Это сообщение было слишком стар и продут

Как вы слово нить напоминает мне о X-Files http://en.wikipedia.org/wiki/Trust_No_1

Отказ от ответственности: Я не криптография эксперт (даже не близко).

Но я считаю, что эллиптическая кривая [secp256k1], которая используется в Bitcoin находится в специальном классе под названием кривые Köblitz, по какой-то причине это делает его менее вероятным (невозможно?), Что предварительно заданные параметры кривой были "приготовленный" сделать бэкдор атаки возможно для создателей.

Хотя я считаю, ведущим к этому кривой имеет преимущество в производительности для проверки подписи, но с тем недостатком, что он предлагает только 128-битный уровень безопасности против предполагаемого уровня безопасности 256-бит.

Надеюсь, эксперт там может объяснить это лучше, чем я.

http://safecurves.cr.yp.to/

Они, кажется, не слишком взволнованы с secp256k1

Мы используем р = 2 ^ 256 - 2 ^ 32 - 977

источник: https://en.bitcoin.it/wiki/Secp256k1

Виталик Бутерин написал большой пункт адресации именно свою точку зрения:

котировка

Простота этих параметров дает NSA / NIST очень мало простора для маневра, чтобы создать заведомо плохую кривую. И даже конкретные значения 0, 7 и 977 могут быть оправданы ограничениями безопасности и эффективности, поэтому вероятность того, что эллиптические параметры кривой Bitcoin были выбраны с злым умыслом является очень низкой действительно.

источник: http://bitcoinmagazine.com/7781/satoshis-genius-unexpected-ways-in-which-bitcoin-dodged-some-cryptographic-bullet/

Премьер используется в нашем кривом был выбран из соображений производительности. К сожалению, это не поможет теории заговора, потому что премьер использовал это то, что называется простым Солинас:

http://eprint.iacr.org/2010/058.pdf

.... имя Джером Солинаса, который является одним из ведущих математиков АНБА.

Цитата: Майк Херн на 17 января 2014 года, 9:44:23 AM

поэтому мы не можем доверять NSA поставляемых магических чисел?

Следующая вещь, которую вы знаете, мы узнаем, что мы все шпионят все время, чтобы защитить нас от невидимой исламской badguys.

Так как эта нить читается больше из-за своим зажигательным первым после субъекта без проблемы или решения, я буду перепечатывать более выпукло документ, который я имел взгляд через. По существу, реализация атаки неисправности, описанная на сжатых ключах может сделать ECDSA секретной обнаруживаемой атакующим с немногими или даже одной подписи и безопасностью сводится к 2 ^ 50 вместо ~ 2 ^ 128, но может осуществляться из очень тонкого клиентского кода реализации изменить, например, изменение знака у.
http://perso.univ-rennes1.fr/reynald.lercier/file/FLRV08.pdf

котировка

С кривой secp256k1, порядок закручивания
3Ч197Ч1559Ч96769Ч
146849Ч2587814237219Ч375925338294461779Ч
101009178936527559588563023359.
Так на реализации без защиты, злоумышленник может вычислить дискретный логарифм в твисте со стоимостью 2⁵⁰ и получить секретный скаляр при п = 256.

Это, наряду с другими проблемами зависит от платформы, казалось бы хорошим аргументом для Bitcoin, чтобы вытащить код из OpenSSL и свернуть свою собственную реализацию ECDSA и его собственной энтропии сбора недетерминированное генератор случайных, так что это не влияет на компиляции против слепо доверенных пользовательских библиотек. FIPS140 может быть уменьшено с безопасностью случайным образом, и это вариант компиляции в OpenSSL.

Это также хороший повод, чтобы отправить свои платежи из хорошо прошли специальную проверку клиента Bitcoin, а не повторное использование адресов или подписать много вещей с микросхемой "Деньги" адрес.

