonio es mas vulnerable :-)
para un ahorro usa una que empieze por 3, esto es una multifirma,
con eso creo que ya no tendras dudas ni preocupaciones  :-)

Las direcciones de vanidad no son más arriesgadas que las que son púramente aleatorias.

La posibilidad de chocar dos direcciones es siempre la misma.

[PaoloSerBit]

Realmente crees que dentro de algunos años cada persona del mundo usará bitcoin? No lo veo problable, dónde se han ido las monedas fiat?

[roterdam]

si tanto te preocupa no deberias usar una direccion minada de reserva que empieze por 1antonio es mas vulnerable :-)
para un ahorro usa una que empieze por 3, esto es una multifirma,
con eso creo que ya no tendras dudas ni preocupaciones  :-)

Las direcciones de vanidad no son más arriesgadas que las que son púramente aleatorias.

La posibilidad de chocar dos direcciones es siempre la misma.

teoricamente es cierto ,porque la posibilidad de encontrar una clave privada de una direccion dentro del rango 1antonio es directamente proporcional al esfuerzo computacional necesario para minar una direccion dentro de ese mismo rango
ahora bien estadisticamente , esto es en la practica. no lo sabemos si es asi:
que software uso el compañero antonio para minar esa direccion?
fue descargado de una fuente segura?
fue comprobada la firma digital de dicho soft?
ha sido auditado este soft por alguien de la comunidad?
lo audito el mismo y despues lo compilo, o directamente corrio el ejecutable?
bajo que entorno fue generada, S.O, offline u online? etc etc.
que motor de generacion de aleatoriedad tien este soft?
cualquiera de estos factores hace que en la practica estadisticamente sea mas inseguro, desde mi punto de vista.
de hecho creo que  estos factores son muy importantes, el mismo compañero dserrano5 ha comentado por aqui alguna vez, que el mismo se genera direcciones directamente tirando dados, algun misterio tendra para querer molestarse en hacer algo asi no?

[Antuam2]

Dados.... trucados?
Te lo digo, por que me regalafon unos dados del hotel Belize de Las Vegas y en un 30% de las ocasiones, si no eran mas, salía números impares y muy bajos, sobre todo OJOS de SERIente, es decir 1 y 1.

La aleatorias es una cosa posible pero muy maleable, os lo aseguro.

Por cierto, un amigo mío, de vez en cuando se pasa por estos lares, con conocimiento de tragaperras, fue hacer una entrevista de trabajo al Casino de Torrelodones, y le rechazaron por que sabia demasiado y o querían que supieran sus trucos, asique alejaros de los casinos si apreciáis vuestro FIAT y/o BTC.

Antuam.

[Crypto Analysis]

Aprovecho el debate para iniciarme en el foro. Yo coincido con la inquietud de SuperAntonio.

Las colisiones tiene una remotísisisima posibilidad, es cierto, como se dice por aquí, pero el poder de la computación, de la memoria, del almacenamiento, por poner ejemplos... crece y cada vez lo hace más deprisa. De hecho, creo que si el robado compensara económicamente lo suficiente, los chinos se pondrían a ello y tardarían menos de 10 años en conseguirlo.

Ya no se si en 10 años, si en 15, pero cuando la tecnología avanza, avanza exponencialmente, si además le ponemos un uso muy superior al actual... aun peor. Pongamos un ejemplo: no va a ser lo mismo, pero fijémonos en evolución estratosférica si miramos la potencia de minado total de la red bitcoin actualmente, y miramos la que había hace 3 años. Nadie de aquí en este foro podría imaginar este crecimiento, (y hablamos solo de 3 años, no 10).

En unos años podría pasar lo que indica. Y eso ha de empezar a tratarse de ya, porque las cosas de palacio, luego van despacio.

Pdt: en referencia y apoyo a las palabras de Antuam2, yo he visto salir en la ruleta (puro azar) 24 veces el mismo color, 21 impares seguidos, y 19 seguidas un numero del 1 al 18... Al infinito, la probabilidad se acercará al 48.65%, pero cuando el destino es caprichoso, por baja probabilidad que haya, acaba pasando y no es tan raro.

[lukyforvar]

En unos años podría pasar lo que indica. Y eso ha de empezar a tratarse de ya, porque las cosas de palacio, luego van despacio.

Pero entonces habrá mejores formas de asegurar la cadena de bloques, bitcoin no se va a congelar y dejar que resto del mundo avance. Además habría más problemas, protocolos https con los bancos, hacienda, ... habría muchas más cosas en peligro.

Pdt: en referencia y apoyo a las palabras de Antuam2, yo he visto salir en la ruleta (puro azar) 24 veces el mismo color, 21 impares seguidos, y 19 seguidas un numero del 1 al 18... Al infinito, la probabilidad se acercará al 48.65%, pero cuando el destino es caprichoso, por baja probabilidad que haya, acaba pasando y no es tan raro.

Eso era haciendo el martingala? eso lo saben los casinos y te funden como lo apliques. Estamos hablando de que a partir de hoy y hasta el día en que ya no estes, te toque reguarlmente todas las semanas el euromillón, quiniela, once, lotería nacional, etc... para acercarte un poco a la probabilidad de bitcoin, pero de lejos.

[Anillos2]

Aprovecho el debate para iniciarme en el foro. Yo coincido con la inquietud de SuperAntonio.

Las colisiones tiene una remotísisisima posibilidad, es cierto, como se dice por aquí, pero el poder de la computación, de la memoria, del almacenamiento, por poner ejemplos... crece y cada vez lo hace más deprisa. De hecho, creo que si el robado compensara económicamente lo suficiente, los chinos se pondrían a ello y tardarían menos de 10 años en conseguirlo.

