Почему мультиподпись 2 из 2, хуже одной.

[imhoneer]

Начнём с того где их применяют и для чего это нужно.

Мультиподпись применяют для криптокошельков, либо один человек, используя для повышенной безопасности, либо группа из нескольких человек, коллективно управляя доступом к средствам (обычно используется в DAO).

В процессе прочтения о мультиподписях столкнулся с мыслью, что подпись 1 из 2 ещё так себе ( по сравнению с простой одинарной), а вот подпись 2 из 2 вообще плохо.

Начнём с мультиподписи 1 из 2. Здесь, как правило человек должен использовать хотя бы одну подписи из двух, для доступа к своим средствам. Это сделано, на случай потери доступа к одной подписи или же утери одного из ключей.

При правильном хранении ключей подписей, особого риска не возникает. Так как при увеличении количества подписей, повышается вероятность, что какая-то подпись будет украдена.

Но вот совершенно кардинально меняется ситуация, при мультиподписи 2 из 2. Здесь для доступа к средствам, нужно применить именно все 2 подписи. По сути условия доступа равнозначны условию для одной подписи, но есть нюанс. Чем будет больше, подписей, тем выше вероятность, что какая-то из этих подписей потеряется, либо человек управляющий другой подписью сам по себе пропадет.

Для мультиподписи 2 из 2 это не так очевидно. Более того, описываются случаи, якобы повышающие безопасность хранения, вроде хакер украл одну вашу подпись, но ко второй он не доберется.

Однако, вероятность с хакером меньше, чем скажем Вы хранили хотя бы одну подпись на зашифрованном облачном диске, но ваш компьютер сгорел и пароль потерялся. И теперь при пропаже любой из этих подписей Вы вообще не сможете получить доступ к своим средствам, по сути вторая подпись становится бесполезной.

Если идея мультиподписи 2 из 2 Вам всё ещё не кажется плохой, то попробуйте сами промоделировать пропажу хотя бы одной подписи для случая 6 из 6 или 10 из 10. И Вы просто легко и воочию увидите, насколько это критично и рискованно так делать.

[igor72]

В процессе прочтения о мультиподписях столкнулся с мыслью, что подпись 1 из 2 ещё так себе ( по сравнению с простой одинарной), а вот подпись 2 из 2 вообще плохо.

А какой смысл в использовании схемы 1-из-2? Чем это лучше простого одноподписного p2(w)pkh? Не могу придумать ни одного практического применения, где это было бы оправдано, а вы?

Но вот совершенно кардинально меняется ситуация, при мультиподписи 2 из 2. Здесь для доступа к средствам, нужно применить именно все 2 подписи. По сути условия доступа равнозначны условию для одной подписи, но есть нюанс. Чем будет больше, подписей, тем выше вероятность, что какая-то из этих подписей потеряется, либо человек управляющий другой подписью сам по себе пропадет.

Замечу, что для создания транзакции в схеме 1-из-2 недостаточно будет одного приватника, нужен будет еще публичный ключ второго подписанта. Так что и там, и там нужно хранить два ключа ).

Для мультиподписи 2 из 2 это не так очевидно. Более того, описываются случаи, якобы повышающие безопасность хранения, вроде хакер украл одну вашу подпись, но ко второй он не доберется.

Однако, вероятность с хакером меньше, чем скажем Вы хранили хотя бы одну подпись на зашифрованном облачном диске, но ваш компьютер сгорел и пароль потерялся. И теперь при пропаже любой из этих подписей Вы вообще не сможете получить доступ к своим средствам, по сути вторая подпись становится бесполезной.

Зачем предполагать маловероятное? Что значит "потерялся"? Нужно сделать так, чтобы не потерялся ни в коем случае. Вы же сами написали: "При правильном хранении ключей подписей, особого риска не возникает." ).