Существует уже старая нить по Hal об этой кривой: https://bitcointalk.org/?topic=2699.0
Я всегда был заинтригован о том, почему Satoshi выбрать secp256k1, Bitcoin является единственным программным обеспечением, я знаю, что использовать его.

Но теперь у нас есть Ed25519 ...

Мы высоко техническую нить об этом уже:

В этой теме я действительно связался с человеком, который в настоящее время является руководитель организации, которая первоначально выбранных параметров для secp256k1 и у нас был большой электронный разговор о том, как были выбраны параметры. Пожалуйста, прочитайте эту нить.

Я думаю, что большинство людей, которые участвовали в этом потоке были убеждены, что выбор параметров все имело смысл, и не было никакого способа, "задняя дверь" был помещен в выборе параметров.

То же самое можно сказать и о secp256r1.

Существует довольно хорошее резюме большую часть информации, начиная здесь:

но я думаю, что весь поток, в том числе процесса открытия довольно хорошо.

Цитата: Пера на 17 января 2014 года, 6:34:14 PM

Когда я связался с парнем и сказал ему Bitcoin использует secp256k1 его первый ответ был "Фантастика! Я не думаю, что кто-либо использовал нашу кривую"

Либо дизайн или везения Bitcoin использует один из немногих кривых не спроектированные или выбран либо АНБ или NIST.

Цитата: deepceleron от 17 января 2014 года, 3:51:51 PM

Как Bitcoin известно из болезненного личного опыта нашей ECDSA зависит от источника хороших случайных чисел, но это не вина параметров кривых. Было высказано предположение о том, что мы переходим к новому ECDSA, что не требует одноразового номера. Это было бы решить эту проблему случайного числа раз и навсегда.

Удивительная тема.
Благодаря!

Если есть черный ход, это не по всей видимости, были еще использованы, так, что бы они ждали?

Давайте предположим на минуту, что мы сможем управлять миграцией, что жесткая вилка может быть успешно выполнена, есть ли другая цифровая схема подписи с сопоставимой производительностью, длиной ключа, историей широкого использования, как ECC и RSA, что мы можем перейти на? Любой заботится просветить меня?

Кроме того, Apple, кажется, не особенно беспокоит Curve25519 ....

Цитата: oakpacific от 19 января 2014 года, 3:04:45 AM

я думаю, что точки вы назвать точно, почему криптография прошла путь он имеет в последние 30-40 лет. алгоритмы не считаются полезной, если все остальные не уже использовать их, создавая проблему курицы и яйца заместитель, который наклонен по существу в пользу АНБ и его sockpuppet, NIST. поскольку люди опасаются использование малоиспользуемых шифров и режимов, что делает манипулирование стандартов обработки очень мощный метод для АНБА, чтобы контролировать качество и повсеместное распространение шифрования.

Есть несколько других вариантов, кроме ECC для системы с небольшими клавишами с, насколько кто знает публично, сравнительно высокий уровень безопасности. я бы, конечно, взять curve25519 над secp256k1, но перенастройки BTC адресного пространства будет очень нетривиальным, и все будет поставлять обычное "но вы не можете доказать, что это работает!" аргумент. я не знаком с любыми другими малыми ключевыми шифрами, которые могли бы быть хорошей заменой.

это очень плохо, что NTRU имеет такие огромные размеры ключей и покрыта многими патентами: имо, это самый интересный вариант для ИПК в настоящее время, так как она включает в себя почти нулевой магические константы, в отличие от RSA и ECC.

Цитата: behindtext от 19 января 2014 года, 10:46:59 AM

Цитата: oakpacific от 19 января 2014 года, 3:04:45 AM

Если все только хранит ultrapruned цепи (не рекомендуется, конечно), то размер ключа NTRU не может быть проблемой, как только хэш-ключ будет сохранен в любом случае.

Но в конце концов, я думаю, что это, вероятно, лучше держать Дамоклов меч ECDSA висит над нами, так что каждый чувствует некоторую актуальность, когда дело доходит до принятия детерминированных адресов.

