Почему мультиподпись 2 из 2, хуже одной.

[imhoneer]

Начнём с того где их применяют и для чего это нужно.

Мультиподпись применяют для криптокошельков, либо один человек, используя для повышенной безопасности, либо группа из нескольких человек, коллективно управляя доступом к средствам (обычно используется в DAO).

В процессе прочтения о мультиподписях столкнулся с мыслью, что подпись 1 из 2 ещё так себе ( по сравнению с простой одинарной), а вот подпись 2 из 2 вообще плохо.

Начнём с мультиподписи 1 из 2. Здесь, как правило человек должен использовать хотя бы одну подписи из двух, для доступа к своим средствам. Это сделано, на случай потери доступа к одной подписи или же утери одного из ключей.

При правильном хранении ключей подписей, особого риска не возникает. Так как при увеличении количества подписей, повышается вероятность, что какая-то подпись будет украдена.

Но вот совершенно кардинально меняется ситуация, при мультиподписи 2 из 2. Здесь для доступа к средствам, нужно применить именно все 2 подписи. По сути условия доступа равнозначны условию для одной подписи, но есть нюанс. Чем будет больше, подписей, тем выше вероятность, что какая-то из этих подписей потеряется, либо человек управляющий другой подписью сам по себе пропадет.

Для мультиподписи 2 из 2 это не так очевидно. Более того, описываются случаи, якобы повышающие безопасность хранения, вроде хакер украл одну вашу подпись, но ко второй он не доберется.

Однако, вероятность с хакером меньше, чем скажем Вы хранили хотя бы одну подпись на зашифрованном облачном диске, но ваш компьютер сгорел и пароль потерялся. И теперь при пропаже любой из этих подписей Вы вообще не сможете получить доступ к своим средствам, по сути вторая подпись становится бесполезной.

Если идея мультиподписи 2 из 2 Вам всё ещё не кажется плохой, то попробуйте сами промоделировать пропажу хотя бы одной подписи для случая 6 из 6 или 10 из 10. И Вы просто легко и воочию увидите, насколько это критично и рискованно так делать.

[1715290312]

1715290312

[1715290312]

1715290312

[1715290312]

1715290312

[igor72]

В процессе прочтения о мультиподписях столкнулся с мыслью, что подпись 1 из 2 ещё так себе ( по сравнению с простой одинарной), а вот подпись 2 из 2 вообще плохо.

А какой смысл в использовании схемы 1-из-2? Чем это лучше простого одноподписного p2(w)pkh? Не могу придумать ни одного практического применения, где это было бы оправдано, а вы?

Но вот совершенно кардинально меняется ситуация, при мультиподписи 2 из 2. Здесь для доступа к средствам, нужно применить именно все 2 подписи. По сути условия доступа равнозначны условию для одной подписи, но есть нюанс. Чем будет больше, подписей, тем выше вероятность, что какая-то из этих подписей потеряется, либо человек управляющий другой подписью сам по себе пропадет.

Замечу, что для создания транзакции в схеме 1-из-2 недостаточно будет одного приватника, нужен будет еще публичный ключ второго подписанта. Так что и там, и там нужно хранить два ключа ).

Для мультиподписи 2 из 2 это не так очевидно. Более того, описываются случаи, якобы повышающие безопасность хранения, вроде хакер украл одну вашу подпись, но ко второй он не доберется.

Однако, вероятность с хакером меньше, чем скажем Вы хранили хотя бы одну подпись на зашифрованном облачном диске, но ваш компьютер сгорел и пароль потерялся. И теперь при пропаже любой из этих подписей Вы вообще не сможете получить доступ к своим средствам, по сути вторая подпись становится бесполезной.

Зачем предполагать маловероятное? Что значит "потерялся"? Нужно сделать так, чтобы не потерялся ни в коем случае. Вы же сами написали: "При правильном хранении ключей подписей, особого риска не возникает." ).

Я согласен, что использовать схему 2-из-2 для двух человек несколько рискованно, лучше, если возможно, для этого выбрать 2-из-3.
А вот когда один человек для безопасности делает себе кошелек с двумя подписями, то лучше предпочесть вариант 2-из-2 - и хранить меньше, и транзакции дешевле. В этом случае, чтобы не потерять один из двух ключей,  следует хранить оба сида (ключа) вместе.

[andy_pelevin]

...
Зачем предполагать маловероятное? Что значит "потерялся"? Нужно сделать так, чтобы не потерялся ни в коем случае. Вы же сами написали: "При правильном хранении ключей подписей, особого риска не возникает." ).

Я согласен, что использовать схему 2-из-2 для двух человек несколько рискованно, лучше, если возможно, для этого выбрать 2-из-3.
А вот когда один человек для безопасности делает себе кошелек с двумя подписями, то лучше предпочесть вариант 2-из-2 - и хранить меньше, и транзакции дешевле. В этом случае, чтобы не потерять один из двух ключей,  следует хранить оба сида (ключа) вместе.

В любом варианте нужно исходить из того, что любое хранение всегда связано с риском потери.  Паранойя бывает полезной, но при умеренном дозировании...

Если у Вас нету тёти, то Вам её не потерять... мудрая мысль, кстати, так что решайте сами, иметь или не иметь...

[igor72]

В любом варианте нужно исходить из того, что любое хранение всегда связано с риском потери.

Не могу согласиться. Не любое хранение связано с риском потери, и уж точно не нужно из этого исходить ).

Паранойя бывает полезной, но при умеренном дозировании...

Доза зависит от степени неприемлемости потери, тут уже каждый сам решает...

[andy_pelevin]

В любом варианте нужно исходить из того, что любое хранение всегда связано с риском потери.

Не могу согласиться. Не любое хранение связано с риском потери, и уж точно не нужно из этого исходить ).

И всё же, вероятность потери исключить полностью невозможно. Да, можно снизить вероятность потери практически до нуля, но не исключить на 100%. Если исходить  из того, что потери возможны, то такой подход к вопросу может сильно уменьшить вероятность таких потерь...

[igor72]

И всё же, вероятность потери исключить полностью невозможно. Да, можно снизить вероятность потери практически до нуля, но не исключить на 100%.

При правильном хранении вероятность потери будет соизмерима с вероятностью случайного подбора приватника. Да, вы правы, она не нулевая, но настолько ничтожная, что ей можно пренебречь.

Если исходить  из того, что потери возможны, то такой подход к вопросу может сильно уменьшить вероятность таких потерь...

Подозреваю, что я не понимаю, что вы имеете в виду .

[andy_pelevin]

Если исходить  из того, что потери возможны, то такой подход к вопросу может сильно уменьшить вероятность таких потерь...

Подозреваю, что я не понимаю, что вы имеете в виду .

Всё просто,... У более осторожного человека значительно меньше шансов попасть в неприятности, чем у того, кто думает что он всё знает и ему точно ни чего не угрожает. Тут главное, не допустить ситуации, когда проблемы появляются в следствии излишней осторожности.

[igor72]

У более осторожного человека значительно меньше шансов попасть в неприятности, чем у того, кто думает что он всё знает и ему точно ни чего не угрожает. Тут главное, не допустить ситуации, когда проблемы появляются в следствии излишней осторожности.

Кажется, второе предложение противоречит первому ). Но я вас понял и согласен, что  излишнее усложнение защиты может привести к проблемам. Например, помню случай, когда человек для безопасности нарочно путал порядок слов сид-фразы в своих записях, а потом сам не мог вспомнить алгоритм перестановок. Усложнение должно быть оправданным и адекватным.

[imhoneer]

А вот когда один человек для безопасности делает себе кошелек с двумя подписями, то лучше предпочесть вариант 2-из-2 - и хранить меньше, и транзакции дешевле. В этом случае, чтобы не потерять один из двух ключей,  следует хранить оба сида (ключа) вместе.

Вот именно упор в статье я и хотел сделать на эту ситуацию, что при схеме 2 из 2, нужно хранить ключи вместе, что равносильно ситуации для одного ключа.

Однако, если мы разведем ключи по разным хранилищам, то риски потери доступа к деньгам повышаются, так как хранить один ключ более безопасней, чем хранить 2 ключа в разных местах.

[igor72]

А вот когда один человек для безопасности делает себе кошелек с двумя подписями, то лучше предпочесть вариант 2-из-2 - и хранить меньше, и транзакции дешевле. В этом случае, чтобы не потерять один из двух ключей,  следует хранить оба сида (ключа) вместе.

Вот именно упор в статье я и хотел сделать на эту ситуацию, что при схеме 2 из 2, нужно хранить ключи вместе, что равносильно ситуации для одного ключа.

Равносильно только в части хранения резервной копии ключа/сида. Но мультисиг (с одним пользователем) делается не ради хранения бэкапа (это дело простое - условно замуровал в стену, и никто не найдет), а ради уменьшения риска компрометации ключей при работе с кошельком. Я, например, сам использую мультисиг 2-из-2 (леджер+электрум). Это страхует меня от потенциальных уязвимостей/бэкдоров леджера (код прошивки закрыт, а доверять в этом деле никому не хочу). Знаю, используют еще мультисиг из двух электрумов: один на компе, второй на андроиде - такой кошелек хоть и горячий по сути, но по безопасности уже где-то не очень далеко от холодного, так как одновременно скомпрометировать два устройства на разных операционках на порядки сложнее, чем одно. И пользоваться им вполне удобно.

Однако, если мы разведем ключи по разным хранилищам, то риски потери доступа к деньгам повышаются, так как хранить один ключ более безопасней, чем хранить 2 ключа в разных местах.

Теоретически да, но если все продумать, то разницы нет. А если отнестись легкомысленно, то и один ключ потеряется.

[witcher_sense]

Вот именно упор в статье я и хотел сделать на эту ситуацию, что при схеме 2 из 2, нужно хранить ключи вместе, что равносильно ситуации для одного ключа.

Однако, если мы разведем ключи по разным хранилищам, то риски потери доступа к деньгам повышаются, так как хранить один ключ более безопасней, чем хранить 2 ключа в разных местах.

Если вам нужен непрерыный доступ к средствам, то ключи нужно хранить в одном месте. Но тогда вообще какой смысл в мультисиге в этом случае? Единственное, что вы делаете это усложняете доступ самому себе, а с точки зрения безопасности это всегда чревато. Другое дело, что мультсиг используется для долгосрочного хранения: вы редко переводите средства и соответственно реже вам нужен доступ к сохраненным ключам. В этом случае схема проста: вы едете в одно место и подписываете часть транзакции. Далее с частично подписанной транзакцией едете в другое место и завершаете подпись. Естественно, для каждодневного использования это не имеет смысла, но долгосрок может сработать. Другая проблема была уже названа: количество необходимых бэкапов возрастает как минимум в два раза, что повышает вероятность потери одного из них. Если хакер найдет два ключа - средства потеряны, если один (и у вас его нет) - он может ваш шантажировать и требовать часть средств.

[igor72]

Если вам нужен непрерыный доступ к средствам, то ключи нужно хранить в одном месте. Но тогда вообще какой смысл в мультисиге в этом случае? Единственное, что вы делаете это усложняете доступ самому себе, а с точки зрения безопасности это всегда чревато.

Это вы имеете в виду кошелек со всеми подписантами на одном устройстве? Тогда, конечно, смысла нет никакого.

Другое дело, что мультсиг используется для долгосрочного хранения: вы редко переводите средства и соответственно реже вам нужен доступ к сохраненным ключам. В этом случае схема проста: вы едете в одно место и подписываете часть транзакции. Далее с частично подписанной транзакцией едете в другое место и завершаете подпись. Естественно, для каждодневного использования это не имеет смысла, но долгосрок может сработать.

Можно, конечно, куда-то и ездить, а можно отдать вторую подпись другу/родственнику. Но почему вы не упоминаете вариант, о котором я сообщением выше говорил (два устройства в одной локации)? Он вполне удобен для регулярных платежей (для холда я бы как раз предпочел холодное хранение).

Другая проблема была уже названа: количество необходимых бэкапов возрастает как минимум в два раза, что повышает вероятность потери одного из них. Если хакер найдет два ключа - средства потеряны, если один (и у вас его нет) - он может ваш шантажировать и требовать часть средств.

Тоже выше говорил, нет никакой проблемы в хранении двух бэкапов. Вернее, она не больше, чем с хранением одного. При правильном подходе.

[witcher_sense]

Можно, конечно, куда-то и ездить, а можно отдать вторую подпись другу/родственнику. Но почему вы не упоминаете вариант, о котором я сообщением выше говорил (два устройства в одной локации)? Он вполне удобен для регулярных платежей (для холда я бы как раз предпочел холодное хранение).

Можно отдать друзьям и родственникам, но для этого нужно им полностью доверять, так как без них вы потратить средства не сможете. В некоторых случаях шантажировать будут они сами, в  других случаях есть вероятность, что они украдут ваш второй бэкап. Этот вариант подходит далеко не всем. Если уж и хранить у родственников, то можно выбрать более безопасный вариант: спрятать бэкап у них, но им об этом не говорить. Так мы решим одну проблему, не создавая себе другую. Вы будете навещать родственников и друзей чаще, это плюс. Но ругаться с ними в этом случае будет опасно, так могут перекрыть доступ к бэкапам, это минус.

Тоже выше говорил, нет никакой проблемы в хранении двух бэкапов. Вернее, она не больше, чем с хранением одного. При правильном подходе.

Это если делать единственный бэкап для каждого ключа. Но это тоже опасно. А если предположить, что для каждого ключ иу нас 2-3 бэкапа в разных локациях, то общее количество уже довольно внушительное.

[igor72]

Можно отдать друзьям и родственникам, но для этого нужно им полностью доверять, так как без них вы потратить средства не сможете. В некоторых случаях шантажировать будут они сами, в  других случаях есть вероятность, что они украдут ваш второй бэкап. Этот вариант подходит далеко не всем. Если уж и хранить у родственников, то можно выбрать более безопасный вариант: спрятать бэкап у них, но им об этом не говорить. Так мы решим одну проблему, не создавая себе другую. Вы будете навещать родственников и друзей чаще, это плюс. Но ругаться с ними в этом случае будет опасно, так могут перекрыть доступ к бэкапам, это минус.