Я согласен, что использовать схему 2-из-2 для двух человек несколько рискованно, лучше, если возможно, для этого выбрать 2-из-3.
А вот когда один человек для безопасности делает себе кошелек с двумя подписями, то лучше предпочесть вариант 2-из-2 - и хранить меньше, и транзакции дешевле. В этом случае, чтобы не потерять один из двух ключей,  следует хранить оба сида (ключа) вместе.

[andy_pelevin]

...
Зачем предполагать маловероятное? Что значит "потерялся"? Нужно сделать так, чтобы не потерялся ни в коем случае. Вы же сами написали: "При правильном хранении ключей подписей, особого риска не возникает." ).

Я согласен, что использовать схему 2-из-2 для двух человек несколько рискованно, лучше, если возможно, для этого выбрать 2-из-3.
А вот когда один человек для безопасности делает себе кошелек с двумя подписями, то лучше предпочесть вариант 2-из-2 - и хранить меньше, и транзакции дешевле. В этом случае, чтобы не потерять один из двух ключей,  следует хранить оба сида (ключа) вместе.

В любом варианте нужно исходить из того, что любое хранение всегда связано с риском потери.  Паранойя бывает полезной, но при умеренном дозировании...

Если у Вас нету тёти, то Вам её не потерять... мудрая мысль, кстати, так что решайте сами, иметь или не иметь...

[igor72]

В любом варианте нужно исходить из того, что любое хранение всегда связано с риском потери.

Не могу согласиться. Не любое хранение связано с риском потери, и уж точно не нужно из этого исходить ).

Паранойя бывает полезной, но при умеренном дозировании...

Доза зависит от степени неприемлемости потери, тут уже каждый сам решает...

[andy_pelevin]

В любом варианте нужно исходить из того, что любое хранение всегда связано с риском потери.

Не могу согласиться. Не любое хранение связано с риском потери, и уж точно не нужно из этого исходить ).

И всё же, вероятность потери исключить полностью невозможно. Да, можно снизить вероятность потери практически до нуля, но не исключить на 100%. Если исходить  из того, что потери возможны, то такой подход к вопросу может сильно уменьшить вероятность таких потерь...

[igor72]

И всё же, вероятность потери исключить полностью невозможно. Да, можно снизить вероятность потери практически до нуля, но не исключить на 100%.

При правильном хранении вероятность потери будет соизмерима с вероятностью случайного подбора приватника. Да, вы правы, она не нулевая, но настолько ничтожная, что ей можно пренебречь.

Если исходить  из того, что потери возможны, то такой подход к вопросу может сильно уменьшить вероятность таких потерь...

Подозреваю, что я не понимаю, что вы имеете в виду .

[andy_pelevin]

Если исходить  из того, что потери возможны, то такой подход к вопросу может сильно уменьшить вероятность таких потерь...

Подозреваю, что я не понимаю, что вы имеете в виду .

Всё просто,... У более осторожного человека значительно меньше шансов попасть в неприятности, чем у того, кто думает что он всё знает и ему точно ни чего не угрожает. Тут главное, не допустить ситуации, когда проблемы появляются в следствии излишней осторожности.

[igor72]

У более осторожного человека значительно меньше шансов попасть в неприятности, чем у того, кто думает что он всё знает и ему точно ни чего не угрожает. Тут главное, не допустить ситуации, когда проблемы появляются в следствии излишней осторожности.

Кажется, второе предложение противоречит первому ). Но я вас понял и согласен, что  излишнее усложнение защиты может привести к проблемам. Например, помню случай, когда человек для безопасности нарочно путал порядок слов сид-фразы в своих записях, а потом сам не мог вспомнить алгоритм перестановок. Усложнение должно быть оправданным и адекватным.

[imhoneer]

А вот когда один человек для безопасности делает себе кошелек с двумя подписями, то лучше предпочесть вариант 2-из-2 - и хранить меньше, и транзакции дешевле. В этом случае, чтобы не потерять один из двух ключей,  следует хранить оба сида (ключа) вместе.

Вот именно упор в статье я и хотел сделать на эту ситуацию, что при схеме 2 из 2, нужно хранить ключи вместе, что равносильно ситуации для одного ключа.

Однако, если мы разведем ключи по разным хранилищам, то риски потери доступа к деньгам повышаются, так как хранить один ключ более безопасней, чем хранить 2 ключа в разных местах.

[igor72]

А вот когда один человек для безопасности делает себе кошелек с двумя подписями, то лучше предпочесть вариант 2-из-2 - и хранить меньше, и транзакции дешевле. В этом случае, чтобы не потерять один из двух ключей,  следует хранить оба сида (ключа) вместе.

Вот именно упор в статье я и хотел сделать на эту ситуацию, что при схеме 2 из 2, нужно хранить ключи вместе, что равносильно ситуации для одного ключа.

Равносильно только в части хранения резервной копии ключа/сида. Но мультисиг (с одним пользователем) делается не ради хранения бэкапа (это дело простое - условно замуровал в стену, и никто не найдет), а ради уменьшения риска компрометации ключей при работе с кошельком. Я, например, сам использую мультисиг 2-из-2 (леджер+электрум). Это страхует меня от потенциальных уязвимостей/бэкдоров леджера (код прошивки закрыт, а доверять в этом деле никому не хочу). Знаю, используют еще мультисиг из двух электрумов: один на компе, второй на андроиде - такой кошелек хоть и горячий по сути, но по безопасности уже где-то не очень далеко от холодного, так как одновременно скомпрометировать два устройства на разных операционках на порядки сложнее, чем одно. И пользоваться им вполне удобно.

Однако, если мы разведем ключи по разным хранилищам, то риски потери доступа к деньгам повышаются, так как хранить один ключ более безопасней, чем хранить 2 ключа в разных местах.

Теоретически да, но если все продумать, то разницы нет. А если отнестись легкомысленно, то и один ключ потеряется.

[witcher_sense]

Вот именно упор в статье я и хотел сделать на эту ситуацию, что при схеме 2 из 2, нужно хранить ключи вместе, что равносильно ситуации для одного ключа.

Однако, если мы разведем ключи по разным хранилищам, то риски потери доступа к деньгам повышаются, так как хранить один ключ более безопасней, чем хранить 2 ключа в разных местах.

Если вам нужен непрерыный доступ к средствам, то ключи нужно хранить в одном месте. Но тогда вообще какой смысл в мультисиге в этом случае? Единственное, что вы делаете это усложняете доступ самому себе, а с точки зрения безопасности это всегда чревато. Другое дело, что мультсиг используется для долгосрочного хранения: вы редко переводите средства и соответственно реже вам нужен доступ к сохраненным ключам. В этом случае схема проста: вы едете в одно место и подписываете часть транзакции. Далее с частично подписанной транзакцией едете в другое место и завершаете подпись. Естественно, для каждодневного использования это не имеет смысла, но долгосрок может сработать. Другая проблема была уже названа: количество необходимых бэкапов возрастает как минимум в два раза, что повышает вероятность потери одного из них. Если хакер найдет два ключа - средства потеряны, если один (и у вас его нет) - он может ваш шантажировать и требовать часть средств.

[igor72]

Если вам нужен непрерыный доступ к средствам, то ключи нужно хранить в одном месте. Но тогда вообще какой смысл в мультисиге в этом случае? Единственное, что вы делаете это усложняете доступ самому себе, а с точки зрения безопасности это всегда чревато.

Это вы имеете в виду кошелек со всеми подписантами на одном устройстве? Тогда, конечно, смысла нет никакого.

Другое дело, что мультсиг используется для долгосрочного хранения: вы редко переводите средства и соответственно реже вам нужен доступ к сохраненным ключам. В этом случае схема проста: вы едете в одно место и подписываете часть транзакции. Далее с частично подписанной транзакцией едете в другое место и завершаете подпись. Естественно, для каждодневного использования это не имеет смысла, но долгосрок может сработать.

Можно, конечно, куда-то и ездить, а можно отдать вторую подпись другу/родственнику. Но почему вы не упоминаете вариант, о котором я сообщением выше говорил (два устройства в одной локации)? Он вполне удобен для регулярных платежей (для холда я бы как раз предпочел холодное хранение).

Другая проблема была уже названа: количество необходимых бэкапов возрастает как минимум в два раза, что повышает вероятность потери одного из них. Если хакер найдет два ключа - средства потеряны, если один (и у вас его нет) - он может ваш шантажировать и требовать часть средств.

Тоже выше говорил, нет никакой проблемы в хранении двух бэкапов. Вернее, она не больше, чем с хранением одного. При правильном подходе.

[witcher_sense]

Можно, конечно, куда-то и ездить, а можно отдать вторую подпись другу/родственнику. Но почему вы не упоминаете вариант, о котором я сообщением выше говорил (два устройства в одной локации)? Он вполне удобен для регулярных платежей (для холда я бы как раз предпочел холодное хранение).

Можно отдать друзьям и родственникам, но для этого нужно им полностью доверять, так как без них вы потратить средства не сможете. В некоторых случаях шантажировать будут они сами, в  других случаях есть вероятность, что они украдут ваш второй бэкап. Этот вариант подходит далеко не всем. Если уж и хранить у родственников, то можно выбрать более безопасный вариант: спрятать бэкап у них, но им об этом не говорить. Так мы решим одну проблему, не создавая себе другую. Вы будете навещать родственников и друзей чаще, это плюс. Но ругаться с ними в этом случае будет опасно, так могут перекрыть доступ к бэкапам, это минус.

Тоже выше говорил, нет никакой проблемы в хранении двух бэкапов. Вернее, она не больше, чем с хранением одного. При правильном подходе.

Это если делать единственный бэкап для каждого ключа. Но это тоже опасно. А если предположить, что для каждого ключ иу нас 2-3 бэкапа в разных локациях, то общее количество уже довольно внушительное.

[igor72]

Можно отдать друзьям и родственникам, но для этого нужно им полностью доверять, так как без них вы потратить средства не сможете. В некоторых случаях шантажировать будут они сами, в  других случаях есть вероятность, что они украдут ваш второй бэкап. Этот вариант подходит далеко не всем. Если уж и хранить у родственников, то можно выбрать более безопасный вариант: спрятать бэкап у них, но им об этом не говорить. Так мы решим одну проблему, не создавая себе другую. Вы будете навещать родственников и друзей чаще, это плюс. Но ругаться с ними в этом случае будет опасно, так могут перекрыть доступ к бэкапам, это минус.

Очевидно, что мы с вами на разные темы рассуждаем ). Вы говорите про хранение бэкапа, а я про подпись транзакций. Бэкапы хранить у кого-то ни к чему, а сделать вторым подписантом можно любого, кто согласится постоянно оказывать вам эту услугу. Доверия тут никакого не нужно, нужна только стабильная связь с человеком. Этот вариант интересен, если у вас с собой часто только одно устройство (телефон).

Тоже выше говорил, нет никакой проблемы в хранении двух бэкапов. Вернее, она не больше, чем с хранением одного. При правильном подходе.

Это если делать единственный бэкап для каждого ключа. Но это тоже опасно. А если предположить, что для каждого ключ иу нас 2-3 бэкапа в разных локациях, то общее количество уже довольно внушительное.

Бэкапов должно быть несколько. У меня, например, один дома, а второй в сети, и никаких рисков их утраты я не вижу (кроме применения ко мне физического насилия).

[satscraper]

а второй в сети, и никаких рисков их утраты я не вижу (кроме применения ко мне физического насилия).

в сети биткойна?

подпись 1 из 2 ещё так себе ( по сравнению с простой одинарной), а вот подпись 2 из 2 вообще плохо.

Они содаются преследуя свои собственные цели. Для простого обывателя является достаточной 1-1.

[igor72]

в сети биткойна?

У меня да, но и других вариантов хватает.

[satscraper]

в сети биткойна?

У меня да, но и других вариантов хватает.

c PGP шифровкой?

[igor72]

c PGP шифровкой?

Шифровал AES256. На форуме тему когда-то создавал, можете посмотреть, как я делал (после справедливой критики сделал немного проще, чем описывал, но суть та же).

[witcher_sense]

Очевидно, что мы с вами на разные темы рассуждаем ). Вы говорите про хранение бэкапа, а я про подпись транзакций. Бэкапы хранить у кого-то ни к чему, а сделать вторым подписантом можно любого, кто согласится постоянно оказывать вам эту услугу. Доверия тут никакого не нужно, нужна только стабильная связь с человеком. Этот вариант интересен, если у вас с собой часто только одно устройство (телефон).

Что-то я не совсем понимаю чего мы добьемся в плане безопасности, если  будем хранить бэкапы у себя, а подписывать транзакции у других. Начнем хотя бы со второго подписанта для которого "не требуется доверие". Если у него нет бэкапов ключей, то подписывать он сможет максимум с уже установленного кошелька. Если кошелек нечаянно будет удален, то наша схема рушится, и нужно опять как-то передавать ключи или устанавливать кошелек, что в любом случае предполагает трансфер ключей. Стоит ли говорить, что частый трансфер может привести к потере ключей? Второй момент, что все ключи хранятся у одного человека, что означает, он не только может в любой момент сам все подписать, но и то, что хакерам нужно атаковать только одного человека, чтобы украсть ключи. Смысл же мультиподписи в том, что ключи никогда не находятся рядом, это как бы распределенная защита. Децентрализованное хранение по сути. Если "хранитель" один, то и мультиподпись не имеет смысла, разве что осложнить доступ самому себе.

[igor72]

Что-то я не совсем понимаю чего мы добьемся в плане безопасности, если  будем хранить бэкапы у себя, а подписывать транзакции у других. Начнем хотя бы со второго подписанта для которого "не требуется доверие". Если у него нет бэкапов ключей, то подписывать он сможет максимум с уже установленного кошелька. Если кошелек нечаянно будет удален, то наша схема рушится, и нужно опять как-то передавать ключи или устанавливать кошелек, что в любом случае предполагает трансфер ключей. Стоит ли говорить, что частый трансфер может привести к потере ключей?

Во-первых, можно дать второму бэкап его ключа. Во-вторых, если его "кошелек нечаянно будет удален", то это форс-мажор, такое не должно случаться часто.
Пример, когда такая схема может применяться. Допустим, я хорошо в этом всем разбираюсь, а моя сестра - нет, она хочет иметь биткоин-кошелек и иногда отправлять битки. Но всегда боится, что накосячит, что попадется на фишинг итп. В этом случае ей делается мультиподписной кошелек, где я буду вторым подписантом, то есть буду проверять ее транзакции, и если все нормально - подписывать и отправлять. Для нее тут почти одни плюсы - она остается единственным владельцем своих монет, при этом случайно потерять их не может.

Второй момент, что все ключи хранятся у одного человека, что означает, он не только может в любой момент сам все подписать, но и то, что хакерам нужно атаковать только одного человека, чтобы украсть ключи. Смысл же мультиподписи в том, что ключи никогда не находятся рядом, это как бы распределенная защита. Децентрализованное хранение по сути. Если "хранитель" один, то и мультиподпись не имеет смысла, разве что осложнить доступ самому себе.

Не согласен. Человек один, но устройства разные. Хакер должен успешно атаковать оба устройства, а если они на разных операционках и, тем более, в разных сетях, то вероятность этого стремится к нулю.