Двойной хэширования: меньше энтропии? | Биткоин форум

		Биткоин Форум > Разработка и Техническое Обсуждение
Двойной хэширования: меньше энтропии?

11 июня 2012, 10:31:25 AM	# 1
Казимир Сообщения: 1148 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Если я правильно понял, то в большинстве случаев, когда происходит хеширования, протокол Bitcoin применяется двойной хеширования: sha256 (sha256 (вход)), а не sha26 (вход). Почему это, разве это не на самом деле уменьшить энтропия? Насколько я знаю, мы не можем гарантировать, что не существуют много различных входов х и у, которые имеют разные хэш, но одни и те же двойные хэш. То есть, sha256 не является отображением один-к-одному на 256 битном пространстве, верно?

Как заработать Биткоины?
Без вложений. Не майнинг.

11 июня 2012, 10:48:37 AM	# 2
kokjo Сообщения: 1050 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Получил 1806 Биткоинов Реальная история. это правильно, но дизайнерское решение о двойном SHA256, это я думаю, чтобы замедлить добычу вниз. и с помощью двойного SHA256 все вокруг только для последовательности. это не будет проблемой, до тех пор, пока вы не обыскать все 256 разрядное пространство для столкновения (которые вы не хотите делать). ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: им не криптограф.

11 июня 2012, 11:18:37 AM	# 3
kokjo Сообщения: 1050 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: znort987 от 11 июня 2012 года, 11:12:00 AM Цитата: Казимир от 11 июня 2012 года, 10:31:25 AM Если я правильно понял, то в большинстве случаев, когда происходит хеширования, протокол Bitcoin применяется двойной хеширования: sha256 (sha256 (вход)), а не sha26 (вход). Почему это, разве это не на самом деле уменьшить энтропия? Насколько я знаю, мы не можем гарантировать, что не существуют много различных входов х и у, которые имеют разные хэш, но одни и те же двойные хэш. То есть, sha256 не является отображением один-к-одному на 256 битном пространстве, верно? Во-первых, мы на самом деле знаем * * что ша-256 * не * 12:59 отображение на 256 битном пространстве? Если оказывается, то вы не получили ничего. Я не знаю ответа, я не профессиональный криптограф, но глядя на код SHA-256, не кажется, что будет очевидным отбрасывание битов в Сам шаг преобразования, но я слишком ленив, чтобы проанализировать его в глубину. Очень хотелось бы для кого-то более знающий, чем я комментировать. Во-вторых, если SHA-256 действительно как-то уронить информацию для 256-битного ввода в ИМО, если есть снижение энтропии, то, скорее всего, будет незначительным по сравнению с дополнительной работы, которую необходимо распутать сложность добавляют во втором туре. И, наконец, то, что кто-то сказал: вероятная цель команды, разработавшей Bitcoin было замедлить добычу вниз, не добавить слой безопасности там. Можно утверждать, что они не потому, что они не предвидели длину, при которой люди бы перейти на горные монеты (сначала графические процессоры, то ПВМ, то выделенный СИС). Если бы они поняли, что они добавили Scrypt подобного раунда на этапе хэша. Satoshi призвал человек к месторождению с чипами, он предвидел это.

11 июня 2012, 11:25:00 AM	# 4
Казимир Сообщения: 1148 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Конечно, я понимаю, что двойное хеширование было предназначено, чтобы замедлить добычу полезных ископаемых, а также неприятный перебор. Но, возможно, sha256 (sha256 (вход) + вход) был бы лучше. Цитата: znort987 от 11 июня 2012 года, 11:12:00 AM Во-первых, мы на самом деле знаем * * что ша-256 * не * 12:59 отображение на 256 битном пространстве? Если оказывается, то вы не получили ничего. Я не знаю ответа, я не профессиональный криптограф, но глядя на код SHA-256, не кажется, что будет очевидным отбрасывание битов в Сам шаг преобразования, но я слишком ленив, чтобы проанализировать его в глубину. Не могу сказать точно, но, очевидно, sha256 предназначен необратимыми (помимо математического факта, что для входов больше, чем 256 бит это обязательно потерять информацию). например, если он делает что-то вроде Х = А + В (с + будучи двоичное сложение по модулю 2іІ) его "капли биты" в том смысле, что либо 1-бит в A или в B приведет к 1-бита в X. Аналогично для X = (A<<п) + (В>>м) и т.д., хотя для разных бит. котировка Во-вторых, если SHA-256 действительно как-то уронить информацию для 256-битного ввода в ИМО, если есть снижение энтропии, то, скорее всего, будет незначительным по сравнению с дополнительной работы, которую необходимо распутать сложность добавляют во втором туре. Может быть, или нет, я действительно не понимаю, почему или почему не то, что было бы незначительным. Я надеюсь, что кто-то с глубоким знанием о хеширования может подтвердить или опровергнуть это? (Надеюсь подтвердить) котировка И, наконец, то, что кто-то сказал: вероятная цель команды, разработавшей Bitcoin было замедлить добычу вниз, не добавить слой безопасности там. Можно утверждать, что они не потому, что они не предвидели длину, при которой люди бы перейти на горные монеты (сначала графические процессоры, то ПВМ, то выделенный СИС). Если бы они поняли, что они добавили Scrypt подобного раунда на этапе хэша. Ты имеешь в виду Bcrypt? (Не знакомо с Scrypt, возможно, вы имеете в виду что-то подобное, я думаю, Bcrypt был бы очень хорошим, гибким, Перспективный выбором для Bitcoin)

