Вопросы по кошельку Electrum

[viljy]

@igor72

Полагаю те кто находит не распространяются о своих находках, поэтому и не слышно. С другой стороны бывает вдруг оживают древние адреса, ну и головоломка 32 битка - живой пример находок по публичным ключам: https://bitcointalk.org/index.php?topic=5218972
https://privatekeys.pw/puzzles/bitcoin-puzzle-tx

Про циклические группы можно прочитать вот здесь, очень толково описано: https://habr.com/ru/post/335906/

[1715094709]

1715094709

[1715094709]

1715094709

[1715094709]

1715094709

[igor72]

Полагаю те кто находит не распространяются о своих находках, поэтому и не слышно.

Может быть, конечно... Хотя человеку свойственно хвастаться своими достижениями - если бы было хотя бы несколько десятков таких случаев, то что-то уже было бы известно.

С другой стороны бывает вдруг оживают древние адреса

Да, несколько таких случаев было. Но там, кажется, ни в одном перед этим не был засвечен публичный ключ, так что это не по теме нашего разговора.

ну и головоломка 32 битка - живой пример находок по публичным ключам: https://bitcointalk.org/index.php?topic=5218972
https://privatekeys.pw/puzzles/bitcoin-puzzle-tx

Тоже немного не то, если я правильно понял. Там тупой перебор первых десятков бит приватника для получения адреса с призом. Из публичного ключа приватный там не получают. Интересно, что уже кто-то даже 115-битный ключ нашел, я думал, там процесс застрял в районе 50-60 бит. Но все равно хотя бы до 128-битного ключа еще целая пропасть.

Про циклические группы можно прочитать вот здесь, очень толково описано: https://habr.com/ru/post/335906/

Спасибо, попробую хоть что-то понять ). Сложно для меня это... Я так понимаю (касательно нашего разговора) оттуда нужно сделать вывод, что 256-битный приватник по публичному подбирается за 2¹²⁸ итерации, так? Но и это число слишком огромно на данный момент.

[A-Bolt]

Там тупой перебор первых десятков бит приватника для получения адреса с призом. Из публичного ключа приватный там не получают. Интересно, что уже кто-то даже 115-битный ключ нашел, я думал, там процесс застрял в районе 50-60 бит. Но все равно хотя бы до 128-битного ключа еще целая пропасть.

Создатель оригинальной транзакции, спустя несколько лет, сделал траты с каждого пятого выхода, тем самым открыв публичные ключи от каждого пятого адреса. И с тех пор программисты работают над эффективными реализациями оптимальных алгоритмов нахождения приватного ключа из публичного (BSGS, кенгуру Полларда).

Примеры реализаций:
https://bitcointalk.org/index.php?topic=5244940.0
https://bitcointalk.org/index.php?topic=5364845.0
https://github.com/JeanLucPons/BSGS

Я так понимаю (касательно нашего разговора) оттуда нужно сделать вывод, что 256-битный приватник по публичному подбирается за 2¹²⁸ итерации, так? Но и это число слишком огромно на данный момент.

Верно. На самом деле, все публичные ключи и так образуют циклическую группу, поэтому, что имел в виду viljy я не понял, впрочем, я не большой специалист в области ECC.

[viljy]

Тоже немного не то, если я правильно понял. Там тупой перебор первых десятков бит приватника для получения адреса с призом. Из публичного ключа приватный там не получают. Интересно, что уже кто-то даже 115-битный ключ нашел, я думал, там процесс застрял в районе 50-60 бит. Но все равно хотя бы до 128-битного ключа еще целая пропасть.

Перебор был до 63-битного, и застряли с перебором на 64-м. С 65-го до 160-го известны публичные ключи, т.к. создатель головоломки сделал транзакции с каждого пятого адреса, и включительно до 115-го приватники нашли по ним.

Полагаю что такая сложность 2^128 в целом вообще к любому приватнику относится если известен только публичный ключ и неизвестен диапазон.
Интересно вот что, период группы это наименьшее кратное порядков элементов, в случае кривой значит точек, т.е пабликов. Например, ищут разгадку головоломки в 120-м диапазоне и заодно еще куча пабликов у которых вообще ключи могут быть где-то высоко, скажем в 254-м. Но! мы ж не знаем какой период группы, а она может иметь элементы по всему диапазону, и в том же 120-м какое-то значение может дать такую же точку, и ключ скомпрометирован. Вероятность ничтожная, но все-таки...
Поэтому мне кажется что использовать адреса для сдачи обязательно, даже если это и не совсем удобно с каких-то соображений. А если совсем уж параноидально, то и держать частями на кошельках с разными мнемониками, потому как мнемоники тоже ищут перебором. Если простой перебор приватников имеет сложность где-то 2^255, то с мнемониками это вроде бы примерно 2^132 или меньше.

