ECDSA 2 из 2 подписания | Биткоин форум

		Биткоин Форум > Разработка и Техническое Обсуждение
ECDSA 2 из 2 подписания

11 марта 2014, 3:29:56 PM	# 1
Crowex Сообщения: 111 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Здравствуй, После встретив слепого протокола подписи в этом форуме http://oleganza.com/blind-ecdsa-draft-v2.pdf Я разработал протокол подписной 2 из 2 ECDSA. Это подходит только для один тактовый а. Любая обратная связь приветствуется (спасибо andytoshi для некоторых полезных обратного вечера до поста) https://www.dropbox.com/s/zaxkh0uy7zgavm1/2%20of%202%20ECDSA.pdf?dl=0

Как заработать Биткоины?
Без вложений. Не майнинг.

12 марта 2014, 6:19:25 AM	# 2
jaesyn Сообщений: 10 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Получил 1806 Биткоинов Реальная история. Я думаю, что вы сделали ошибку в следующем: котировка 3. признаки Алиса путем вычисления s2 = C * s1 + D по модулю р Должно быть s2 = а * s1 + б, нет?

12 марта 2014, 8:32:06 AM	# 3
Crowex Сообщения: 111 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания да, спасибо, что была опечатка Я исправил

12 марта 2014, 11:20:20 AM	# 4
oleganza Сообщения: 200 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Очень здорово видеть, кто-то играет с моим подходом. Не проверил бумагу тщательно, но принцип упаковки 2 подписи в одном очень полезно. Я недавно думал об упаковке 1000s подписей в одном, чтобы помочь с краудфандинга и, возможно, большинством голосов. Может быть, это возможно с некоторым более алгебраическим фетишем.

12 марта 2014, 12:53:04 PM	# 5
Crowex Сообщения: 111 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: oleganza 12 марта 2014, 11:20:20 AM Очень здорово видеть, кто-то играет с моим подходом. Не проверил бумагу тщательно, но принцип упаковки 2 подписи в одном очень полезно. Я недавно думал об упаковке 1000s подписей в одном, чтобы помочь с краудфандинга и, возможно, большинством голосов. Может быть, это возможно с некоторым более алгебраическим фетишем. Я думаю, что мой метод в порядке, но там могут быть некоторые атаки я не учел. Это очень похоже на ваш подход, но для моего метода я должен был добавить шаг, чтобы остановить кого-то обман, объявляя ложное значение А. Я думаю, что это интересно, используя математику ЕС, а не в сценарий bicoin для такого рода вещи - меньше проблем с совместимостью бумажником, и она работает с большинством альта валют тоже. Множественные подписи и толпа идея финансирования интересны. Я собирался, чтобы увидеть, если я мог бы адаптировать его к 2 из 3 подписи, когда я time.I думаю, что этот тип вещи может быть полезным и в других распределенных системах.

12 марта 2014, 3:48:30 PM	# 6
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: oleganza 12 марта 2014, 11:20:20 AM Очень здорово видеть, кто-то играет с моим подходом. Не проверил бумагу тщательно, но принцип упаковки 2 подписи в одном очень полезно. Я недавно думал об упаковке 1000s подписей в одном, чтобы помочь с краудфандинга и, возможно, большинством голосов. Может быть, это возможно с некоторым более алгебраическим фетишем. Это относительно легко сделать с помощью подписей Шнорры. Это было бы важным шагом вперед, чтобы быть в состоянии сделать это с ECDSA. Я не работал по протоколу, представленный здесь еще ... но если это действительно обеспечить это также будет важным шагом вперед. В CoinSwap показан способ, в котором любые две из сторон фантазии сценарий транзакции могут быть сделаны неотличим от multisig 2-в-2, предполагая, что трансакции стороны честны (если кто-то жульничает сделка теряет свою неразличимости). Таким образом, анонимность совокупность этих сделок является множеством 2-в-2 multisig сделок. Я ранее сетовал, что в Шорра подпись один ключ 2-из-2 совершенно тривиальный, и они могут иметь множество анонимности всех операций. Хотя это слишком рано, чтобы развернуть, я рекомендую придумать патч для libsecp256k1, чтобы сделать эти соглашения и подписать ключ 2-в-2.

