Large Bitcoin Collider (Collision Finder Pool) - Deutscher Thread

[lassdas]

...dann ist der Plan aller netten LBC Teilnehmer Dir die gefundenen BTC
abzgl. des üblichen Finderlohns wieder zukommen zu lassen,...

Wie hoch ist denn schätzungsweise der Prozentsatz der netten Teilnehmer? 

Und ist ein Finderlohn nicht eigentlich bei Dingen üblich, die vorher jemand verloren hat?
Bei ner verlorenen Wallet könnte ich das ja noch nachvollziehen, aber wenn ich meinen Key nich verloren habe (und nur dann kann ich ihn vorweisen), würd ich das doch eher als Erpressung bezeichnen.

[rico666]

Wie hoch ist denn schätzungsweise der Prozentsatz der netten Teilnehmer? 

Und ist ein Finderlohn nicht eigentlich bei Dingen üblich, die vorher jemand verloren hat?
Bei ner verlorenen Wallet könnte ich das ja noch nachvollziehen, aber wenn ich meinen Key nich verloren habe (und nur dann kann ich ihn vorweisen), würd ich das doch eher als Erpressung bezeichnen.

Wikipedia sagt was von 5-10%, je nachdem ob man sich in D/A/CH befindet. Sowas in der Art.
Und wenn Du eines Morgens nachsiehst und Deine Funds sind auf einer Custodial Address
dann hast Du die doch verloren - oder nicht? 

Natürlich kannst Du das bezeichnen als was immer Du möchtest. Aber wenn die
Finderlohn-Geschichte in gegenseitigem Einverständnis keine Schule macht, dann kann
ich sehr gut prognostizieren wie die Sache eher ablaufen wird:

Wo ist dein Key, du hast ihn verloren,
Als ich dir den Weg zeigen mußte
Wer hat verloren? Du dich?
Ich mich? Oder, oder wir uns?

FalcRico

[Milquetoast]

Und ist ein Finderlohn nicht eigentlich bei Dingen üblich, die vorher jemand verloren hat?
Bei ner verlorenen Wallet könnte ich das ja noch nachvollziehen, aber wenn ich meinen Key nich verloren habe (und nur dann kann ich ihn vorweisen), würd ich das doch eher als Erpressung bezeichnen.

Das sehe ich genau so. Wenn ich zufällig die Kombination des Zahlenschlosses deines Fahrrads errate und es mitnehme, bekomme ich dann Finderlohn? Wohl kaum, eher wohl eine Anzeige wegen Diebstahls.

[rico666]

Das sehe ich genau so. Wenn ich zufällig die Kombination des Zahlenschlosses deines Fahrrads errate und es mitnehme, bekomme ich dann Finderlohn? Wohl kaum, eher wohl eine Anzeige wegen Diebstahls.

Dann hast auch Du nicht verstanden was eine Kollision ist.

Überdies würde ich empfehlen keine Vergleiche aus der physischen Welt heranzuziehen, weil man damit meist daneben liegt.

Rico

[Z80]

Es wäre kein Diebstahl, aber wenn Du einen (Deinen) Privkey vorweisen würdest,
und der sich von dem gefundenen unterscheiden würde (= Kollision)
dann ist der Plan aller netten LBC Teilnehmer Dir die gefundenen BTC
abzgl. des üblichen Finderlohns wieder zukommen zu lassen,

Das ist ja gut und schön das euer Plan ist gefundenes BTC zurückzugeben (wenn sich denn alle dran halten).
Aber man muss ja auch erstmal merken des eine eigene Adresse leer geräumt ist. Wieviele Leute haben eine Coldwallet die nicht ständig beobachtet wird. Oder eine Paperwallet z.b. im Bankschliessfach oder unter'm Kopfkissen... gucken die alle regelmässig ob die BTC noch da sind?

Überdies würde ich empfehlen keine Vergleiche aus der physischen Welt heranzuziehen, weil man damit meist daneben liegt.