11 июня 2012, 11:27:42 AM	# 5
Pusle Сообщений: 89 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Я так понимаю, что добавление больше раундов делает его труднее найти короткую вырезать / слабость. Фиксированная длина для второй ступени SHA256 также удаляет один тип "атака" часто используется против таких алгоритмов.

11 июня 2012, 11:35:29 AM	# 6
Казимир Сообщения: 1148 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: Pusle от 11 июня 2012 года, 11:27:42 AM Я так понимаю, что добавление больше раундов делает его труднее найти короткую вырезать / слабость. Фиксированная длина для второй ступени SHA256 также удаляет один тип "атака" часто используется против таких алгоритмов. ОК, тем не менее, я не вижу каких-либо недостатки (пока это преодолеть определенные риски) с использованием альтернативной схемы двойного хеширования я упоминал выше. Или в более общем плане: Код: Хэш (вход, глубина): = Хэш (вход), если глубина == 1 Хэш (Хэш (вход) + входной сигнал, глубина-1) в противном случае (Где «Хэш» может быть любой регулярной функцией хеширования, например, SHA256)

11 июня 2012, 11:38:36 AM	# 7
kokjo Сообщения: 1050 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: Казимир от 11 июня 2012 года, 11:35:29 AM Код: Хэш (вход, глубина): = Хэш (вход), если глубина == 1 Хэш (Хэш (вход) + входной сигнал, глубина-1) в противном случае (Где «Хэш» может быть любой регулярной функцией хеширования, например, SHA256) не писать рекурсивный код. это плохо. для стека и людей ума. Кроме того ваш код вида сломан ... что делает Hash только с одним входом?

11 июня 2012, 11:56:05 AM	# 8
Ukigo Сообщения: 938 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? котировка Вы имеете в виду Bcrypt? (Не знакомо с Scrypt, возможно, вы имеете в виду что-то подобное, я думаю, Bcrypt был бы очень хорошим, гибким, Перспективный выбором для Bitcoin) Нет, он имел в виду следующее: http://www.tarsnap.com/scrypt.html

11 июня 2012, 12:06:05 PM	# 9
Казимир Сообщения: 1148 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: kokjo от 11 июня 2012 года, 11:38:36 AM не писать рекурсивный код. это плохо. для стека и людей ума. Ну это псевдокод, просто чтобы получить общее представление. Более подробно: (это делает что-то другое, чем в примере выше) Код: Функция DeepHash (вход, глубина) { ч = ''; в то время как (0≤ (depth--)) ч = Хеш (H + вход); // где Хэш (х) является регулярной функцией hasing, например, sha256 вернуться ч; } DeepHash (вход, 1) такое же, как Hash (вход) DeepHash (вход, 2) дает Hash (Hash (вход) + вход) DeepHash (вход, 3) дает Hash (Hash (Хеш (вход) + вход)) + вход) и т.п. котировка Кроме того ваш код вида сломан ... что делает Hash только с одним входом? Это была полиморфная функция, альтернатива двухпараметрическое к уже существующей хэш-функция с одним входом (т.е. регулярным SHA256).

