Почему мультиподпись 2 из 2, хуже одной.

[satscraper]

   Кстати, в качестве пароля для сида вы можете использовать и другую похожую информацию:

 Хотя смысл такой схем лично для меня спорен. Как и шифровать сид другим сидом. Не особо понятно для какой ситуации это может быть хорошим решением.

 
Извиняюсь, но вы своим коментарием  совсем человека запутали.

Сид ничем не шифруется. Парольная фраза это не пароль, используемый для шифрования  сида,

Можно рассматривать и сам СИД и расширение  (т.е. парольную фразу) к нему как два  из четырёх аргументов криптографической  PBKDF2 функции, используемой иерархическими кошельками для генерации ключей.

Вопрос к старожилам темы: может имеет смысл создать отдельный топик по мультисигам? Лично я вижу интерес у народа, плюс там можно всё важную инфу вынести в ссылочный массив в начало темы, чтобы не шерстить весь топик.

Такая отдельная тема уже имеется

https://bitcointalk.org/index.php?topic=5468983

[1714229977]

1714229977

[1714229977]

1714229977

[1714229977]

1714229977

[igor72]

Тут, я вижу, неплохо было бы сначала договориться о терминах, а то не каждый новичок разберется, что на самом деле имеется в виду. В BIP39 есть такие выражения:
1. mnemonic, mnemonic sentence. По-русски мнемоника, мнемоническая фраза, чаще говорят сид-фраза или просто сид (но последнее только когда контекст позволяет, потому что можно спутать с сидом из 3 пункта).
2. passphrase. Наиболее точный перевод - парольная фраза. Иногда говорят "кодовая фраза". Я (и не только) предпочитаю в данном случае кальку "пассфраза" - чтобы не было путаницы с паролем в кошельке, который к этому не имеет никакого отношения.
3. seed, binary seed - сид, бинарный сид - большое 512-битное число, результат хеширования сид-фразы и пассфразы.

Хотя смысл такой схем лично для меня спорен. Как и шифровать сид другим сидом. Не особо понятно для какой ситуации это может быть хорошим решением.

Если говорить об использовании BIP39-слов в качестве пассфразы, то есть по крайней мере один кошелек (Jade), где эта фича предлагается как опция, и, так как при наборе этих слов на устройстве автоматически предлагаются возможные варианты, набрать, например, 6 слов оказывается быстрее, чем случайные 12 символов.
 

Вопрос к старожилам темы: может имеет смысл создать отдельный топик по мультисигам? Лично я вижу интерес у народа, плюс там можно всё важную инфу вынести в ссылочный массив в начало темы, чтобы не шерстить весь топик.

Можно и создать, если видите интерес. Я особого интереса пока не замечаю.

А про вторую сид-фразу я упомянул для того, чтобы провести аналогию с мультиподписью 2-2. Злоумышленнику в обоих случаях нужно будет знание двух сид фраз, так что безопасность средств будет на практически идентичном уровне. "Практически", так как в случае с мультиподписью гораздо проще определить метод хранения, то есть злоумышленник может узнать, что должен искать/брутфорсить.

Ну нет, уровень и близко не идентичный. Если, к примеру, вероятность потери монет из-за уязвимости одноподписного кошелька равна, скажем, 0.1%, то при такой же степени дырявости разных устройств, используемых для 2-из-2 кошелька, будет уже 0.0001%, а для 3-из-3 - 0.0000001%.

Такая отдельная тема уже имеется

В свою самомодерируемую тему приглашаете? )

[witcher_sense]

Тут, я вижу, неплохо было бы сначала договориться о терминах, а то не каждый новичок разберется, что на самом деле имеется в виду. В BIP39 есть такие выражения:
1. mnemonic, mnemonic sentence. По-русски мнемоника, мнемоническая фраза, чаще говорят сид-фраза или просто сид (но последнее только когда контекст позволяет, потому что можно спутать с сидом из 3 пункта).

По-моему от этого определения давно пытаются отказаться, потому что набор из 12/24 слов совсем не предназначен для "запоминания". К тому же "mnemonic" используется в качестве префикса соли при генерации хэша (или как там его) из набора слов.

2. passphrase. Наиболее точный перевод - парольная фраза. Иногда говорят "кодовая фраза". Я (и не только) предпочитаю в данном случае кальку "пассфраза" - чтобы не было путаницы с паролем в кошельке, который к этому не имеет никакого отношения.

Менеджеры паролей предлагают генерацию пассфраз вместо привычных паролей, в их контексте это просто фраза из рандомных слов, разделенных пробелами. Пассфразу можно использовать в качестве пароля и наоборот.

3. seed, binary seed - сид, бинарный сид - большое 512-битное число, результат хеширования сид-фразы и пассфразы.

Это прямо уже глубоко технические термины, которые будут непонятны новичку.

Ну нет, уровень и близко не идентичный. Если, к примеру, вероятность потери монет из-за уязвимости одноподписного кошелька равна, скажем, 0.1%, то при такой же степени дырявости разных устройств, используемых для 2-из-2 кошелька, будет уже 0.0001%, а для 3-из-3 - 0.0000001%.

В удаленный взлом аппаратников я все еще не верю, вероятность такого события стремится к нулю.

[satscraper]

В свою самомодерируемую тему приглашаете? )

Да, приглашаю в частности и вас с инструкцией о создании мультисиг кошелька, используя Электрум. (Мне самому неохота уже Электрумом заниматься, так как пройденный этап уже)

В самомодерируемых темах не вижу ничего плохого, так как они позволяют избавиться от бесмысленного хлама.

Таких захламленных тем полно на форуме (не буду указывать).  

Но если вам нравится спам и тупое переливание из пустого в порожнее, создайте свою. Будем спамить.  

[igor72]

Да, приглашаю в частности и вас с инструкцией о создании мультисиг кошелька, используя Электрум. (Мне самому неохота уже Электрумом заниматься, так как пройденный этап уже)

Спасибо за приглашение, но такие темы уже есть, не вижу смысла повторяться. Правда, уже немного староваты, тем не менее с тех пор практически ничего не изменилось.
Тема на русском: https://bitcointalk.org/index.php?topic=3308541.0, тема на английском: https://bitcointalk.org/index.php?topic=5039220.0. В последней не видно картинок, но они на месте (чтобы их посмотреть, следует открыть печатную версию страницы и там переходить по ссылкам). До кучи еще ссылка на неофициальную доку по электруму: https://bitcoinelectrum.com/creating-a-multisig-wallet/.

В самомодерируемых темах не вижу ничего плохого, так как они позволяют избавиться от бесмысленного хлама.

Таких захламленных тем полно на форуме (не буду указывать). 

Но если вам нравится спам и тупое переливание из пустого в порожнее, создайте свою. Будем спамить. 

Да мне почти безразлично, привык уже). В принципе я за свободную беседу и не против офтопика, всё равно ссылки на ценные посты лучше сразу в закладки помещать, иначе потом полдня искать будешь. Иногда полезные сообщения удаляют хозяева таких самомодерируемых веток (это не намёк, о вас я такого сказать не могу), поэтому приятнее писать в темах без лишнего цензора.

В удаленный взлом аппаратников я все еще не верю, вероятность такого события стремится к нулю.

Я как бы тоже не очень верю, но когда речь о life changing money, то хочется быть уверенным на 146%.

[satscraper]

Да, приглашаю в частности и вас с инструкцией о создании мультисиг кошелька, используя Электрум. (Мне самому неохота уже Электрумом заниматься, так как пройденный этап уже)

Спасибо за приглашение, но такие темы уже есть, не вижу смысла повторяться. Правда, уже немного староваты, тем не менее с тех пор практически ничего не изменилось.
Тема на русском: https://bitcointalk.org/index.php?topic=3308541.0, тема на английском: https://bitcointalk.org/index.php?topic=5039220.0. В последней не видно картинок, но они на месте (чтобы их посмотреть, следует открыть печатную версию страницы и там переходить по ссылкам). До кучи еще ссылка на неофициальную доку по электруму: https://bitcoinelectrum.com/creating-a-multisig-wallet/.

Не видел эту https://bitcointalk.org/index.php?topic=3308541.0 тему.

Она 2018 года. За это время  много воды утекло: и Электрум обновился, и появились новые аппаратники, и у вас наверное опыта прибавилось и есть о чём рассказать, да и тема заброшенной оказалась.

Поэтому думаю было бы полезно для всех обобщить всё новое и добавить обновлённую инструкцию в этой теме https://bitcointalk.org/index.php?topic=5468983 , которая станет общей для всех вариантов мультиподписных кошельков.

Но если  не тянет на это , тогда да, понимаю, самому иногда бывает внеохотку что-то делать.

[Julien_Olynpic]

Извиняюсь, но вы своим коментарием  совсем человека запутали.

Сид ничем не шифруется. Парольная фраза это не пароль, используемый для шифрования  сида,

Можно рассматривать и сам СИД и расширение  (т.е. парольную фразу) к нему как два  из четырёх аргументов криптографической  PBKDF2 функции, используемой иерархическими кошельками для генерации ключей.

Подожди, почему и где сид не шифруется?  И почему парольная фраза - это не пароль, используемый для шифрования  сида? Насколько я понимаю, парольная фраза - это passfrase, оно же пароль. Например, если зайти на популярный сервис iancoleman.io то там есть графа, называемая пассфразой, в которую ты вставляешь свои пользовательские символы и они шифруют мнемонику. Это и есть не что иное, как пароль.
Ниже привожу скрин, где в графе passfrase стоит пароль абракадабра.
сид случайный, пустой
***

[igor72]

Подожди, почему и где сид не шифруется?

Потому что сид не шифруется, он хешируется. И хешируется вместе с пассфразой (строго говоря там hmac-функция, где они переплетаются в хешировании). Шифруется - это когда что-то кодируется с возможностью обратного раскодирования, расшифровки. А тут такое невозможно.

И почему парольная фраза - это не пароль, используемый для шифрования  сида? Насколько я понимаю, парольная фраза - это passfrase, оно же пароль.

Пароль - это password, а здесь passphrase ). Вот паролем (чаще хешем пароля) да, обычно что-то шифруется - файл кошелька, например (или его часть).

[satscraper]

Подожди, почему и где сид не шифруется?

Потому что сид не шифруется, он хешируется. И хешируется вместе с пассфразой (строго говоря там hmac-функция, где они переплетаются в хешировании). Шифруется - это когда что-то кодируется с возможностью обратного раскодирования, расшифровки. А тут такое невозможно.

Для нетехнарей можно привести следующую аналогию.

СИД - это кусочек мяса.

Пассфраза это кусочек чеснока.

Хеширование это процесс превращения этих двух кусочков в фарш (хеш) на выходе мясорубки (хеш функции). Фарш  зависит от обоих компонентов - кусочка мяса и кусочка чеснока.

[igor72]

Для нетехнарей можно привести следующую аналогию.

СИД - это кусочек мяса.

Пассфраза это кусочек чеснока.

Хеширование это процесс превращения этих двух кусочков в фарш (хеш) на выходе мясорубки (хеш функции). Фарш  зависит от обоих компонентов - кусочка мяса и кусочка чеснока.

Да, можно и так объяснить. Только я бы в этой аналогии предпочел бы: сид - кусок свинины, пассфраза - кусок говядины. То есть можно приготовить чисто свиной фарш (без пассфразы), можно чисто говяжий (слабый сид из, скажем 12 слов "mom" + сильная пассфраза), а можно что-то среднее.

[witcher_sense]

Подожди, почему и где сид не шифруется?  И почему парольная фраза - это не пароль, используемый для шифрования  сида? Насколько я понимаю, парольная фраза - это passfrase, оно же пароль. Например, если зайти на популярный сервис iancoleman.io то там есть графа, называемая пассфразой, в которую ты вставляешь свои пользовательские символы и они шифруют мнемонику. Это и есть не что иное, как пароль.
Ниже привожу скрин, где в графе passfrase стоит пароль абракадабра.
сид случайный, пустой
***

Кстати, там 3-е издание Mastering Bitcoin вышло https://github.com/bitcoinbook/bitcoinbook и в ней понятие "mnemonic phrase" заменено на словосочетание "recovery code". Так вот, весь процесс генерации seed из recovery code там описан достаточно подробно: https://github.com/bitcoinbook/bitcoinbook/blob/develop/ch05_wallets.adoc#from-recovery-code-to-seed Если вкраце, то есть специальная функция, которая берет на вход два параметра и выдает детерминистское 512 битное число. То есть одни и те же параметры будут всегда производить тот же результат. Первый параметр это собственно ваш привычный набор из 12-24 слов, а второй по-умолчанию всегда имеет значение "mnemonic" (просто одно слово). Парольная фраза (passphrase) добавляется к этому слову и соответственно приводит к другому набору в финальном 512 битном числе.

function(recovery_code, "mnemonic") -> result X
function(recovery_code, "mnemoic" + passphrase) -> result Y

Добавление в данном случае идет методом конкатенации, то есть если у вас пассфраза "vasya pupkin", то второй аргумент в функции будет "mnemonicvasya pupkin". Вроде так.

[satscraper]

там 3-е издание Mastering Bitcoin вышло

[ которая берет на вход два параметра и выдает детерминистское 512 битное число. То есть одни и те же параметры будут всегда производить тот же результат. Первый параметр это собственно ваш привычный набор из 12-24 слов, а второй по-умолчанию всегда имеет значение "mnemonic" (просто одно слово). Парольная фраза (passphrase) добавляется к этому слову и соответственно приводит к другому набору в финальном 512 битном числе.

Третье издание не смотрел, но

Там ещё три неизменяемых параметра, а именно, индентификатор используемой функции = HMAC, число итераций хеширования = 2048 (т.е. в аналогии с мясорубкой - число, показывающее сколька раз мясорубка пропускает через себя фарш, и длина (в байтах) ключа на выходе = 64).

Иными словами у функции 5 параметров, два из которых изменяемые.


А вообще такие подробности обычному пользователю не нужны.

Все умеют пользоваться браузерами, но мало кто знает, что такое к примеру DNS  кэш.

Так и здесь. Обычному пользователю нужно просто уметь безошибочно обращаться с  кошельками. Если кто-то из них пытается проникнуть в тему  глубже, то тогда конечно разъяснять.

[witcher_sense]

А вообще такие подробности обычному пользователю не нужны.

Все умеют пользоваться браузерами, но мало кто знает, что такое к примеру DNS  кэш.

Так и здесь. Обычному пользователю нужно просто уметь безошибочно обращаться с  кошельками. Если кто-то из них пытается проникнуть в тему  глубже, то тогда конечно разъяснять.

Вот про неизменяемые параметры информация действительно слишком техническая и лишняя (ввиду невозможности пользователя повлиять на эти параметры при создании кошелька), а все остальное пригодится для осознанного создания своего личного сетапа, просто для расширения кругозора, и чтобы поддержать разговор, если случайно забредете на тусовку к биткоин гикам. Я вот читал "Mastering Bitcoin" как литературное произведение и не капли не пожалел о потраченном времени, хотя и не понял всего при первом прочтении. Возможно, что и Julien_Olynpic эта информация пригодится, потому что он проявил интерес к данной теме и даже решил помочь новичку.

[igor72]

Вот про неизменяемые параметры информация действительно слишком техническая и лишняя (ввиду невозможности пользователя повлиять на эти параметры при создании кошелька), а все остальное пригодится для осознанного создания своего личного сетапа, просто для расширения кругозора, и чтобы поддержать разговор, если случайно забредете на тусовку к биткоин гикам.

Если говорить о мультиподписи, то здесь тоже полезно понимание, как всё устроено, из чего состоит redeem-скрипт, научиться восстанавливать доступ к своим средствам не в привычном софте, а, насколько возможно, вручную, имея только сиды, iancoleman(для получения ключей) и Bitcoin core. Это даёт уверенность в простоте и надежности такого кошелька.

Я вот читал "Mastering Bitcoin" как литературное произведение и не капли не пожалел о потраченном времени, хотя и не понял всего при первом прочтении.

Да, пишет хорошо, читается легко, надо будет перечитать в этом новом издании. Кстати, перешел по вашей ссылке и немного ниже увидел такое предложение:
"BIP32 allows seeds to be from 128 to 512 bits. BIP39 accepts from 128 to 256 bits of entropy; Electrum v2 accepts 132 bits of entropy; Aezeed accepts 128 bits of entropy; SLIP39 accepts either 128 or 256 bits."
Да, Электрум по умолчанию генерирует 12 слов по 11 бит = 132 бита энтропии, но в консоли он может генерировать и потом принимать сид до 94 слов из бип39-словаря (до 1034 бит энтропии).

[Julien_Olynpic]

Потому что сид не шифруется, он хешируется. И хешируется вместе с пассфразой (строго говоря там hmac-функция, где они переплетаются в хешировании). Шифруется - это когда что-то кодируется с возможностью обратного раскодирования, расшифровки. А тут такое невозможно.

Согласен, формально пассфраза не пароль. Точнее, не совсем пароль. А если ещё точнее, то это аналог пароля для случая асимметричных систем шифрования. Но в функциональном отношении пассфраза ничем от пароля не отличается.
     Что там, что тут это дополнительная информация, которая добавляется к основной, чтобы на выходе получить нераспознаваемую инфу. А то, что в симметричном шифровании пароль шифрует, а в асимметричном шифровании пассфраза хеширует, не такая большая разница. Это тоже птица, которая ходит как утка, крякает, как утка и выглядит как утка. А если по факту это какой-нибудь карликовый гусь, то это мало что меняет. И функция та же самая и название практически идентичное.

[igor72]

Согласен, формально пассфраза не пароль. Точнее, не совсем пароль. А если ещё точнее, то это аналог пароля для случая асимметричных систем шифрования. Но в функциональном отношении пассфраза ничем от пароля не отличается.
     Что там, что тут это дополнительная информация, которая добавляется к основной, чтобы на выходе получить нераспознаваемую инфу. А то, что в симметричном шифровании пароль шифрует, а в асимметричном шифровании пассфраза хеширует, не такая большая разница.

Нет здесь асимметричного шифрования, никакого шифрования тут нет, так как нет способа получить из результата исходник.

Само слово passphrase, по-моему, не очень удачное в данном случае, потому что это действительно практически синоним пароля. Пассфразу для сида часто в народе называют 25-м (или 13-м) словом - вот это определение точнее отражает смысл (то есть это не что-то, шифрующее секрет, а это и есть часть секрета). Но многие не понимают, что это слово может быть произвольным, а не из BIP39-словаря, и вообще может быть не словом, а абракадаброй из любых символов и любой разумной длины.

[The0ldl_lser]

...Продолжение тут https://bitcointalk.org/index.php?topic=5483995.msg63607104#msg63607104

[Julien_Olynpic]

Нет здесь асимметричного шифрования, никакого шифрования тут нет, так как нет способа получить из результата исходник.

Я тут, возможно, не совсем неправильно или ясно выразился. Напишу по-другому:  если вы изменяете сид с помощью пароля, а потом, при импорте изменённого сида в кошелёк (например, Мицелиум) вводите пароль, чтобы расшифровать сид для кошелька, то это ничто иное, как шифрование. Иными словами, если хеширование может быть частью шифрования, то это нечто иное как шифрование и есть.

Само слово passphrase, по-моему, не очень удачное в данном случае, потому что это действительно практически синоним пароля.

Оно вполне себе удачно в том смысле, что очень точно отражает его функцию. Пассфраза — это и есть пароль. То, что изменяет изначальную информацию и отделено от этой изначальной информации.

Но многие не понимают, что это слово может быть произвольным, а не из BIP39-словаря, и вообще может быть не словом, а абракадаброй из любых символов и любой разумной длины.

Ну вот я и пишу, что ты описываешь утку (пароль), но боишься назвать её уткой (паролем).

[igor72]

Я тут, возможно, не совсем неправильно или ясно выразился. Напишу по-другому:  если вы изменяете сид с помощью пароля, а потом, при импорте изменённого сида в кошелёк (например, Мицелиум) вводите пароль, чтобы расшифровать сид для кошелька, то это ничто иное, как шифрование.

Да, с этим согласен, в таком случае это и есть самый настоящий пароль. Но это не имеет отношения к BIP39-пассфразе - вы не можете ее применить к шифрованному сиду, чтобы получить нешифрованный.

Иными словами, если хеширование может быть частью шифрования, то это нечто иное как шифрование и есть.

Хеширование не может быть частью шифрования, так как это односторонняя функция по определению.

Я догадываюсь почему вам не удавалось решить проблему.  С версии 2.0, которая была зарелизена в 2015 году  Электрум отошёл от BIP 39

Он не отошёл, там никогда не было BIP39 (только импорт)

и  он в hmac добавляет ещё один параметр - Seed version"

Просто при генерации или импорте сида вычисляется hmac этого сида (но это не тот hmac внутри pbkdf2, о котором шла речь раньше, то есть на генерацию ключей он не влияет) и считается валидным только тот сид, значение hmac которого начинается с определенных битов. Эти биты определяют версию сида, заодно являются и контрольной суммой (в отличие от BIP39, где контрольная сумма находится в последнем слове).

[The0ldl_lser]

...Продолжение тут https://bitcointalk.org/index.php?topic=5483995.msg63607104#msg63607104