Dann eben ein Beispiel aus der virtuellen Welt:
Im Grunde ist das was ihr macht eine Brutforce-Attacke bei der nicht nur das Passwort durchprobiert wird sondern Accountname UND Passwort, also nicht ein bestimmter Account sondern irgendein Account gehackt wird. Wäre das legal..?
(nebenbei: auch bei gehasht gespeicherten Passworten können ja Collisionen auftreten)

...
Im übrigen finde ich dieses Projekt aber ziemlich interessant. Am Ende wird man vielleicht sehen welche Gefahr Collisionen für BTC-Besitzer wirklich darstellen. Könnte sich ja auch in einer Änderung/Verbesserung beim Bitcoin-Protokoll niederschlagen.
(also falls es dann nicht wieder eine "Core-Lösung" und eine "Miner-Lösung" gibt und jede Seite die andere jahrelang ablehnt  )

[rico666]

Das ist ja gut und schön das euer Plan ist gefundenes BTC zurückzugeben (wenn sich denn alle dran halten).
Aber man muss ja auch erstmal merken des eine eigene Adresse leer geräumt ist. Wieviele Leute haben eine Coldwallet die nicht ständig beobachtet wird. Oder eine Paperwallet z.b. im Bankschliessfach oder unter'm Kopfkissen... gucken die alle regelmässig ob die BTC noch da sind?

Einmal alle 6 Monate sehen doch einige nach. Außerdem kann man ja eine Nachricht hinterlassen - siehe
https://blockchain.info/address/1PVwqUXrD5phy6gWrqJUrhpsPiBkTnftGg

Überdies würde ich empfehlen keine Vergleiche aus der physischen Welt heranzuziehen, weil man damit meist daneben liegt.

Dann eben ein Beispiel aus der virtuellen Welt:
Im Grunde ist das was ihr macht eine Brutforce-Attacke bei der nicht nur das Passwort durchprobiert wird sondern Accountname UND Passwort, also nicht ein bestimmter Account sondern irgendein Account gehackt wird. Wäre das legal..?
(nebenbei: auch bei gehasht gespeicherten Passworten können ja Collisionen auftreten)

Schon besser als die Fahrradschloss-Geschichte (bei der ja z.B. nicht einmal das Fahrradschloss dem Fahrrad-Besitzer gehört), aber immer noch nicht zutreffend. Dabei sind gerade im Deutschen alle Voraussetzungen gegeben um den Sachverhalt zu verstehen, da man schön zwischen Besitz und Eigentum unterscheiden kann - bietet nicht jede Sprache. Keiner von uns kann ein Eigentum an einem Privatschlüssel beanspruhen - schon gar nicht an allen zu einer Adresse gültigen Privatschlüsseln.

Ein Privkey ist also eben nicht "das Passwort". Wenn überhaupt, ist ein Privkey ein Passwort von vielen möglichen. Der Privkey ermöglicht die Kontrolle (Signatur, Transaktion) einer zugehörigen Adresse. Weder der Privkey - schon gar nicht alle Privkeys - noch die Adresse sind jemandes Eigentum.

Es werden auch keine Daten abgefangen. Die Blockchain ist ja öffentlich und unterliegt keiner Zugangssicherung.
https://de.wikipedia.org/wiki/Vorbereiten_des_Aussp%C3%A4hens_und_Abfangens_von_Daten
Es wird nicht in Computersysteme eingebrochen und wir scannen auch keine "elektromagnetische Abstrahlung einer Datenverarbeitungsanlage"

Als Leute in Japan versucht haben an ihre MtGox Bitcoins zu kommen, haben die Gerichte dies abgelehnt mit der Begründung, dass Bitcoins niemandem gehören. Nun mag sich natürlich Hugo Egon in Deutschland denken "was geht mich Japan an", aber die tolle Blockchain hat nunmal die Eigenschaft überall auf der Welt zu sein. Davon schwärmen wir ja alle. Wenn ihr also Eure Bitcoins der Blockchain anvertraut mit dem Wissen, dass diese in alle Herren Länder verteilt wird, kann man schwerlich auf 202 pochen.

Wenn jemand seinen Collider in Russland laufen lässt - viel Spaß vor einem deutschen Gericht.