Очевидно, что мы с вами на разные темы рассуждаем ). Вы говорите про хранение бэкапа, а я про подпись транзакций. Бэкапы хранить у кого-то ни к чему, а сделать вторым подписантом можно любого, кто согласится постоянно оказывать вам эту услугу. Доверия тут никакого не нужно, нужна только стабильная связь с человеком. Этот вариант интересен, если у вас с собой часто только одно устройство (телефон).

Тоже выше говорил, нет никакой проблемы в хранении двух бэкапов. Вернее, она не больше, чем с хранением одного. При правильном подходе.

Это если делать единственный бэкап для каждого ключа. Но это тоже опасно. А если предположить, что для каждого ключ иу нас 2-3 бэкапа в разных локациях, то общее количество уже довольно внушительное.

Бэкапов должно быть несколько. У меня, например, один дома, а второй в сети, и никаких рисков их утраты я не вижу (кроме применения ко мне физического насилия).

[satscraper]

а второй в сети, и никаких рисков их утраты я не вижу (кроме применения ко мне физического насилия).

в сети биткойна?

подпись 1 из 2 ещё так себе ( по сравнению с простой одинарной), а вот подпись 2 из 2 вообще плохо.

Они содаются преследуя свои собственные цели. Для простого обывателя является достаточной 1-1.

[igor72]

в сети биткойна?

У меня да, но и других вариантов хватает.

[satscraper]

в сети биткойна?

У меня да, но и других вариантов хватает.

c PGP шифровкой?

[igor72]

c PGP шифровкой?

Шифровал AES256. На форуме тему когда-то создавал, можете посмотреть, как я делал (после справедливой критики сделал немного проще, чем описывал, но суть та же).

[witcher_sense]

Очевидно, что мы с вами на разные темы рассуждаем ). Вы говорите про хранение бэкапа, а я про подпись транзакций. Бэкапы хранить у кого-то ни к чему, а сделать вторым подписантом можно любого, кто согласится постоянно оказывать вам эту услугу. Доверия тут никакого не нужно, нужна только стабильная связь с человеком. Этот вариант интересен, если у вас с собой часто только одно устройство (телефон).

Что-то я не совсем понимаю чего мы добьемся в плане безопасности, если  будем хранить бэкапы у себя, а подписывать транзакции у других. Начнем хотя бы со второго подписанта для которого "не требуется доверие". Если у него нет бэкапов ключей, то подписывать он сможет максимум с уже установленного кошелька. Если кошелек нечаянно будет удален, то наша схема рушится, и нужно опять как-то передавать ключи или устанавливать кошелек, что в любом случае предполагает трансфер ключей. Стоит ли говорить, что частый трансфер может привести к потере ключей? Второй момент, что все ключи хранятся у одного человека, что означает, он не только может в любой момент сам все подписать, но и то, что хакерам нужно атаковать только одного человека, чтобы украсть ключи. Смысл же мультиподписи в том, что ключи никогда не находятся рядом, это как бы распределенная защита. Децентрализованное хранение по сути. Если "хранитель" один, то и мультиподпись не имеет смысла, разве что осложнить доступ самому себе.

[igor72]

Что-то я не совсем понимаю чего мы добьемся в плане безопасности, если  будем хранить бэкапы у себя, а подписывать транзакции у других. Начнем хотя бы со второго подписанта для которого "не требуется доверие". Если у него нет бэкапов ключей, то подписывать он сможет максимум с уже установленного кошелька. Если кошелек нечаянно будет удален, то наша схема рушится, и нужно опять как-то передавать ключи или устанавливать кошелек, что в любом случае предполагает трансфер ключей. Стоит ли говорить, что частый трансфер может привести к потере ключей?

Во-первых, можно дать второму бэкап его ключа. Во-вторых, если его "кошелек нечаянно будет удален", то это форс-мажор, такое не должно случаться часто.
Пример, когда такая схема может применяться. Допустим, я хорошо в этом всем разбираюсь, а моя сестра - нет, она хочет иметь биткоин-кошелек и иногда отправлять битки. Но всегда боится, что накосячит, что попадется на фишинг итп. В этом случае ей делается мультиподписной кошелек, где я буду вторым подписантом, то есть буду проверять ее транзакции, и если все нормально - подписывать и отправлять. Для нее тут почти одни плюсы - она остается единственным владельцем своих монет, при этом случайно потерять их не может.

Второй момент, что все ключи хранятся у одного человека, что означает, он не только может в любой момент сам все подписать, но и то, что хакерам нужно атаковать только одного человека, чтобы украсть ключи. Смысл же мультиподписи в том, что ключи никогда не находятся рядом, это как бы распределенная защита. Децентрализованное хранение по сути. Если "хранитель" один, то и мультиподпись не имеет смысла, разве что осложнить доступ самому себе.

Не согласен. Человек один, но устройства разные. Хакер должен успешно атаковать оба устройства, а если они на разных операционках и, тем более, в разных сетях, то вероятность этого стремится к нулю.

[witcher_sense]

Пример, когда такая схема может применяться. Допустим, я хорошо в этом всем разбираюсь, а моя сестра - нет, она хочет иметь биткоин-кошелек и иногда отправлять битки. Но всегда боится, что накосячит, что попадется на фишинг итп. В этом случае ей делается мультиподписной кошелек, где я буду вторым подписантом, то есть буду проверять ее транзакции, и если все нормально - подписывать и отправлять. Для нее тут почти одни плюсы - она остается единственным владельцем своих монет, при этом случайно потерять их не может.

Тогда согласен - мультиподпись может приголится, если ваша цель научить родственника или друга правильно пользоваться криптовалютой и оберегать их от совершения ошибок. Конечно, тут можно поспорить, что на ошибках учатся, но что касается адопшена криптовалют, то многие перестают пользоваться данным средством платежа как раз из страха повторить ошибку и потерять деньги. Так что такой метод поможет привнести кртптовалюту в массы. Но что касается потери бэкапа, то эту проблему данный метод не решает - если неопытный родственник теряет единственную копию, то пиши пропало. А данном случае может помочь кое-что другое: https://github.com/bitcoin/bips/blob/master/bip-0085.mediawiki

Не согласен. Человек один, но устройства разные. Хакер должен успешно атаковать оба устройства, а если они на разных операционках и, тем более, в разных сетях, то вероятность этого стремится к нулю.

Бэкапы должны быть распределены физически для защиты и от физических атак, а не только хакерских.

[igor72]

Но что касается потери бэкапа, то эту проблему данный метод не решает - если неопытный родственник теряет единственную копию, то пиши пропало. А данном случае может помочь кое-что другое: https://github.com/bitcoin/bips/blob/master/bip-0085.mediawiki

Конечно, бэкап терять нельзя, это необходимо доходчиво объяснить родственнику со всеми нюансами. Насчет BIP85 не понимаю, каким образом это может помочь не потерять бэкап.

Бэкапы должны быть распределены физически для защиты и от физических атак, а не только хакерских.

Это уже никак не относится к сабжу, хотя тема интересная. От разбойника монеты может спасти только вооруженная охрана, по крайней мере я другого варианта не вижу. Самый простой способ для этого - хранить часть бэкапа в ячейке банка (копию - в ячейке другого банка), то есть владелец без посещения банка сам не должен иметь возможности получить бэкап.

[witcher_sense]

Насчет BIP85 не понимаю, каким образом это может помочь не потерять бэкап.

Ничто не помешает потерять бэкап: если очень захотеть, то можно практически все. Сам по себе BIP85 ничем не отличается в плане бэкапов: вы делаете копию своей сид-фразы и храните ее в безопасном месте. Но вот ваши неопытные родственники могут забыть сделать копию или они могут потерять свой бэкап. Но вы как опытный криптовалютный пользователей всегда можете помочь родственникам восстановить доступ к кошельку, сгенерируя все их бэкапы со своего собственного бэкапа. Разумеется, здесь присутствует вопрос доверия, так как вы всегда можете потратить средства с их кошельков. В этом плане это решение хуже, но в плане удобства оно выигрывает перед мультиподписью: для отправки транзакции не надо никуда ходить и не надо много заботиться о правильном хранении бэкапов. По-моему, идеально для обучения пользованию криптовалют.

[igor72]

Ничто не помешает потерять бэкап: если очень захотеть, то можно практически все. Сам по себе BIP85 ничем не отличается в плане бэкапов: вы делаете копию своей сид-фразы и храните ее в безопасном месте. Но вот ваши неопытные родственники могут забыть сделать копию или они могут потерять свой бэкап. Но вы как опытный криптовалютный пользователей всегда можете помочь родственникам восстановить доступ к кошельку, сгенерируя все их бэкапы со своего собственного бэкапа.

Можно конечно и так (для этого мне никакой BIP85 и не нужен), а можно просто все сиды родственника у себя хранить.

Разумеется, здесь присутствует вопрос доверия, так как вы всегда можете потратить средства с их кошельков. В этом плане это решение хуже, но в плане удобства оно выигрывает перед мультиподписью: для отправки транзакции не надо никуда ходить и не надо много заботиться о правильном хранении бэкапов. По-моему, идеально для обучения пользованию криптовалют.

В том-то и дело, что "присутствует вопрос доверия". Я, например, не хочу оказаться в ситуации, когда у родственника уведут монеты с кошелька, а вы? Вопрос риторический. Помню, разбирали случай на форуме, когда у человека с леджера ушли все деньги, и мы, перебрав вроде бы все варианты, так и не придумали возможную причину, - всё как будто у него было правильно. Только  его жена знала, где хранится бумажка с сидом, и тут хочешь-не хочешь, а начнут нехорошие мысли появляться... Я тогда как-то хорошо прочувствовал ужас ситуации, поэтому и на хранение чужого сида никогда не подпишусь, ну и свой, конечно, никому не доверю.

[witcher_sense]

Можно конечно и так (для этого мне никакой BIP85 и не нужен), а можно просто все сиды родственника у себя хранить.

Можно конечно и так, но как мы помним больше сидов - это больше бэкапов и больше вероятность потерять один из них. Ну а у родственника с BIP85 все равно есть лазейка - достаточно поставить надежную парольную фразу и никто не сможет увести средства.

В том-то и дело, что "присутствует вопрос доверия". Я, например, не хочу оказаться в ситуации, когда у родственника уведут монеты с кошелька, а вы? Вопрос риторический. Помню, разбирали случай на форуме, когда у человека с леджера ушли все деньги, и мы, перебрав вроде бы все варианты, так и не придумали возможную причину, - всё как будто у него было правильно. Только  его жена знала, где хранится бумажка с сидом, и тут хочешь-не хочешь, а начнут нехорошие мысли появляться... Я тогда как-то хорошо прочувствовал ужас ситуации, поэтому и на хранение чужого сида никогда не подпишусь, ну и свой, конечно, никому не доверю.

Вот кстати на заметку семейным - мультиподпись 2 из 2 хорошо подходит для хранения семейного бюджета. Тратить средства можно только после согласия обеих сторон. Никаких вам "мои деньги - это мои деньги, а твои деньги - это наши деньги." Также поможет при разделе имущества.

[igor72]

Можно конечно и так, но как мы помним больше сидов - это больше бэкапов и больше вероятность потерять один из них.

При хранении в одном месте (на одном листе бумаги, например) вероятность потери увеличиваться не будет.

Ну а у родственника с BIP85 все равно есть лазейка - достаточно поставить надежную парольную фразу и никто не сможет увести средства.

Тогда зачем ему вообще у нас что-то хранить? Разговор же начинался с того, что родственник неопытный, легкомысленный. Он так и парольную фразу потеряет/забудет, особенно если она надежная (т.е. сложная).

Вот кстати на заметку семейным - мультиподпись 2 из 2 хорошо подходит для хранения семейного бюджета. Тратить средства можно только после согласия обеих сторон. Никаких вам "мои деньги - это мои деньги, а твои деньги - это наши деньги."

Не знаю, может быть кому-то это и подойдет (сомневаюсь). У меня за 30 лет семейной жизни таких разговоров никогда не было ).

Также поможет при разделе имущества.

Возможен вариант "так не доставайся же ты никому".

[imhoneer]

Вот кстати на заметку семейным - мультиподпись 2 из 2 хорошо подходит для хранения семейного бюджета. Тратить средства можно только после согласия обеих сторон. Никаких вам "мои деньги - это мои деньги, а твои деньги - это наши деньги."

Не знаю, может быть кому-то это и подойдет (сомневаюсь). У меня за 30 лет семейной жизни таких разговоров никогда не было ).

Также поможет при разделе имущества.

Возможен вариант "так не доставайся же ты никому".

При неравенстве доходов, один из самых опасных вариантов.

Просто сравните, жена на общем счету хранит 100$-500$, а Вы скажем от 10000$ и выше.

В результате она за относительно небольшие деньги, контролирует вашу крупную сумму.

О варианте, простой мести из за эмоций, тоже надо думать. А здесь легко и просто, достаточно уничтожить свой приватный ключь и у мужа будут проблемы.

Тут даже посуду не надо бить и сильно скандалить.

[witcher_sense]

При неравенстве доходов, один из самых опасных вариантов.

Просто сравните, жена на общем счету хранит 100$-500$, а Вы скажем от 10000$ и выше.

В результате она за относительно небольшие деньги, контролирует вашу крупную сумму.

О варианте, простой мести из за эмоций, тоже надо думать. А здесь легко и просто, достаточно уничтожить свой приватный ключь и у мужа будут проблемы.

Тут даже посуду не надо бить и сильно скандалить.

Можно найти лазейку в этой ситуации, особенно если учесть что зачастую жены не так технически подкованы как мужья (это не сексизм, просто по наблюдениям женский пол меньше интересуется техническими моментами). Например, при создании мультиподписи можно незаметно создать дупликаты всех ключей и просто делать вид, что общий счет контролирует не один человек. Тогда в случае экстремальных ситуаций контроль над средствами не потеряется, а даже наоборот произойдет увеличение богатства. Разумеется, честный человек никогда не воспользуется данным преимуществом специально без причины, это всего лишь план Б на случай такой вот мести или чего другого. Плюс это поможет защититься от случайной потери приватного ключа, ведь такое тоже бывает. В общем, схема 2 из 2 оставляет мало вариантов для "честного" разделения, всегда лучше иметь дополнительного третьего арбитра, который и бэкап сохранит и может разрешить спорные ситуации. Или не женится, использовать суровую мужскую singlesig.