Цитата: deepceleron от 17 января 2014 года, 3:51:51 PM

Это также хороший повод, чтобы отправить свои платежи из хорошо прошли специальную проверку клиента Bitcoin, а не повторное использование адресов или подписать много вещей с микросхемой "Деньги" адрес.

deepceleron, вы читали эту статью https://eprint.iacr.org/2013/734.pdf

Можете ли вы помочь мне понять повторное использование адреса проблемы и относится ли к "за сообщение секрет" обозначаться К в приведенном выше документе .. введенный в разделе 2.4

Для того, чтобы избежать использования же за сообщение секрет, что ваши рекомендации по наилучшей практике?

Ваш опыт будет оценен, в качестве основы Образов. Комитет неплотно предположил, что я исследую эту тему для публикаций для бизнеса.

Я не хочу продолжать толкать эту нить, которая имеет взрывное название. Я хочу обсудить secp256k1 зрело где-то, без пугающих магглов. моды / heores / gmaxwell не стесняйтесь сказать мне, где вы предпочли бы я иду ...

Мы не играем с психологией здесь. Nor политика.
Это вся математика и естественные науки - прилипает к ней.
Риск того, что этот Algos есть черный ход не только некоторые сумасшедшие теории. По крайней мере, не для меня. Это серьезное дерьмо 🙂
Вы действительно собираетесь рисковать все ваши деньги на том, что нет бэкдора?
Потому что я предпочел бы не ...

16 января 2014, 10:19:08 PM	# 1
Evil-Knievel Сообщения: 1078 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Это сообщение было слишком стар и продут

16 января 2014, 10:24:17 PM	# 2
Evil-Knievel Сообщения: 1078 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Получил 1806 Биткоинов Реальная история. Это сообщение было слишком стар и продут

16 января 2014, 10:48:10 PM	# 3
Помните, помните 5 ноября Сообщения: 1610 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Как вы слово нить напоминает мне о X-Files http://en.wikipedia.org/wiki/Trust_No_1

16 января 2014, 11:26:22 PM	# 4
ivroer Сообщений: 85 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Отказ от ответственности: Я не криптография эксперт (даже не близко). Но я считаю, что эллиптическая кривая [secp256k1], которая используется в Bitcoin находится в специальном классе под названием кривые Köblitz, по какой-то причине это делает его менее вероятным (невозможно?), Что предварительно заданные параметры кривой были "приготовленный" сделать бэкдор атаки возможно для создателей. Хотя я считаю, ведущим к этому кривой имеет преимущество в производительности для проверки подписи, но с тем недостатком, что он предлагает только 128-битный уровень безопасности против предполагаемого уровня безопасности 256-бит. Надеюсь, эксперт там может объяснить это лучше, чем я.

17 января 2014, 1:26:26 AM	# 5
Mashuri Сообщения: 135 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут http://safecurves.cr.yp.to/ Они, кажется, не слишком взволнованы с secp256k1

17 января 2014, 3:55:29 AM	# 6
lnternet Сообщения: 296 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Мы используем р = 2 ^ 256 - 2 ^ 32 - 977 источник: https://en.bitcoin.it/wiki/Secp256k1 Виталик Бутерин написал большой пункт адресации именно свою точку зрения: котировка Простота этих параметров дает NSA / NIST очень мало простора для маневра, чтобы создать заведомо плохую кривую. И даже конкретные значения 0, 7 и 977 могут быть оправданы ограничениями безопасности и эффективности, поэтому вероятность того, что эллиптические параметры кривой Bitcoin были выбраны с злым умыслом является очень низкой действительно. источник: http://bitcoinmagazine.com/7781/satoshis-genius-unexpected-ways-in-which-bitcoin-dodged-some-cryptographic-bullet/

17 января 2014, 9:44:23 AM	# 7
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Премьер используется в нашем кривом был выбран из соображений производительности. К сожалению, это не поможет теории заговора, потому что премьер использовал это то, что называется простым Солинас: http://eprint.iacr.org/2010/058.pdf .... имя Джером Солинаса, который является одним из ведущих математиков АНБА.

17 января 2014, 9:48:15 AM	# 8
behindtext Сообщения: 121 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Цитата: Майк Херн на 17 января 2014 года, 9:44:23 AM Премьер используется в нашем кривом был выбран из соображений производительности. К сожалению, это не поможет теории заговора, потому что премьер использовал это то, что называется простым Солинас: http://eprint.iacr.org/2010/058.pdf .... имя Джером Солинаса, который является одним из ведущих математиков АНБА. поэтому мы не можем доверять NSA поставляемых магических чисел? Следующая вещь, которую вы знаете, мы узнаем, что мы все шпионят все время, чтобы защитить нас от невидимой исламской badguys.

17 января 2014, 3:51:51 PM	# 9
deepceleron Сообщения: 1512 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Так как эта нить читается больше из-за своим зажигательным первым после субъекта без проблемы или решения, я буду перепечатывать более выпукло документ, который я имел взгляд через. По существу, реализация атаки неисправности, описанная на сжатых ключах может сделать ECDSA секретной обнаруживаемой атакующим с немногими или даже одной подписи и безопасностью сводится к 2 ^ 50 вместо ~ 2 ^ 128, но может осуществляться из очень тонкого клиентского кода реализации изменить, например, изменение знака у. http://perso.univ-rennes1.fr/reynald.lercier/file/FLRV08.pdf котировка С кривой secp256k1, порядок закручивания 3Ч197Ч1559Ч96769Ч 146849Ч2587814237219Ч375925338294461779Ч 101009178936527559588563023359. Так на реализации без защиты, злоумышленник может вычислить дискретный логарифм в твисте со стоимостью 2⁵⁰ и получить секретный скаляр при п = 256. Это, наряду с другими проблемами зависит от платформы, казалось бы хорошим аргументом для Bitcoin, чтобы вытащить код из OpenSSL и свернуть свою собственную реализацию ECDSA и его собственной энтропии сбора недетерминированное генератор случайных, так что это не влияет на компиляции против слепо доверенных пользовательских библиотек. FIPS140 может быть уменьшено с безопасностью случайным образом, и это вариант компиляции в OpenSSL. Это также хороший повод, чтобы отправить свои платежи из хорошо прошли специальную проверку клиента Bitcoin, а не повторное использование адресов или подписать много вещей с микросхемой "Деньги" адрес.

17 января 2014, 6:34:14 PM	# 10
Пера Сообщения: 406 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Существует уже старая нить по Hal об этой кривой: https://bitcointalk.org/?topic=2699.0 Я всегда был заинтригован о том, почему Satoshi выбрать secp256k1, Bitcoin является единственным программным обеспечением, я знаю, что использовать его. Но теперь у нас есть Ed25519 ...

17 января 2014, 6:42:16 PM	# 11
BurtW Сообщения: 2128 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Мы высоко техническую нить об этом уже: В этой теме я действительно связался с человеком, который в настоящее время является руководитель организации, которая первоначально выбранных параметров для secp256k1 и у нас был большой электронный разговор о том, как были выбраны параметры. Пожалуйста, прочитайте эту нить. Я думаю, что большинство людей, которые участвовали в этом потоке были убеждены, что выбор параметров все имело смысл, и не было никакого способа, "задняя дверь" был помещен в выборе параметров. То же самое можно сказать и о secp256r1. Существует довольно хорошее резюме большую часть информации, начиная здесь: но я думаю, что весь поток, в том числе процесса открытия довольно хорошо.

17 января 2014, 6:48:08 PM	# 12
BurtW Сообщения: 2128 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Цитата: Пера на 17 января 2014 года, 6:34:14 PM Существует уже старая нить по Hal об этой кривой: https://bitcointalk.org/?topic=2699.0 Я всегда был заинтригован о том, почему Satoshi выбрать secp256k1, Bitcoin является единственным программным обеспечением, я знаю, что использовать его. Но теперь у нас есть Ed25519 ... Когда я связался с парнем и сказал ему Bitcoin использует secp256k1 его первый ответ был "Фантастика! Я не думаю, что кто-либо использовал нашу кривую" Либо дизайн или везения Bitcoin использует один из немногих кривых не спроектированные или выбран либо АНБ или NIST.

17 января 2014, 6:56:55 PM	# 13
BurtW Сообщения: 2128 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Цитата: deepceleron от 17 января 2014 года, 3:51:51 PM Это, наряду с другими проблемами зависит от платформы, казалось бы хорошим аргументом для Bitcoin, чтобы вытащить код из OpenSSL и свернуть свою собственную реализацию ECDSA и его собственной энтропии сбора недетерминированное генератор случайных, так что это не влияет на компиляции против слепо доверенных пользовательских библиотек. FIPS140 может быть уменьшено с безопасностью случайным образом, и это вариант компиляции в OpenSSL. Это также хороший повод, чтобы отправить свои платежи из хорошо прошли специальную проверку клиента Bitcoin, а не повторное использование адресов или подписать много вещей с микросхемой "Деньги" адрес. Как Bitcoin известно из болезненного личного опыта нашей ECDSA зависит от источника хороших случайных чисел, но это не вина параметров кривых. Было высказано предположение о том, что мы переходим к новому ECDSA, что не требует одноразового номера. Это было бы решить эту проблему случайного числа раз и навсегда.

18 января 2014, 6:48:45 PM	# 14
piotr_n Сообщения: 1778 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Удивительная тема. Благодаря!

18 января 2014, 7:35:02 PM	# 15
MatthewLM Сообщения: 1092 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Если есть черный ход, это не по всей видимости, были еще использованы, так, что бы они ждали?

19 января 2014, 3:04:45 AM	# 16
oakpacific Сообщения: 798 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Давайте предположим на минуту, что мы сможем управлять миграцией, что жесткая вилка может быть успешно выполнена, есть ли другая цифровая схема подписи с сопоставимой производительностью, длиной ключа, историей широкого использования, как ECC и RSA, что мы можем перейти на? Любой заботится просветить меня? Кроме того, Apple, кажется, не особенно беспокоит Curve25519 ....

19 января 2014, 10:46:59 AM	# 17
behindtext Сообщения: 121 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Цитата: oakpacific от 19 января 2014 года, 3:04:45 AM Давайте предположим на минуту, что мы сможем управлять миграцией, что жесткая вилка может быть успешно выполнена, есть ли другая цифровая схема подписи с сопоставимой производительностью, длиной ключа, историей широкого использования, как ECC и RSA, что мы можем перейти на? Любой заботится просветить меня? Кроме того, Apple, кажется, не особенно беспокоит Curve25519 .... я думаю, что точки вы назвать точно, почему криптография прошла путь он имеет в последние 30-40 лет. алгоритмы не считаются полезной, если все остальные не уже использовать их, создавая проблему курицы и яйца заместитель, который наклонен по существу в пользу АНБ и его sockpuppet, NIST. поскольку люди опасаются использование малоиспользуемых шифров и режимов, что делает манипулирование стандартов обработки очень мощный метод для АНБА, чтобы контролировать качество и повсеместное распространение шифрования. Есть несколько других вариантов, кроме ECC для системы с небольшими клавишами с, насколько кто знает публично, сравнительно высокий уровень безопасности. я бы, конечно, взять curve25519 над secp256k1, но перенастройки BTC адресного пространства будет очень нетривиальным, и все будет поставлять обычное "но вы не можете доказать, что это работает!" аргумент. я не знаком с любыми другими малыми ключевыми шифрами, которые могли бы быть хорошей заменой. это очень плохо, что NTRU имеет такие огромные размеры ключей и покрыта многими патентами: имо, это самый интересный вариант для ИПК в настоящее время, так как она включает в себя почти нулевой магические константы, в отличие от RSA и ECC.

19 января 2014, 2:06:04 PM	# 18
oakpacific Сообщения: 798 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Цитата: behindtext от 19 января 2014 года, 10:46:59 AM Цитата: oakpacific от 19 января 2014 года, 3:04:45 AM Давайте предположим на минуту, что мы сможем управлять миграцией, что жесткая вилка может быть успешно выполнена, есть ли другая цифровая схема подписи с сопоставимой производительностью, длиной ключа, историей широкого использования, как ECC и RSA, что мы можем перейти на? Любой заботится просветить меня? Кроме того, Apple, кажется, не особенно беспокоит Curve25519 .... я думаю, что точки вы назвать точно, почему криптография прошла путь он имеет в последние 30-40 лет. алгоритмы не считаются полезной, если все остальные не уже использовать их, создавая проблему курицы и яйца заместитель, который наклонен по существу в пользу АНБ и его sockpuppet, NIST. поскольку люди опасаются использование малоиспользуемых шифров и режимов, что делает манипулирование стандартов обработки очень мощный метод для АНБА, чтобы контролировать качество и повсеместное распространение шифрования. Есть несколько других вариантов, кроме ECC для системы с небольшими клавишами с, насколько кто знает публично, сравнительно высокий уровень безопасности. я бы, конечно, взять curve25519 над secp256k1, но перенастройки BTC адресного пространства будет очень нетривиальным, и все будет поставлять обычное "но вы не можете доказать, что это работает!" аргумент. я не знаком с любыми другими малыми ключевыми шифрами, которые могли бы быть хорошей заменой. это очень плохо, что NTRU имеет такие огромные размеры ключей и покрыта многими патентами: имо, это самый интересный вариант для ИПК в настоящее время, так как она включает в себя почти нулевой магические константы, в отличие от RSA и ECC. Если все только хранит ultrapruned цепи (не рекомендуется, конечно), то размер ключа NTRU не может быть проблемой, как только хэш-ключ будет сохранен в любом случае. Но в конце концов, я думаю, что это, вероятно, лучше держать Дамоклов меч ECDSA висит над нами, так что каждый чувствует некоторую актуальность, когда дело доходит до принятия детерминированных адресов.

19 января 2014, 7:44:23 PM	# 19
Altoidnerd Сообщения: 406 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Цитата: deepceleron от 17 января 2014 года, 3:51:51 PM Это также хороший повод, чтобы отправить свои платежи из хорошо прошли специальную проверку клиента Bitcoin, а не повторное использование адресов или подписать много вещей с микросхемой "Деньги" адрес. deepceleron, вы читали эту статью https://eprint.iacr.org/2013/734.pdf Можете ли вы помочь мне понять повторное использование адреса проблемы и относится ли к "за сообщение секрет" обозначаться К в приведенном выше документе .. введенный в разделе 2.4 Для того, чтобы избежать использования же за сообщение секрет, что ваши рекомендации по наилучшей практике? Ваш опыт будет оценен, в качестве основы Образов. Комитет неплотно предположил, что я исследую эту тему для публикаций для бизнеса. Я не хочу продолжать толкать эту нить, которая имеет взрывное название. Я хочу обсудить secp256k1 зрело где-то, без пугающих магглов. моды / heores / gmaxwell не стесняйтесь сказать мне, где вы предпочли бы я иду ...

19 января 2014, 8:40:29 PM	# 20
piotr_n Сообщения: 1778 Цитировать по имени цитировать ответ	Re: Это сообщение было слишком стар и продут Мы не играем с психологией здесь. Nor политика. Это вся математика и естественные науки - прилипает к ней. Риск того, что этот Algos есть черный ход не только некоторые сумасшедшие теории. По крайней мере, не для меня. Это серьезное дерьмо 🙂 Вы действительно собираетесь рисковать все ваши деньги на том, что нет бэкдора? Потому что я предпочел бы не ...

Заголовок