Ok - ich betreibe nun also so ein Projekt öffentlich, also muss ich mich auch solchen Themen stellen. Was ist mit den - ganz offensichtlich - existierenden ähnlichen nichtöffentlichen Projekten? "TooDumbForBitcoins" hat es im englischen Thread perfekt formuliert: https://bitcointalk.org/index.php?topic=1573035.msg17701080#msg17701080

Eine Alternative Sichtweise wäre die folgende: Wir alle (mich eingeschlossen) haben Teile unseres Eigentums in eine Teilnahme an einem öffentlichen Spiel - "Bitcoin" genannt -  konvertiert. Bei diesem Spiel werden Rechnungseinheiten hin- und hergeschoben und wir vertrauen darauf, dass die Mühe in 2^160 öffentlich einsehbare Schubladen so groß ist, dass dies niemand tut. Wenn doch, haben wir u.U. Pech gehabt.

Im übrigen finde ich dieses Projekt aber ziemlich interessant. Am Ende wird man vielleicht sehen welche Gefahr Collisionen für BTC-Besitzer wirklich darstellen. Könnte sich ja auch in einer Änderung/Verbesserung beim Bitcoin-Protokoll niederschlagen.
(also falls es dann nicht wieder eine "Core-Lösung" und eine "Miner-Lösung" gibt und jede Seite die andere jahrelang ablehnt  )

Ich hoffe, wir haben irgendwann echte 256bit Adressen oder sogar echte 512bit Adressen. Funds auf diese zu schieben wäre vielleicht etwas teurer (Transaktionsgröße), aber das wären dann eben "Tresoradressen". Bei einem globalen Gut wie der Blockchain sollte man sich tatsächlich mehr auf technische denn auf juristische Lösungen verlassen. Das werden Juristen sicher ungern hören und sicher auch eine eigene/andere Meinung dazu haben, aber das ist ja deren gutes Recht.



Rico

[shorena]

-snip-
Eine Alternative Sichtweise wäre die folgende: Wir alle (mich eingeschlossen) haben Teile unseres Eigentums in eine Teilnahme an einem öffentlichen Spiel - "Bitcoin" genannt -  konvertiert. Bei diesem Spiel werden Rechnungseinheiten hin- und hergeschoben und wir vertrauen darauf, dass die Mühe in 2^160 öffentlich einsehbare Schubladen so groß ist, dass dies niemand tut. Wenn doch, haben wir u.U. Pech gehabt.

Ich seh das zwar auch so, crypto muss gut genug sein das es nicht möglich ist, kann man aber doch mit 202(a) argumentieren. Denn, der private Schlüssel für "meine" Bitcoin ist ja nicht für dich bestimmt. Ich denke es hängt also stark vom Richter ab wie sowas ausgehen würde.

Ich hoffe, wir haben irgendwann echte 256bit Adressen oder sogar echte 512bit Adressen. Funds auf diese zu schieben wäre vielleicht etwas teurer (Transaktionsgröße), aber das wären dann eben "Tresoradressen". Bei einem globalen Gut wie der Blockchain sollte man sich tatsächlich mehr auf technische denn auf juristische Lösungen verlassen. Das werden Juristen sicher ungern hören und sicher auch eine eigene/andere Meinung dazu haben, aber das ist ja deren gutes Recht.

Geht doch jetzt auch schon, mit Multi-Sig, 2-2 entspricht dann 320-Bit, 3-3 480 bit, etc. Überhaupt checkt der LBC ja "nur" die Version 1 Skripte, keine kleine Untermenge aller möglicher Skripte. Für wenn das Projekt also ins Bedrohungsscenario gehört, der kann sich entsprechend absichern. Für die meisten wird das aber hypothetisch bleiben.

[rico666]

Ich seh das zwar auch so, crypto muss gut genug sein das es nicht möglich ist, kann man aber doch mit 202(a) argumentieren. Denn, der private Schlüssel für "meine" Bitcoin ist ja nicht für dich bestimmt. Ich denke es hängt also stark vom Richter ab wie sowas ausgehen würde.

Sagen wir von der langen Reihe aller Richter quer durch die Instanzen. In Deutschland. Das ist klar.