[imhoneer]

... всегда лучше иметь дополнительного третьего арбитра, который и бэкап сохранит и может разрешить спорные ситуации. Или не женится, использовать суровую мужскую singlesig.

Так крипта наоборот создавалась, чтобы избавиться от третьей стороны, а Вы опять про арбитров и прочих посредних, тогда сразу же лучше банк. 

[witcher_sense]

Так крипта наоборот создавалась, чтобы избавиться от третьей стороны, а Вы опять про арбитров и прочих посредних, тогда сразу же лучше банк. 

На самом деле, это спорный вопрос. Мне кажется, что крипта в отличие от фиатной валюты дает людям выбор в том чтобы доверять или не доверять кому-либо. Хотите сами стеречь ключи - пожалуйста, для этого есть все возможности.  А хотите передать ключи третьей стороне или пошарить право на пользование - тоже пожалуцста, никто запретить вам этого не может. Криптовалюта - это не избавление от и не уничтожение старой системы, она просто дает людям большую свободу и право выбора. А право выбора подразумевает, что то как вы распоряжаетесь своим правом может не понравится другим людям. Но кого это должно волновать? Даже мультиподпись предполагает эту свободу: чувствуете себя уверенным и храните все ключи самостоятельно, а хотите защититься от ошибок, то даете часть ключей другим. То же самое можно сказать и про хранение на биржах: если это осознанное решение от человека, который знает о рисках, то вы не имеете морального права говорить ему что делать.

[imhoneer]

Хочу вернуться к данной теме и дополнить свою мысль о том, что 2 подписи для хранения хуже, чем 1 подпись.

Хочу это так сказать доказать математически с помощью вероятностей.

Решение довольно простое.

Пусть у нас есть вероятность потерять возможность подписи равная 0.01% или же 0.0001.

Тогда для одиночной подписи эта вероятность сохраняется, а вот для двойной подписи типа 2/2 она будет равна:
P(A∪B) = P(A) + P(B) - P(A∩B)

P(A∪B) = 0.0001 + 0.0001 - 0

P(A∪B) = 0.0002, где

P (A ∪ B) - вероятность наступления любого из события.

Кто не верит, то прошу к калькулятору https://calculator-online.net/ru/probability-calculator/ и посчитайте сами для вероятности двух событий.

Таким образом мы видим, что при подписи 2/2 мы имеем гораздо большую вероятность потерять деньги, чем при одинарной.

[satscraper]

Хочу вернуться к данной теме и дополнить свою мысль о том, что 2 подписи для хранения хуже, чем 1 подпись.

Хочу это так сказать доказать математически с помощью вероятностей.

Решение довольно простое.

Пусть у нас есть вероятность потерять возможность подписи равная 0.01% или же 0.0001.

Тогда для одиночной подписи эта вероятность сохраняется, а вот для двойной подписи типа 2/2 она будет равна:
P(A∪B) = P(A) + P(B) - P(A∩B)

P(A∪B) = 0.0001 + 0.0001 - 0

P(A∪B) = 0.0002, где

P (A ∪ B) - вероятность наступления любого из события.

Кто не верит, то прошу к калькулятору https://calculator-online.net/ru/probability-calculator/ и посчитайте сами для вероятности двух событий.

Таким образом мы видим, что при подписи 2/2 мы имеем гораздо большую вероятность потерять деньги, чем при одинарной.

Так а зачем тут тот онлайн калькулятор. И без него ясно,  что неработоспособность мультиподписного кошелька зависит от наличия кажлой подписи, и вероятность потерять хоть одну из этих подписей тем больше, чем больше требуемых подписей. Поэтому вероятности складываются.

Но мультиподписной кошелёк создаётся для другой цели. Он создаётся для того, чтобы защититься от возможных закладок в кошельке со стороны разработчиков кошельков.  И тут с вероятностями совсем по другому - они перемножаются в случае оценки вероятности иметь одновременно закладки у всех подписантов.

[imhoneer]

Но мультиподписной кошелёк создаётся для другой цели. Он создаётся для того, чтобы защититься от возможных закладок в кошельке со стороны разработчиков кошельков.  И тут с вероятностями совсем по другому - они перемножаются в случае оценки вероятности иметь одновременно закладки у всех подписантов.

Скорее главная и основная функция мультиподписей - это совместное решение по управлению аккаунтом.

А в остальном, то думаю, намного проще и удобнее разбросать деньги по разным счетам и кошелькам. Тут уже будут решены 2 задачи:

1. Диверсификация.
2. Маскировка и размытие средств, когда злоумышленники не видят ваших крупных сумм, то более мелкие их не особо привлекают.

[satscraper]

Но мультиподписной кошелёк создаётся для другой цели. Он создаётся для того, чтобы защититься от возможных закладок в кошельке со стороны разработчиков кошельков.  И тут с вероятностями совсем по другому - они перемножаются в случае оценки вероятности иметь одновременно закладки у всех подписантов.

Скорее главная и основная функция мультиподписей - это совместное решение по управлению аккаунтом.

А в остальном, то думаю, намного проще и удобнее разбросать деньги по разным счетам и кошелькам. Тут уже будут решены 2 задачи:

1. Диверсификация.
2. Маскировка и размытие средств, когда злоумышленники не видят ваших крупных сумм, то более мелкие их не особо привлекают.

Ну я исходил из интересов индивидуальных пользователей, для которых совместное управление будет актуальным  ну в очень уж исключительных случаях. Думаю, что даже супруги предпочтут иметь отдельные кошельки, чем совместно управлять одним. В противном  случае  в семье будут неизбежно возникать скандалы и шантаж в случае любых разногласий, даже тех, которые прямо не связаны с криптой.

Разбрасать монеты по разным кошелькам в целом хорошая стратегия, особенно если эти кошельки мультиподписные  

Кстати что-то не то в ваших расчётах с использованием формулы  P(A∪B) = P(A) + P(B) - P(A∩B)

Если исходить из ваших расчётов, то при P(A) = 0,7 (к примеру) и P(B)= 0.5 (к примеру) получаем P(A∪B) =1.2  (если принять P(A∩B) =0 как принимали вы)  чего в принципе не может быть.

[imhoneer]

Ну я исходил из интересов индивидуальных пользователей, для которых совместное управление будет актуальным  ну в очень уж исключительных случаях. Думаю, что даже супруги предпочтут иметь отдельные кошельки, чем совместно управлять одним. В противном  случае  в семье будут неизбежно возникать скандалы и шантаж в случае любых разногласий, даже тех, которые прямо не связаны с криптой.

Разбрасать монеты по разным кошелькам в целом хорошая стратегия, особенно если эти кошельки мультиподписные  

Кстати что-то не то в ваших расчётах с использованием формулы  P(A∪B) = P(A) + P(B) - P(A∩B)

Если исходить из ваших расчётов, то при P(A) = 0,7 (к примеру) и P(B)= 0.5 (к примеру) получаем P(A∪B) =1.2  (если принять P(A∩B) =0 как принимали вы)  чего в принципе не может быть.

Вот как калькулятор считает вашу задачу:
P(A∪B) = P(A) + P(B) - P(A∩B)

P(A∪B) = 0.7 + 0.5 - 0.35

P(A∪B) = 0.85

, а значение P(A∩B) равно:
P(A∩B) = P(A) × P(B)

P(A∩B) = 0.7 * 0.7

P(A∩B) = 0.35

Что неправильно, поэтому согласен, с этим калькулятором что-то не то.

Но это не отменяет самого факта, что вероятности складывались для первого случая и итоговая вероятность для мультиподписи была больше, чем у одинарной.


Для частных случаев мультиподписи сложны больше по психологическим причинам, надо каждое решение согласовывать.

В то же время для бизнеса - это супер, так как не теряется контроль. И один не сможет своим единоличным решением сделать так, чтобы пострадали все.

[satscraper]

Ну я исходил из интересов индивидуальных пользователей, для которых совместное управление будет актуальным  ну в очень уж исключительных случаях. Думаю, что даже супруги предпочтут иметь отдельные кошельки, чем совместно управлять одним. В противном  случае  в семье будут неизбежно возникать скандалы и шантаж в случае любых разногласий, даже тех, которые прямо не связаны с криптой.

Разбрасать монеты по разным кошелькам в целом хорошая стратегия, особенно если эти кошельки мультиподписные  

Кстати что-то не то в ваших расчётах с использованием формулы  P(A∪B) = P(A) + P(B) - P(A∩B)

Если исходить из ваших расчётов, то при P(A) = 0,7 (к примеру) и P(B)= 0.5 (к примеру) получаем P(A∪B) =1.2  (если принять P(A∩B) =0 как принимали вы)  чего в принципе не может быть.

Вот как калькулятор считает вашу задачу:
P(A∪B) = P(A) + P(B) - P(A∩B)

P(A∪B) = 0.7 + 0.5 - 0.35

P(A∪B) = 0.85

, а значение P(A∩B) равно:
P(A∩B) = P(A) × P(B)

P(A∩B) = 0.7 * 0.7

P(A∩B) = 0.35

Что неправильно, поэтому согласен, с этим калькулятором что-то не то.

Но это не отменяет самого факта, что вероятности складывались для первого случая и итоговая вероятность для мультиподписи была больше, чем у одинарной.


Для частных случаев мультиподписи сложны больше по психологическим причинам, надо каждое решение согласовывать.

В то же время для бизнеса - это супер, так как не теряется контроль. И один не сможет своим единоличным решением сделать так, чтобы пострадали все.

Вероятность (при услови что А не влечёт за собой В и наоборот В не влечёт А)  в моем примере будет равнв 0.5 + 0.7 - 0.5 х 0.7  = 0.85 и это правильный результат.

Я не знаю что там ваш калькулятор считает, не вникал.

Вы в первом вашем примере принебрегали третьим слагаемым, которое для  используемых значений первого и второго слагаемого мало по сравнению с ними.

Но в моем примере этого делать нельзя.

Отсюда и софизм. Хотелось увидеть как вы его разрешите.

*******************************************************************************

UPD. Я тут немного поразмыслил над этой формулой P(A∪B) = P(A) + P(B) - P(A∩B) и пришёл к выводу, что несмотря на то, что она приводит к правильному результату для случая двух подписей, она не верная в общем случае.

Скажем если требуется применить её логику к случаю 100 подписей, то получим неверный результат.

Для того чтобы вывести общую формулу для случая любого количества подписей нужно исходить из вероятости непоявления данного события.  Т.е. если P(A) это вероятность утери подписи то вероятность её неутери р(А) = 1- P(A)  и так далее. Поэтому общая формула для любого количества подписей получается такой

Р= 1 - ∏[_(i=1..n](1-P_(i))

Р - вероятность утери средств

P(i)- вероятность  утери итой подписи

∏ - оператор произведения

 Эта формула приводит к тому же результату что и P(A∪B) = P(A) + P(B) - P(A∩B)  для случая двух подписей, но она остаётся справедливой и для любого количества подписей

Проверим
 
Для одной подписи если Р(1) = 1 то Р =0. Результат правильный

Для двух подписей если Р(1) = 0.5  Р(2) = 0.7 то Р= 0.85. Результат правильный

Для сто подписей, для каждой из которых вероятность потери равна 0.9 ,получим Р=1-0.1¹⁰⁰ т.е почти единица

[Julien_Olynpic]

Скорее главная и основная функция мультиподписей - это совместное решение по управлению аккаунтом.

А в остальном, то думаю, намного проще и удобнее разбросать деньги по разным счетам и кошелькам. Тут уже будут решены 2 задачи:

1. Диверсификация.
2. Маскировка и размытие средств, когда злоумышленники не видят ваших крупных сумм, то более мелкие их не особо привлекают.

Да, верно. Но я постепенно начинаю приходить к выводу, что мультиподпись вообще, любая практически - довольно спорная история. Даже 2 из 3-х, хотя она, по идее, должна довольно сносно работать. Слишком много рисков заложено в такой идее мультиподписи. Слишком большие требования к сознательности,  чистоплотноти, дисциплине мульиподписантов. Слишком много распиздяев в природе.
    Насколько я понимаю, мультиподписные схемы в основном применяются в ДАО для совместного управления средствами. Допустим, есть сообщество, которому нужно управлять совместно суммой в 100 биткойнов.  Допустим, оно установило для себя, что будет делать периодическую ребалансировку и частьдержать в стейблах. Соответственно, периодически нужно подписывать транзы в мультсоставе... Но транзы в среднем раз в полгода, например.
   Я думаю, что даже схема 3 из 5   или 5 из 8 слабо подойдёт. Часть всё равно будут приватники терять. Уж лучше 3 из 10.

[witcher_sense]

Да, верно. Но я постепенно начинаю приходить к выводу, что мультиподпись вообще, любая практически - довольно спорная история. Даже 2 из 3-х, хотя она, по идее, должна довольно сносно работать. Слишком много рисков заложено в такой идее мультиподписи. Слишком большие требования к сознательности,  чистоплотноти, дисциплине мульиподписантов. Слишком много распиздяев в природе.
    Насколько я понимаю, мультиподписные схемы в основном применяются в ДАО для совместного управления средствами. Допустим, есть сообщество, которому нужно управлять совместно суммой в 100 биткойнов.  Допустим, оно установило для себя, что будет делать периодическую ребалансировку и частьдержать в стейблах. Соответственно, периодически нужно подписывать транзы в мультсоставе... Но транзы в среднем раз в полгода, например.
   Я думаю, что даже схема 3 из 5   или 5 из 8 слабо подойдёт. Часть всё равно будут приватники терять. Уж лучше 3 из 10.