12 марта 2014, 4:29:36 PM	# 7
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Я был под впечатлением, что п-о-м ECDSA наметилась некоторое время назад в этом документе: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.67.9913&Rep = REP1&тип = PDF Может быть, я что-то пропустил? Ваш метод тем не менее появляется намного проще для случая 2-в-2 в частности, что часто полезно для различных протоколов контракта.

12 марта 2014, 5:28:51 PM	# 8
oleganza Сообщения: 200 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: Майк Хирн 12 марта 2014 года, 4:29:36 PM Я был под впечатлением, что п-о-м ECDSA наметилась некоторое время назад в этом документе: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.67.9913&Rep = REP1&тип = PDF Может быть, я что-то пропустил? Ваш метод тем не менее появляется намного проще для случая 2-в-2 в частности, что часто полезно для различных протоколов контракта. Вау, спасибо за бумагу. Я обязательно проверю. Моя цель состоит в том, чтобы реализовать эту идею: 1. Люди crowdfund кучу денег на какой-нибудь компании. 2. В отличие от обычных схем, компания не может использовать все эти деньги, как они хотят, но только в некоторых заранее определенных участках. Например. когда они начинают Crowdfunding, они нуждаются в гарантии $ 1 млн, но они будут тратить первые $ 100K на прототипе, а затем $ 300K для первой партии, а затем, если все хорошо, для остальные. Crowdfunding контракт будет заботиться класть все деньги в таких ведрах, чтобы они не расходуемые сразу. 3. Если основатели начинают тратить деньги, не таким образом, как инвесторы, инвесторы могут разблокировать средства и вернуть их к каждому с большинством голосов. TLDR: "Если вы начинаете трахать с нами, мы автоматически получаем большую часть денежных средств обратно", Кроме того, каждый кусок денег может быть разрешен или запрещен с помощью большинства голосов, но это может быть слишком громоздкими. Это, вероятно, более эффективное, чтобы просто позволить проводить некоторые небольшие порции и спасти остальное в случае возникновения проблем. В качестве альтернативы (2), сам по себе Crowdfunding процесс может быть разбит на независимые стадии, но это также громоздки по той же причине. Это проще просто crowdfund общего $ 1M только один раз, начать работу, а затем принять его обратно, если это необходимо.

12 марта 2014, 5:30:59 PM	# 9
oleganza Сообщения: 200 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: gmaxwell от 12 марта 2014 года, 3:48:30 PM Это относительно легко сделать с помощью подписей Шнорры. Это было бы важным шагом вперед, чтобы быть в состоянии сделать это с ECDSA. Я не знаю много о подписях Шнорры. Не могли бы вы PLS показать пример, почему / как это тривиально сделать п-о-м в схеме Шнорры?

12 марта 2014, 10:22:15 PM	# 10
Crowex Сообщения: 111 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: Майк Хирн 12 марта 2014 года, 4:29:36 PM Я был под впечатлением, что п-о-м ECDSA наметилась некоторое время назад в этом документе: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.67.9913&Rep = REP1&тип = PDF Может быть, я что-то пропустил? Ваш метод тем не менее появляется намного проще для случая 2-в-2 в частности, что часто полезно для различных протоколов контракта. Я не встречал этого, это действительно интересно. Это выглядит действительно полезно, и вы можете сделать несколько подписей, соответствующих одному и ключевых пороговыми подписей общественных. Насколько я могу видеть (если я правильно понимаю) главная проблема с этой схемой для Bitcoin приложений является то, что дилер, который инициализирует протокол знает секретный ключ с. Дилер раздает акцию ключа с использованием типа Шамира схемы секрета обмена, а затем игроки (или достаточно игроков, чтобы встретить порог) может создавать и подписи одноразовых номеров между собой независимо от дилера. Однако дилер мог бы потратить средства, соответствующий открытому ключу всякий раз, когда он хочет. Я не уверен, если есть способ обойти это, но может быть. Я не знаю, если Шнорра и другие схемы порога подписи работают таким образом, но я подозреваю, что они будут. Преимущество выше 2 из 2 метода (если нет никаких ошибок ) является то, что обе стороны могут быть уверены, что никто не знает секретный ключ, так как он был построен с использованием их тайных значений. Вы можете сделать только одну подпись для каждого адреса, потому что секретные значения создают временное значение тоже, но я полагаю, что будет препятствовать повторному использованию адресов. 