11 июня 2012, 12:15:53 PM	# 10
Мени Rosenfeld Сообщения: 2016 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Я сделал расчет, который говорит, что каждое применение SHA-256 уменьшает энтропию около 0,5734 бит. Я понятия не имею, если это правильно. Причина этой жертвы почти наверняка предотвратить трещины в SHA-256 от того немедленно переведены на нападение на Bitcoin хэширования. Цитата: znort987 от 11 июня 2012 года, 11:12:00 AM Во-первых, мы на самом деле знаем * * что ша-256 * не * 12:59 отображение на 256 битном пространстве? Если оказывается, то вы не получили ничего. Я не знаю ответа, я не профессиональный криптограф, но глядя на код SHA-256, не кажется, что будет очевидным отбрасывание битов в Сам шаг преобразования, но я слишком ленив, чтобы проанализировать его в глубину. SHA-256, в качестве криптографической хэш-функции, стремится быть неотличимы от случайного. Если бы это было в действительности случайным образом, число прообразов для каждого 256-битового элемента будет следовать распределению Пуассона - около 36% не будет иметь прообраза, 36% будет иметь один, два на 18%, 6% три и так далее. Так что я бы сказал, что это почти уверен, что это не 1-1 отображение. Цитата: znort987 от 11 июня 2012 года, 11:12:00 AM И, наконец, то, что кто-то сказал: вероятная цель команды, разработавшей Bitcoin было замедлить добычу вниз, не добавить слой безопасности там. Что это может означать? Трудность контролирует скорость добычи. Если хэш-функции в два раза трудно будет выбран, трудности удвоятся, и вы бы иметь такую же скорость генерации. Цитата: znort987 от 11 июня 2012 года, 11:12:00 AM Можно утверждать, что они не потому, что они не предвидели длину, при которой люди бы перейти на горные монеты (сначала графические процессоры, то ПВМ, то выделенный СИС). Конечно, они предвидели все это, если не сроки их появления. Цитата: znort987 от 11 июня 2012 года, 11:12:00 AM Если бы они поняли, что они добавили Scrypt подобного раунда на этапе хэша. Хэш-функция должна быть легко проверить, - каждое приложение должно быть быстрым, но поколение блоков требует много приложений. Выбор медленной хеш-функции будет контрпродуктивным. Цитата: znort987 от 11 июня 2012 года, 11:21:19 AM Цитата: kokjo от 11 июня 2012 года, 11:18:37 AM Satoshi призвал человек к месторождению с чипами, он предвидел это. Эх. Я помню, услышав об обратном. Я, наверное, помните, не так. Я знаю одного комментария Satoshi сделал о чипах, и это не было поощрение: Цитата: Satoshi от 12 декабря 2009 года, 5:52:44 PM Мы должны иметь джентльменское соглашение о переносе гонки вооружений GPU до тех пор, как мы можем на благо сети. Это гораздо проще для получения новых пользователей до скорости, если они не придется беспокоиться о драйверах GPU и совместимости. Это хорошо, как кто только с процессором может конкурировать довольно равномерно прямо сейчас.

11 июня 2012, 12:24:36 PM	# 11
Казимир Сообщения: 1148 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: Мени Rosenfeld, 11 июня 2012, 12:15:53 PM Я сделал расчет, который говорит, что каждое применение SHA-256 уменьшает энтропию около 0,5734 бит. Я понятия не имею, если это правильно. Ах, интересно. Ну, если это правда, то проблема кажется незначительной, хотя она могла бы быть предотвращена полностью подход, как я писал выше (просто пример, очевидно, существует множество альтернатив). И все же охватывает уязвимость потенциальных трещин в SHA256.

11 июня 2012, 12:32:36 PM	# 12
kokjo Сообщения: 1050 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: Казимир от 11 июня 2012 года, 12:24:36 PM Цитата: Мени Rosenfeld, 11 июня 2012, 12:15:53 PM Я сделал расчет, который говорит, что каждое применение SHA-256 уменьшает энтропию около 0,5734 бит. Я понятия не имею, если это правильно. Ах, интересно. Ну, если это правда, то проблема кажется незначительной, хотя она могла бы быть предотвращена полностью подход, как я писал выше (просто пример, очевидно, существует множество альтернатив). И все же охватывает уязвимость потенциальных трещин в SHA256. нет! число неверно, то энтропия после 512 циклов SHA256, будет ниже 0, если это правда. который не является хорошим или незначительным. его огромная ошибка. приемлемое сокращение будет составлять около 10 ^ -80 бит / круглых извините чувак ты сделал математику неправильно.

