Я размышляла о том, как улучшить физическую безопасность монеты, потому что хорошо физические монеты просто так круто

Его очевидно, что https://www.casascius.com/ зависимость от голограммы, покрывающой карта MicroSD удерживается в выемке в монете есть несколько проблем: как вы знаете, есть секретный ключ на SD-карте внутри него (доверие производителя). Кроме того, как вы можете потратить убедительно без вредительства голограммы. И любой человек может получить некоторые голограммы, напечатанные вверх, вынуть ключ. Теперь, видимо, некоторые из монет имеют адрес монеты выгравированы на ободе монеты, которая является довольно прохладно, как вы можете проверить его в настоящее время проводится. Однако это можно было бы потратить в любое время, если бывший владелец или производитель обманутыми.

Так что моя вариация на том, что вы можете создать новый закрытый ключ для существующего адреса монет / монет открытого ключа (по отношению к новому дискретному логарифму). Эффект в том, что я думаю, вы могли бы держать постоянную монету открытого ключа, а убедить кого-то в нулевом доверии, которое вы не сохранили эффективный закрытый ключ, путем изменения базы.

Обычно Р = Xg (эллиптическая кривая дискретного журнала обозначения)

Теперь вы можете использовать различные значения G и до сих пор делают подпись. например, если вы могли бы вычислить P = x'G «(тот же открытый ключ P, различные приватного ключа х», другая база G „) вы можете сделать ECDSA подпись WRT Р, х“ и G». Он будет проверять против P и G».

Но вы должны быть осторожны, так как любой человек может дешево вычислить г-й корень P: если вы можете выбрать G»случайным образом, вы можете обмануть. т.е. вычислить у^-1 мод п и умножения: G»= у^-1П. Это потому, что эллиптическая кривая у-й корень, тривиальный вычислить, поскольку G «произвольный результат (у-й корень) не предварительно выбрали дискретную базу журнала, даже если он выглядит как базу, когда вы» ве закончил. (П есть порядок группы).

Так как же вы достаточно выбрать новую базу? Одним из способов является демонстрация вы знаете ECDL из G «т.е. вы знаете ж такое, что G» = Wg. Вероятно, мы можем сделать это безопасно:

получатель получает закрытый ключ легко из монет, если он имеет электрический интерфейс, чтобы раскрыть его на контакт. Вычисляет новый случайный г, и G «= ZG и х» = XZ^-1 мод п. х «новый секретный ключ, так как P = x'G» и P = x'G '= XZ^-1ZG = Xg, так Р не изменяется.

Получатель публикует мульти-подпись P «со старым закрытым ключом х, и второй подписи Р» с «по отношению к новой базовой G» новый секретный ключ х в сети Bitcoin. После того, что хешируется после нескольких блоков они могут быть уверены, что предыдущий владелец больше не может претендовать на монете, несмотря на то, что предыдущий владелец имеет прежний закрытый ключ.

Его аналог токоперенос монеты (подпись от старого ключа на новый ключ, как передача), за исключением дискретного журнала базы меняется, а не открытый ключ. (В настоящее время проводится G фиксируется как достаточно выбранного параметра EC, которая является постоянной точкой на кривой).

Это, очевидно, можно повторить: сохранить первоначальный х для целей расчета и магазина на монете ток х. До тех пор, как новый владелец физической монеты может выбрать свои собственные х»и контролирует интерфейс ввода-вывод на монеты, они могут быть уверены в том, что монета не может быть украдена. Они могут проверить сеть монетки, которая сохраняет свой открытый ключ (хотя изменение базы).

Или, возможно, вы пишете секретный ключ первой монеты (и немедленно изменить монету ключ) по краю монеты, и просто не позволяют людям играть с монетами близко, то вы даже не нужен электрический интерфейс, ни какой-либо электроники на монета. (Или, может быть, проще электроника, которая может только считывает фиксированный оригинальный секретный ключ х). Переход на новый секретный ключ должен прийти через смартфоны на входе секретного ключа вручную, или просто использовать секретный ключ или его часть в качестве контрольной суммы фактического секретного ключа, отправляемого пользователю, чтобы проверить его правильную физическую монету , Было бы хорошо, чтобы сохранить текущий закрытый ключ в монету.


На самом деле simplying немного можно даже разрешить передачу в у-й корень выбранной базы, до тех пор, пока владелец знает секретный ключ из текущей базы, и они подписывают новую базу, почему бы и нет. Тогда вам нужно только одну сигнатуру а не multisig от старого и нового закрытого ключа с соответствующими основаниями.


Вы можете думать об этом изменяющемся секретном ключе как своего рода одноразовой прямой безопасной подписи (перемещении вперед безопасные подписи, где вы можете отречься старые подписи, потому что старые частные ключи будут опубликованы после окончания). Оригинальные подписи все еще убедить в этом контексте, потому что время-штамповочном с периода до закрытого ключа раскрытия.


Главное преимущество сохранения открытого ключа неподвижный, что вы можете выгравировать его на монете (как сейчас), а главное преимущество позволяет ДЛО основание для изменения, чтобы представить изменения собственности, что вы можете безопасно передать управление физической монеты без доверяя никому, монета нужна только для сохранения текущего секретного ключа для удобства.


Может быть, есть некоторое преимущество, которое будет иметься для других Bitcoin использования поддержания постоянного открытого ключа. например, может быть множество UTXO может быть меньше (неясно, каким образом)? Вы могли бы на самом деле изменить с фиксированным открытым ключом, но тогда вы в конечном итоге с ниже номинальной монеты. Это может быть две монеты с одной и той же фиксированной открытым ключом (но разных баз и частных ключей и сумм добавляющих к оригинальной монеты номиналом) или две монеты один с фиксированным открытым ключом и не, или два не разрывая связь с физическим монета открытого ключа. Опорожнить или диссоциируют монета все еще может быть перезагружена, потратив на его адрес / открытый ключ с новой выбранной базой.


Монета адрес в настоящее время несколько непрозрачные, поскольку его хэш открытого ключа. Новая база по каждому расходов также может быть непрозрачной, если желательно (например, опубликовать хэш открытого ключа и баз в сообщении передачи.)

Даже если вы хотите, чтобы сходить с ума по какой-то эзотерической причине (например, может быть, каким-то образом использовать для личной жизни так или иначе?) Все монеты могут иметь один и тот же открытый ключ (но различные базы и закрытых ключей).


Это странно также позволяет проводить в "текущий носитель" с адресом фиксированной монеты, чтобы повысить ценность монеты, так как адрес монеты оленьей кожи должен измениться, сеть говорит вам, с помощью запроса UTXO, который в настоящее время базы позволила претендовать на владение и потратить монету!

Адам