Во первых не очень нравиться ваш тон общения с участникам на форуме,
такой ощущение, что вы пытаетесь показать, что вы много знаете и этим
самоутвердиться а других как-то принизить.
Вам со стороны, конечно, виднее. Но поверьте - у меня нет желания "самоутвердиться".
А есть желание показать другим, что они ошибаются. Причем не только
ошибаются сами, но и вводят других в заблуждение.
И так в декабре 2014 года blockchain.info попался на том, из-за ошибки в их софте
при формировании подписи рандомное число было вовсе не рандомным и к тому же еще и
повторялось. То есть вместо того чтобы сгенерировать рандомное число генератор случайных
чисел отдавал всегда одинаковое значение. Не будем вдаваться в технические подробности,
но такая ситуацию когда для 1 адреса в 2 подписях используется одинаковое число K
приводит к тому, что любой наблюдатель имея 2 таких подписи может вычислить приватный ключ.
Верно. Но... У меня подозрение, что ответ неполный и будь мы на экзамене по криптографии,
я бы задал пару наводящих вопросов. Но мы не на экзамене, да?
Вам мой менторский тон
не по нутру.
Да, мои подозрения подтвердились. Вы знаете только половину ответа на вопрос.
В некотором смысле это еще хуже. Одно дело когда человек говорит "я не знаю",
а совсем другое, когда человек думает что он знает, а на самом деле нет.
Ваш список неполный. Из этого я делаю вывод, что вы не до конца понимаете как работает
ECDSA-подпись и где надо искать зарытую собаку. Если вы не знаете где её искать - может
быть она уже зарыта под вашей калиткой. И просто ждет своего часа.
В этом списке нет всех скомпрометированных адресов с 2014, на сколько я понял, это связанно
с тем, что в тот момент те кто совершил атаки сканили все транзакции в реальном времени и
сразу создавали двойную трату. По этой причине те транзакции которые скомпрометировали адреса
не попали в блокчейн.
Не придумывайте сказки. Все там есть. Плохо ищете.
Мы запустили мониторинг данной проблемы в реальном времени и видим всю ситуацию сразу, все
транзакции нашего процессинга проверяются на лету, еще до того как мы их начинаем отправлять
в сеть. Соответсвенно мы можем гарантировать защиту от данной проблемы для наших клиентов,
тем что мы просто не выпустим в сеть транзакцию которая скомпрометирует приватный ключ.
Тут вот какое дело. Для пиар-релиза и отчетов перед вашими инвесторами, владельцами, акционерами
и прочими начальниками этот абзац сойдет. А для меня нет. Потому что определить качество генератора
рандома по его выходным данным и сказать "вот этот генератор криптосекурный, а вот этот - нестойкий"
невозможно. По сути дела ваш мониторинг - это рыболовная сеть с ячейкой 5 метров. Кита вы поймаете,
а все что по размерам меньше - уйдет.
Но и даже это не главное.
Проблема в том, что даже если
1) ключ находится на компьютере у пользователя и никуда с него не уходит
2) если с комьютера пользователя сервер получает только подписанную транзакцию и больше ничего
3) если вы ставите сколь угодно сложные мониторинги
... то и в этом случае возможна компроментация пользовательского приватного ключа если
программист намеренно или случайно сделает ошибку в подписывающем коде.
Вопрос на засыпку: RFC 6979 применяете? Объяснить на пальцах сможете?
(мне не надо объяснять - достаточно "да" или "нет")
Мы постоянно работаем над нашим сервисом и реагируем на возникающие угрозы.
То что вы нас пытаетесь ткнуть носом в общеизвестную уязвимость и говорите что
мы на нее попадемся, это не так.
Условно говоря, чтобы определить не представляет ли сам ваш сервис угрозы
моим средствам, мне надо каждый раз перед подписанием любой транзакции проверять
исходный код. Каждый раз, Карл! Не, ну можно конечно 1 раз проверить, а потом сравнивать
и если в код не вносились правки - он по-прежнему чист. Но никто в здравом
уме не будет это проверять.
Так же скоро грядет эра квантовых вычислений которая тоже принесет
много сюрпризов для эллиптической кривой.
Это тоже лучше инвесторам адресовать. Я на это не ведусь. Квантовых компьютеров нет.
И (на мой взгляд, потому что доказать я это не могу) не будет. Впрочем доказать,
что они "могут существовать" вы тоже не сможете пока не предъявите работающий
вариант, а не "эмулятор на транзисторной логике"
С наступающим новым годом вас, побольше битков вам в 2017 году
(недоуменно в сторону) Зачем мне они? Я тут три года пытаюсь дать понять,
что битки мало чем отличаются от акций МММ, а мне желают их побольше