Если распиздяи управляют чьими-либо деньгами, то скорее всего они их так или иначе потеряют или растратят и мультиподпись здесь совершенно не причем. Мультиподпись всего лишь одна из многих способов менеджмента хранения и доступа, она будет работать хорошо в одном случае и очень плохо в другом, поэтому нужно изначально оценивать риски и постоянно мониторить ситуацию и состояние подписантов. Как только кто-то начинает чудить, то его меняют на нового подписанта или переносят средства на другой кошелек и просто забивают. Если есть беспокойство о личной потере приватного ключа, то здесь тоже можно предусмотреть распределение доступа между несколькими участниками, к примеру можно использовать известную схему SSS.

[satscraper]

    Насколько я понимаю, мультиподписные схемы в основном применяются в ДАО для совместного управления средствами.

 Думаю, что понимаете не совсем верно. Всех вместе взятых ДАО значительно мегьше, чем отдельных пользователей ( к их числу отншусь и я), которые использут мультиподписной кошелёк для увеличения безопасности  своей заначки.

У меня, насколько кошельков. Тот, на котором хранится основная заначка, это мультиподписной кошелёк (2 из 2, Passport - Sparrow), к которому я почти не обращаюсь. Средства для ежедневной траты лежат на обычном кошельке (Passport ) с одиночной подписью.

[Julien_Olynpic]

    Насколько я понимаю, мультиподписные схемы в основном применяются в ДАО для совместного управления средствами.

 Думаю, что понимаете не совсем верно. Всех вместе взятых ДАО значительно мегьше, чем отдельных пользователей ( к их числу отншусь и я), которые использут мультиподписной кошелёк для увеличения безопасности  своей заначки.

У меня, насколько кошельков. Тот, на котором хранится основная заначка, это мультиподписной кошелёк (2 из 2, Passport - Sparrow), к которому я почти не обращаюсь. Средства для ежедневной траты лежат на обычном кошельке (Passport ) с одиночной подписью.

Возможно и так. Но. по-моему, для ДАО мульпиподписной кошель - вещь совершенно необходимая. Иначе группа лиц никак не может сообща хранить общие средства.
А к индивидуальному использованию мультиподписи, чемтно говоря, у меня большие вопросы.
   Как по мне, нужно смотреть весь спектр рисков. По-моему, мультиподпись никак риски не уменьшает, а даже увеличивает. Ведь надо отдельно хранить 2 ключа, что, как по мне, в 2 раза увеличивает риск потери ключа. В том смысле, что один ключ хранить в 2 раза легче, а 2 ключа - в 2 раза больше геморра и как следствие в 2 раза больше риска.
 Потом я натыкался где-то, что не все биржи и обменники принимают средства с мультиподписных кошелей. Хотя допускаю, что понял неверно.
  Типа, мультиподпись защищает от бандюков? Ну съездишь ты с ними в лес за флешкой, которая закопана у тебя там под дубом. Как по мне, не сильное снижение риска.

[satscraper]

  Типа, мультиподпись защищает от бандюков? Ну съездишь ты с ними в лес за флешкой, которая закопана у тебя там под дубом. Как по мне, не сильное снижение риска.

Она защищает не от бандюков. Она защищает от возможных закладок в кошельке от одного разработчика.

Смотри, дупустим у меня есть кошелёк от какого -то разработчика и я не знаю появится ли там закладка после очередного обновления кошелька или нет. Если появится, то мои средства с большой вероятностью уведут.

Чтобы этого не произошло, я беру кошелёк от другого разработчика и на основе первого и второго кошелька создаю мультиподписной кошелёк, который для подписания транзакции требует два  приватных ключа. Один ключ принадлежит первому  кошельку, а  второй ключ - второму кошельку, причём оба ключа не зависят друг от друга.

Теперь чтобы увести средства из такого кошелька, нужно чтобы оба производителя одновременно внедрили в кошельки свои закладки и договорились между собой о том, что действие этих закладок будет синхронизировано.

Вероятность такого исхода равна р1 х р2 х р3  где р1 - вероятность закладки в первом кошельке, р2 - во втором,  р3 - вероятность синхронизации  двух закладок. Получаем, что  р1 х р2 х р3 << p1

[Julien_Olynpic]

  Типа, мультиподпись защищает от бандюков? Ну съездишь ты с ними в лес за флешкой, которая закопана у тебя там под дубом. Как по мне, не сильное снижение риска.

Она защищает не от бандюков. Она защищает от возможных закладок в кошельке от одного разработчика.

Смотри, дупустим у меня есть кошелёк от какого -то разработчика и я не знаю появится ли там закладка после очередного обновления кошелька или нет. Если появится то мои средства с большой вероятностью уведут.

Чтобы этого не произошло, я беру кошелёк от другого разработчика и на основе первого и второго кошелька создаю мультиподписной кошелёк, который для подписания транзакции требует два  приватных ключа. Один ключ принадлежит первому  кошельку, а  второй ключ - второму кошельку, причём оба ключа не зависят друг от друга.

Теперь чтобы увести средства из такого кошелька, нужно чтобы оба производителя одновременно внедрили в кошельки свои закладки и договорились между собой о том, что действие этих закладок будет синхронизировано.

Вероятность такого исхода равна р1 х р2 х р3  где р1 - вероятность закладки в первом кошельке, р2 - во втором,  р3 - вероятность синхронизации  двух закладок. Получаем, что  р1 х р2 х р3 << p1

Насчёт  твоего понимания профиля рисков теперь стало понятнее. Правда не до конца понял механизм сведения двух подписей их разных кошелей. Возможно. это потому, что я, собственно, мультиподписью не пользуюсь. Поэтому и не могу предствать в деталях подписание двумя подписями.
   Ты берешь транзу, подписанную одним коючом на одном кошельке и... вставляешь её для подписания в другой кошель? А через какой кошель транслируешь саму транзакцию - подписанную двумя ключами? Через третий кошель, что ли?
    Как по мне (возможно я неправ, укажи в каком месте), после двух подписаний ты её, эту транзу всё равно через какой-то программый продукт вынужден будешь транслировать. И тогда, возможно, суета с попеременным подписанием на разных кошелях становится не такой осмысленной.
  Ведь окончательная транза всё равно уязвима перед тем кошелём, через который транслируешь транзу в сеть?

[witcher_sense]

Типа, мультиподпись защищает от бандюков? Ну съездишь ты с ними в лес за флешкой, которая закопана у тебя там под дубом. Как по мне, не сильное снижение риска.

Если хранить все приватные и публичные ключи самостоятельно, то смысл этой схемы теряется из-за постоянного количества точек отказа. Бандитам легче атаковать единственного владельца, особенно если они действуют по наводке, а кворум из подписантов уже менее склонен поддаваться угрозам насилия или шантажу. В этом кстати вся фишка децентрализованного хранения: пока средства или доступ к ним распределены между несколькими участниками они находятся в безопасности, а вот любые сосредоточения средств типа единственных владельцев или централизованных бирж только и ждут когда их обнесут. Ну для владельцев есть решение для защиты от бандюков: установка на кошелек пассфразы + сумма для отвода глаз + курсы актерского мастерства + прокаченное убеждение.

[igor72]

  Ведь окончательная транза всё равно уязвима перед тем кошелём, через который транслируешь транзу в сеть?

Абсолютно неуязвима (экзотику типа альтернативного SigHash флага не рассматриваем).

Ну для владельцев есть решение для защиты от бандюков: установка на кошелек пассфразы + сумма для отвода глаз + курсы актерского мастерства + прокаченное убеждение.

Ненадежно это, почти все бандюки, уверен, уже знают про такое второе дно. Лучше держать секрет под охраной. Например, половину сида хранить в ячейке банка (можно заграничного, если бандюком может быть государство) и самому ее не помнить, а в кошельке установить пин-код для полного сброса (в трезоре, знаю, такая фича есть).

[witcher_sense]

Ненадежно это, почти все бандюки, уверен, уже знают про такое второе дно. Лучше держать секрет под охраной. Например, половину сида хранить в ячейке банка (можно заграничного, если бандюком может быть государство) и самому ее не помнить, а в кошельке установить пин-код для полного сброса (в трезоре, знаю, такая фича есть).

Ненадежно только если жертва сама рассказала о имеющихся средствах, либо злоумышленники действовали по наводке и точно знали где и сколько у жертвы средств. Тогда естественно никакие приемы со вторым дном не помогут, а только усугубят ситуацию. Но если они заранее не знают о том, что жертва богата - к примеру в будущем могут происходить атаки на обычных владельцев аппаратных кошельков - то такой способ может обеспечить вразумительную защиту и поможет сохранить хотя бы часть средств. А по поводу хранения в разных юрисдициях... ну, не знаю, для кого-то этот способ может и сработает, но большинству будет неудобно ездить в разные банки только для отправки транзакции. Мы тут говорим же не о миллионах-миллиардах долларового эквивалента, а о средствах более скромных, которые можно найти у большинства.

[igor72]

Ненадежно только если жертва сама рассказала о имеющихся средствах, либо злоумышленники действовали по наводке и точно знали где и сколько у жертвы средств. Тогда естественно никакие приемы со вторым дном не помогут, а только усугубят ситуацию. Но если они заранее не знают о том, что жертва богата - к примеру в будущем могут происходить атаки на обычных владельцев аппаратных кошельков - то такой способ может обеспечить вразумительную защиту и поможет сохранить хотя бы часть средств.

В каких-то случаях это сработает, не спорю. Я пытаюсь найти универсальный способ, пока лучше ничего не придумал.

А по поводу хранения в разных юрисдициях... ну, не знаю, для кого-то этот способ может и сработает, но большинству будет неудобно ездить в разные банки только для отправки транзакции.

Тут вы меня не поняли, не надо никуда ездить для отправки транзакции. В трезоре (может и в других кошельках - не изучал) есть фича - wipe code. То есть ввожу пин-код, например, 1234 - получаю доступ к кошельку, ввожу 5678 - трезор сбрасывается до заводского состояния.

Мы тут говорим же не о миллионах-миллиардах долларового эквивалента, а о средствах более скромных, которые можно найти у большинства.

Все относительно, кому-то 10к дороже, чем другому миллион.

[Smartprofit]

  Ведь окончательная транза всё равно уязвима перед тем кошелём, через который транслируешь транзу в сеть?

Абсолютно неуязвима (экзотику типа альтернативного SigHash флага не рассматриваем).

Ну для владельцев есть решение для защиты от бандюков: установка на кошелек пассфразы + сумма для отвода глаз + курсы актерского мастерства + прокаченное убеждение.

Ненадежно это, почти все бандюки, уверен, уже знают про такое второе дно. Лучше держать секрет под охраной. Например, половину сида хранить в ячейке банка (можно заграничного, если бандюком может быть государство) и самому ее не помнить, а в кошельке установить пин-код для полного сброса (в трезоре, знаю, такая фича есть).

Мне кажется, (конечно могу ошибаться), но я думаю, что если использовать данные статистики, (предположим такая статистика существует), людей потерявших свои биткоины из-за того что они потеряли доступ к приватному ключу / seed гораздо больше, чем тех, кто потерял их следствие ограбления и действия хакеров, бандитов и так далее.

Потерять доступ к приватным ключам или seed, это огромный риск. Изначально владеть половинкой seed, то есть не всем набором приватных ключей, это на мой взгляд, даже хуже, чем атака со стороны злоумышленника.

Доступ к ячейке банка например, может быть ограничен, в каких-то форс-мажорных ситуациях. Да и вообще использовать биткоины, которые вроде являются альтернативой современной финансовой системы, и полагаться на ячейку банка, неважно какого, отечественного или зарубежного ... Я не уверен, что это оптимальное решение. Всё-таки главная опасность - это потеря собственником биткоинов контроля над своими ключами. Поэтому и мультиподпись, тоже как-то настороженно отношусь к этой опции. Ну, конечно, может быть я не прав.

[igor72]

Потерять доступ к приватным ключам или seed, это огромный риск. Изначально владеть половинкой seed, то есть не всем набором приватных ключей, это на мой взгляд, даже хуже, чем атака со стороны злоумышленника.

Почему половинкой сида? Вы всем сидом владеете, просто половина бэкапа под охраной.

Доступ к ячейке банка например, может быть ограничен, в каких-то форс-мажорных ситуациях.

Ясно, что дубликатов бэкапов должно быть несколько в ячейках разных банков.

Да и вообще использовать биткоины, которые вроде являются альтернативой современной финансовой системы, и полагаться на ячейку банка, неважно какого, отечественного или зарубежного ...

Нет здесь отношений с современной финансовой системой, банк используется тут просто как камера хранения, может есть и другие варианты, нотариусы вроде могут документы хранить (не знаю, правда, насколько надежно это охраняется). В конце концов, для успокоения, можно было бы копию закопать где-нибудь на другом континенте, но как это сделать, чтобы невозможно было описать место с кладом, я придумать не могу ).

Я не уверен, что это оптимальное решение.

И я не уверен. Предложите лучше.

Всё-таки главная опасность - это потеря собственником биткоинов контроля над своими ключами. Поэтому и мультиподпись, тоже как-то настороженно отношусь к этой опции. Ну, конечно, может быть я не прав.

Скорее всего вы просто не разобрались с этим, поэтому боитесь. Если оба сида 2-2 кошелька хранить на одной бумажке, то риск потерять кошелек не больше, чем с простым.

[satscraper]

  Типа, мультиподпись защищает от бандюков? Ну съездишь ты с ними в лес за флешкой, которая закопана у тебя там под дубом. Как по мне, не сильное снижение риска.

Она защищает не от бандюков. Она защищает от возможных закладок в кошельке от одного разработчика.

Смотри, дупустим у меня есть кошелёк от какого -то разработчика и я не знаю появится ли там закладка после очередного обновления кошелька или нет. Если появится то мои средства с большой вероятностью уведут.

Чтобы этого не произошло, я беру кошелёк от другого разработчика и на основе первого и второго кошелька создаю мультиподписной кошелёк, который для подписания транзакции требует два  приватных ключа. Один ключ принадлежит первому  кошельку, а  второй ключ - второму кошельку, причём оба ключа не зависят друг от друга.