Aber was 202(a) betrifft, finde ich einfach, es fehlt das Gespür für die Eigentumsfrage. Bereits Deine Formulierung der private Schlüssel für "meine" Bitcoin ist ja nicht für dich bestimmt suggeriert es gäbe da nur einen privaten Schlüssel, der obendrein noch Dein und nicht mein Eigentum ist.

Das ist faktisch nicht zutreffend. Es gibt 2⁹⁶ private Schlüssel. Kein einziger davon Dein oder mein Eigentum. Aber angenommen Du kennst einen davon: Der LBC ist genau an den anderen 2⁹⁶ - 1 interessiert. Wie könntest Du diese auch für Dich a priori beanspruchen wenn Du sie noch nicht einmal selbst kennst?

Geht doch jetzt auch schon, mit Multi-Sig, 2-2 entspricht dann 320-Bit, 3-3 480 bit, etc. Überhaupt checkt der LBC ja "nur" die Version 1 Skripte, keine kleine Untermenge aller möglicher Skripte. Für wenn das Projekt also ins Bedrohungsscenario gehört, der kann sich entsprechend absichern. Für die meisten wird das aber hypothetisch bleiben.

Die letzte Info die ich von Ryan zu P2SH habe, besagt, dass P2SH effektiv nur 80bit geschützt sind und das knacken eines Privkey perfekt per GPU parallelisierbar ist. https://bitcointalk.org/index.php?topic=1581701.msg16344155#msg16344155


Rico

[shorena]

-snip-
Sagen wir von der langen Reihe aller Richter quer durch die Instanzen. In Deutschland. Das ist klar.

Aber was 202(a) betrifft, finde ich einfach, es fehlt das Gespür für die Eigentumsfrage. Bereits Deine Formulierung der private Schlüssel für "meine" Bitcoin ist ja nicht für dich bestimmt suggeriert es gäbe da nur einen privaten Schlüssel, der obendrein noch Dein und nicht mein Eigentum ist.

Das ist faktisch nicht zutreffend. Es gibt 2⁹⁶ private Schlüssel. Kein einziger davon Dein oder mein Eigentum.

Faktisch und juristisch ist ja nicht das selbe, siehe z.B. illegale Primzahlen.

Aber angenommen Du kennst einen davon: Der LBC ist genau an den anderen 2⁹⁶ - 1 interessiert. Wie könntest Du diese auch für Dich a priori beanspruchen wenn Du sie noch nicht einmal selbst kennst?

Genauso wie sonst auch. Menschen beanspruchen alles mögliche als ihr Eigentum ohne es (genau genug) zu kennen. Ist der Mond nicht sogar schon Parzellenweise verkauft? Ich bin ja durchaus deiner Ansicht, es geht mir lediglich darum das einem durchaus rechtliche Konsequenzen drohen könnten. Über die Brücke kann man aber wohl auch gehen wenn es soweit ist.

Geht doch jetzt auch schon, mit Multi-Sig, 2-2 entspricht dann 320-Bit, 3-3 480 bit, etc. Überhaupt checkt der LBC ja "nur" die Version 1 Skripte, keine kleine Untermenge aller möglicher Skripte. Für wenn das Projekt also ins Bedrohungsscenario gehört, der kann sich entsprechend absichern. Für die meisten wird das aber hypothetisch bleiben.

Die letzte Info die ich von Ryan zu P2SH habe, besagt, dass P2SH effektiv nur 80bit geschützt sind und das knacken eines Privkey perfekt per GPU parallelisierbar ist. https://bitcointalk.org/index.php?topic=1581701.msg16344155#msg16344155

Rico

Hmm, klingt plausibel da man ja nur ein beliebiges Script präsentieren muss das den entsprechenden Hash hat.

[rico666]

Strike, TOP30 erreicht.  

Das heißt wenn ich heute abend starte, benötige ich mindestens 18 Tage 24/7 um es in die Top 30 zu schaffen...
Ich probiere nacher auch mal ein wenig  

Gute Schätzung - willkommen im Club.


Rico

[Gyrsur]

sehr gut! es wird alles getan um BitCoin zu einer der am besten gesichertesten software auf dem planeten zu machen! 

