Intel ha un processore quantistico a 49 qubit

[CryptoSystemITA]

Ragazzi questa notizia è davvero interessante, da quanto ho capito basta un processore quantistico a 4096 qubit per violare tutte le chiavi private!

https://www.tomshw.it/intel-un-processore-quantistico-49-qubit-90665

[1714877081]

1714877081

[1714877081]

1714877081

[1714877081]

1714877081

[1714877081]

1714877081

[1714877081]

1714877081

[1714877081]

1714877081

[thetigcoder]

sicuramente in futuro ci saranno nuovi algoritmi di conversione irraggiungibili proprio grazie al quantistico.

[CryptoSystemITA]

sicuramente in futuro ci saranno nuovi algoritmi di conversione irraggiungibili proprio grazie al quantistico.

In realtà non è proprio così, perché i processori verranno rilasciati al pubblico solo quando raggiungeranno 1 milione di qubit. Mentre per violare tutte le chiavi private come detto basterà molto meno...

[Atomino]

Ci sono altcoin che dicono di essere immuni da attacchi di computer quantistici.
Non so se sia vero/possibile. Qualcuno più esperto può dirci la sua?
Intanto queste alt andrebbero seguite con interesse o son tutte fregnacce?

[Vinsneuve]

Ci sono altcoin che dicono di essere immuni da attacchi di computer quantistici.
Non so se sia vero/possibile. Qualcuno più esperto può dirci la sua?
Intanto queste alt andrebbero seguite con interesse o son tutte fregnacce?

Si, per esempio il progetto QRL (Quantum-Resistant Ledger) attualmente è un token Ethereum in attesa del rilascio della propria blockchain ed è giudicato resistente all'attacco di un computer quantistico, c'è una dettagliata spiegazione nel whitepaper.

[Atomino]

Ottimo, ora me lo guardo per bene.
Mi era passato sotto mano proprio lui e mi ero interrogato più volte su questa cosa, ma alla fine non ho mai avuto il tempo di approfondire.

[Jack Liver]

Esiste già la post-quantum cryptography ed abbiamo fortunatamente molti anni per vederla sviluppata al meglio, a quanto sapevo comunque anche una private key mai spesa dovrebbe essere molto sicura.

[CryptoSystemITA]

Ci sono altcoin che dicono di essere immuni da attacchi di computer quantistici.
Non so se sia vero/possibile. Qualcuno più esperto può dirci la sua?
Intanto queste alt andrebbero seguite con interesse o son tutte fregnacce?

Si, per esempio il progetto QRL (Quantum-Resistant Ledger) attualmente è un token Ethereum in attesa del rilascio della propria blockchain ed è giudicato resistente all'attacco di un computer quantistico, c'è una dettagliata spiegazione nel whitepaper.

Per i  nuovi progetti ok, ma cosa accadrà agli altri? È possibile aggiornarli? E riguardo la questione mining cosa cambia? Secondo me è un discorso molto tecnico e complicato.

[k1mera]

Ci sono altcoin che dicono di essere immuni da attacchi di computer quantistici.
Non so se sia vero/possibile. Qualcuno più esperto può dirci la sua?
Intanto queste alt andrebbero seguite con interesse o son tutte fregnacce?

Si, per esempio il progetto QRL (Quantum-Resistant Ledger) attualmente è un token Ethereum in attesa del rilascio della propria blockchain ed è giudicato resistente all'attacco di un computer quantistico, c'è una dettagliata spiegazione nel whitepaper.

Per i  nuovi progetti ok, ma cosa accadrà agli altri? È possibile aggiornarli? E riguardo la questione mining cosa cambia? Secondo me è un discorso molto tecnico e complicato.

I codici non sono immutabili, se è possibile modificarli allora sarà possibile modificare anche gli algoritmi di crittografia. Non sei il primo che si è posto il problema, in ogni caso si è già pensato alla soluzione al problema stesso.

[CryptoSystemITA]

I codici non sono immutabili, se è possibile modificarli allora sarà possibile modificare anche gli algoritmi di crittografia. Non sei il primo che si è posto il problema, in ogni caso si è già pensato alla soluzione al problema stesso.

Il quesito che mi pongo io è diverso. E' possibile mantenere l'integrità della blockchain durante questa fase di "aggiornamento"? Si parla di 5 - 7 anni circa per risolvere i problemi ingegneristici relativi all'aumento dei qubit fino a 1 milione. Mentre ne bastano solo 4096 per far saltare tutte le chiavi private, non so se mi spiego di cosa stiamo parlando. Questo è un grosso problema da risolvere e bisogna vedere se i nuovi progetti saranno in grado di resistere a tanta forza bruta ....