Ya no se si en 10 años, si en 15, pero cuando la tecnología avanza, avanza exponencialmente, si además le ponemos un uso muy superior al actual... aun peor. Pongamos un ejemplo: no va a ser lo mismo, pero fijémonos en evolución estratosférica si miramos la potencia de minado total de la red bitcoin actualmente, y miramos la que había hace 3 años. Nadie de aquí en este foro podría imaginar este crecimiento, (y hablamos solo de 3 años, no 10).

En unos años podría pasar lo que indica. Y eso ha de empezar a tratarse de ya, porque las cosas de palacio, luego van despacio.

Pdt: en referencia y apoyo a las palabras de Antuam2, yo he visto salir en la ruleta (puro azar) 24 veces el mismo color, 21 impares seguidos, y 19 seguidas un numero del 1 al 18... Al infinito, la probabilidad se acercará al 48.65%, pero cuando el destino es caprichoso, por baja probabilidad que haya, acaba pasando y no es tan raro.

Lo del minado es por el uso de equipos ASIC, y aún así, hay muchos ceros de margen.

Y incluso en el remoto caso de estar en peligro (ordenadores cuánticos, cuyo desarrollo no es tan exponencial como Dwave dice a sus inversores), ya habría un sistema diferente con mucha mayor resistencia (cifrados postcuánticos), y la gente enviaría sus fondos a esas nuevas direcciones aún más resistentes.

[Crypto Analysis]

En unos años podría pasar lo que indica. Y eso ha de empezar a tratarse de ya, porque las cosas de palacio, luego van despacio.

Pero entonces habrá mejores formas de asegurar la cadena de bloques, bitcoin no se va a congelar y dejar que resto del mundo avance. Además habría más problemas, protocolos https con los bancos, hacienda, ... habría muchas más cosas en peligro.

Pdt: en referencia y apoyo a las palabras de Antuam2, yo he visto salir en la ruleta (puro azar) 24 veces el mismo color, 21 impares seguidos, y 19 seguidas un numero del 1 al 18... Al infinito, la probabilidad se acercará al 48.65%, pero cuando el destino es caprichoso, por baja probabilidad que haya, acaba pasando y no es tan raro.

Eso era haciendo el martingala? eso lo saben los casinos y te funden como lo apliques. Estamos hablando de que a partir de hoy y hasta el día en que ya no estes, te toque reguarlmente todas las semanas el euromillón, quiniela, once, lotería nacional, etc... para acercarte un poco a la probabilidad de bitcoin, pero de lejos.

Eso era en un estudio estadístico. Gracias por tu interés pero has comentado algo que no es cierto, así con sonrisita.

La técnica martingala la conocen los casinos, entre otros, debido a que es del siglo XVIII, más conocida por ser la estrategia de doblar la apuesta tras perder. Por supuesto que provoca la ruina a medio plazo de cualquiera que la pruebe.

Ya en el tema, la probabilidad es una, y se ve más o menos grande según quien la mire.
La posibilidad está ahí y el crecimiento anual le quitará ceros.
Otro recordatorio es que un ataque del 51% era prácticamente imposible, en 2012-2013. Realmente no se hizo nada, los "grandes" mineros disimularon su potencia bajo "Unknown" para que no pensemos en ello.

[Anillos2]

Hace años había muchísimos anuncios que te anunciaban un truco infalible para ganar en casinos... al parecer era ese método, no sería raro que lo anunciaran los propios casinos.

[elbill]

Sobre las colisiones, es más probable que un meteorito te caiga mañana en la cabeza (bastante más probable), así que no hay razón para preocuparse.

Aún así lo que han comentado de las direcciones Multifirma (que empiezan por un 3) deberías tenerlo en cuenta, por si acaso.

Hace años había muchísimos anuncios que te anunciaban un truco infalible para ganar en casinos... al parecer era ese método, no sería raro que lo anunciaran los propios casinos.

Fué un negocio muy rentable para anunciantes y casinos. Yo conocí al que lo implemento en España por primera vez con los casinos de playtech a principios del 2000 y publicidad en las webs de torbe, descargas, P2P etc, y fué un negocio millonario.

[dserrano5]

Esto es un poco técnico, pero: multifirma puede implementarse de dos maneras: usando los opcodes nativos del lenguaje de scripting, o usando P2SH. Al usar P2SH, la dirección no es más que un hash RIPEMD160 del redeemScript, muy parecido a las direcciones P2PKH habituales que empiezan por 1. Por tanto, los ataques de fuerza bruta contra direcciones multifirma P2SH tienen la misma probabilidad de éxito que los ataques contra direcciones P2PKH. La forma más segura de usar multifirma sería con el método anterior a P2SH. No sé si algún monedero lo implementa (todavía).

[nachoig]

No sé si es correto lo que voy a decir, pero ahí voy.

Creo que el razonamiento que haces no es correcto, el problema de colisión no es contra 1 dirección, es contra una dirección previamente creada. Por tanto, a medida que pasan los días hay más direcciones en la bolsa de la posibles colisiones, pero muchas de esas colisiones serían contra direcciones sin saldo.

No es que tengas que multiplicar 1 por 1.200.000, es que el número de direcciones a colisionar va incrementando pero solo habría 1.200.000 donde realmente sí sería un problema. Con lo cual el riesgo es practicamente nulo.

Aunque ya se haya esclarecido acerca de la posibilidad de colisiones, hay un equívoco en tu argumentación: colidir conta una dirección que ya fue previamente utilizada, aunque esa "nueva" dirección no tenga saldo, es un riesgo de seguridad. Porque eso significa que alguna otra persona en algun otro momento tuvo llaves privadas que corresponden a esa dirección (o todavia puede ternerlas), o sea, estarías en un serio riesgo de que tuvieras tus bitcoins afanados.