Теперь чтобы увести средства из такого кошелька, нужно чтобы оба производителя одновременно внедрили в кошельки свои закладки и договорились между собой о том, что действие этих закладок будет синхронизировано.

Вероятность такого исхода равна р1 х р2 х р3  где р1 - вероятность закладки в первом кошельке, р2 - во втором,  р3 - вероятность синхронизации  двух закладок. Получаем, что  р1 х р2 х р3 << p1

Насчёт  твоего понимания профиля рисков теперь стало понятнее. Правда не до конца понял механизм сведения двух подписей их разных кошелей. Возможно. это потому, что я, собственно, мультиподписью не пользуюсь. Поэтому и не могу предствать в деталях подписание двумя подписями.
   Ты берешь транзу, подписанную одним коючом на одном кошельке и... вставляешь её для подписания в другой кошель? А через какой кошель транслируешь саму транзакцию - подписанную двумя ключами? Через третий кошель, что ли?
    Как по мне (возможно я неправ, укажи в каком месте), после двух подписаний ты её, эту транзу всё равно через какой-то программый продукт вынужден будешь транслировать. И тогда, возможно, суета с попеременным подписанием на разных кошелях становится не такой осмысленной.
  Ведь окончательная транза всё равно уязвима перед тем кошелём, через который транслируешь транзу в сеть?

Для лучшего понимания того, как работают мультиподписные кошельки и не пересказывать то, что и так известно, отсылаю тебя к очень хорошей статье "Как работает мультиподпись в Биткоине"

А так да, у меня  мультиподписной кошелёк  создан с помощью Sparrow, который при его создании позволяет выбрать  ключи своих подписантов и соответственно подписывать ими мультисиг транзакцию.

Так как у меня один из подписантов это ключ, созданный Sparrow на основе фразы BIP39, a второй подписант это Passport, который в состоянии сопрягаться с Sparrow по оптическому каналу, то ничего никуда вставлять не нужно, я подписываю через QR  код, Но можно подписывать и через json file. Тогда нужно в Passport вставлять микроСД  карточку.

Клиент, в моем случае Sparrow, отправляет подписанную транакцию в сеть, но изменить её , если она уже подписана, он не может. До подписания транзакции  малтварь может например поменять в ней конечный  адрес на свой адрес, поэтому нужно всегда, как и в случае с обычным кошельком с одиночной подписью, проверять то, что подписываешь.

[Julien_Olynpic]

Ну для владельцев есть решение для защиты от бандюков: установка на кошелек пассфразы + сумма для отвода глаз + курсы актерского мастерства + прокаченное убеждение.

Пасс-фраза лечится паяльником. Сумма для отвода глаз — старое решение. Бандюки могут о нем подозревать. Курсы актёрского мастерства скорее бандюков позабавят (бесплатное представление). Что такое прокаченное убеждение я так и не понял.
    Могу предложить ещё одно решение от бандюков. Хорошая карма + курсы отрицательной болтологии.

Лучше держать секрет под охраной. Например, половину сида хранить в ячейке банка (можно заграничного, если бандюком может быть государство) и самому ее не помнить, а в кошельке установить пин-код для полного сброса (в трезоре, знаю, такая фича есть).

В теории может и неплохо. Но трудно предположить, что на практике так кто-то так делает. Сам-то в ячейке хранишь половинку сида? Честно?

Мне кажется, (конечно могу ошибаться), но я думаю, что если использовать данные статистики, (предположим такая статистика существует), людей потерявших свои биткоины из-за того что они потеряли доступ к приватному ключу / seed гораздо больше, чем тех, кто потерял их следствие ограбления и действия хакеров, бандитов и так далее.

Потерять доступ к приватным ключам или seed, это огромный риск. Изначально владеть половинкой seed, то есть не всем набором приватных ключей, это на мой взгляд, даже хуже, чем атака со стороны злоумышленника.

Вполне согласен...

Для лучшего понимания того, как работают мультиподписные кошельки и не пересказывать то, что и так известно, отсылаю тебя к очень хорошей статье "Как работает мультиподпись в Биткоине"

Статья неплохая, но там общие вещи тонким слоем очень размазаны… Обсуждаемое нами может там и есть, конечно.

Так как у меня один из подписантов это ключ, созданный Sparrow на основе фразы BIP39, a второй подписант это Passport, который в состоянии сопрягаться с Sparrow по оптическому каналу, то ничего никуда вставлять не нужно, я подписываю через QR  код, Но можно подписывать и через json file. Тогда нужно в Passport вставлять микроСД  карточку.

Клиент, в моем случае Sparrow, отправляет подписанную транакцию в сеть, но изменить её , если она уже подписана, он не может. До подписания транзакции  малтварь может например поменять в ней конечный  адрес на свой адрес, поэтому нужно всегда, как и в случае с обычным кошельком с одиночной подписью, проверять то, что подписываешь

Я просто не имел дела с кошельком  Sparrow. Ну хз, на мой взгляд, это просто изощрённая ебля. Гораздо проще, как по мне, раскидать средства по множеству кошелей. Тем более, ты эти средства в долгосроке держишь. Продавать понемногу с каждого адреса разными кошелями, если есть паранойя по закладкам. Лично я централизованное хранение ключей не использую. Всё храню на одной флешке, с которой делаю бекапы на 5 других флешек и храню их в разных местах.

[satscraper]

Я просто не имел дела с кошельком  Sparrow. Ну хз, на мой взгляд, это просто изощрённая ебля. Гораздо проще, как по мне, раскидать средства по множеству кошелей. Тем более, ты эти средства в долгосроке держишь. Продавать понемногу с каждого адреса разными кошелями, если есть паранойя по закладкам. Лично я централизованное хранение ключей не использую. Всё храню на одной флешке, с которой делаю бекапы на 5 других флешек и храню их в разных местах.

Процедура  создания мультиподписных кошельков явным образом встроена в Sparrow, там даже думать не надо как это делать. Клиент сам тебя направляет.  Может и в других клиентах такое есть. Я прочно подсел на Sparrow, поэтому насчёт других  клиентов не знаю.

Хранить ключи доступа к своей заначке   на флешках, не знаю.  я бы так  не рисковал. Я больше доверяю своему  аппаратныму кошельку и если он хорош, как например мой Passport 2, то раскидывать средства по многочисленным кошелькам от разных производителей особого смысла не вижу. Ну может ещё приобрету ColdCard Q1, когда он появится, чтобы организовать   совместную мультиподпись ColdCard Q1 и Passport 2,

У каждого своё видение на лучший для него способ хранения заначки.

[Lannakosa]

Но вот совершенно кардинально меняется ситуация, при мультиподписи 2 из 2. Здесь для доступа к средствам, нужно применить именно все 2 подписи. По сути условия доступа равнозначны условию для одной подписи, но есть нюанс. Чем будет больше, подписей, тем выше вероятность, что какая-то из этих подписей потеряется, либо человек управляющий другой подписью сам по себе пропадет.

Для мультиподписи 2 из 2 это не так очевидно. Более того, описываются случаи, якобы повышающие безопасность хранения, вроде хакер украл одну вашу подпись, но ко второй он не доберется.

Однако, вероятность с хакером меньше, чем скажем Вы хранили хотя бы одну подпись на зашифрованном облачном диске, но ваш компьютер сгорел и пароль потерялся. И теперь при пропаже любой из этих подписей Вы вообще не сможете получить доступ к своим средствам, по сути вторая подпись становится бесполезной.

Если в схеме больше одного холдера и у каждого своя сид-фраза, то конечно же это всегда будет усложнять ситуацию, Но что если владелец один, а и он просто хочет повысить безопасность от того же хакера, в таком случае это мне кажется вполне допустимым вариантом.

Хранить сиды можно так же порознь, только сделать не один тайник а сделать их несколько. Даже в этом случае есть преимущество, если кто то каким то случайным образом найдет тайник, то ему будет не достаточно одной сид чтобы получить доступ к вашим монетам. Но тут так же есть такой момент, что можно и без мультиподписи хранить одну сид в нескольких тайниках, только хранить их в зашифрованом виде, понятным только для вам.

[satscraper]

Поляризация двух моделей кошельков, а именно singlsig  и multisig, на мой взгляд это  контрпродуктивное повеление  для человека, имеющего дело с криптовалютой.

Каждая модель имеет своё преимущество и недостатки.

Поэтому вместо  противопоставления этих моделей , разумно рассматривать их как комплиментарные  модели, используя ту или иную в зависимости от обстоятельств.


На мой взгляд:

 - для долгосрочного хранения n-го количества битков с высочайшей степенью защищённости разумно  остановиться на  multisig кошельке ( предпочтительно с подписантами в виде аппаратников от разных производителей).

- для мелких сумм, предназначенных для ежедневных трат, более удобным в пользовании (хотя и менее защищённым) будет singlsig кошелёк.  

Я их так и использую.

[igor72]

Если отвечать прямо на вопрос, чем мультиподписной 2-2 кошелек хуже одноподписного, то я вижу только три недостатка:

1. Транзакции дороже. Например, типичная сегвит-транзакция 1 вход/2 выхода обойдется на 27% дороже.
2. С такого адреса нельзя подписать сообщение.
3. Процедура подписи транзакции проходит несколько дольше - подпиши одним, затем подпиши другим...

Если с первым все понятно, это реально недостаток (хотя с тапрут-адресами он исчезнет), особенно для частых платежей относительно небольшими суммами, то второй за недостаток можно особо не считать - большинству, наверное, никогда такая функция и не понадобится, а в случае чего доказать владение адресом можно и другими способами. Ну а третий важен тому, кто вечно торопится ).

Тут уж каждый сам для себя решит, перевешивают плюсы минусы или наоборот. Для меня очевидно, что для долгосрочного хранилища мультисиг-кошелек гораздо надежнее.

[witcher_sense]

Если в схеме больше одного холдера и у каждого своя сид-фраза, то конечно же это всегда будет усложнять ситуацию, Но что если владелец один, а и он просто хочет повысить безопасность от того же хакера, в таком случае это мне кажется вполне допустимым вариантом.

Хранить сиды можно так же порознь, только сделать не один тайник а сделать их несколько. Даже в этом случае есть преимущество, если кто то каким то случайным образом найдет тайник, то ему будет не достаточно одной сид чтобы получить доступ к вашим монетам. Но тут так же есть такой момент, что можно и без мультиподписи хранить одну сид в нескольких тайниках, только хранить их в зашифрованом виде, понятным только для вам.

У 2 из 2 мультиподписных адресов есть определенные юз кейсы (к примеру открытие канала в Lightning Network), где их использование полностью оправдано и логично. Но для хранения средств одним человеком это неоправдано, потому что есть более удобные и эквивалентно безопасные методы избавиться от зависимости от одной сид-фразы. Если хочется добиться безопасности комбинирования двух сид фраз и при этом не создавать мультиподпись, то можно сделать следующее: а) сгенерировать две сид фразы из 12-24 слов, б) одну сид фразу импортировать в кошелек обычным способом, но не генерировать адреса и не отправлять средства, в) вторую сид-фразу использовать в качестве пасс фразы для первой сид-фразы, и уже отсюда начать генерацию адресов. По отдельности сид-фразы будут также бесполезны, но для процесса восстановления средств нужно будет меньше времени.

[Lannakosa]

Если хочется добиться безопасности комбинирования двух сид фраз и при этом не создавать мультиподпись, то можно сделать следующее: а) сгенерировать две сид фразы из 12-24 слов, б) одну сид фразу импортировать в кошелек обычным способом, но не генерировать адреса и не отправлять средства, в) вторую сид-фразу использовать в качестве пасс фразы для первой сид-фразы, и уже отсюда начать генерацию адресов. По отдельности сид-фразы будут также бесполезны, но для процесса восстановления средств нужно будет меньше времени.

Имеете ввиду сгенерировать две сид фразы для одного аппаратного кошелька, а как это возможно сделать? Не знала, что можно использовать сид фразу как пароль для другой сид фразы, нигде не видела даже упоминания об этом и честно говоря не совсем поняла как это можно осуществить.

Получается, что если будет необходимость восстановления доступа по сид фразе и сид, который используется как пароль будет утерян, то доступ к кошельку будет получить невозможно? Не могу для себя понять как это все работает, получается что у меня же есть два сида на руках, как одна из них может быть пасс фразой? (запуталась). 

[igor72]

Не могу для себя понять как это все работает, получается что у меня же есть два сида на руках, как одна из них может быть пасс фразой? (запуталась). 

Что такое сид-фраза по BIP39? Это набор слов (12, 15, 18, 21 или 24) из определенного словаря, где ни регистр букв, ни пробелы не имеют значения, а последнее слово содержит контрольную сумму всей сид-фразы. А что такое пассфраза по BIP39? Это набор любых символов, регистр и пробелы имеют значение, контрольной суммы нет. Больше они ничем не отличаются, обе одинаково влияют на получаемый сид (сид - это 64-байтное число, вычисляемое из сид-фразы+пассфразы), из сида потом вычисляются все ключи и адреса.
То есть раз в качестве пассфразы может быть любой набор символов, то конечно же это может быть и любой набор слов. Например, стихотворение или 12 слов из какого-нибудь словаря.
Если хотите использовать в качестве пассфразы слова, то учтите, что, как я сказал, здесь всё важно: случайно поставили лишний пробел, не тот знак препинания или прописную букву вместо строчной - получите другие ключи, а так как контрольной суммы здесь нет, то и на наличие ошибки ничто не укажет. И второе - в программных кошельках длина пассфразы если и ограничена, то каким-то большим значением, но в аппаратных иначе. Знаю, что в трезоре это 50 символов, в леджере 100. То есть 12 слов из BIP39-словаря трезор в качестве пассфразы просто не примет.
И последнее, сид-фраза+пассфраза - это, конечно, теоретически более надежно, чем просто сид-фраза, но несравнимо с мультиподписным 2-из-2 кошельком, ключи которого используются на системах разных производителей.

[satscraper]

Не могу для себя понять как это все работает, получается что у меня же есть два сида на руках, как одна из них может быть пасс фразой? (запуталась).  

Ваш кошелёк генерирует  ключи всегда исходя из вашего СИД и пассворд фразы.

В случае когда вы не задаёте эту пассворд фразу в явном виде (т.е. используете как бы один СИД) , он берёт дефолтное (не видимое для вас) значение  пассворд фразы, равное  слову mnemonic

Если задаёте её в явном виде, то к  концу слова mnemonic цепляется тот набор знаков, который используется в вашей пасс фразе.

Ключи при этом получаются разные.

Получается, что если будет необходимость восстановления доступа по сид фразе и сид, который используется как пароль будет утерян, то доступ к кошельку будет получить невозможно?

Да, будет утерян.

Поэтому всегда нужно хранить обе части расширенного СИД - сам СИД и пассворд фразу, если её используете.


Как уже сказал igor72 мультиподписной  2 из 2 кошелёк это более надёжное место для хранения заначки, чем кошелёк с одной подписьюдаже с расширенной СИД фразой.

Кстати подписанты в мультиподписи тоже могут иметь расширенный СИД.

[Julien_Olynpic]

Если хочется добиться безопасности комбинирования двух сид фраз и при этом не создавать мультиподпись, то можно сделать следующее: а) сгенерировать две сид фразы из 12-24 слов, б) одну сид фразу импортировать в кошелек обычным способом, но не генерировать адреса и не отправлять средства, в) вторую сид-фразу использовать в качестве пасс фразы для первой сид-фразы, и уже отсюда начать генерацию адресов. По отдельности сид-фразы будут также бесполезны, но для процесса восстановления средств нужно будет меньше времени.

Имеете ввиду сгенерировать две сид фразы для одного аппаратного кошелька, а как это возможно сделать? Не знала, что можно использовать сид фразу как пароль для другой сид фразы, нигде не видела даже упоминания об этом и честно говоря не совсем поняла как это можно осуществить.

Получается, что если будет необходимость восстановления доступа по сид фразе и сид, который используется как пароль будет утерян, то доступ к кошельку будет получить невозможно? Не могу для себя понять как это все работает, получается что у меня же есть два сида на руках, как одна из них может быть пасс фразой? (запуталась).  

Это на самом-то деле как раз очень просто для понимания, но это нужно объяснять простыми словами. Вы генерите 2 сида, но в качестве сида используете только один из них; второй сид вы используете не в качестве сида, а в качестве пароля. Просто не все понимают, что в качестве пароля можно использовать в том числе и сид.
   Кстати, в качестве пароля для сида вы можете использовать и другую похожую информацию:
1. Адрес какого-нибудь кошелька, в том числе одного из тех, что генерит этот же самый сид (лучше подальше по счёту).
2. Приватник или часть приватника какого бы то ни было сида.
3. хПАБ или Хприв
4. Сид можно шифровать самим этим же сидом, а не другим. Или элементами этого же сида. Или этим же сидом в котором слова в другом порядке и т.д.
---------------
Словом, полёт фантазии ничем не ограничен. Хотя смысл такой схем лично для меня спорен. Как и шифровать сид другим сидом. Не особо понятно для какой ситуации это может быть хорошим решением.
-----------------------------------------------------------------------------------------------------
Вопрос к старожилам темы: может имеет смысл создать отдельный топик по мультисигам? Лично я вижу интерес у народа, плюс там можно всё важную инфу вынести в ссылочный массив в начало темы, чтобы не шерстить весь топик.

[witcher_sense]

Имеете ввиду сгенерировать две сид фразы для одного аппаратного кошелька, а как это возможно сделать? Не знала, что можно использовать сид фразу как пароль для другой сид фразы, нигде не видела даже упоминания об этом и честно говоря не совсем поняла как это можно осуществить.

Получается, что если будет необходимость восстановления доступа по сид фразе и сид, который используется как пароль будет утерян, то доступ к кошельку будет получить невозможно? Не могу для себя понять как это все работает, получается что у меня же есть два сида на руках, как одна из них может быть пасс фразой? (запуталась). 

Про технические детали вам уже рассказали более опытные пользователи, так что мне нечего добавить. А про вторую сид-фразу я упомянул для того, чтобы провести аналогию с мультиподписью 2-2. Злоумышленнику в обоих случаях нужно будет знание двух сид фраз, так что безопасность средств будет на практически идентичном уровне. "Практически", так как в случае с мультиподписью гораздо проще определить метод хранения, то есть злоумышленник может узнать, что должен искать/брутфорсить. В случае же с сид-фраза+вторая сид-фраза, все выглядит как в обычном одноподписном кошельке без всяких паролей и соответственно будет не совсем понятно что конкретно нужно искать для доступа.

[satscraper]

   Кстати, в качестве пароля для сида вы можете использовать и другую похожую информацию:

 Хотя смысл такой схем лично для меня спорен. Как и шифровать сид другим сидом. Не особо понятно для какой ситуации это может быть хорошим решением.

 
Извиняюсь, но вы своим коментарием  совсем человека запутали.

Сид ничем не шифруется. Парольная фраза это не пароль, используемый для шифрования  сида,

Можно рассматривать и сам СИД и расширение  (т.е. парольную фразу) к нему как два  из четырёх аргументов криптографической  PBKDF2 функции, используемой иерархическими кошельками для генерации ключей.

Вопрос к старожилам темы: может имеет смысл создать отдельный топик по мультисигам? Лично я вижу интерес у народа, плюс там можно всё важную инфу вынести в ссылочный массив в начало темы, чтобы не шерстить весь топик.

Такая отдельная тема уже имеется

https://bitcointalk.org/index.php?topic=5468983

[igor72]

Тут, я вижу, неплохо было бы сначала договориться о терминах, а то не каждый новичок разберется, что на самом деле имеется в виду. В BIP39 есть такие выражения:
1. mnemonic, mnemonic sentence. По-русски мнемоника, мнемоническая фраза, чаще говорят сид-фраза или просто сид (но последнее только когда контекст позволяет, потому что можно спутать с сидом из 3 пункта).
2. passphrase. Наиболее точный перевод - парольная фраза. Иногда говорят "кодовая фраза". Я (и не только) предпочитаю в данном случае кальку "пассфраза" - чтобы не было путаницы с паролем в кошельке, который к этому не имеет никакого отношения.
3. seed, binary seed - сид, бинарный сид - большое 512-битное число, результат хеширования сид-фразы и пассфразы.

Хотя смысл такой схем лично для меня спорен. Как и шифровать сид другим сидом. Не особо понятно для какой ситуации это может быть хорошим решением.

Если говорить об использовании BIP39-слов в качестве пассфразы, то есть по крайней мере один кошелек (Jade), где эта фича предлагается как опция, и, так как при наборе этих слов на устройстве автоматически предлагаются возможные варианты, набрать, например, 6 слов оказывается быстрее, чем случайные 12 символов.
 

Вопрос к старожилам темы: может имеет смысл создать отдельный топик по мультисигам? Лично я вижу интерес у народа, плюс там можно всё важную инфу вынести в ссылочный массив в начало темы, чтобы не шерстить весь топик.

Можно и создать, если видите интерес. Я особого интереса пока не замечаю.

А про вторую сид-фразу я упомянул для того, чтобы провести аналогию с мультиподписью 2-2. Злоумышленнику в обоих случаях нужно будет знание двух сид фраз, так что безопасность средств будет на практически идентичном уровне. "Практически", так как в случае с мультиподписью гораздо проще определить метод хранения, то есть злоумышленник может узнать, что должен искать/брутфорсить.

Ну нет, уровень и близко не идентичный. Если, к примеру, вероятность потери монет из-за уязвимости одноподписного кошелька равна, скажем, 0.1%, то при такой же степени дырявости разных устройств, используемых для 2-из-2 кошелька, будет уже 0.0001%, а для 3-из-3 - 0.0000001%.

Такая отдельная тема уже имеется

В свою самомодерируемую тему приглашаете? )

[witcher_sense]

Тут, я вижу, неплохо было бы сначала договориться о терминах, а то не каждый новичок разберется, что на самом деле имеется в виду. В BIP39 есть такие выражения:
1. mnemonic, mnemonic sentence. По-русски мнемоника, мнемоническая фраза, чаще говорят сид-фраза или просто сид (но последнее только когда контекст позволяет, потому что можно спутать с сидом из 3 пункта).

По-моему от этого определения давно пытаются отказаться, потому что набор из 12/24 слов совсем не предназначен для "запоминания". К тому же "mnemonic" используется в качестве префикса соли при генерации хэша (или как там его) из набора слов.

2. passphrase. Наиболее точный перевод - парольная фраза. Иногда говорят "кодовая фраза". Я (и не только) предпочитаю в данном случае кальку "пассфраза" - чтобы не было путаницы с паролем в кошельке, который к этому не имеет никакого отношения.

Менеджеры паролей предлагают генерацию пассфраз вместо привычных паролей, в их контексте это просто фраза из рандомных слов, разделенных пробелами. Пассфразу можно использовать в качестве пароля и наоборот.

3. seed, binary seed - сид, бинарный сид - большое 512-битное число, результат хеширования сид-фразы и пассфразы.

Это прямо уже глубоко технические термины, которые будут непонятны новичку.

Ну нет, уровень и близко не идентичный. Если, к примеру, вероятность потери монет из-за уязвимости одноподписного кошелька равна, скажем, 0.1%, то при такой же степени дырявости разных устройств, используемых для 2-из-2 кошелька, будет уже 0.0001%, а для 3-из-3 - 0.0000001%.

В удаленный взлом аппаратников я все еще не верю, вероятность такого события стремится к нулю.

[satscraper]

В свою самомодерируемую тему приглашаете? )

Да, приглашаю в частности и вас с инструкцией о создании мультисиг кошелька, используя Электрум. (Мне самому неохота уже Электрумом заниматься, так как пройденный этап уже)

В самомодерируемых темах не вижу ничего плохого, так как они позволяют избавиться от бесмысленного хлама.

Таких захламленных тем полно на форуме (не буду указывать).  

Но если вам нравится спам и тупое переливание из пустого в порожнее, создайте свою. Будем спамить.  

[igor72]

Да, приглашаю в частности и вас с инструкцией о создании мультисиг кошелька, используя Электрум. (Мне самому неохота уже Электрумом заниматься, так как пройденный этап уже)

Спасибо за приглашение, но такие темы уже есть, не вижу смысла повторяться. Правда, уже немного староваты, тем не менее с тех пор практически ничего не изменилось.
Тема на русском: https://bitcointalk.org/index.php?topic=3308541.0, тема на английском: https://bitcointalk.org/index.php?topic=5039220.0. В последней не видно картинок, но они на месте (чтобы их посмотреть, следует открыть печатную версию страницы и там переходить по ссылкам). До кучи еще ссылка на неофициальную доку по электруму: https://bitcoinelectrum.com/creating-a-multisig-wallet/.

В самомодерируемых темах не вижу ничего плохого, так как они позволяют избавиться от бесмысленного хлама.

Таких захламленных тем полно на форуме (не буду указывать). 

Но если вам нравится спам и тупое переливание из пустого в порожнее, создайте свою. Будем спамить. 

Да мне почти безразлично, привык уже). В принципе я за свободную беседу и не против офтопика, всё равно ссылки на ценные посты лучше сразу в закладки помещать, иначе потом полдня искать будешь. Иногда полезные сообщения удаляют хозяева таких самомодерируемых веток (это не намёк, о вас я такого сказать не могу), поэтому приятнее писать в темах без лишнего цензора.

В удаленный взлом аппаратников я все еще не верю, вероятность такого события стремится к нулю.

Я как бы тоже не очень верю, но когда речь о life changing money, то хочется быть уверенным на 146%.

[satscraper]

Да, приглашаю в частности и вас с инструкцией о создании мультисиг кошелька, используя Электрум. (Мне самому неохота уже Электрумом заниматься, так как пройденный этап уже)

Спасибо за приглашение, но такие темы уже есть, не вижу смысла повторяться. Правда, уже немного староваты, тем не менее с тех пор практически ничего не изменилось.
Тема на русском: https://bitcointalk.org/index.php?topic=3308541.0, тема на английском: https://bitcointalk.org/index.php?topic=5039220.0. В последней не видно картинок, но они на месте (чтобы их посмотреть, следует открыть печатную версию страницы и там переходить по ссылкам). До кучи еще ссылка на неофициальную доку по электруму: https://bitcoinelectrum.com/creating-a-multisig-wallet/.

Не видел эту https://bitcointalk.org/index.php?topic=3308541.0 тему.

Она 2018 года. За это время  много воды утекло: и Электрум обновился, и появились новые аппаратники, и у вас наверное опыта прибавилось и есть о чём рассказать, да и тема заброшенной оказалась.

Поэтому думаю было бы полезно для всех обобщить всё новое и добавить обновлённую инструкцию в этой теме https://bitcointalk.org/index.php?topic=5468983 , которая станет общей для всех вариантов мультиподписных кошельков.

Но если  не тянет на это , тогда да, понимаю, самому иногда бывает внеохотку что-то делать.

[Julien_Olynpic]

Извиняюсь, но вы своим коментарием  совсем человека запутали.

Сид ничем не шифруется. Парольная фраза это не пароль, используемый для шифрования  сида,

Можно рассматривать и сам СИД и расширение  (т.е. парольную фразу) к нему как два  из четырёх аргументов криптографической  PBKDF2 функции, используемой иерархическими кошельками для генерации ключей.

Подожди, почему и где сид не шифруется?  И почему парольная фраза - это не пароль, используемый для шифрования  сида? Насколько я понимаю, парольная фраза - это passfrase, оно же пароль. Например, если зайти на популярный сервис iancoleman.io то там есть графа, называемая пассфразой, в которую ты вставляешь свои пользовательские символы и они шифруют мнемонику. Это и есть не что иное, как пароль.
Ниже привожу скрин, где в графе passfrase стоит пароль абракадабра.
сид случайный, пустой
***

[igor72]

Подожди, почему и где сид не шифруется?

Потому что сид не шифруется, он хешируется. И хешируется вместе с пассфразой (строго говоря там hmac-функция, где они переплетаются в хешировании). Шифруется - это когда что-то кодируется с возможностью обратного раскодирования, расшифровки. А тут такое невозможно.

И почему парольная фраза - это не пароль, используемый для шифрования  сида? Насколько я понимаю, парольная фраза - это passfrase, оно же пароль.

Пароль - это password, а здесь passphrase ). Вот паролем (чаще хешем пароля) да, обычно что-то шифруется - файл кошелька, например (или его часть).

[satscraper]

Подожди, почему и где сид не шифруется?

Потому что сид не шифруется, он хешируется. И хешируется вместе с пассфразой (строго говоря там hmac-функция, где они переплетаются в хешировании). Шифруется - это когда что-то кодируется с возможностью обратного раскодирования, расшифровки. А тут такое невозможно.

Для нетехнарей можно привести следующую аналогию.

СИД - это кусочек мяса.

Пассфраза это кусочек чеснока.

Хеширование это процесс превращения этих двух кусочков в фарш (хеш) на выходе мясорубки (хеш функции). Фарш  зависит от обоих компонентов - кусочка мяса и кусочка чеснока.

[igor72]

Для нетехнарей можно привести следующую аналогию.

СИД - это кусочек мяса.

Пассфраза это кусочек чеснока.

Хеширование это процесс превращения этих двух кусочков в фарш (хеш) на выходе мясорубки (хеш функции). Фарш  зависит от обоих компонентов - кусочка мяса и кусочка чеснока.

Да, можно и так объяснить. Только я бы в этой аналогии предпочел бы: сид - кусок свинины, пассфраза - кусок говядины. То есть можно приготовить чисто свиной фарш (без пассфразы), можно чисто говяжий (слабый сид из, скажем 12 слов "mom" + сильная пассфраза), а можно что-то среднее.

[witcher_sense]

Подожди, почему и где сид не шифруется?  И почему парольная фраза - это не пароль, используемый для шифрования  сида? Насколько я понимаю, парольная фраза - это passfrase, оно же пароль. Например, если зайти на популярный сервис iancoleman.io то там есть графа, называемая пассфразой, в которую ты вставляешь свои пользовательские символы и они шифруют мнемонику. Это и есть не что иное, как пароль.
Ниже привожу скрин, где в графе passfrase стоит пароль абракадабра.
сид случайный, пустой
***

Кстати, там 3-е издание Mastering Bitcoin вышло https://github.com/bitcoinbook/bitcoinbook и в ней понятие "mnemonic phrase" заменено на словосочетание "recovery code". Так вот, весь процесс генерации seed из recovery code там описан достаточно подробно: https://github.com/bitcoinbook/bitcoinbook/blob/develop/ch05_wallets.adoc#from-recovery-code-to-seed Если вкраце, то есть специальная функция, которая берет на вход два параметра и выдает детерминистское 512 битное число. То есть одни и те же параметры будут всегда производить тот же результат. Первый параметр это собственно ваш привычный набор из 12-24 слов, а второй по-умолчанию всегда имеет значение "mnemonic" (просто одно слово). Парольная фраза (passphrase) добавляется к этому слову и соответственно приводит к другому набору в финальном 512 битном числе.

function(recovery_code, "mnemonic") -> result X
function(recovery_code, "mnemoic" + passphrase) -> result Y

Добавление в данном случае идет методом конкатенации, то есть если у вас пассфраза "vasya pupkin", то второй аргумент в функции будет "mnemonicvasya pupkin". Вроде так.

[satscraper]

там 3-е издание Mastering Bitcoin вышло

[ которая берет на вход два параметра и выдает детерминистское 512 битное число. То есть одни и те же параметры будут всегда производить тот же результат. Первый параметр это собственно ваш привычный набор из 12-24 слов, а второй по-умолчанию всегда имеет значение "mnemonic" (просто одно слово). Парольная фраза (passphrase) добавляется к этому слову и соответственно приводит к другому набору в финальном 512 битном числе.

Третье издание не смотрел, но

Там ещё три неизменяемых параметра, а именно, индентификатор используемой функции = HMAC, число итераций хеширования = 2048 (т.е. в аналогии с мясорубкой - число, показывающее сколька раз мясорубка пропускает через себя фарш, и длина (в байтах) ключа на выходе = 64).

Иными словами у функции 5 параметров, два из которых изменяемые.


А вообще такие подробности обычному пользователю не нужны.

Все умеют пользоваться браузерами, но мало кто знает, что такое к примеру DNS  кэш.

Так и здесь. Обычному пользователю нужно просто уметь безошибочно обращаться с  кошельками. Если кто-то из них пытается проникнуть в тему  глубже, то тогда конечно разъяснять.

[witcher_sense]

А вообще такие подробности обычному пользователю не нужны.

Все умеют пользоваться браузерами, но мало кто знает, что такое к примеру DNS  кэш.

Так и здесь. Обычному пользователю нужно просто уметь безошибочно обращаться с  кошельками. Если кто-то из них пытается проникнуть в тему  глубже, то тогда конечно разъяснять.

Вот про неизменяемые параметры информация действительно слишком техническая и лишняя (ввиду невозможности пользователя повлиять на эти параметры при создании кошелька), а все остальное пригодится для осознанного создания своего личного сетапа, просто для расширения кругозора, и чтобы поддержать разговор, если случайно забредете на тусовку к биткоин гикам. Я вот читал "Mastering Bitcoin" как литературное произведение и не капли не пожалел о потраченном времени, хотя и не понял всего при первом прочтении. Возможно, что и Julien_Olynpic эта информация пригодится, потому что он проявил интерес к данной теме и даже решил помочь новичку.

[igor72]

Вот про неизменяемые параметры информация действительно слишком техническая и лишняя (ввиду невозможности пользователя повлиять на эти параметры при создании кошелька), а все остальное пригодится для осознанного создания своего личного сетапа, просто для расширения кругозора, и чтобы поддержать разговор, если случайно забредете на тусовку к биткоин гикам.

Если говорить о мультиподписи, то здесь тоже полезно понимание, как всё устроено, из чего состоит redeem-скрипт, научиться восстанавливать доступ к своим средствам не в привычном софте, а, насколько возможно, вручную, имея только сиды, iancoleman(для получения ключей) и Bitcoin core. Это даёт уверенность в простоте и надежности такого кошелька.

Я вот читал "Mastering Bitcoin" как литературное произведение и не капли не пожалел о потраченном времени, хотя и не понял всего при первом прочтении.

Да, пишет хорошо, читается легко, надо будет перечитать в этом новом издании. Кстати, перешел по вашей ссылке и немного ниже увидел такое предложение:
"BIP32 allows seeds to be from 128 to 512 bits. BIP39 accepts from 128 to 256 bits of entropy; Electrum v2 accepts 132 bits of entropy; Aezeed accepts 128 bits of entropy; SLIP39 accepts either 128 or 256 bits."
Да, Электрум по умолчанию генерирует 12 слов по 11 бит = 132 бита энтропии, но в консоли он может генерировать и потом принимать сид до 94 слов из бип39-словаря (до 1034 бит энтропии).

[Julien_Olynpic]

Потому что сид не шифруется, он хешируется. И хешируется вместе с пассфразой (строго говоря там hmac-функция, где они переплетаются в хешировании). Шифруется - это когда что-то кодируется с возможностью обратного раскодирования, расшифровки. А тут такое невозможно.

Согласен, формально пассфраза не пароль. Точнее, не совсем пароль. А если ещё точнее, то это аналог пароля для случая асимметричных систем шифрования. Но в функциональном отношении пассфраза ничем от пароля не отличается.
     Что там, что тут это дополнительная информация, которая добавляется к основной, чтобы на выходе получить нераспознаваемую инфу. А то, что в симметричном шифровании пароль шифрует, а в асимметричном шифровании пассфраза хеширует, не такая большая разница. Это тоже птица, которая ходит как утка, крякает, как утка и выглядит как утка. А если по факту это какой-нибудь карликовый гусь, то это мало что меняет. И функция та же самая и название практически идентичное.

[igor72]

Согласен, формально пассфраза не пароль. Точнее, не совсем пароль. А если ещё точнее, то это аналог пароля для случая асимметричных систем шифрования. Но в функциональном отношении пассфраза ничем от пароля не отличается.
     Что там, что тут это дополнительная информация, которая добавляется к основной, чтобы на выходе получить нераспознаваемую инфу. А то, что в симметричном шифровании пароль шифрует, а в асимметричном шифровании пассфраза хеширует, не такая большая разница.

Нет здесь асимметричного шифрования, никакого шифрования тут нет, так как нет способа получить из результата исходник.

Само слово passphrase, по-моему, не очень удачное в данном случае, потому что это действительно практически синоним пароля. Пассфразу для сида часто в народе называют 25-м (или 13-м) словом - вот это определение точнее отражает смысл (то есть это не что-то, шифрующее секрет, а это и есть часть секрета). Но многие не понимают, что это слово может быть произвольным, а не из BIP39-словаря, и вообще может быть не словом, а абракадаброй из любых символов и любой разумной длины.

[The0ldl_lser]

...Продолжение тут https://bitcointalk.org/index.php?topic=5483995.msg63607104#msg63607104

[Julien_Olynpic]

Нет здесь асимметричного шифрования, никакого шифрования тут нет, так как нет способа получить из результата исходник.

Я тут, возможно, не совсем неправильно или ясно выразился. Напишу по-другому:  если вы изменяете сид с помощью пароля, а потом, при импорте изменённого сида в кошелёк (например, Мицелиум) вводите пароль, чтобы расшифровать сид для кошелька, то это ничто иное, как шифрование. Иными словами, если хеширование может быть частью шифрования, то это нечто иное как шифрование и есть.

Само слово passphrase, по-моему, не очень удачное в данном случае, потому что это действительно практически синоним пароля.

Оно вполне себе удачно в том смысле, что очень точно отражает его функцию. Пассфраза — это и есть пароль. То, что изменяет изначальную информацию и отделено от этой изначальной информации.

Но многие не понимают, что это слово может быть произвольным, а не из BIP39-словаря, и вообще может быть не словом, а абракадаброй из любых символов и любой разумной длины.

Ну вот я и пишу, что ты описываешь утку (пароль), но боишься назвать её уткой (паролем).

[igor72]

Я тут, возможно, не совсем неправильно или ясно выразился. Напишу по-другому:  если вы изменяете сид с помощью пароля, а потом, при импорте изменённого сида в кошелёк (например, Мицелиум) вводите пароль, чтобы расшифровать сид для кошелька, то это ничто иное, как шифрование.

Да, с этим согласен, в таком случае это и есть самый настоящий пароль. Но это не имеет отношения к BIP39-пассфразе - вы не можете ее применить к шифрованному сиду, чтобы получить нешифрованный.

Иными словами, если хеширование может быть частью шифрования, то это нечто иное как шифрование и есть.

Хеширование не может быть частью шифрования, так как это односторонняя функция по определению.

Я догадываюсь почему вам не удавалось решить проблему.  С версии 2.0, которая была зарелизена в 2015 году  Электрум отошёл от BIP 39

Он не отошёл, там никогда не было BIP39 (только импорт)

и  он в hmac добавляет ещё один параметр - Seed version"

Просто при генерации или импорте сида вычисляется hmac этого сида (но это не тот hmac внутри pbkdf2, о котором шла речь раньше, то есть на генерацию ключей он не влияет) и считается валидным только тот сид, значение hmac которого начинается с определенных битов. Эти биты определяют версию сида, заодно являются и контрольной суммой (в отличие от BIP39, где контрольная сумма находится в последнем слове).

[The0ldl_lser]

...Продолжение тут https://bitcointalk.org/index.php?topic=5483995.msg63607104#msg63607104

[igor72]

Так и думал что что-то тут не так - ну ладно, допустим я идиот, и там действительно ни сатоши не осталось (ведь можно же было выставить точную фиксированную комиссию и все подчистую истратить). Но спрашивается где история транзакций? Они же точно были!

Я не видел описание вашей проблемы (или забыл?), а по этому скудному описанию непонятно. Опишите где-нибудь поподробнее - подумаем, может идеи какие-то появятся.

Короче, я окончательно разочаровался в детерминированных кошелькахпо оказывается разным алгоритмам.

Детерменированы они по одинаковому алгоритму (BIP32), это бинарный сид из мнемоники немного по-разному получается (в BIP39 пассфраза приклеивается к слову "mnemonic", а в Электруме к слову "electrum" - в этом всё отличие).

Поэтому предлагаю всем сохранять не только сид (24 слова + фразу), но и приватный ключ от кошелька" где деньги лежат. Соответственно после транзакции придется сохранять еще один - куда ушло непотраченное. Да, не удобно. Но зато всегда можете быть уверены в том, что вы контролируете эти монеты - сможете их потом использовать, даже если эти гады изменят алгоритм. (Просто импортируете свой приватный ключ с бапками в любой кошелек - и пусть они попробуют сказать что-то типа того что "после версии хх.уу импорт ключей невозможен. вот тогда бтс можно будет точно хоронить)

Лишнее это, на мой взгляд. Нужно просто один раз убедиться, что можно восстановить доступ к ключам по сид-фразе (например в офлайн iancoleman-конвертере).

Кстати, а если использовать 2-of-2 мультиподписной кошелек, то приватных ключа два? Один на "одной стороне", второй "на другой"? (физически разнесенные)?

Да, два приватника на каждый адрес.

Edit. В раннем BIP39 электрум, была пасс-фрраза? Может в этом дело, и поэтому я не могу найти свою историю?

Была. А насколько раннем, кстати? В каком году примерно?

[The0ldl_lser]

....Продолжение тут https://bitcointalk.org/index.php?topic=5483995.msg63607104#msg63607104

[igor72]

Детерменированы они по одинаковому алгоритму (BIP32), это бинарный сид из мнемоники немного по-разному получается (в BIP39 пассфраза приклеивается к слову "mnemonic", а в Электруме к слову "electrum" - в этом всё отличие).

ах "немного по-разному"! 