[mezzomix]

Ein Brute-Force hilft da nicht besonders. Cryptoanalyse um den Suchraum deutlich zu reduzieren wäre weitaus wirksamer, benötigt aber entsprechendes Fachwissen.

[rico666]

Ein Brute-Force hilft da nicht besonders. Cryptoanalyse um den Suchraum deutlich zu reduzieren wäre weitaus wirksamer, benötigt aber entsprechendes Fachwissen.

Ein von 256bit auf 136.75bit reduzierter Suchraum zählt also nicht?

Ich bin für das seit Projektbeginn erworbene Fachwissen sehr dankbar und sehe dem im Rahmen dieses Projekts künftig weiter aquiriertem Fachwissen mit Freude entgegen. 

Fachfrage am Rande: Zählt z.B. eine Verdoppelung der Suchgeschwindigkeit als Reduzierung des Suchraums oder nicht?


Rico

[mezzomix]

Der notwendige Suchraum umfasst doch sowieso nur 96 Bit und nicht 256 Bit.

Die Suchgeschwindigkeit ist aus Sicht der Cryptoanalyse nicht relevant. Interessant sind Methoden/Verfahren, die den Suchraum von 96 Bit z.B. auf 48 Bit verkleinern. Dort steckt tatsächlich Potential drin, was bei anderen Algorithmen bereits ausreichend oft nachgewiesen wurde.

[Gyrsur]

Ein Brute-Force hilft da nicht besonders. Cryptoanalyse um den Suchraum deutlich zu reduzieren wäre weitaus wirksamer, benötigt aber entsprechendes Fachwissen.

Ein von 256bit auf 136.75bit reduzierter Suchraum zählt also nicht?

Ich bin für das seit Projektbeginn erworbene Fachwissen sehr dankbar und sehe dem im Rahmen dieses Projekts künftig weiter aquiriertem Fachwissen mit Freude entgegen.  

Fachfrage am Rande: Zählt z.B. eine Verdoppelung der Suchgeschwindigkeit als Reduzierung des Suchraums oder nicht?


Rico

https://www.wolframalpha.com/input/?i=2%5E136.75

viel spass!  

EDIT:

Am 15. Februar 2005 meldete der Kryptographieexperte Bruce Schneier in seinem Blog[1], dass die Wissenschaftler Xiaoyun Wang, Yiqun Lisa Yin und Hongbo Yu von Shandong University in China erfolgreich SHA-1 gebrochen hätten. Ihnen war es gelungen, den Aufwand zur Kollisionsberechnung von 2⁸⁰ auf 2⁶⁹ zu verringern.[2] 2⁶⁹ Berechnungen könnten eventuell mit Hochleistungsrechnern durchgeführt werden. Die erste Kollision wurde aber erst Anfang 2017 veröffentlicht.

[rico666]

Der notwendige Suchraum umfasst doch sowieso nur 96 Bit und nicht 256 Bit.

Kannst Du das näher erläutern?

Die Suchgeschwindigkeit ist aus Sicht der Cryptoanalyse nicht relevant. Interessant sind Methoden/Verfahren, die den Suchraum von 96 Bit z.B. auf 48 Bit verkleinern. Dort steckt tatsächlich Potential drin, was bei anderen Algorithmen bereits ausreichend oft nachgewiesen wurde.

Eine Verdoppelung der Suchgeschwindigkeit entspricht einer Verkleinerung des Suchraums um 1bit. So gesehen haben wir den Suchraum seit Projektbeginn nochmals um ca 8.5bit verkleinert.

Gern geschehen.


Rico

[Gyrsur]

Der notwendige Suchraum umfasst doch sowieso nur 96 Bit und nicht 256 Bit.

Kannst Du das näher erläutern?

Die Suchgeschwindigkeit ist aus Sicht der Cryptoanalyse nicht relevant. Interessant sind Methoden/Verfahren, die den Suchraum von 96 Bit z.B. auf 48 Bit verkleinern. Dort steckt tatsächlich Potential drin, was bei anderen Algorithmen bereits ausreichend oft nachgewiesen wurde.

Eine Verdoppelung der Suchgeschwindigkeit entspricht einer Verkleinerung des Suchraums um 1bit.

woher hast du diese aussage?