16 марта 2014, 1:34:00 PM	# 11
adam3us Сообщения: 400 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: oleganza от 12 марта 2014 года, 5:30:59 PM Цитата: gmaxwell от 12 марта 2014 года, 3:48:30 PM Это относительно легко сделать с помощью подписей Шнорры. Это было бы важным шагом вперед, чтобы быть в состоянии сделать это с ECDSA. Я не знаю много о подписях Шнорры. Не могли бы вы PLS показать пример, почему / как это тривиально сделать п-о-м в схеме Шнорры? Ну, начиная с N-о-н Шнорром, разница не к ^ -1 значение усложняя математику. DSA является комплексификацией Шнорра, вероятно, как попытка избежать в настоящее время истекли патент Шнорры. Шнорра проще, имеет лучшие доказательства безопасности (возможно потому, что его проще) и делает более слабые предположения о хэш-функции (т.е. допускает более слабую хэш, или больше промахов в свойствах хэш-функции, не нарушая подпись, иначе DSA подчеркивает хэш-функции больше). Простота делает его легче делать слепые подписи, а п п, к п и т.д. Сравнивая ECDSA и ECSchnorr (с перемаркировки, чтобы выделить общие черты): ECDSA: R = кГс, [г = R.x, с = (Н (м) + й) / к], Q = дО проверить: Sr = H (M) G + RQ ECS R = кГс, [г = R.x, с = к + Н (г, т) д] Q = дО проверить: Sg = Р + Н (г, т) Q ECS-альтернативный R = кГс, [с = Н (R, м), с = к + CD] Q = Д.Г., проверить: с = Н (Sg-Cq, м) (Потому что кГс = Sg-Cq) (И оба ECDSA и ECS могут использовать детерминированный вариант, где к = Н (м, д)). так с ECS, если у вас есть пользователи с ключами паба A = A и B = Bg (ключи Priv а, б) они могут сделать сиговое с их комбинированным ключом Q = A + B просто R1 = k1G, R1 = R1.x ->r1 <= R2, s2 = R2 k2G, R2 = R2.x, с2 = к2 + Н (R1 + R2, м) .b s1 = k1 + Н (R1 + R2, м) а, г = R1 + R2, S = s1 + s2 а R1 + R2 = k1G + k2G = (k1 + k2) G, s1 + s2 = (k1 + k2) + H (R1 + R2, м) (а + б) QED. (Это было просто понял, с нуля, может быть, есть некоторые другие нюансы). к п придется искать или думать сложнее. И тогда в отличие от слепого метода ECDSA вы предложили, выбрав открытый ключ, относящийся к, (и я думал, хорошо с этим вы можете 2 из 2, скорее всего, и достаточно уверенных, ОП положить, что вместе), с ECS Вы можете сделать это более просто и обычно выбранные заранее существующими ключи (и без необходимости делать подписи одного использования.) Риск с R = кГс фиксируется, что это один-шоу подписи, то есть, если вы случайно (например, из-за отсутствия транзакционной памяти на клиенте) подписать два различных сообщения, вы утечки закрытого ключа, и позволяют шахтерам взять монету. (Принимая во внимание один-шоу подписей, где Q '= (R = кГ, Q = дО), поэтому к предварительно совершили в качестве модели двойных Потратьте то тогда вы не можете двойную расходы, не давая и проводит шахтер имеют те же проблемы с случайный двойной расходы и требование к памяти клиента транзакций, чтобы избежать). Адам