Кстати, я не думаю что кто-то будет подбирать к богатым адресам с активностью, т.к. это ведь будет расценено как преступление, кража. Рано или поздно могут найти похитителей. Вчера была новость что арестовали двоих, укравших с bitfinex 120k битков в 16-м году. Битки уже изъяты и сроки в 25 лет грозят, как я читал. Другое дело головоломка, которая и создана специально чтобы исследовать текущие мощности или новые подходы на каждом этапе существования битка, где балансы это по существу вознаграждения.

 

Верно. На самом деле, все публичные ключи и так образуют циклическую группу, поэтому, что имел в виду viljy я не понял, впрочем, я не большой специалист в области ECC.

Я наверно неправильно выразился, имел в виду периодическую группу точек, она не то же самое что циклическая. Т.е. внутри циклической группы точек есть периодические подгруппы, их и ищет бсгс и кенгуру по пабликам. Тоже не большой специалист в этом, просто было интересно как все устроено.

[igor72]

Создатель оригинальной транзакции, спустя несколько лет, сделал траты с каждого пятого выхода, тем самым открыв публичные ключи от каждого пятого адреса.

Перебор был до 63-битного, и застряли с перебором на 64-м. С 65-го до 160-го известны публичные ключи, т.к. создатель головоломки сделал транзакции с каждого пятого адреса, и включительно до 115-го приватники нашли по ним.

Ага, ну тогда понятно, почему 115 бит нашли, ведь это примерно соответствует 57 битам без публичного ключа.

А если совсем уж параноидально, то и держать частями на кошельках с разными мнемониками, потому как мнемоники тоже ищут перебором. Если простой перебор приватников имеет сложность где-то 2^255, то с мнемониками это вроде бы примерно 2^132 или меньше.

Почему 2²⁵⁵? Ведь 2¹²⁸, вы и сами это писали... Или это без публ. ключа? Тогда для большинства адресов будет, как я понимаю, 2¹⁶⁰. Ну а параноикам можно использовать P2WSH или P2TR адреса, там все 256 бит. У меня, кстати, на мультиподписном и хранится ).

Кстати, я не думаю что кто-то будет подбирать к богатым адресам с активностью, т.к. это ведь будет расценено как преступление, кража.

Если адреса активные, то конечно. А вот как расценивать подбор приватника к неактивному адресу, типа того, что я приводил выше? Ведь доступ к нему наверняка утерян, с 10-го года не было транзакций.
Или представьте фантастическую ситуацию - генерируете сид, создаете кошелек, а там уже лежат монеты - что делать? Уничтожить кошелек и сид? Я думаю, что если это уже ничьи деньги, то ничего аморального в их присвоении нет. Ну а если найдется владелец, докажет владение наличием ключа, то тогда конечно следует вернуть.

[viljy]

Если адреса активные, то конечно. А вот как расценивать подбор приватника к неактивному адресу, типа того, что я приводил выше? Ведь доступ к нему наверняка утерян, с 10-го года не было транзакций.
Или представьте фантастическую ситуацию - генерируете сид, создаете кошелек, а там уже лежат монеты - что делать? Уничтожить кошелек и сид? Я думаю, что если это уже ничьи деньги, то ничего аморального в их присвоении нет. Ну а если найдется владелец, докажет владение наличием ключа, то тогда конечно следует вернуть.

Интересная ситуация. Тут кроме ключа для доказательства потребуются предоставить исходящие транзакции с его оборудования и с его ip, которые были ранее. Если таковых транзакций нет, т.е. выходов, то доказать свое право "первородства" нельзя, стало быть второй имеет ровно такие же права на битки. Причем это ведь суд должен разбираться. Еще надо доказать право владения оборудованием, предоставить его суду (а может уже и нет ничего через 10 то лет), поднять журналы провайдера насчет ip, кроме того доказать место проживания по этому ip, договор с провайдером. А если он снимал жилище? Если прежний арендодатель продал жилище новому, а тот ничего не знает, прежнего найти нельзя, договоры аренды утеряны? В общем сложная ситуация. Второй может забрать битки без всяких проблем. У кого ключ того и тапки получается, если адрес мертвый.

[igor72]

У кого ключ того и тапки получается, если адрес мертвый.