На самом деле это неважно - всё равно алгоритм вычисления контрольной суммы отличается, поэтому сид, созданный в Электруме не примется в BIP39-кошельке и наоборот. Хотя есть нюанс - до какой-то относительно недавней версии Электрума с маленькой вероятностью мог быть сгенерирован сид, удовлетворяющий обоим стандартам.

Сейчас восстанавливается - я убедился. Вопрос как убедиться что восстановится через 10 лет? Думаю это невозможно - опять правила ^ (пост витчер-сэснс)поменяют

Даже если поменяют - не страшно. Во-первых, новые версии софта обычно читают и старые свои форматы, а во-вторых, останутся и старые версии, в которых всегда можно будет получить ключи. Главное убедиться сейчас, что ключи сгенерированы без ошибок.

Была. А насколько раннем, кстати? В каком году примерно?

я сам не пока не могу найти предыдущее обсуждение моей проблемы - думаю между 2013 годом и 2015 второй половины(были транзакции). Попробую позже поковыряться в сообщениях, в https://archive.org/web/ сохранениях BTT от дат которые я один примерно знаю, но это опять таки никуда не денется же, можно и при миллионе потом посмотреть. Да и не на всю глубину кстати вэб-машина сохраняет бтт так что тоже не факт
Вопрос поднял точно позже 2018 на раньше 2022

Можно поставить в виртуалке на старую винду-семерку portable Электрум за 13 год (версия 1.8 ) и проверить там, затем (можно наверх) более новый, 14 года, потом 15-го и так далее. Не думаю, что это что-то даст, но проверить много времени не займет. Старые версии лежат здесь: https://download.electrum.org/

[The0ldl_lser]

Продолжение тут https://bitcointalk.org/index.php?topic=5483995.msg63607104#msg63607104

[igor72]

Все так. Но старым версиям нужен интернет чтобы показать историю транзакций - а если даешь им интернет, они показывают что типа "есть уязвимость (всем известная да) и срочно обновитесь". Конечно я все способы не перепробовал, наверняка можно с каким-то ключом запустить. Или изначально запускать без инета.

А вам не нужен инет, ваша задача найти версию Электрума, которая покажет отличные от других версий адреса в одноименной вкладке. Хотя уверен практически на 100%, что такая не обнаружится.
Создайте лучше отдельную тему, а то я не понимаю, в чём проблема, может и копать надо в другом направлении.

[internetional]

Но вот совершенно кардинально меняется ситуация, при мультиподписи 2 из 2. Здесь для доступа к средствам, нужно применить именно все 2 подписи. По сути условия доступа равнозначны условию для одной подписи, но есть нюанс. Чем будет больше, подписей, тем выше вероятность, что какая-то из этих подписей потеряется, либо человек управляющий другой подписью сам по себе пропадет.

Для мультиподписи 2 из 2 это не так очевидно. Более того, описываются случаи, якобы повышающие безопасность хранения, вроде хакер украл одну вашу подпись, но ко второй он не доберется.

Однако, вероятность с хакером меньше, чем скажем Вы хранили хотя бы одну подпись на зашифрованном облачном диске, но ваш компьютер сгорел и пароль потерялся. И теперь при пропаже любой из этих подписей Вы вообще не сможете получить доступ к своим средствам, по сути вторая подпись становится бесполезной.

Если идея мультиподписи 2 из 2 Вам всё ещё не кажется плохой, то попробуйте сами промоделировать пропажу хотя бы одной подписи для случая 6 из 6 или 10 из 10. И Вы просто легко и воочию увидите, насколько это критично и рискованно так делать.

Я на практике впервые столкнулся с мультиподписью 2-из-2 в 2021 году в кошельке Muun. Там оба приватных ключа находятся в одном и том же файле восстановления кошелька. Такая практика предопределила и мой взгляд на мультиподпись 2-из-2.

Для меня отличие мультиподписи 2-из-2 от одной подписи примерно такое же, как отличие сид-фразы из 24 слов от сид-фразы из 12 слов: её сложнее подобрать.

А в остальном - никакой разницы. Можно и половину ключа одной подписи другому человеку передать, и это мало чем будет отличаться от мультиподписи 2-из-2. Можно половину ключа потерять. И шестую часть можно потерять, и десятую (и это приведёт к тому же самому, к чему и потеря одной из подписей от мультисиг-адреса 6-из-6 или 10-из-10).

Весь вопрос в том, как хранить. Если хранить в одном месте, как в Muun, то единственное отличие двух подписей от одной - в более высокой защите от брутфорса.

Хотя нет. Ещё вес транзакций будет больше, и комиссии платить придётся более высокие. Это, конечно, минус.

[satscraper]

Я на практике впервые столкнулся с мультиподписью 2-из-2 в 2021 году в кошельке Muun. Там оба приватных ключа находятся в одном и том же файле восстановления кошелька. Такая практика предопределила и мой взгляд на мультиподпись 2-из-2.

Ну в этом случае кошелёк Muun оправдал своё название.

Приватными ключами для 2-из-2 кошелька должны распоряжаться различные устройства из которых хотя бы одно относиться к аппаратному кошельку. А лучше, чтобы было два аппаратника от разных производителей.

А вы всегда  предопределяете свой взгляд на предмет исходя из первого попавшегося (и зачастую ошибочного представления)  не изучив его?

Как правило  необходимо перелопатить тонны материала, чтобы отсеять из него зерно истины.

[igor72]

Я на практике впервые столкнулся с мультиподписью 2-из-2 в 2021 году в кошельке Muun. Там оба приватных ключа находятся в одном и том же файле восстановления кошелька.

Интересно, а какой принцип в их такой системе, зачем там 2-2 кошелек? Что-то не могу придумать рационального объяснения.

Весь вопрос в том, как хранить. Если хранить в одном месте, как в Muun, то единственное отличие двух подписей от одной - в более высокой защите от брутфорса.

Конечно, если все ключи в одном кошельке, то никакого смысла в мультиподписи не вижу.

Хотя нет. Ещё вес транзакций будет больше, и комиссии платить придётся более высокие. Это, конечно, минус.

Да, хотя тапрут этот недостаток смягчает. Надеюсь, разработчики популярных кошельков скоро внедрят в свои продукты мультиподписной тапрут.

[internetional]

Я на практике впервые столкнулся с мультиподписью 2-из-2 в 2021 году в кошельке Muun. Там оба приватных ключа находятся в одном и том же файле восстановления кошелька.

Интересно, а какой принцип в их такой системе, зачем там 2-2 кошелек? Что-то не могу придумать рационального объяснения.

Сами разработчики кошелька пишут об этом так:

Instead of holding all keys hot in one single device (your phone), you only carry one key there. Muun co-signs daily transactions. Full self-custody is achieved by holding both keys cold in your Emergency Kit.

В телефоне - один ключ, а у Мууна - другой. Если Муун закозлится, я беру файл восстановления, вытаскиваю оттуда оба ключа и обхожу Муун. А если Муун ведёт себя добросовестно, то хакер, вытащивший ключ из памяти моего телефона, не сможет увести деньги.

Правда, мне эта угроза кажется маловероятной. Странно, что злоумышленник получит доступ к ключу, но не к моему экземпляру программы. А если у него есть доступ и к программе в моём телефоне, то он сможет увести деньги, потому что Муун сочтёт транзакцию, запущенную моим кошельком, авторизованной, и подпишет её со своей стороны.

Поэтому я две подписи воспринимаю только как дополнительную защиту от брутфорса.

[igor72]

Сами разработчики кошелька пишут об этом так:

Instead of holding all keys hot in one single device (your phone), you only carry one key there. Muun co-signs daily transactions. Full self-custody is achieved by holding both keys cold in your Emergency Kit.

В телефоне - один ключ, а у Мууна - другой. Если Муун закозлится, я беру файл восстановления, вытаскиваю оттуда оба ключа и обхожу Муун. А если Муун ведёт себя добросовестно, то хакер, вытащивший ключ из памяти моего телефона, не сможет увести деньги.

Правда, мне эта угроза кажется маловероятной. Странно, что злоумышленник получит доступ к ключу, но не к моему экземпляру программы. А если у него есть доступ и к программе в моём телефоне, то он сможет увести деньги, потому что Муун сочтёт транзакцию, запущенную моим кошельком, авторизованной, и подпишет её со своей стороны.

Поэтому я две подписи воспринимаю только как дополнительную защиту от брутфорса.

Я не уверен, что понял эту систему в Muun, но кажется, что она должна быть гораздо надежней, чем просто горячий кошелек, так как оба ключа засвечиваются лишь в случае форс-мажора (который скорее всего не наступит), а может даже ключи возможно добыть из бэкапа и офлайн? Подобная схема использовалась(-уется) и в других кошельках, на память приходят block.io, btc.com, двухфакторка в Electrum и Green.

[satscraper]

Я не уверен, что понял эту систему в Muun,

Да, при создании мультисига очень важно, кроме правильных подписантов, выбрать нормального координатора этих подписантов, который бы создавал общий xpub для мультисига из аналогичных ключей каждого из подписантов.

Muun, судя по всему, к ним не относится.

Я бы в качестве такого координатора расматривал одну из четырёх  опций - Sparrow, Specter, Electrum и Bitcoin Keeper.

Под нормальным координатором я понимаю програмный продукт, который позволяет спаривание с большинством имеющихся аппаратных кошельков.

[igor72]

Да, при создании мультисига очень важно, кроме правильных подписантов, выбрать нормального координатора этих подписантов, который бы создавал общий xpub для мультисига из аналогичных ключей каждого из подписантов.

У меня нет опыта в работе с тапрут-мультисигами, поэтому далеко не всё там понимаю, но в p2(w)sh-кошельках, насколько мне известно, никакого общего xpub-а нет. Вы, наверное, адреса имели в виду?

Muun, судя по всему, к ним не относится

Адреса правильные создаёт, а что еще надо от "координатора"?

[satscraper]

У меня нет опыта в работе с тапрут-мультисигами, поэтому далеко не всё там понимаю, но в p2(w)sh-кошельках, насколько мне известно, никакого общего xpub-а нет. Вы, наверное, адреса имели в виду?

Да, точно, xpub-а общего нет. имел ввиду мультисиг адреса из xpub ов подписантов

Адреса правильные создаёт, а что еще надо от "координатора"?

Ну вообщем-то надо чтобы он мог спариваться  с как можно большим количеством аппартников, чтобы интерфейс был приятный и чтобы был шустрым в работе.

Я когда выбирал для своего Passport 2  координатора тестировал Electrum, Spectre и Sparrow в перечисленном порядке.

 Electrum отпал потому что не мог спариваться через QR, Spectre отпал из-за интефейса и скорости работы.

Sparrow удовлетворил меня во всём.

[igor72]

Адреса правильные создаёт, а что еще надо от "координатора"?

Ну вообщем-то надо чтобы он мог спариваться  с как можно большим количеством аппартников, чтобы интерфейс был приятный и чтобы был шустрым в работе.

Это уже частные требования. Зачем с как можно большим? Достаточно, чтобы работал с вашими девайсами. А у кого-то кошелек вообще без аппаратников, ему тогда вообще это не нужно.

Я когда выбирал для своего Passport 2  координатора тестировал Electrum, Spectre и Sparrow в перечисленном порядке.

 Electrum отпал потому что не мог спариваться через QR, Spectre отпал из-за интефейса и скорости работы.

Sparrow удовлетворил меня во всём.

А у меня наоборот Sparrow не работает с одним из моих аппаратников, а Electrum работает. Specter мне тоже абсолютно не зашел, интересно, есть ли у него вообще поклонники.

[satscraper]

Адреса правильные создаёт, а что еще надо от "координатора"?

Ну вообщем-то надо чтобы он мог спариваться  с как можно большим количеством аппартников, чтобы интерфейс был приятный и чтобы был шустрым в работе.

Это уже частные требования. Зачем с как можно большим? Достаточно, чтобы работал с вашими девайсами.

Ничто не вечно, я полагаю. И возможно прийдётся менять своих подписантов на другие. В этом случае хотелось бы, чтобы координатор мультиподписи оставался прежним.

Specter мне тоже абсолютно не зашел, интересно, есть ли у него вообще поклонники.

У Specter крутой сканер QR со встроенной програмной линзой. За счёт этого он очень быстро считывает QR код с небольших дисплеев аппаратных кошельков. К интерфейсу можно привыкнуть, но  скорость работы этого интерфейса оставляет желать лучшего.

[igor72]

У Specter крутой сканер QR со встроенной програмной линзой. За счёт этого он очень быстро считывает QR код с небольших дисплеев аппаратных кошельков.

Ничего себе, первый раз слышу о таком чуде. Попытался погуглить, но ничего сходу не нашлось. Может, у вас ссылка есть? Интересно понять, как это работает. Склейка из фрагментов как в панорамном фото или просто цифровое увеличение с каким-то алгоритмом повышения резкости?
И если действительно эффективность считывания повышается, то почему другие эту фичу не внедряют, код же открыт?

[satscraper]

У Specter крутой сканер QR со встроенной програмной линзой. За счёт этого он очень быстро считывает QR код с небольших дисплеев аппаратных кошельков.

Ничего себе, первый раз слышу о таком чуде. Попытался погуглить, но ничего сходу не нашлось. Может, у вас ссылка есть? Интересно понять, как это работает. Склейка из фрагментов как в панорамном фото или просто цифровое увеличение с каким-то алгоритмом повышения резкости?
И если действительно эффективность считывания повышается, то почему другие эту фичу не внедряют, код же открыт?

Насчёт погуглить не знаю.

У меня Specter и Sparrow на одном ноутбуке установлены и я могу сравнивать. Только вчера это проделывал.  

Сканер Sparrow задаёт рамку считывания размером примерно 4 х 4 см . У Specter такой рамки нет и он проэкцирует на свой экран увеличенное  (раза в два-три) изображение QR кода, поставляемого Passport 2. (поэтому я предположил существование програмной линзы)


Как результат, гораздо легче считать этот код (динамический)  в Specter, чем в Sparrow.

Но интерфейс у Specter ужасно медленный (в сравнении со  Sparrow). Переключение от одной вкладки к другой заставляет себя ждать, хотя ноутбук у меня достаточно шустрый.