[rico666]

Eine Verdoppelung der Suchgeschwindigkeit entspricht einer Verkleinerung des Suchraums um 1bit.

woher hast du diese aussage?

Durch die Fähigkeit auch ohne wolframalpha nachdenken zu können.


Rico

[Gyrsur]

Eine Verdoppelung der Suchgeschwindigkeit entspricht einer Verkleinerung des Suchraums um 1bit.

woher hast du diese aussage?

Durch die Fähigkeit auch ohne wolframalpha nachdenken zu können.


Rico

nimm es mir nicht übel, aber du vergisst den hash algorithmus. um die kollision zu finden darf man nicht davon ausgehen, dass der suchraum die wahrscheinlichkeit linear mit abziehen von bits verringert vergrössert wird. der algorithmus "schiebt" die ergebnisse in bestimmte bereiche des suchraums. deshalb sprach mezzo von kryptoanalyse. man versucht diese gewichteten bereiche zu finden.

EDIT: platt ausgedrückt, suchst man sich im falschen teilbereich des suchraums zu tode während in den "richtigen" bereichen des suchraums die wahrscheinlichkeit steigt mehrere kollisionen zu finden

EDIT2: aber es ist trotzdem ein interessantes projekt. hoffentlich läuft es noch lange oder besser solange BitCoin existiert.

[rico666]

nimm es mir nicht übel, aber du vergisst den hash algorithmus. um die kollision zu finden darf man nicht davon ausgehen, dass der suchraum linear mit abziehen von bits verringert wird. der algorithmus "schiebt" die ergebnisse in bestimmte bereiche des suchraums. deshalb sprach mezzo von kryptoanalyse. man versucht diese gewichteten bereiche zu finden.

Nimm Du es mir bitte nicht übel, aber nach knapp 8 Monaten Entwicklung, wobei ich meine eigene SHA256 Implementierung sowohl auf CPU wie auch auf GPU vorgenommen habe (genauer gesagt zwei Implementierungen, jeweils eine für uncompressed und compressed public keys) und eine eigene RIPEMD160 Implementierung, speziell auf den SHA256 output (hier als Input) zugeschnitten - wiederum für CPU und GPU...

nach ausführlichen Benchmarks schnellster Code weltweit (von dem was öffentlich zugänglich ist)...

bin ich mir wirklich nicht sicher, was ich von der Aussage "Du vergisst den Hash Algorithmus" halten soll. Nicht nur vergesse ich diesen nicht, ich kenne ihn in- und auswendig. (Und kann deswegen auch sagen, dass die RIPEMD160 Autoren ziemlich einfallslos von SHA256 abgekupfert haben)


Es gibt kein "schieben in bestimmte Bereiche des Suchraums". Diese Kryptoanalyse haben SHA256 und RIPEMD160 lange hinter sich. Sie verteilen uniform - das macht sie ja zu guten Hash Algorithmen. Genau weil sie jedoch uniform verteilen, kann man auch von einem Abbild aller Privkey -> Adresse Paare in den ersten 160bit "des Suchraums" ausgehen. RIPEMD160 sei Dank.


Ich gebe zu, ich bin gemein. Ich stelle Fragen, zu denen ich lange die Antwort kenne. In diesem Fall eben Äquivalenz von Suchgeschwindigkeit und effektiver Suchraum (bezogen auf eine Zeitkonstante). Sprich:

Brauche ich mit Prozess A für 8bit 256 Jahre und finde einen Prozess B, der doppelt so schnell ist wie A, dann braucht Prozess B eben 128 Jahre. Was effektiv die Zeit ist, die A für 7bit bräuchte. Klar? Natürlich kann man den Suchraum auch effektiv verkleinern indem man analytisch vorgeht und z.B. Symmetrien aufdeckt (pro Symmetrie hat man auch oft eine Reduktion von 1bit) - das bleibt ja weiterhin unbenommen.

Und wer den englischen Thread verfolgt hat, weiß, dass gerade diese Analysen für ECC nochmals eine erhebliche Steigerung der Suchgeschwindigkeit nach sich ziehen werden.


Rico