А даже если адрес активный, и ключ подобрали, ключ ведь получится уникальный, не такой, как у владельца. То есть ничего и не было украдено, не так ли? За что судить? Типа адрес был мой еще в 9-м году, а то, что кто-то мне деньги присылал, так в этом моей вины нет)).

[Inwestour]

Почитал последние страницы и у меня возник вопрос: то есть если у меня будет кошелек электрум на который я получил биткоин и потом сделал исходящую транзакцию с него, то на этот кошелек лучше больше не получать транзакции, а сделать новый для получения? Или каждая новая транзакция - новый адрес, это имеется ввиду, новый адрес, которых в электруме моем много?

[andy_pelevin]

Почитал последние страницы и у меня возник вопрос: то есть если у меня будет кошелек электрум на который я получил биткоин и потом сделал исходящую транзакцию с него, то на этот кошелек лучше больше не получать транзакции, а сделать новый для получения? Или каждая новая транзакция - новый адрес, это имеется ввиду, новый адрес, которых в электруме моем много?

Да, так и есть,... в кошельке много адресов и для приёма новых платежей правильнее использовать новый адрес. Если на один и тот же адрес придёт несколько платежей, то страшного ни чего не случится, битки не пропадут.

[Inwestour]

Да, так и есть,... в кошельке много адресов и для приёма новых платежей правильнее использовать новый адрес. Если на один и тот же адрес придёт несколько платежей, то страшного ни чего не случится, битки не пропадут.

Суть этого, не дать кому либо вычислить мою личность так? Или кроме этого есть ещё какие либо подводные камни?

Вот скажем ситуация такая, человек для примера получает оплату за свою работу в BTC всегда на один и тот же адрес в электруме. Работает анонимно, его личность работодателю неизвестна.

Первый случай: он не снимает монеты со своего кошелька и просто их хранит.

Второй случай: он периодически отправляет какую то часть монет на другой кошелек электрум, скажем тоже как оплату за какую то работу другому человеку. Все так же анонимно.

Какие есть риски для первого и для второго случая? В первом случае я так понимаю все относительно безопасно. Во втором случае когда он получал оплату на один адрес и после исходящей транзакции дальше получает на этот адрес монеты повышается риск, так? Но в чем именно риск?

Или все так же будет безопасно, пока не сделать вывод на какую то биржу (если там верифицирован), или обналичивание через обменник на карту? Задался вопросами безопасности, но разобраться не могу сам и в развернутом виде интересующую меня информацию не получается найти.

[andy_pelevin]

Суть этого, не дать кому либо вычислить мою личность так? Или кроме этого есть ещё какие либо подводные камни?
...

Второй случай: он периодически отправляет какую то часть монет на другой кошелек электрум
...

Да, повышение уровня приватности при использовании разных адресов выше, чем при получении платежей на один адрес. Кроме того, использование разных адресов может экономить комиссионные расходы при отправке биткойнов. При выполнении транзакции с адреса, в случаях когда Вы тратите не всю  сумму, т.е., практически всегда, остаток не остаётся на на старом адресе, а переводится на адрес для сдачи. Строго говоря, это не всегда так, но для лучшего понимания считайте, что это так.

Для понимания вопроса следует усвоить одну важную вещь: в кошельке электрум не хранятся Ваши биткойны. Кошелёк электрум это программа, которая хранит приватные ключи и предоставляет Вам удобный доступ к Вашим биткойнам. Выбирая себе кошелёк, Вы выбираете программу для доступа к своим средствам для выполнения транзакций. Можно владеть биткойнами, выполнять транзакции и при этом не пользоваться ни одним из кошельков, но это очень неудобно...

[Inwestour]

Новый релиз: Electrum 4.2.0. Улучшена поддержка Lightning и аппаратных кошельков. Ссылка на скачивание: https://electrum.org/#download

[witcher_sense]

Суть этого, не дать кому либо вычислить мою личность так? Или кроме этого есть ещё какие либо подводные камни?