Questo articolo è molto interessante e può dare qualche speranza a riguardo: https://www.01net.it/quantum-computing-crittografia/

[duesoldi]

Ci sono altcoin che dicono di essere immuni da attacchi di computer quantistici.
Non so se sia vero/possibile. Qualcuno più esperto può dirci la sua?
Intanto queste alt andrebbero seguite con interesse o son tutte fregnacce?

Si, per esempio il progetto QRL (Quantum-Resistant Ledger) attualmente è un token Ethereum in attesa del rilascio della propria blockchain ed è giudicato resistente all'attacco di un computer quantistico, c'è una dettagliata spiegazione nel whitepaper.

Anche IOTA dichiara di essere quantum resistant, o per lo meno meno attaccabile della blockchain: paragrafo 4.3 del WP.

[tzbet]

...processori quantistici e blockchain"resistenti"andranno di pari passo, sarà normale evoluzione.

[Atomino]

Ci sono altcoin che dicono di essere immuni da attacchi di computer quantistici.
Non so se sia vero/possibile. Qualcuno più esperto può dirci la sua?
Intanto queste alt andrebbero seguite con interesse o son tutte fregnacce?

Si, per esempio il progetto QRL (Quantum-Resistant Ledger) attualmente è un token Ethereum in attesa del rilascio della propria blockchain ed è giudicato resistente all'attacco di un computer quantistico, c'è una dettagliata spiegazione nel whitepaper.

Anche IOTA dichiara di essere quantum resistant, o per lo meno meno attaccabile della blockchain: paragrafo 4.3 del WP.

Precisissimo, complimenti.
Grazie mille duesoldi!

[CryptoSystemITA]

Anche IOTA dichiara di essere quantum resistant, o per lo meno meno attaccabile della blockchain: paragrafo 4.3 del WP.

Mi chiedo come facciano a fare tali affermazioni senza aver subito uno stress test reale per mettere alla prova la sicurezza. Solo tramite calcoli o modelli teorici? L'unica cosa certa è che l' NSA sta lavorando a una soluzione al problema, ovviamente per motivi di sicurezza nazionale.

[gallisiardi]

Ci sono altcoin che dicono di essere immuni da attacchi di computer quantistici.
Non so se sia vero/possibile. Qualcuno più esperto può dirci la sua?
Intanto queste alt andrebbero seguite con interesse o son tutte fregnacce?

Si, per esempio il progetto QRL (Quantum-Resistant Ledger) attualmente è un token Ethereum in attesa del rilascio della propria blockchain ed è giudicato resistente all'attacco di un computer quantistico, c'è una dettagliata spiegazione nel whitepaper.

Anche IOTA dichiara di essere quantum resistant, o per lo meno meno attaccabile della blockchain: paragrafo 4.3 del WP.

Esatto. Iota ha questa caratteristica, infatti l'address puo' ricevere infiniti pagamenti, ma se vengono spesi degli iota arrivati su un address, quell'address non è più sicuro, e non deve essere utilizzato per ricevere altri fondi.
Sostanzialmente va generato un nuovo address ogni volta che si devono ricevere fondi. Questo può creare problemi a chi deve ricevere donazioni, ecc. Non è possibile ad esempio pubblciare un address su un libro, altrimenti i fondi che verrebbero donati dopo il primo prelievo, sono a rischio. Più prelievi vengono eseguiti più la sicurezza decresce. Pare siano stati documentati alcuni casi in cui persone incaute hanno ricevuto e prelevato anche più di 10 volte dallo stesso address e ad un certo punto i fondi siano stati rubati. Infatti sono stati implementati dei controlli nei wallet, ma se si gestiscono le tx tramite api, e non si tiene conto di questo fattore si rischia grosso.

Sono allo studio diverse soluzioni per risolvere il problema "donazioni" a stesso address, ma non c'è ancora nulla di concreto.

[gallisiardi]

Anche IOTA dichiara di essere quantum resistant, o per lo meno meno attaccabile della blockchain: paragrafo 4.3 del WP.

Mi chiedo come facciano a fare tali affermazioni senza aver subito uno stress test reale per mettere alla prova la sicurezza. Solo tramite calcoli o modelli teorici? L'unica cosa certa è che l' NSA sta lavorando a una soluzione al problema, ovviamente per motivi di sicurezza nazionale.

Semplicemente perchè finchè la chiave privata non firma una transazione di output dall'address, non può essere "attaccata".

[CryptoSystemITA]

Anche IOTA dichiara di essere quantum resistant, o per lo meno meno attaccabile della blockchain: paragrafo 4.3 del WP.

Mi chiedo come facciano a fare tali affermazioni senza aver subito uno stress test reale per mettere alla prova la sicurezza. Solo tramite calcoli o modelli teorici? L'unica cosa certa è che l' NSA sta lavorando a una soluzione al problema, ovviamente per motivi di sicurezza nazionale.

Semplicemente perchè finchè la chiave privata non firma una transazione di output dall'address, non può essere "attaccata".

Quindi hanno aggirato il problema? Come? Questo tipo di controllo può essere fatto solo creando una blockchain centralizzata! Cioè il contrario del concetto di blockchain, forse qualcosa mi sfugge non so ...

[gallisiardi]

Anche IOTA dichiara di essere quantum resistant, o per lo meno meno attaccabile della blockchain: paragrafo 4.3 del WP.

Mi chiedo come facciano a fare tali affermazioni senza aver subito uno stress test reale per mettere alla prova la sicurezza. Solo tramite calcoli o modelli teorici? L'unica cosa certa è che l' NSA sta lavorando a una soluzione al problema, ovviamente per motivi di sicurezza nazionale.

Semplicemente perchè finchè la chiave privata non firma una transazione di output dall'address, non può essere "attaccata".

Quindi hanno aggirato il problema? Come? Questo tipo di controllo può essere fatto solo creando una blockchain centralizzata! Cioè il contrario del concetto di blockchain, forse qualcosa mi sfugge non so ...

Questo non è un problema di blockchain, consense, rete p2p, ecc. questo è un problema puramente di crittografia, legato alla robustezza dell'accoppiata chiave pubblica e privata.

Sulla singola transazione la sicurezza è garantita. I problemi nascono quando ci sono più tx sullo stesso address. Trovi un paper molto tecnico qui: https://eprint.iacr.org/2011/191.pdf

Senza offesa, ma viste le tue domande probabilmente è troppo tecnico.

[gbianchi]

Quindi hanno aggirato il problema? Come? Questo tipo di controllo può essere fatto solo creando una blockchain centralizzata! Cioè il contrario del concetto di blockchain, forse qualcosa mi sfugge non so ...

provo a spiegarlo semplicemente:

- La sicurezza degli indirizzi di bitcoin si basa su an algoritmo a chiavi pubbliche e chiavi private.

- questo genere di algoritmi si basa sul fatto che c'e' un'operazione facile fa fare, che permette di trovare la chiave pubblica partendo
  dalla chiave privata, ma invece trovare la chiave privata partendo dalla pubblica e' un'operazione difficilissima, praticamente infattibile
  in tempi umani, con i computer tradizionali e gli algoritmi tradizionali noti.

- ci sono algoritmi quantistici che permetto di rendere "facile" anche la seconda operazione, inficiando
   (se e quando esistera' un computer quantistico sufficentemente potente, direi ben superiore a 1000 qbit) la sicurezza della chiave privata
  (per approfondimenti cercare Shor's discrete logarithm quantum algorithm for elliptic curves)

- pero' finche' un indirizzo NON SPENDE i soldi ricevuti, cioe' non c'e' nessuna operazione in output, la chiave pubblica
  non viene esposta, quindi non c'e' modo di applicare un eventuale algoritmo quantistico per svelare anche la chiave privata.

- per ora non viene percepito come problema imminente... ci sono molti indirizzi da migliaia di bitcoin che hanno fatto operazioni in output,
 e quindi hanno la chiave pubblica esposta, ma non si preoccupano di spostarli (che e' comunque una cattiva abitudine)

[CryptoSystemITA]

Quindi hanno aggirato il problema? Come? Questo tipo di controllo può essere fatto solo creando una blockchain centralizzata! Cioè il contrario del concetto di blockchain, forse qualcosa mi sfugge non so ...

provo a spiegarlo semplicemente:

- La sicurezza degli indirizzi di bitcoin si basa su an algoritmo a chiavi pubbliche e chiavi private.

- questo genere di algoritmi si basa sul fatto che c'e' un'operazione facile fa fare, che permette di trovare la chiave pubblica partendo
  dalla chiave privata, ma invece trovare la chiave privata partendo dalla pubblica e' un'operazione difficilissima, praticamente infattibile
  in tempi umani, con i computer tradizionali e gli algoritmi tradizionali noti.