30 марта 2014, 2:09:26 AM	# 12
randomwalker Сообщения: 2 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Я часть исследовательской группы в Принстоне, которые уже были независимо друг от друга, работающей только на этой проблеме. https://freedom-to-tinker.com/blog/stevenag/new-research-better-wallet-security-for-bitcoin/ Мы выпустили наше исследование вчера, и Майк Хирн указал нам на эту тему. Большой видеть, что другие думали вдоль этих линий, как хорошо! Мы реализовали технику в работе Египта как bitcoinj вилка. Мы планируем выпустить наш код в ближайшее время. Кроме того, мы покажем, как сделать порог детерминированного бумажник, который является значительным улучшением в практичности. Два основная варианта использования мы думали о является управлением бизнес-расщеплением бумажнике между сотрудниками и безопасностью два-фактора для личных кошельков (в качестве альтернативы предложению Гэвины многоосных подписи два фактора бумажника.) Кстати, на самом деле это просто, чтобы избежать отдельного "дилер" даже при полноценном протоколе порога подписи.

30 марта 2014, 12:13:16 PM	# 13
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Я внедрение HD бумажников в bitcoinj на данный момент (на ветке). Порог HD бумажник будет очень хороший примитив действительно.

30 марта 2014, 2:27:53 PM	# 14
randomwalker Сообщения: 2 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: Майк Хирн 30 марта 2014, 12:13:16 PM Я внедрение HD бумажников в bitcoinj на данный момент (на ветке). Порог HD бумажник будет очень хороший примитив действительно. Круто. Для того, чтобы уточнить, наша конструкция порога детерминированным (раздел 3.3), но не иерархическая. Может быть, порог HD можно, но когда мы думали об этом математика получила сложную, и мы не видим, как заставить его работать в то время у нас было.

30 марта 2014, 3:26:13 PM	# 15
Crowex Сообщения: 111 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: randomwalker от 30 марта 2014 года, 2:09:26 AM Кстати, на самом деле это просто, чтобы избежать отдельного "дилер" даже при полноценном протоколе порога подписи. Да, когда я впервые посмотрел на бумагу, я задавался вопросом, почему они не используют схему не дилерскую распространять закрытый ключ тоже, что, как я думал, что вы заканчиваете проблемы дилера, знающим ключ. Я думал, что может быть какой-то вопрос безопасности, но там не было. На этапе настройки вашего поколения порога подписи делает полиномиальное необходимость иметь степень т не т-1?

31 марта 2014, 1:18:24 PM	# 16
Crowex Сообщения: 111 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: Crowex от 30 марта 2014 года, 3:26:13 PM На этапе настройки вашего поколения порога подписи делает полиномиальное необходимость иметь степень т не т-1? Хорошо, извините, я вижу, вы использовали т представлять другое значение, чем в оригинальной статье.

19 января 2015, 10:53:58 PM	# 17
adam3us Сообщения: 400 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: adam3us от 16 марта 2014 года, 1:34:00 PM Ну, начиная с N-о-н Шнорром, разница не к ^ -1 значение усложняя математику. DSA является комплексификацией Шнорра, вероятно, как попытка избежать в настоящее время истекли патент Шнорры. Шнорра проще, имеет лучшие доказательства безопасности (возможно потому, что его проще) и делает более слабые предположения о хэш-функции (т.е. допускает более слабую хэш, или больше промахов в свойствах хэш-функции, не нарушая подпись, иначе DSA подчеркивает хэш-функции больше). Простота делает его легче делать слепые подписи, а п п, к п и т.д. Сравнивая ECDSA и ECSchnorr (с перемаркировки, чтобы выделить общие черты): ECDSA: R = кГс, [г = R.x, с = (Н (м) + й) / к], Q = дО проверить: Sr = H (M) G + RQ ECS R = кГс, [г = R.x, с = к + Н (г, т) д] Q = дО проверить: Sg = Р + Н (г, т) Q ECS-альтернативный R = кГс, [с = Н (R, м), с = к + CD] Q = Д.Г., проверить: с = Н (Sg-Cq, м) (Потому что кГс = Sg-Cq) (И оба ECDSA и ECS могут использовать детерминированный вариант, где к = Н (м, д)). так с ECS, если у вас есть пользователи с ключами паба A = A и B = Bg (ключи Priv а, б) они могут сделать сиговое с их комбинированным ключом Q = A + B просто R1 = k1G, R1 = R1.x ->r1 <= R2, s2 = R2 k2G, R2 = R2.x, с2 = к2 + Н (R1 + R2, м) .b s1 = k1 + Н (R1 + R2, м) а, г = R1 + R2, S = s1 + s2 а R1 + R2 = k1G + k2G = (k1 + k2) G, s1 + s2 = (k1 + k2) + H (R1 + R2, м) (а + б) Как там было обсуждение этой темы на твиттере я думал, что обновлять это с тем, как для начальной загрузки от 2 2 до 2 из 3: ввести новый подписывающий C резюмировать комбинированный открытый ключ Q = A + B комбинированный ключ д частный = а + Ь мы будем повторно разделить d дважды, один раз через А и один раз б: первый: 1. выбирает случайную г и устанавливает '= а-г 2. А посылает к В г 3. В устанавливает B '= B + г 4. посылает»к C (Как д = а '+ Ь' = а-г + б + г = а + б, так что A 'B' представляет собой повторное разделение г) аналогично Б: 5. В выбирает случайное R»и множества В"= Ь-г» 6. В посылает г»к А 7. устанавливает"= А + г» 8. В посылает б" в C (Как D = A"+ б"= А-г «+ Ь + г» = а + б, так", б" это второе повторное разделение г) Теперь любой 2 А, В или С может подписать рассмотреть три случая: & B: знак с, б & C подписать с", б" (Как B отправлено б" С, это предотвращает подписание сам по себе) В & C знаком с A 'B' (как отправленные Аа»С, это предотвращает подписание B сам по себе). Эта схема установки шкалы к другому к п порогов. Адам

20 января 2015, 1:36:56 AM	# 18
Рейнальдо Сообщения: 1106 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания http://point-at-infinity.org/ssss/ Возможно, секрет схема разделения Шамира может работать, чтобы сделать м-о-п, где т<п для сделки, где вы хотите большинство голосов. Ситуация: кто-то делает Bitcoin адрес с собств ключа K Затем он переходит к использованию СВУ в м-о-п схеме с закрытым ключом; то, так как вы будете нуждаться в м ключи, чтобы получить Priv ключ K тратить любые средства, отправленные на адрес Bitcoin. Проблемы, которые возникают из этого решения: любая не известная уязвимость SSSS доверие распространяются на агенте, который сгенерировал Priv ключ K это действительно было бы, как брутфорс, возможно, кто-то может найти эти идеи полезные или ГССО; мой 0,01 BTC

20 января 2015, 1:47:55 AM	# 19
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Цитата: Рейнальдо от 20 января 2015 года, 1:36:56 AM мой 0,01 BTC Может рассмотреть вопрос о создании этих взглядов на продажу, потому что цена немного высока. Если взять время, чтобы искать вы будете видеть, что подобные вещи уже обсуждались ранее. Мало того, что он нужен доверенные настройки, но она нуждается в одну доверенной точке при подписании. Это не совсем бесполезно, чтобы разделить ключ только при хранении, но победить большую часть точки, так как он в основном удаляет весь иммунитет к вредоносным аппаратным средств или злонамеренным участникам. Насколько секретные схемы распределения: если строятся прямо (например, с использованием действительно случайные входы) схема имеет тривиальный доказуемую теории информации безопасности (в основном, если у вас есть порог - 1 акция, любой возможный ключ выход может быть достигнут с помощью некоторых возможных отсутствующего ввода акций). Так что нет реальной возможности "любой не знает уязвимости"; но конкретная реализация может легко быть повреждена в некотором way--, так что вы должны процитировать правильно не сам обмен реализованы; ... на самом деле, тем больше риск, там думает, что он делает что-то полезное для вас на всех, так как из-за вышеупомянутых проблем: это, вероятно, не делает.

21 января 2015, 1:54:14 PM	# 20
Мабли Сообщения: 266 Цитировать по имени цитировать ответ	Re: ECDSA 2 из 2 подписания Похоже, оригинальный документ не доступен. Вы знаете, где я мог бы найти его или что-то подобное? Спасибо за вашу помощь.

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW