fruit (OP)
Legendary
Offline
Activity: 1064
Merit: 1023
habr
|
|
September 30, 2017, 05:32:02 PM |
|
Что бы вы сделали, чтобы никто не пострадал.
|
~DefaultTrust (Trust - is fraud.) Доверие - это разновидность мошенничества.
|
|
|
|
|
|
|
Even in the event that an attacker gains more than 50% of the network's
computational power, only transactions sent by the attacker could be
reversed or double-spent. The network would not be destroyed.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
fruit (OP)
Legendary
Offline
Activity: 1064
Merit: 1023
habr
|
|
September 30, 2017, 05:57:49 PM |
|
Что бы вы сделали, чтобы никто не пострадал.
Бэкдор в спецификации secp256k1, или в общем случае, уязвимость криптографии на эллиптических кривых? В названии темы - Bitcoin, соответственно вопрос про sec256k1.
|
~DefaultTrust (Trust - is fraud.) Доверие - это разновидность мошенничества.
|
|
|
Torwald Go
|
|
September 30, 2017, 09:13:21 PM |
|
Гипотетически - если допустить что кто-то нашел серьезную уязвимость в сети биткойна - то первое что нужно было бы такому человеку сделать - это что есть силы стараться соблюсти свою анонимность ! Ибо когда дело касается возможности качественно и эффективно влиять на такую Мега-махину как биткоин - Вас убьют и порежут на мелкие кусочки лишь бы завладеть этой информацией - уж поверте - в этом деле желающих будет более чем достаточно. А чтобы никто не пострадал - надо сделать так чтобы эта уязвимость была уничтожена без возможности восстановления ! Тогда и обладатель информации останется цел и пользователям не придется быть подопытными кроликами!
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
September 30, 2017, 10:14:13 PM |
|
Что бы вы сделали, чтобы никто не пострадал.
Вы так говорите, как будто вы уже взломали ECDSA secp256k1
|
|
|
|
fruit (OP)
Legendary
Offline
Activity: 1064
Merit: 1023
habr
|
|
October 01, 2017, 04:30:56 AM |
|
Что бы вы сделали, чтобы никто не пострадал.
Вы так говорите, как будто вы уже взломали ECDSA secp256k1 Взломать и найти бекдор - разные вещи. Нет, не нашёл, иначе даже тему такую не стал создавать бы.
|
~DefaultTrust (Trust - is fraud.) Доверие - это разновидность мошенничества.
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
October 02, 2017, 05:38:18 AM |
|
Что бы вы сделали, чтобы никто не пострадал.
Вы так говорите, как будто вы уже взломали ECDSA secp256k1 Взломать и найти бекдор - разные вещи. Нет, не нашёл, иначе даже тему такую не стал создавать бы. На форуме на рекламных баннерах между постами однажды проходило такое сообщение на английском языке: According to NIST and ECRYPT II, the cryptographic algorithms used in Bitcoin are expected to be strong until at least 2030. В общем, согласно утверждению NIST и ECRYPT II, ожидается, что криптографические алгоритмы, используемые в Bitcoin, будут сильными, по крайней мере, до 2030 года. Может, институт NIST, устанавливая такой малый срок для Bitcoin, имеет в виду как раз использование ECDSA secp256k1?
|
|
|
|
fulinov
|
|
October 04, 2017, 08:53:36 AM |
|
На форуме на рекламных баннерах между постами однажды проходило такое сообщение на английском языке:
According to NIST and ECRYPT II, the cryptographic algorithms used in Bitcoin are expected to be strong until at least 2030.
В общем, согласно утверждению NIST и ECRYPT II, ожидается, что криптографические алгоритмы, используемые в Bitcoin, будут сильными, по крайней мере, до 2030 года. Может, институт NIST, устанавливая такой малый срок для Bitcoin, имеет в виду как раз использование ECDSA secp256k1?
Стойкость алгоритмов с открытым ключем расчитывается, исходя из возможности найти приватный ключ, при наличии открытого ключа. В системе Биткойна, если адреса использовать только один раз, то и публичный ключ известен не будет. NIST оценивает стойкость алгоритмов по своим стандартам, а у Биткойна - свои стандарты. Публичный ключ вы светите в тот момент, когда отправляете транзакцию. Но с момента отправки транзакции в сеть и до того момента, когда ваша транзакция будет подтверждена - счет идет на минуты. За эти минуты нужно успеть вычислить приватный ключ из публичного, что на сегодняшний день невозможно сделать даже с самыми простыми алгоритмами, которые уже давно не считаются стойкими. Даже там речи нет о минутах, счет идет на месяцы, в лучшем случае - на недели. Про алгоритмы, которые на сегодняшний день считаются стойкими - даже речи нет.
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
October 05, 2017, 10:57:07 AM |
|
На форуме на рекламных баннерах между постами однажды проходило такое сообщение на английском языке:
According to NIST and ECRYPT II, the cryptographic algorithms used in Bitcoin are expected to be strong until at least 2030.
В общем, согласно утверждению NIST и ECRYPT II, ожидается, что криптографические алгоритмы, используемые в Bitcoin, будут сильными, по крайней мере, до 2030 года. Может, институт NIST, устанавливая такой малый срок для Bitcoin, имеет в виду как раз использование ECDSA secp256k1?
Стойкость алгоритмов с открытым ключем расчитывается, исходя из возможности найти приватный ключ, при наличии открытого ключа. В системе Биткойна, если адреса использовать только один раз, то и публичный ключ известен не будет. NIST оценивает стойкость алгоритмов по своим стандартам, а у Биткойна - свои стандарты. Публичный ключ вы светите в тот момент, когда отправляете транзакцию. Но с момента отправки транзакции в сеть и до того момента, когда ваша транзакция будет подтверждена - счет идет на минуты. За эти минуты нужно успеть вычислить приватный ключ из публичного, что на сегодняшний день невозможно сделать даже с самыми простыми алгоритмами, которые уже давно не считаются стойкими. Даже там речи нет о минутах, счет идет на месяцы, в лучшем случае - на недели. Про алгоритмы, которые на сегодняшний день считаются стойкими - даже речи нет. На самом деле приватный ключ ECDSA вычислить из публичного ключа практически невозможно ни на наких стадиях. Наоборот, публичный ключ вычисляется из приватного ключа.
|
|
|
|
fxpc
Sr. Member
Offline
Activity: 1316
Merit: 420
KTO EC/\U HUKTO?
|
|
October 05, 2017, 01:04:08 PM Last edit: October 05, 2017, 01:26:30 PM by fxpc |
|
На форуме на рекламных баннерах между постами однажды проходило такое сообщение на английском языке:
According to NIST and ECRYPT II, the cryptographic algorithms used in Bitcoin are expected to be strong until at least 2030.
В общем, согласно утверждению NIST и ECRYPT II, ожидается, что криптографические алгоритмы, используемые в Bitcoin, будут сильными, по крайней мере, до 2030 года. Может, институт NIST, устанавливая такой малый срок для Bitcoin, имеет в виду как раз использование ECDSA secp256k1?
Стойкость алгоритмов с открытым ключем расчитывается, исходя из возможности найти приватный ключ, при наличии открытого ключа. В системе Биткойна, если адреса использовать только один раз, то и публичный ключ известен не будет. NIST оценивает стойкость алгоритмов по своим стандартам, а у Биткойна - свои стандарты. Публичный ключ вы светите в тот момент, когда отправляете транзакцию. Но с момента отправки транзакции в сеть и до того момента, когда ваша транзакция будет подтверждена - счет идет на минуты. За эти минуты нужно успеть вычислить приватный ключ из публичного, что на сегодняшний день невозможно сделать даже с самыми простыми алгоритмами, которые уже давно не считаются стойкими. Даже там речи нет о минутах, счет идет на месяцы, в лучшем случае - на недели. Про алгоритмы, которые на сегодняшний день считаются стойкими - даже речи нет. На самом деле приватный ключ ECDSA вычислить из публичного ключа практически невозможно ни на наких стадиях. Наоборот, публичный ключ вычисляется из приватного ключа. Зато можно брутфорсить генератором адресов, я понимаю что вероятность меньше чем крайне мала, но с ростом вычислительных мощностей и нахождением коллизий кому-то может повезти намного быстрее. Доступ завязанный лишь на 1 факторе - так себе решение. В своём форке я планирую дополнительно использовать что-то вроде одноразового пароля, но более стойкого чем в банках.
|
|
|
|
fulinov
|
|
October 06, 2017, 08:57:58 AM |
|
Зато можно брутфорсить генератором адресов, я понимаю что вероятность меньше чем крайне мала, но с ростом вычислительных мощностей и нахождением коллизий кому-то может повезти намного быстрее.
Если у вас будут даже мощности, чтобы проверять 1 триллион приватных ключей в секунду, то за миллиард секунд вы проверите всего лишь 1 000 000 000 000 х 1 000 000 000 = 1 000 000 000 000 000 000 000 приватных ключей из 100 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 возможных. А миллиард секунд, если что, это почти 2000 лет.
|
|
|
|
fxpc
Sr. Member
Offline
Activity: 1316
Merit: 420
KTO EC/\U HUKTO?
|
|
October 06, 2017, 10:33:05 AM |
|
Зато можно брутфорсить генератором адресов, я понимаю что вероятность меньше чем крайне мала, но с ростом вычислительных мощностей и нахождением коллизий кому-то может повезти намного быстрее.
Если у вас будут даже мощности, чтобы проверять 1 триллион приватных ключей в секунду, то за миллиард секунд вы проверите всего лишь 1 000 000 000 000 х 1 000 000 000 = 1 000 000 000 000 000 000 000 приватных ключей из 100 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 возможных. А миллиард секунд, если что, это почти 2000 лет. Я в курсе, именно поэтому написал про коллизии.
|
|
|
|
xKARELx
|
|
October 06, 2017, 10:34:00 AM |
|
СОШЕЛ БЫ С УМА
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
October 06, 2017, 11:20:14 AM |
|
Зато можно брутфорсить генератором адресов, я понимаю что вероятность меньше чем крайне мала, но с ростом вычислительных мощностей и нахождением коллизий кому-то может повезти намного быстрее.
Если у вас будут даже мощности, чтобы проверять 1 триллион приватных ключей в секунду, то за миллиард секунд вы проверите всего лишь 1 000 000 000 000 х 1 000 000 000 = 1 000 000 000 000 000 000 000 приватных ключей из 100 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 возможных. А миллиард секунд, если что, это почти 2000 лет. Возможно, главная уязвимость - это не сам ECDSA secp256k1, а огромное число коллизий из-за использования всего лишь 160-битного хеша RIPEMD160 при создании Bitcoin-адреса, что значительно упрощает проведение успешного брутфорса. Видимо, разработчики хотели, чтобы Bitcoin-адрес был коротким и читабельным, но это негативно сказалось на криптозащищённости системы.
|
|
|
|
fulinov
|
|
October 06, 2017, 11:27:22 AM Last edit: October 06, 2017, 11:56:56 AM by fulinov |
|
Я в курсе, именно поэтому написал про коллизии.
Так коллизии нам будут только мешать, а не помогать. Возьмем, к примеру, триллион чисел от 000 000 000 000 до 999 999 999 999 и хешируем каждое число. Полученные хеши и будут приватными ключами. Если взять, к примеру, вероятность возникновения коллизии 1:1 000 000, то хешировав 1 триллион чисел мы получим 1 триллион приватных ключей минус 1 миллион коллизий. Т.е, хешировав 1 триллион чисел мы не получили 1 триллион приватных ключей. Чтобы получить 1 триллион приватных ключей нам будет необходимо хешировать 1 000 001 000 001 число.
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
October 06, 2017, 11:56:30 AM |
|
Я в курсе, именно поэтому написал про коллизии.
Так коллизии нам будут только мешать, а не помогать. Возьмем, к примеру, триллион чисел от 000 000 000 000 до 999 999 999 999 и хешируем каждое число. Полученные хеши и будут приватными ключами. Если взять, к примеру, вероятность возникновения коллизии 1:1 000 000, то хешировав 1 триллион чисел мы получим 1 триллион приватных ключей минус 1 миллион коллизий. Т.е, хешировав 1 триллион чисел мы не получили 1 триллион приватных ключей. Чтобы получить 1 триллион приватных ключей нам будет необходимо хешировать 1 000 001 001 число. Нет, коллизий будет примерно 2^(256 - 160) = 2^96. Это огромное число.
|
|
|
|
fulinov
|
|
October 06, 2017, 12:13:01 PM |
|
Нет, коллизий будет примерно 2^(256 - 160) = 2^96. Это огромное число.
Нет, не так. Если учитывать, что адреса имеют длинну всего лишь 160 бит, а приватные ключи - 256 бит, то, получается, что приватных ключей в системе может быть 2^256, а адресов - 2^160. Даже с учетом этого: 2^160=10^48, а как мы выяснили, даже перебирая по триллиону ключей в секунду мы за 2000 лет успеем перебрать лишь 10^21 ключей.
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
October 06, 2017, 12:46:47 PM |
|
Наградой за перебор 2^160 адресов будет, на текущий момент, 73 миллиарда долларов капитализации, размазанные по Bitcoin-адресам. Сюда же можно включить адреса и капитализацию других аналогичных форков Биткойна.
Суть в том, что если бы при создании Bitcoin-адреса вместо RIPEMD160 использовался бы, например, SHA256, то да, адрес был бы длиннее, но и разговора о брутфорсе не было. Возможно, на это и намекает NIST.
|
|
|
|
fxpc
Sr. Member
Offline
Activity: 1316
Merit: 420
KTO EC/\U HUKTO?
|
|
October 06, 2017, 12:52:00 PM Last edit: October 06, 2017, 01:05:15 PM by fxpc |
|
Я в курсе, именно поэтому написал про коллизии.
Так коллизии нам будут только мешать, а не помогать. Возьмем, к примеру, триллион чисел от 000 000 000 000 до 999 999 999 999 и хешируем каждое число. Полученные хеши и будут приватными ключами. Если взять, к примеру, вероятность возникновения коллизии 1:1 000 000, то хешировав 1 триллион чисел мы получим 1 триллион приватных ключей минус 1 миллион коллизий. Т.е, хешировав 1 триллион чисел мы не получили 1 триллион приватных ключей. Чтобы получить 1 триллион приватных ключей нам будет необходимо хешировать 1 000 001 000 001 число. Будут мешать, если коллизии найдены для несуществующих адресов. Коллизия для существующего адреса позволит злоумышленнику тратить отправленные на этот адрес монеты. Тратить сдачу подписанную ключом владельца, насколько я понял, не выйдет.
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
October 06, 2017, 12:59:42 PM |
|
Тратить сдачу подписанную ключом владельца, насколько я понял, не выйдет.
Почему?
|
|
|
|
fxpc
Sr. Member
Offline
Activity: 1316
Merit: 420
KTO EC/\U HUKTO?
|
|
October 06, 2017, 01:09:04 PM |
|
Тратить сдачу подписанную ключом владельца, насколько я понял, не выйдет.
Почему? Потому что выход подписан ключом владельца, который злоумышленнику неизвестен. У злоумышленника другой ключ, дающий после хеширования тот же адрес. Наградой за перебор 2^160 адресов будет, на текущий момент, 73 миллиарда долларов капитализации, размазанные по Bitcoin-адресам. Сюда же можно включить адреса и капитализацию других аналогичных форков Биткойна.
Суть в том, что если бы при создании Bitcoin-адреса вместо RIPEMD160 использовался бы, например, SHA256, то да, адрес был бы длиннее, но и разговора о брутфорсе не было. Возможно, на это и намекает NIST.
Абсолютно плевать насколько стойкое шифрование используется для сокращения адреса. Никакой нужды в увеличении битности и длины адреса нет, это архитектурная проблема, вытекающая из того, что права доступа завязаны лишь на 1 факторе - приватном ключе. В своём алгоритме я использую совокупность постоянных и одноразовых факторов и данная атака для него неосуществима.
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
October 06, 2017, 01:38:05 PM |
|
Тратить сдачу подписанную ключом владельца, насколько я понял, не выйдет.
Почему? Потому что выход подписан ключом владельца, который злоумышленнику неизвестен. У злоумышленника другой ключ, дающий после хеширования тот же адрес. Брутфорсер подберёт оба ключа, и тогда сможет потратить сдачу.
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
October 06, 2017, 01:41:20 PM |
|
Абсолютно плевать насколько стойкое шифрование используется для сокращения адреса. Никакой нужды в увеличении битности и длины адреса нет, это архитектурная проблема, вытекающая из того, что права доступа завязаны лишь на 1 факторе - приватном ключе.
Bitcoin-адрес должен быть не менее длины приватного ключа, то есть 256 бит. В этом случае схема ECDSA secp256k1 будет работать на 100%.
|
|
|
|
fulinov
|
|
October 06, 2017, 02:16:34 PM |
|
Наградой за перебор 2^160 адресов будет, на текущий момент, 73 миллиарда долларов капитализации, размазанные по Bitcoin-адресам. Сюда же можно включить адреса и капитализацию других аналогичных форков Биткойна.
Перебрать 2^160 адресов нереально даже теоритически. Максимум, на что можно расчитывать - это найти приватный ключ к одному из адресов, на котором есть монеты. При этом потребуются просто огромные мощности и даже в течении нескольких лет непрерывной их работы вы имеет мизерный шанс, найти приватный ключ к одному из адресов. И даже этот шанс, найти всего 1 приватный ключ к рандомному адресу, на котором может оказаться 0.0001BTC, практически равен 0. И если у вас есть такие мощности, то зачем заниматься этой ахинеей? Проще включиться в сеть Биткойна и просто майнить новые монеты.
|
|
|
|
fxpc
Sr. Member
Offline
Activity: 1316
Merit: 420
KTO EC/\U HUKTO?
|
|
October 06, 2017, 02:28:36 PM |
|
Тратить сдачу подписанную ключом владельца, насколько я понял, не выйдет.
Почему? Потому что выход подписан ключом владельца, который злоумышленнику неизвестен. У злоумышленника другой ключ, дающий после хеширования тот же адрес. Брутфорсер подберёт оба ключа, и тогда сможет потратить сдачу. Подобрать ключ намного сложнее чем коллизию. Абсолютно плевать насколько стойкое шифрование используется для сокращения адреса. Никакой нужды в увеличении битности и длины адреса нет, это архитектурная проблема, вытекающая из того, что права доступа завязаны лишь на 1 факторе - приватном ключе.
Bitcoin-адрес должен быть не менее длины приватного ключа, то есть 256 бит. В этом случае схема ECDSA secp256k1 будет работать на 100%. Это неудобно и не нужно, при использовании дополнительных факторов схема работает на 200%.
|
|
|
|
Bezdonov Art
Member
Offline
Activity: 84
Merit: 10
|
|
October 15, 2017, 04:03:41 PM |
|
Тема озвученная автором звучит - что бы Вы сделали чтобы никто не пострадал !) Тут все зависит от того КТО нашел этот бекдор. Если бы его нашел алчный и стремящийся к власти человек, ну или любой кому не хватает денег - то он наверняка бы этот бекдор стал бы эксплуатировать что есть мочи) Ну а если бы это был какой-то всем удовлетворенный в жизни, не жадный, альтруистичный и хорошо разбирающийся в сути проблемы человек и при этом не жаждущий признания публики то он попросту предпринял бы меры чтобы устранить бекдор)
|
|
|
|
ashbe
Jr. Member
Offline
Activity: 33
Merit: 1
|
|
October 16, 2017, 05:28:31 PM |
|
Гипотетически - если допустить что кто-то нашел серьезную уязвимость в сети биткойна - то первое что нужно было бы такому человеку сделать - это что есть силы стараться соблюсти свою анонимность ! Ибо когда дело касается возможности качественно и эффективно влиять на такую Мега-махину как биткоин - Вас убьют и порежут на мелкие кусочки лишь бы завладеть этой информацией - уж поверте - в этом деле желающих будет более чем достаточно. А чтобы никто не пострадал - надо сделать так чтобы эта уязвимость была уничтожена без возможности восстановления ! Тогда и обладатель информации останется цел и пользователям не придется быть подопытными кроликами!
Здравая мысль) У нас за подержанную иномарку в в лесу грибников убивают, а за такое глазом не моргнут. Вы кстати зря тему создали, процентов 90 прочитавших уверены, что вы нашли, но не знаете что делать))
|
|
|
|
fruit (OP)
Legendary
Offline
Activity: 1064
Merit: 1023
habr
|
|
October 18, 2017, 03:20:05 AM Last edit: October 18, 2017, 04:16:47 AM by fruit |
|
Гипотетически - если допустить что кто-то нашел серьезную уязвимость в сети биткойна - то первое что нужно было бы такому человеку сделать - это что есть силы стараться соблюсти свою анонимность ! Ибо когда дело касается возможности качественно и эффективно влиять на такую Мега-махину как биткоин - Вас убьют и порежут на мелкие кусочки лишь бы завладеть этой информацией - уж поверте - в этом деле желающих будет более чем достаточно. А чтобы никто не пострадал - надо сделать так чтобы эта уязвимость была уничтожена без возможности восстановления ! Тогда и обладатель информации останется цел и пользователям не придется быть подопытными кроликами!
Здравая мысль) У нас за подержанную иномарку в в лесу грибников убивают, а за такое глазом не моргнут. Вы кстати зря тему создали, процентов 90 прочитавших уверены, что вы нашли, но не знаете что делать)) Только не 90%, а 95% (Первая ссылка в гугле). Почему Вы решили, что под аккаунтом fruit пишет один человек, а не целый коллектив через секретаршу/машинистку? Зарегистрировать аккаунт можно на кого угодно. И кстати, зачем Вы сюда пишите? - Хотите включить себя в список подозреваемых?
|
~DefaultTrust (Trust - is fraud.) Доверие - это разновидность мошенничества.
|
|
|
AndrewSearche777
Member
Offline
Activity: 62
Merit: 10
|
|
October 18, 2017, 11:58:32 PM |
|
Здравая мысль) У нас за подержанную иномарку в в лесу грибников убивают, а за такое глазом не моргнут. Вы кстати зря тему создали, процентов 90 прочитавших уверены, что вы нашли, но не знаете что делать))
Сильно написано, бесспорно ) Умельцы сразу начали брутить, и расшифровывать шифр изобретенный в анб. Я на вашем месте начал бы изучать уязвимость SMF форума )) или искать эксплоиты, может есть )) пыху легче сломать, чем относительно новую идею гения )) ну или изобретение Сысоева )
|
|
|
|
|
yokotoka
Member
Offline
Activity: 126
Merit: 23
|
|
October 24, 2017, 11:04:04 AM |
|
Кстати, какая вычислительная мощность майнерской сети bitcoin сейчас? Если половину мощностей кинуть на поиск ключей - что будет?
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
October 25, 2017, 08:11:15 PM |
|
Кстати, какая вычислительная мощность майнерской сети bitcoin сейчас? Если половину мощностей кинуть на поиск ключей - что будет? Вычислительная мощность сети Bitcoin уже более 4-х эксахешей в секунду. Только это не связано с ECDSA, там SHA256.
|
|
|
|
|