- ci sono algoritmi quantistici che permetto di rendere "facile" anche la seconda operazione, inficiando
   (se e quando esistera' un computer quantistico sufficentemente potente, direi ben superiore a 1000 qbit) la sicurezza della chiave privata
  (per approfondimenti cercare Shor's discrete logarithm quantum algorithm for elliptic curves)

- pero' finche' un indirizzo NON SPENDE i soldi ricevuti, cioe' non c'e' nessuna operazione in output, la chiave pubblica
  non viene esposta, quindi non c'e' modo di applicare un eventuale algoritmo quantistico per svelare anche la chiave privata.

- per ora non viene percepito come problema imminente... ci sono molti indirizzi da migliaia di bitcoin che hanno fatto operazioni in output,
 e quindi hanno la chiave pubblica esposta, ma non si preoccupano di spostarli (che e' comunque una cattiva abitudine)

Interessante spiegazione, grazie della info!

[duesoldi]

Anche IOTA dichiara di essere quantum resistant, o per lo meno meno attaccabile della blockchain: paragrafo 4.3 del WP.

Mi chiedo come facciano a fare tali affermazioni senza aver subito uno stress test reale per mettere alla prova la sicurezza. Solo tramite calcoli o modelli teorici? L'unica cosa certa è che l' NSA sta lavorando a una soluzione al problema, ovviamente per motivi di sicurezza nazionale.

No il motivo (almeno per quello che ho capito io - ammetto di non aver approfondito più di tanto) è che IOTA utilizza algoritmi totalmente diversi da quelli che usa bitcoin. Ad esempio è stata molto (ma molto!) criticata perché si è addirittura inventata un proprio algoritmo di hash invece di usare uno di quelli stracollaudati da altre cripto.

Per la domanda specifica che hai fatto: il motivo da quel che ho capito è che Iota utilizza una logica ternaria (non binaria come tutto il resto del mondo) e questo mette al sicuro contro i computer quantistici - almeno a detta loro.
Tieni presente che per operare con questa logica ternaria oggi emulano ovviamente il calcolo in binario, ma stanno sviluppando un processore hw (chiamato Jinn) che dovrebbe funzionare nativamente con questa logica (non chiedermi come perché non mi interessava e non ho approfondito, ma se googli "jinn iota" trovi tutto).

[gallisiardi]

Anche IOTA dichiara di essere quantum resistant, o per lo meno meno attaccabile della blockchain: paragrafo 4.3 del WP.

Mi chiedo come facciano a fare tali affermazioni senza aver subito uno stress test reale per mettere alla prova la sicurezza. Solo tramite calcoli o modelli teorici? L'unica cosa certa è che l' NSA sta lavorando a una soluzione al problema, ovviamente per motivi di sicurezza nazionale.

No il motivo (almeno per quello che ho capito io - ammetto di non aver approfondito più di tanto) è che IOTA utilizza algoritmi totalmente diversi da quelli che usa bitcoin. Ad esempio è stata molto (ma molto!) criticata perché si è addirittura inventata un proprio algoritmo di hash invece di usare uno di quelli stracollaudati da altre cripto.

Per la domanda specifica che hai fatto: il motivo da quel che ho capito è che Iota utilizza una logica ternaria (non binaria come tutto il resto del mondo) e questo mette al sicuro contro i computer quantistici - almeno a detta loro.
Tieni presente che per operare con questa logica ternaria oggi emulano ovviamente il calcolo in binario, ma stanno sviluppando un processore hw (chiamato Jinn) che dovrebbe funzionare nativamente con questa logica (non chiedermi come perché non mi interessava e non ho approfondito, ma se googli "jinn iota" trovi tutto).

No, la logica ternaria e le funzione di hash contano relativamente. Il punto è come vengono generati gli address e l'uso che se ne fa.

[lorol]

Riguarda anche i paper wallet?

[gallisiardi]

Riguarda anche i paper wallet?

Se depositi su paper wallet no.

Se depositi su paper wallet, e poi fai un prelievo totale no.

Se depositi su paper wallet, e poi fai un prelievo parziale si, solo sul residuo, cioè la parte che resta sulla paper wallet.

Ma questa è la teoria, non andrei nel panico per il momento.

[duesoldi]

No, la logica ternaria e le funzione di hash contano relativamente. Il punto è come vengono generati gli address e l'uso che se ne fa.

Sì vero, ho riguardato, lascio un paio di link a info sul tema. Il secondo spiega bene la pericolosità del fare doppi o molteplici invii da un unico indirizzo:

https://learn.iota.org/faq/what-makes-iota-quantum-secure

https://www.reddit.com/r/Iota/comments/778ohp/how_is_iota_quantum_resistant/

[gallisiardi]

Articolo interessante

https://www.securityinfo.it/2018/02/14/davvero-bisogno-della-crittografia-quantistica/

[CryptoSystemITA]

Articolo interessante

https://www.securityinfo.it/2018/02/14/davvero-bisogno-della-crittografia-quantistica/

Questi punti sono davvero interessanti, sarà una grande rivoluzione in tutti i settori:

Per fare un esempio, prendiamo l’applicazione delle nuove scienze quantistiche alle risonanze magnetiche. Attualmente, una risonanza magnetica ha una risoluzione massima di circa un millimetro. Secondo Kristiel Michielsen, applicando la tecnologia quantica la risoluzione potrà scendere a meno di un micron (oltre mille volte quella attuale).

Cambiando campo e arrivando ai microprocessori, le cose diventano forse ancora più incredibili. Secondo Vladimir Belotelov, sostituendo dei magneton ai transistor, i computer potranno arrivare a frequenze di un teraherz, senza incorrere nell’effetto Joule (quello che causa il surriscaldamento delle attuali CPU).

“Per questo” – conclude Protasov – “abbiamo bisogno di veri dispositivi quantistici in grado di darci una crittografia affidabile anche nei prossimi anni. E i dispositivi attuali non sono ancora davvero pronti per questo. Mentre quelli che proteggono la trasmissione dei dati sono veri dispositivi quantistici, quanto troviamo sul mercato per la crittografia non sono ancora quello che ci serve”.

Invece ciò che riguarda la questione mining significa che un computer quantistico sarà in grado per esempio di minare tutti i bitcoin in una manciata di minuti?!

[gallisiardi]

Articolo interessante

https://www.securityinfo.it/2018/02/14/davvero-bisogno-della-crittografia-quantistica/

Questi punti sono davvero interessanti, sarà una grande rivoluzione in tutti i settori:

Per fare un esempio, prendiamo l’applicazione delle nuove scienze quantistiche alle risonanze magnetiche. Attualmente, una risonanza magnetica ha una risoluzione massima di circa un millimetro. Secondo Kristiel Michielsen, applicando la tecnologia quantica la risoluzione potrà scendere a meno di un micron (oltre mille volte quella attuale).

Cambiando campo e arrivando ai microprocessori, le cose diventano forse ancora più incredibili. Secondo Vladimir Belotelov, sostituendo dei magneton ai transistor, i computer potranno arrivare a frequenze di un teraherz, senza incorrere nell’effetto Joule (quello che causa il surriscaldamento delle attuali CPU).

“Per questo” – conclude Protasov – “abbiamo bisogno di veri dispositivi quantistici in grado di darci una crittografia affidabile anche nei prossimi anni. E i dispositivi attuali non sono ancora davvero pronti per questo. Mentre quelli che proteggono la trasmissione dei dati sono veri dispositivi quantistici, quanto troviamo sul mercato per la crittografia non sono ancora quello che ci serve”.

Invece ciò che riguarda la questione mining significa che un computer quantistico sarà in grado per esempio di minare tutti i bitcoin in una manciata di minuti?!

Va fatta differenza tra sistemi in grado di accellerare il processo di calcolo degli hash, e processi in grado di "rompere" la cifratura.
I primi vengono gestiti tranquillamente dalla tecnologia attuale, i secondi richiedono degli adeguamenti al protocollo.

[CryptoSystemITA]

Va fatta differenza tra sistemi in grado di accellerare il processo di calcolo degli hash, e processi in grado di "rompere" la cifratura.
I primi vengono gestiti tranquillamente dalla tecnologia attuale, i secondi richiedono degli adeguamenti al protocollo.

Con questi mostri credo che la velocità del calcolo degli hash sarà estremamente rapido.

[picchio]

La cosa che mi spaventa maggiormente è che al momento non puoi crittare un file e pubblicarlo (es. ipfs) se non accetti il rischio che tra 10, 20 o 40 anni qualcuno potrà decrittarlo senza sforzi.

[gallisiardi]

La cosa che mi spaventa maggiormente è che al momento non puoi crittare un file e pubblicarlo (es. ipfs) se non accetti il rischio che tra 10, 20 o 40 anni qualcuno potrà decrittarlo senza sforzi.

Esatto, ci sarà sempre qualcuno che potrebbe averne tenuto una copia proprio in attesa che ciò avvenga.
Va anche tenuto in considerazione che con la mole di dati che anno dopo anno l'umanità sta generando, è difficile pensare che qualcuno conservi TUTTO.
E' chiaro che se si riesce ad individuare l'autore del file, potrebbe essere fatta una conservazione selettiva di documenti, oppure si potrebbe pensare ad una clusterizzazione dei dati di cui solo l'autore conosce la struttura.