11 июня 2012, 12:33:41 PM	# 13
TangibleCryptography Сообщения: 476 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Есть много "причуды" с протоколом, но ядро ее остается твердым и иногда удивительно включительно. Вместо итерационных использования одной функции хеширования, используя две функции хеширования обеспечили бы большее сопротивление в том случае, SHA-256 является в значительной степени разложен. т.е. ripemd160 (SHA-256 (вход) + входной сигнал) иронический модифицированная версия этой структуры используется для создания адресов из открытых ключей, но не хэширование.

11 июня 2012, 12:48:03 PM	# 14
Pieter Wuille Сообщения: 1050 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: Мени Rosenfeld, 11 июня 2012, 12:15:53 PM Я сделал расчет, который говорит, что каждое применение SHA-256 уменьшает энтропию около 0,5734 бит. Я понятия не имею, если это правильно. Предполагая, SHA-256 является случайной функцией (отображает каждый входной сигнал к равномерно случайной независимый выход), вы будете в конечном итоге, (в среднем) (1-1 / е) * 2 ^ 256 различных выходов. Это действительно означает потерю энтропии около половины бита. Дальнейшие итерации карты меньшего пространства для выходного пространства 2 ^ 256, и потеря энтропии каждого последующего применения капель очень быстро. Это, конечно, не тот случай, что вы потеряете значительную сумму, делая 1000 итераций или около того.

11 июня 2012, 12:53:28 PM	# 15
Казимир Сообщения: 1148 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: kokjo от 11 июня 2012 года, 12:32:36 PM нет! число неверно, то энтропия после 512 циклов SHA256, будет ниже 0, если это правда. который не является хорошим или незначительным. его огромная ошибка. приемлемое сокращение будет составлять около 10 ^ -80 бит / круглых извините чувак ты сделал математику неправильно. Э, нет, это не работает. Уменьшение энтропии от 256 бит до (256-0.5734) = 255.4266 бит означает сокращение на коэффициент 255,4266 / 256 = +0,997760156250 +0,997760156250⁵¹² ≈ 0,317243314 так что после 512 Роудса, около 31,7% или 81.2 битых энтропии остается. FYI: стандартный клиент Bitcoin-Qt применяется много десятков тысяч хеширования раундов (иногда сотни тысяч, в зависимости от скорости процессора) для создания мастер-ключа для шифрования бумажника. Ну, будьте уверены, все кошельки не имеют один и тот же мастер-ключ

11 июня 2012, 12:57:56 PM	# 16
Мени Rosenfeld Сообщения: 2016 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: znort987 от 11 июня 2012 года, 12:36:08 PM Цитата: Мени Rosenfeld, 11 июня 2012, 12:15:53 PM Я сделал расчет, который говорит, что каждое применение SHA-256 уменьшает энтропию около 0,5734 бит. Я понятия не имею, если это правильно. Мммм. Значит, SHA256 ^ N (некоторые 256bit ввода) для достаточно большого N всегда будет сходиться к тому же значению, независимо от фактического ввода. Нет, потому что я сделал предположения становится менее верно, чем больше раундов сделаны (возможно, они даже не достаточно точны после одного раунда). Множество всех возможных изображений SHA256 ^ N становится меньше для увеличения N, пока она не сходится к фиксированному набору (который, вероятно, очень большой). Затем SHA-256 представляет собой перестановку (отображение один к одному) на этом множестве. (Это справедливо для любой функции из пространства в себя). Цитата: znort987 от 11 июня 2012 года, 12:36:08 PM котировка Цитата: znort987 от 11 июня 2012 года, 11:12:00 AM Во-первых, мы на самом деле знаем * * что ша-256 * не * 12:59 отображение на 256 битном пространстве? Если оказывается, то вы не получили ничего. Я не знаю ответа, я не профессиональный криптограф, но глядя на код SHA-256, не кажется, что будет очевидным отбрасывание битов в Сам шаг преобразования, но я слишком ленив, чтобы проанализировать его в глубину. SHA-256, в качестве криптографической хэш-функции, стремится быть неотличимы от случайного. Если бы это было в действительности случайным образом, число прообразов для каждого 256-битового элемента будет следовать распределению Пуассона - около 36% не будет иметь прообраза, 36% будет иметь один, два на 18%, 6% три и так далее. Так что я бы сказал, что это почти уверен, что это не 1-1 отображение. Очень интересное наблюдение, и вы, наверное, правильно. Еще более интересно было бы найти способ измерения, если это действительно имеет место (даже если проверка в некотором смысле методом Монте-Карло) Это, вероятно, столь же трудно, как определить, будет ли функция нарушена. Цитата: znort987 от 11 июня 2012 года, 12:36:08 PM котировка Цитата: znort987 от 11 июня 2012 года, 11:12:00 AM И, наконец, то, что кто-то сказал: вероятная цель команды, разработавшей Bitcoin было замедлить добычу вниз, не добавить слой безопасности там. Что это может означать? Трудность контролирует скорость добычи. Если хэш-функции в два раза трудно будет выбран, трудности удвоятся, и вы бы иметь такую же скорость генерации. Вы правы, но тогда я не совсем убедили «это покупает время использования день ша-256 получает треснувшие» либо. Если это их озабоченность, почему бы не совместить два дико отличаясь 256-битного алгоритма хеширования и XOR результата? Это, вероятно, могли бы работать тоже, но это также не гарантирует повышает безопасность. Может быть, два хэш-функции действительно связаны каким-то неожиданным образом и XOR на самом деле слабее, чем либо. Сам SHA-256 представляет собой несколько итераций основной функции. Я предполагаю, что предполагается, что сама основная функция хорошо, и что чем больше раз вы применяете, тем труднее атаковать.

11 июня 2012, 12:58:14 PM	# 17
kokjo Сообщения: 1050 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? я должен действительно прекратить размещение в этой теме, им неловко себя.

11 июня 2012, 1:05:15 PM	# 18
Казимир Сообщения: 1148 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: Мени Rosenfeld, 11 июня 2012, 12:57:56 PM Нет, потому что я сделал предположения становится менее верно, чем больше раундов сделаны (возможно, они даже не достаточно точны после одного раунда). Множество всех возможных изображений SHA256 ^ N становится меньше для увеличения N, пока она не сходится к фиксированному набору (который, вероятно, очень большой). Затем SHA-256 представляет собой перестановку (отображение один к одному) на этом множестве. (Это справедливо для любой функции из пространства в себя). Ах правильно, да. Было бы интересно узнать (или, по крайней мере, иметь разумную оценку), насколько большой этот набор преобразования. Интуитивно я бы сказал, что это вполне достаточно, чтобы держать в качестве безопасного хэша для обозримого будущего, хотя у меня нет никаких разумных аргументов в пользу этого.

11 июня 2012, 1:58:22 PM	# 19
TangibleCryptography Сообщения: 476 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: znort987 от 11 июня 2012 года, 1:17:25 PM Ли люди, которые проектируют хэш-функции нацелены на такого рода свойства, либо они сортируют после-фактум подтекст сильнее востребованных свойств функции? Это свойство они нацелены. Идеальная хэш-функция описываются как случайный оракул http://en.wikipedia.org/wiki/Random_oracle Нет хеширование функции на сегодняшний день не является идеальным случайным оракулом, но это идеал, они стремятся к.

11 июня 2012, 3:52:32 PM	# 20
Мени Rosenfeld Сообщения: 2016 Цитировать по имени цитировать ответ	Re: Двойное хеширование: меньше энтропии? Цитата: Pieter Wuille на 11 июня 2012 года, 12:48:03 PM Цитата: Мени Rosenfeld, 11 июня 2012, 12:15:53 PM Я сделал расчет, который говорит, что каждое применение SHA-256 уменьшает энтропию около 0,5734 бит. Я понятия не имею, если это правильно. Предполагая, SHA-256 является случайной функцией (отображает каждый входной сигнал к равномерно случайной независимый выход), вы будете в конечном итоге, (в среднем) (1-1 / е) * 2 ^ 256 различных выходов. Это действительно означает потерю энтропии около половины бита. Дальнейшие итерации карты меньшего пространства для выходного пространства 2 ^ 256, и потеря энтропии каждого последующего применения капель очень быстро. Это, конечно, не тот случай, что вы потеряете значительную сумму, делая 1000 итераций или около того. Я принял это один шаг дальше и рассмотрел распределение между выходами, который не является однородным; результат на величину энтропии потерянной является (1 / е) * сумма (log_2 п / (п-1)!). Но это, вероятно, немного больше, чем хорошее упражнение, так как SHA-256, вероятно, слишком далеко от случайного для этого вычисления, чтобы иметь смысла. И я по ошибке ввода ¯Ln, а не log_2 к программному обеспечению, так что значение я хочу на самом деле должно быть 0,827.

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW