brainwallet Высокий уровень безопасности

Я созерцая на лучший подход для brainwallets, чем просто "Секретный ключ = SHA256 (ключевая фраза)",

Сейчас я намерен использовать что-то вроде этого:

Секретный ключ = sHA256¹⁰⁰(Р) XOR SHA-3¹⁰⁰(п)

где Hash^N(Р) = Хеш (Hash (... п раз ... (Хэш (Хэш (р) + р) ... + р) + р)

Мы имеем дело с 256-битными ключами здесь, так что, я имею в виду SHA-3 Keccak-256.

Мои рассуждения опережать этот подход:

1. Я знаю PBKDF2, Bcrypt и Scrypt сильнее с точки зрения грубой силы сопротивления (в зависимости от коэффициента работы + Scrypt также памяти тяжелые). Проблема: Я хочу что-то, что также позволяет людям создавать brainwallets на стороне клиента с смартфонами. Ожидание несколько секунд приемлемо, 30 сек нет. Выделенный хакер обычно будет иметь тысячи, или, вернее, миллионы раз больше энергии, чем хэширования мобильного устройства Среднее Джо. Поэтому я не могу применять слишком много требований к производительности. Мой подход должен быть разумным компромиссом. Кстати, мой метод очень PBKDF2-так (с фиксированным счетчиком цикла 100).

2. Я знаю, что это, как правило, лучше использовать подход HMAC вместо регулярного хэширования, или что-то другое, что принимает не только ключевую фразу, но и какой-то соли или ключа. Проблема: люди должны помнить не только ключевую фразу, но и ключ, который, вероятно, чрезмерно усложняет вещи. Выведение соли или ключа из ключевой фразы, кажется, разумный компромисс, который также является более или менее то, что я делаю в моем подходе. Тем не менее, для людей, которые могут управлять вспоминать как ключевую фразу и ключ (или вспомнить ключевую фразу и хранение ключа peusdorandom в KeePass или любой другой), я думаю Hash^N(К, р) = Hash (к + Hash (к + ... Hash (к + Hash (к + р) + р) ... + р) + р) была бы жизнеспособной альтернативой.

3. Способ Я укладки или вложенности функции хеширования, что H (H (Н (р) + р) + р) вместо H (H (Н (р))), является обеспечение максимальной энтропии обслуживания. Насколько я знаю, нет никаких известных доказательств того, что уменьшение вклада в 256-битовых значения, не значительно уменьшить выходную энтропию, или что этот эффект может даже складывает в нескольких этапах хэширования. Повторно включая входной р на каждый шаг позволяет избежать этого.

4. Xorring на SHA256 и SHA-3 выводит эффективно дает мне Больше чем самое лучшее из обоих миров. Если один из этих алгоритмов хеширования когда-либо становится ослабленными (т.е. становится уязвимой к лучшей, чем грубая силе colission атака), такая уязвимость не может быть злоупотреблений в моем подходе, как результат все еще омлета с другим алгоритмом. И даже если и то и другое Algos компрометация, это, вероятно, до сих пор не может злоупотреблять, поскольку эти атаки также требуют другого входа, так что атаки, как правило, являются взаимоисключающими.

5. Очевидно, что это плохая идея (менее безопасно и просто глупо) придумывать свои собственные решения криптографических вместо того, чтобы использовать существующие, проверенные, хорошо известные алгоритмы. Поэтому я, опираясь на проверенные принципы в максимально возможной степени.

Есть предположения?

2 января 2014, 8:43:20 AM	# 1
Джейс Сообщения: 287 Цитировать по имени цитировать ответ	Re: Высокий brainwallet безопасности Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Я созерцая на лучший подход для brainwallets, чем просто "Секретный ключ = SHA256 (ключевая фраза)", Сейчас я намерен использовать что-то вроде этого: Секретный ключ = sHA256¹⁰⁰(Р) XOR SHA-3¹⁰⁰(п) где Hash^N(Р) = Хеш (Hash (... п раз ... (Хэш (Хэш (р) + р) ... + р) + р) Мы имеем дело с 256-битными ключами здесь, так что, я имею в виду SHA-3 Keccak-256. Мои рассуждения опережать этот подход: 1. Я знаю PBKDF2, Bcrypt и Scrypt сильнее с точки зрения грубой силы сопротивления (в зависимости от коэффициента работы + Scrypt также памяти тяжелые). Проблема: Я хочу что-то, что также позволяет людям создавать brainwallets на стороне клиента с смартфонами. Ожидание несколько секунд приемлемо, 30 сек нет. Выделенный хакер обычно будет иметь тысячи, или, вернее, миллионы раз больше энергии, чем хэширования мобильного устройства Среднее Джо. Поэтому я не могу применять слишком много требований к производительности. Мой подход должен быть разумным компромиссом. Кстати, мой метод очень PBKDF2-так (с фиксированным счетчиком цикла 100). 2. Я знаю, что это, как правило, лучше использовать подход HMAC вместо регулярного хэширования, или что-то другое, что принимает не только ключевую фразу, но и какой-то соли или ключа. Проблема: люди должны помнить не только ключевую фразу, но и ключ, который, вероятно, чрезмерно усложняет вещи. Выведение соли или ключа из ключевой фразы, кажется, разумный компромисс, который также является более или менее то, что я делаю в моем подходе. Тем не менее, для людей, которые могут управлять вспоминать как ключевую фразу и ключ (или вспомнить ключевую фразу и хранение ключа peusdorandom в KeePass или любой другой), я думаю Hash^N(К, р) = Hash (к + Hash (к + ... Hash (к + Hash (к + р) + р) ... + р) + р) была бы жизнеспособной альтернативой. 3. Способ Я укладки или вложенности функции хеширования, что H (H (Н (р) + р) + р) вместо H (H (Н (р))), является обеспечение максимальной энтропии обслуживания. Насколько я знаю, нет никаких известных доказательств того, что уменьшение вклада в 256-битовых значения, не значительно уменьшить выходную энтропию, или что этот эффект может даже складывает в нескольких этапах хэширования. Повторно включая входной р на каждый шаг позволяет избежать этого. 4. Xorring на SHA256 и SHA-3 выводит эффективно дает мне Больше чем самое лучшее из обоих миров. Если один из этих алгоритмов хеширования когда-либо становится ослабленными (т.е. становится уязвимой к лучшей, чем грубая силе colission атака), такая уязвимость не может быть злоупотреблений в моем подходе, как результат все еще омлета с другим алгоритмом. И даже если и то и другое Algos компрометация, это, вероятно, до сих пор не может злоупотреблять, поскольку эти атаки также требуют другого входа, так что атаки, как правило, являются взаимоисключающими. 5. Очевидно, что это плохая идея (менее безопасно и просто глупо) придумывать свои собственные решения криптографических вместо того, чтобы использовать существующие, проверенные, хорошо известные алгоритмы. Поэтому я, опираясь на проверенные принципы в максимально возможной степени. Есть предположения?

2 января 2014, 9:20:44 AM	# 2
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: Высокий brainwallet безопасности Получил 1806 Биткоинов Реальная история. Цитата: Джейс на 02 января 2014 года, 8:43:20 AM Мобильное устройство Среднего Джо. Поэтому я не могу применять слишком много требований к производительности. То, что вы говорите, есть то, что вы не можете себе позволить сделать что-то полезное усиление. Никакое количество склейки хэш-функций не может исправить. Никто не может атаковать любого рода "brainwallet" основанный на неравномерностью хэш-функции. Ваша сложная схема не будет иметь осмысленно безопасности за что из SHA2 / PBDKF2 с 200 итераций и без соли: не так много на всех. Относительно умножение с генератором ваши 200 хэша итераций будут удачливы добавить доли процента сложности. Если вы хотите предложение несколько романа криптографии Адама Бэка для криптографический слепого выпрямления, пожалуй, самые интересный. Мобильное устройство может перенесет работу к быстрой внешней машине в информационно-теоретически безопасном способе (хотя выпрямление себя я думаю, что имеет только RSA-предположение ограниченную безопасности). В конечном счете будучи не в состоянии иметь соль дает любому атакующей огромное преимущество перед вычислением, если система широко используются. Поэтому я думаю, что широко развертывание таких систем является безответственным. котировка является обеспечение максимальной энтропии обслуживания Ключевой вывод без энтропии отходов активно исследуется область академической криптографии: http://cryptolen13.wikispot.org/Yevgeniy_Dodis:_key_derivation_without_entropy_waste но в вашем случае хэш-функция имеет сотни битого пространства состояний по сравнению с вашими десятками битых ключевой энтропии, это не вероятно, серьезная проблема для brainwallets. котировка 5. Очевидно, что это плохая идея (менее безопасно и просто глупо) придумывать свои собственные решения криптографических вместо того, чтобы использовать существующие, проверенные, хорошо известные алгоритмы. Поэтому я, опираясь на проверенные принципы в максимально возможной степени. brainwallets Высокий уровень безопасности? Горькая-сладкая и ясно поняла особенность в моем непредвзятом мнении, один из которых явно отсутствует в текущих клиентах. Изготовленный с использованием случайного порядка и охранялись военной разведкой они дают даже шансы против оксюморона нападавших, по крайней мере, пока они не нашли пропавшие без вести. brainwallets высокой безопасности является единственным выбором мудрого дурака.

Заголовок