Приватность это одна сторона вопроса, но есть еще безопасность. Когда вы тратите UTXO с одного и того же адреса, вы создаете разные подписи. Подписи нужны для авторизации платежа, чтобы доказать, что вы действительно имеете право на трату средств. Так вот. Вы создаете разные подписи, но с помощью одного и того же приватного ключа. Существует вероятность, причем немалая, что может быть обнаружена уязвимость, которая позволит вычислить приватный ключ с помощью нескольких подписей. Еще одна опасность в том, что когда вы тратите средства с адреса, то вы  раскрываете свой публичный ключ. Если вдруг найдется способ вычислить приватный ключ из публичного, то у хакера будет много времени, чтобы попытаться взломать ваши средства. Если же вы не используете адрес повторно, то публичный ключ будет полезен, только пока транзакция не подтвержена, дальше его взламывать бессмысленно. Объясню проще, у вас на адресе 5BTC и вы тратите 1BTC. У вас остается 4BTC. Но потратив 1BTC, вы рассказали всему миру про публичный ключ к оставшимся на адресе 4BTC. Теперь хакер знает ваш публичный ключ и может попытаться взломать его и найти приватный ключ. Если же вы потратили все 5BTC, то хакеру нужно действовать быстро, чтобы найти приватный ключ и попытаться повторно потратить средства. Если транзакция подтвердиться быстрее, чем хакер успеет взломать, то она уже будет на новом адресе, где публичный ключ снова скрыт.

[Inwestour]

Приватность это одна сторона вопроса, но есть еще безопасность. Когда вы тратите UTXO с одного и того же адреса, вы создаете разные подписи. Подписи нужны для авторизации платежа, чтобы доказать, что вы действительно имеете право на трату средств. Так вот. Вы создаете разные подписи, но с помощью одного и того же приватного ключа. Существует вероятность, причем немалая, что может быть обнаружена уязвимость, которая позволит вычислить приватный ключ с помощью нескольких подписей. Еще одна опасность в том, что когда вы тратите средства с адреса, то вы  раскрываете свой публичный ключ. Если вдруг найдется способ вычислить приватный ключ из публичного, то у хакера будет много времени, чтобы попытаться взломать ваши средства. Если же вы не используете адрес повторно, то публичный ключ будет полезен, только пока транзакция не подтвержена, дальше его взламывать бессмысленно. Объясню проще, у вас на адресе 5BTC и вы тратите 1BTC. У вас остается 4BTC. Но потратив 1BTC, вы рассказали всему миру про публичный ключ к оставшимся на адресе 4BTC. Теперь хакер знает ваш публичный ключ и может попытаться взломать его и найти приватный ключ. Если же вы потратили все 5BTC, то хакеру нужно действовать быстро, чтобы найти приватный ключ и попытаться повторно потратить средства. Если транзакция подтвердиться быстрее, чем хакер успеет взломать, то она уже будет на новом адресе, где публичный ключ снова скрыт.

Все намного сложнее чем я себе изначально представлял. Исходя из сказанного вами я так понимаю, что вариант когда я отправляю монеты на холодный кошелек и использую публичный ключ на горячем watch only кошельке, тоже не безопасный потому что мой публичный ключ может быть обнаружен мошенником? Или пока никаких транзакций с холодного кошелька нету, то это безопасно?

Я не могу понять, как публичный ключ может дать хакеру возможность получить доступ к монетам? Извините если вопросы глупые, для меня пока что это все сложно.

[A-Bolt]

Я не могу понять, как публичный ключ может дать хакеру возможность получить доступ к монетам?

Подобрать приватный ключ к публичному легче, чем к хешу публичного ключа, то есть, к адресу. Криптостойкость публичного ключа - 128 бит, криптостойкость адреса - 160 бит. Адрес защищён от подбора приватного ключа сильнее, чем публичный ключ, при помощи дополнительных алгоритмов хеширования SHA-256 + RIPEMD-160. Но в то же время, криптостойкость 128 бит для алгоритма Secp256k1, которым защищён публичный ключ, не даёт оснований беспокоиться о подборе к нему приватного ключа - это всё равно сильная криптография.

Если вам удобно пользоваться одним и тем же адресом - пользуйтесь, на комиссии транзакций это никак не влияет. Если считаете, что для вас плохо, если вас будут ассоциировать с одним и тем же адресом - меняйте адреса.

[FontSeli]

Я не могу понять, как публичный ключ может дать хакеру возможность получить доступ к монетам? Извините если вопросы глупые, для меня пока что это все сложно.

Не слушайте вы этих дядек. О чем они говорят вполне возможно, но это лишь страшилка. Пока не было ни одного подтвержденного случая взлома кошелька как по хэшу так и по публичному ключу. И даже если кто-то в будущем получит вычислительные мощности способные на это, то их будут интересовать прежде всего кошельки с тысячами Биткоинов. Копейки которые находятся на кошельках большинства рядовых пользователей интересуют разве что мелких скамеров, запускающих свои токены, либо биржевых скамеров, которые зазывают торговать у них, а потом обтяпывают "взлом биржи неизвестными хакерами".

[witcher_sense]

Все намного сложнее чем я себе изначально представлял. Исходя из сказанного вами я так понимаю, что вариант когда я отправляю монеты на холодный кошелек и использую публичный ключ на горячем watch only кошельке, тоже не безопасный потому что мой публичный ключ может быть обнаружен мошенником? Или пока никаких транзакций с холодного кошелька нету, то это безопасно?

Я уточнил в своем посте выше, что "если найдется эффективный способ вычислить приватный ключ из публичного", то средства могкт быть в опасности. Если такой способ найдется, то у нас будут гораздо большие проблемы, так что придется переходить на что-то более безопасное. Долгосрочные холдеры надеяться, что текущая криптография достаточно сильна и их средства в безопасности, но все равно стоит быть начеку и следить за новостями. Скажем так, если вы не используете адреса повторно, то вам беспокоится нужно меньше, чем тем, кто использует. Если вы планиуете оставить свои биткоины внукам и правнукам, то имеет смысл не делиться публичными ключами.

Теперь что касается публичного ключа. Ваш горячий кошелек использует расширенный публичный ключ (extended public key или xpub) для генерации адресов. Соответственно, если злоумышленник завладеет этим ключом, то он сможет сгенерировать те же самые адреса, узнает ваш баланс и отследит все транзакции. Очевидно, это очень плохо для приватности и может привести к плохим последствиям. Еще есть проблема с безопасностью, опять же, но это уже слишком технический вопрос, который касается генерации приватных ключей.

О чем они говорят вполне возможно, но это лишь страшилка.

Противоречие здесь вижу я.

[Inwestour]

Не слушайте вы этих дядек. О чем они говорят вполне возможно, но это лишь страшилка.

Если такой вариант возможен, то его хотелось бы исключить, ведь речь идет о моих кровных. Да я понимаю, что мои сумы не должны заинтересовать мошенников и для меня это больше страшилка чем реальность, но если знаешь о подводных камнях, то шансы доплыть невредимым увеличиваются.

Я уточнил в своем посте выше, что "если найдется эффективный способ вычислить приватный ключ из публичного", то средства могкт быть в опасности. Если такой способ найдется, то у нас будут гораздо большие проблемы, так что придется переходить на что-то более безопасное. Долгосрочные холдеры надеяться, что текущая криптография достаточно сильна и их средства в безопасности, но все равно стоит быть начеку и следить за новостями. Скажем так, если вы не используете адреса повторно, то вам беспокоится нужно меньше, чем тем, кто использует. Если вы планиуете оставить свои биткоины внукам и правнукам, то имеет смысл не делиться публичными ключами.

Теперь что касается публичного ключа. Ваш горячий кошелек использует расширенный публичный ключ (extended public key или xpub) для генерации адресов. Соответственно, если злоумышленник завладеет этим ключом, то он сможет сгенерировать те же самые адреса, узнает ваш баланс и отследит все транзакции. Очевидно, это очень плохо для приватности и может привести к плохим последствиям. Еще есть проблема с безопасностью, опять же, но это уже слишком технический вопрос, который касается генерации приватных ключей.

За новостями слежу и буду следить, но если такие случаи будут возникать то о них сразу будет много шумихи и пропустить их будет сложно.

Скажем так, если вы не используете адреса повторно, то вам беспокоится нужно меньше, чем тем, кто использует. Если вы планиуете оставить свои биткоины внукам и правнукам, то имеет смысл не делиться публичными ключами.

Использовать публичный ключ в горячем кошельке для просмотра баланса - это относится к "делиться публичными ключами"?

[witcher_sense]

Использовать публичный ключ в горячем кошельке для просмотра баланса - это относится к "делиться публичными ключами"?

В большинстве случаев нет, но это еще зависит от того как именно вы импортировали ваш расширенный публичный ключ в кошелек. Если вы просто скопировали и вставили, а компьютер в это время был заражен вирусами, то велика вероятность того, что ключ мог быть перехвачен. В блокчейн же эта информация нигде не записывается, этот публичный ключ используется только для генерации публичных ключей в кошельке. Вы делитесь информацией об этих сгенерированных публичных ключах только когда тратите средства, но не когда получаете. С точки зрения безопасности использовать один и тот же адрес для получения - безопасно, но вот использовать один и тот же адрес для отправки - относительно небезопасно.

А вообще лучше всегда лучше подключать горячий кошелек к своей собственной ноде, тогда вы сведете информацию которой делитесь к минимуму.

[Kek-PiCi]

Помогите разобраться! Создал 2fa кошелёк, пришли btc, всё подтвердилось и транза с зелённой галочкой, но вывести я могу лишь 10% от баланса. В чём дело?