In quest'ultimo caso per un attaccante sarebbe difficile già solo ricostruire il singolo file, non conoscendo i vari pezzi che lo compongono, la loro successione, ecc.

[Grafschmidt]

Riguarda anche i paper wallet?

Se depositi su paper wallet no.

Se depositi su paper wallet, e poi fai un prelievo totale no.

Se depositi su paper wallet, e poi fai un prelievo parziale si, solo sul residuo, cioè la parte che resta sulla paper wallet.

Ma questa è la teoria, non andrei nel panico per il momento.

Ma alla fine il paper wallet non è semplicemente una stampa di chiave pubblica e privata? Che poi comunque sono immagazzinate nella blockchain.

Una brute force di una rete di computer con un gozzilione di operazioni al picosecondo alla fin fine possono violare qualunque chiave. Anche se le possibilità sono 1 su 10 alla 79 o giù di lì, si tratta solo di ridurre il tempo che ci impieghi a provare tutti gli indirizzi nel range dato, tramite incremento esponenziale di potenza di calcolo.

O sbaglio?

[asdlolciterquit]

Quindi hanno aggirato il problema? Come? Questo tipo di controllo può essere fatto solo creando una blockchain centralizzata! Cioè il contrario del concetto di blockchain, forse qualcosa mi sfugge non so ...

provo a spiegarlo semplicemente:

- La sicurezza degli indirizzi di bitcoin si basa su an algoritmo a chiavi pubbliche e chiavi private.

- questo genere di algoritmi si basa sul fatto che c'e' un'operazione facile fa fare, che permette di trovare la chiave pubblica partendo
  dalla chiave privata, ma invece trovare la chiave privata partendo dalla pubblica e' un'operazione difficilissima, praticamente infattibile
  in tempi umani, con i computer tradizionali e gli algoritmi tradizionali noti.

- ci sono algoritmi quantistici che permetto di rendere "facile" anche la seconda operazione, inficiando
   (se e quando esistera' un computer quantistico sufficentemente potente, direi ben superiore a 1000 qbit) la sicurezza della chiave privata
  (per approfondimenti cercare Shor's discrete logarithm quantum algorithm for elliptic curves)

- pero' finche' un indirizzo NON SPENDE i soldi ricevuti, cioe' non c'e' nessuna operazione in output, la chiave pubblica
  non viene esposta, quindi non c'e' modo di applicare un eventuale algoritmo quantistico per svelare anche la chiave privata.

- per ora non viene percepito come problema imminente... ci sono molti indirizzi da migliaia di bitcoin che hanno fatto operazioni in output,
 e quindi hanno la chiave pubblica esposta, ma non si preoccupano di spostarli (che e' comunque una cattiva abitudine)

quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

[gbianchi]

quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

si, anche da un potenziale attacco quantistico.

e' sempre buona norma non tenere grandi valori su un address che ha avuto transazioni in output.

[asdlolciterquit]

quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

si, anche da un potenziale attacco quantistico.

e' sempre buona norma non tenere grandi valori su un address che ha avuto transazioni in output.

ti ringrazio, non sapevo questa cosa. Però non capisco da cosa dipende. Insomma, perchè non si può sempre provare a caso a indovinare la mia chiave privata? (tralasciando il discorso dei limiti di tempo, dico solo a livello teorico)

[gbianchi]

ti ringrazio, non sapevo questa cosa. Però non capisco da cosa dipende. Insomma, perchè non si può sempre provare a caso a indovinare la mia chiave privata? (tralasciando il discorso dei limiti di tempo, dico solo a livello teorico)

si certo ma a quel punto un computer quantistico non ti aiuta.

anche ora uno puo' cercare di indovinare a caso la tua chiave privata,
e se ha a disposizione  un googolplex di anni, la trova di sicuro.

[asdlolciterquit]

ti ringrazio, non sapevo questa cosa. Però non capisco da cosa dipende. Insomma, perchè non si può sempre provare a caso a indovinare la mia chiave privata? (tralasciando il discorso dei limiti di tempo, dico solo a livello teorico)

si certo ma a quel punto un computer quantistico non ti aiuta.

anche ora uno puo' cercare di indovinare a caso la tua chiave privata,
e se ha a disposizione  un googolplex di anni, la trova di sicuro.

ah ok, ora è chiaro. Il discorso di prima immagino si riferiva quindi solamente ad algoritmi diversi da un bruteforce, che giustamente richiete un tempo oltre ogni limite..

[picchio]

quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

si, anche da un potenziale attacco quantistico.

e' sempre buona norma non tenere grandi valori su un address che ha avuto transazioni in output.

ti ringrazio, non sapevo questa cosa. Però non capisco da cosa dipende. Insomma, perchè non si può sempre provare a caso a indovinare la mia chiave privata? (tralasciando il discorso dei limiti di tempo, dico solo a livello teorico)

Credo sia corretto aggiungere che quando spendi esponi la chiave pubblica.
Con un PC quantistico, conoscendo la chiave pubblica risali a quella privata agevolmente.
Se invece conosci solo l'address non riesci a "craccare" l'hash (in realtà la procedura è un insieme di hash a cascata) e ricavare la chiave pubblica. Ti manca un passaggio.
Se spendi tutto e mandi il resto a nuovo address non dovresti avere problemi.

 

[duesoldi]

quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

si, anche da un potenziale attacco quantistico.

e' sempre buona norma non tenere grandi valori su un address che ha avuto transazioni in output.

ti ringrazio, non sapevo questa cosa. Però non capisco da cosa dipende. Insomma, perchè non si può sempre provare a caso a indovinare la mia chiave privata? (tralasciando il discorso dei limiti di tempo, dico solo a livello teorico)

Credo sia corretto aggiungere che quando spendi esponi la chiave pubblica.
Con un PC quantistico, conoscendo la chiave pubblica risali a quella privata agevolmente.
Se invece conosci solo l'address non riesci a "craccare" l'hash (in realtà la procedura è un insieme di hash a cascata) e ricavare la chiave pubblica. Ti manca un passaggio.
Se spendi tutto e mandi il resto a nuovo address non dovresti avere problemi.

 

Fin qui vi ho seguito ma ho un dubbio.
Prima asdlolciterquit chiedeva:

quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

in realtà non serve creare un nuovo seed per essere al sicuro, ma dovrebbe bastare inviare tutto ad un nuovo address anche di quello stesso wallet, dico bene ?
Oppure i wallet deterministici consentono di scoprire anche le altre chiavi private una volta che ne ho individuata una ?   (mi sembrava di aver letto nel libro di Antonopoulos che erano state prese misure per evitare questo rischio ma non ricordo più bene)

[rrupoli]

Ma alla fine il paper wallet non è semplicemente una stampa di chiave pubblica e privata? Che poi comunque sono immagazzinate nella blockchain.

Una brute force di una rete di computer con un gozzilione di operazioni al picosecondo alla fin fine possono violare qualunque chiave. Anche se le possibilità sono 1 su 10 alla 79 o giù di lì, si tratta solo di ridurre il tempo che ci impieghi a provare tutti gli indirizzi nel range dato, tramite incremento esponenziale di potenza di calcolo.

O sbaglio?

Tecnicamente un paper wallet può essere rappresentato stampando solo ed unicamente la chiave privata, la relativa chiave pubblica si può sempre facilmente ricalcolare.

Se hai la chiave privata entri nel caveau in cui sono custoditi i tuoi bitcoin, se la perdi i tuoi bitcoin sono persi per sempre.
Sulla blockchain non è mai indicata la chiave privata altrimenti chiunque potrebbe entrare nel caveau e rubarti i bitcoin.

L'immagine del caveau può aiutarti a visualizzare come è strutturato il meccanismo di difesa del sistema Bitcoin.

Immagina una cassaforte con una parete di acciaio spessa parecchi metri.
Questo è il primo presidio di difesa rappresentato dalla Crittografia a Curve Ellittiche (ECC).
Questo tipo di crittografia è quanto di più avanzato ed elegante esista attualmente in letteratura e supera in "potenza" di un fattore 12 la vecchia crittografia RSA (ancora in uso) basata sulla fattorizzazione di grossi numeri primi.  

La cassaforte inoltre è protetta da due larghi e profondi fossati concentrici (con coccodrilli assortiti al loro interno).
Il primo fossato rappresenta la funzione di hash SHA256, il secondo fossato la funzione di hash RIPEMD-160.

-----------------------------
ATTACCO DI UN INDIRIZZO CON CHIAVE PUBBLICA MAI ESPOSTA

Supponiamo ora che tu possieda un paper wallet in cui hai appena versato 100 bitcoin.
In quel momento il tuo tesoretto è protetto da tutti i presidi previsti:  cassaforte e doppio fossato con coccodrilli.

Per dare una misura di quanto sei protetto si ragiona in numero di tentativi necessari per scoprire UNA delle chiavi private che permetta di arrivare a superare i fossati e aprire la cassaforte, cioè di prelevare i bitcoin accreditati sul tuo paper wallet.

Se hai notato ho scritto "UNA" delle chiavi private perchè si assume esistano ben 2^96 chiavi private in grado di superare i fossati e aprire la cassaforte.
Questo può lasciare qualcuno scioccato per un istante: per accedere alla cassaforte non è necessario trovare esattamente la stessa chiave privata stampata sul paper wallet, basta trovarne una qualunque delle 2^96 in grado di aprirla, cioè esistono circa 10 miliardi di miliardi di miliardi di chiavi private in grado di aprire il tuo paper wallet.

Questo riduce lo spazio di attacco da circa 2^256 (numero di chiavi private possibili) a circa 2^160 chiavi private da provare, un numero comunque MOSTRUOSO.

Questo è l'approccio adottato dal progetto LBC (Large Bitcoin Collider) https://lbc.cryptoguru.org/stats

--------------------------------------------------------------
ATTACCO DI UN INDIRIZZO CON CHIAVE PUBBLICA ESPOSTA

Ora supponiamo che tu decida di prelevare qualche bitcoin dal tuo paper wallet.
Nel momento in cui viene pubblicata la transazione sulla blockchain automaticamente perdi la protezione di entrambi i fossati con i coccodrilli in quanto viene esposta al mondo intero la chiave pubblica.

Però ti rimane la notevole protezione data dalla cassaforte (ECC), vediamo il numero di chiavi private che è necessario testare per riuscire ad entrare.

In questo caso esiste una sola chiave privata (quella stampata sul paper wallet) in grado di generare la chiave pubblica esposta durante la transazione.
Il numero di chiavi private possibili è ancora 2^256  per cui apparentemente sembrerebbe meno oneroso l'approccio precedente piuttosto che attaccare direttamente la chiave pubblica.

Per ridurre il numero di tentativi ci viene in soccorso un vecchio metodo degli anni '70 detto Pollard's RHO che permette di abbattere statisticamente il numero di tentativi necessari  a scoprire la chiave privata da 2^256 a circa 2^128 (numero ancora incredibilmente MOSTRUOSO).

-------------------------------------------------------------------

Per riassumere, se la chiave pubblica non è mai stata esposta è necessario adottare il primo approccio esplorando uno spazio di circa 2^160 chiavi.
Se la chiave pubblica è stata esposta conviene sfruttarla attaccandola con il metodo Pollard's RHO esplorando uno spazio di circa 2^128 chiavi.



Oggi i tempi necessari per esplorare tali spazi sono nell'ordine di miliardi anni con le attuali tecnologie, si ritiene già largamente sicuro uno spazio superiore a 2^100 chiavi, figuriamoci 2^128 o 2^160 chiavi.

Non essendoci scorciatoie matematiche all'orizzonte, l'unica via oggi percorribile è la forza bruta.

Si sta fantasticando molto sull'uso dell'algoritmo di Shor con i futuri computer quantistici.
Ad oggi non si hanno le idee chiare nemmeno sulla tecnologia conveniente nel realizzare un singolo qubit, siamo ancora in piena fase di ricerca, potrebbero volerci ancora 20 anni prima di vedere una macchina quantistica appena appena competitiva con la tecnologia binaria tradizionale.

E se anche per ipotesi tale macchina dovesse prima o poi apparire, sarebbe già un risultato strabiliante riuscire ad abbattere i tempi di calcolo per rompere la ECC dai miliardi di anni attuali a qualche anno di elaborazione quantistica parallela.

E nel frattempo chissà quali adeguamenti saranno già avvenuti nel sistema di protezione del Bitcoin (o come si chiamerà fra 20 anni la sua naturale evoluzione...).

Personalmente dormirei sonni tranquilli per molto tempo anche con chiave pubblica esposta.

P.S. un suggerimento per i più paranoici: tenete d'occhio i primi 20 indirizzi con i maggiori saldi assoluti in bitcoin, diversi hanno la chiave pubblica esposta e pure con diverse transazioni in uscita. Finchè nessuno di quegli indirizzi verrà craccato allora di certo nessuno al mondo spenderà risorse per tentare di aprire il vostro personale indirizzo con qualche frazione di BTC...

[picchio]

...
Oppure i wallet deterministici consentono di scoprire anche le altre chiavi private una volta che ne ho individuata una ?   (mi sembrava di aver letto nel libro di Antonopoulos che erano state prese misure per evitare questo rischio ma non ricordo più bene)

Non saprei. Credo che la scelta più sicura sia generare indirizzi partendo da chiavi casuali. A naso direi che i deterministici sono meno sicuri ma non ho le conoscenze (e probabilmente neanche le competenze) per dare un parere.