Плохие подписи, ведущие к 55.82152538 краже BTC (до сих пор)

Я видел только это обсуждалось в разделе Новенькие, так что я думал, что я бы открыть нить здесь для более технического обсуждения этого вопроса.

Несколько человек сообщили их BTC украдены и отправлены в https://blockchain.info/address/1HKywxiL4JziqXrzLKhmB6a74ma6kxbSDj

Как вы можете видеть адрес в настоящее время содержит 55.82152538 украденные монеты.

Было замечено, что монеты все передаются через несколько часов после того, как клиент неправильно подписывает сделку по повторному использованию то же случайное число. Как обсуждалось здесь:

http://en.wikipedia.org/wiki/Elliptic_Curve_DSA

повторное использование одного и того же значения K позволяет любому быть в состоянии восстановить закрытый ключ.

Оказывается, что это то, что может быть.

Оказывается, что ошибка происходит в обоих blockchain.info андроида бумажника и бумажнике Andreas Шильдбов Android, так что я подозреваю, что ошибку в криптографической библиотеке или деталь реализации совместно обоими приложениями.

Это обсуждалось в этой теме с более техническими должностями быть эти два:

Проверьте две сделки, размещенные здесь (которые сделали привести к краже 0.9184236 BTC в этой сделке https://blockchain.info/tx/211c135e58dc55bcce4c71dc02eae2dffc5a55387c29e8144bf1cd1e8878e52e)

Цитата: johoe от 08 августа 2013 года, 12:55:52 PM

@ Зенона Genesis

Для вас плохие сделки были
https://blockchain.info/tx/b6350f4339a59faf09bfc2a4086c2261598f46f257517ce53785145c964799bc
https://blockchain.info/tx/38fbb8a3ff718dd7c8006feb6aa9ed6add1772522781b0db95abb350a859220b

которые используют один и тот же R-значение в подписи. Странно, что то же самое случайное число генерировали в двух сделках, которые четыре дня друг от друга. Это не соответствует обычной схеме. Какой Bitcoin клиента вы используете?

Кража транзакции произошли менее чем пять часов после операции, которая повторно использовать R-значение.

Цитата: BurtW 10 августа 2013, 10:53:13 PM

Было замечено, что монеты все передаются через несколько часов после того, как клиент неправильно подписывает сделку по повторному использованию то же случайное число. Как обсуждалось здесь http://en.wikipedia.org/wiki/Elliptic_Curve_DSA повторное использование одного и того же значения K позволяет любому быть в состоянии восстановить закрытый ключ.

Как долго это займет владелец бассейна, чтобы начать сканирование mempool операций и заменить уязвимые из них?

Цитата: Smolen 10 августа 2013, 11:47:04 PM

Как долго это займет владелец бассейна, чтобы начать сканирование mempool операций и заменить уязвимые из них?

Вы имеете в виду, они должны взломать секретный ключ для адреса, а затем снова сделать подпись? Это только кажется, полулегально.

Он не может даже решить эту проблему, все узлы получают все транзакции непосредственно. Было бы сделать его немного сложнее, узел должен быть всегда онлайн, а не только того, чтобы сканировать шарнирную цепь через каждый час или около того.

Конечно, если эти приложения не постоянно повторно использовать адрес экспозиция здесь- то, что основная причина, в конечном счете, оказывается, быть- будет намного меньше.

Это похоже на серьезную проблему!

Извинения, если я задаю вопрос с очевидным ответом, но есть способ, пользователь может легко проверить, если то же самое случайное число было использовано для второй операции, прежде чем передавать его?

Цитата: chriswilmer от 11 августа 2013 года, 4:11:45 AM

Это не большая проблема, если вы используете Bitcoin правильно (то есть, не повторное использование адресов).

Цитата: chriswilmer от 11 августа 2013 года, 4:11:45 AM

Это похоже на серьезную проблему!
Извинения, если я задаю вопрос с очевидным ответом, но есть способ, пользователь может легко проверить, если то же самое случайное число было использовано для второй операции, прежде чем передавать его?

Нет, не легкий путь, чтобы сделать это. Плюс программное обеспечение на самом деле помочь вам сделать это будет сложнее, чем программное обеспечение, необходимое, чтобы сделать супер-уверены, что это не может произойти. (Например, выбрать случайное слово как SHA256 (сообщение || privkey || случайная величина) - хотя, если ваш RNG плохо вы также должны беспокоиться о слабых ключей))

Цитата: gmaxwell от 11 августа 2013 года, 5:48:21 AM

Цитата: chriswilmer от 11 августа 2013 года, 4:11:45 AM

Это похоже на серьезную проблему!
Извинения, если я задаю вопрос с очевидным ответом, но есть способ, пользователь может легко проверить, если то же самое случайное число было использовано для второй операции, прежде чем передавать его?

Благодаря!

Цитата: BurtW 10 августа 2013, 10:53:13 PM

повторное использование одного и того же значения K позволяет любому быть в состоянии восстановить закрытый ключ.

Оказывается, что это то, что может быть.

Оказывается, что ошибка происходит в обоих blockchain.info андроида бумажника и бумажнике Andreas Шильдбов Android, так что я подозреваю, что ошибку в криптографической библиотеке или деталь реализации совместно обоими приложениями.

Уч ...

Спасибо за информацию - я провел все утро тройной проверки, если мой кошелек не будет делать такую же ошибку, по случайности.
Кажется, что я в порядке, но ты меня испугался, сэр

Я видел это подправить некоторое время назад, кажется, есть некоторые вебы-кошельки, которые используют бедные генерации случайных чисел для каждой транзакции, или, как в этом случае аппаратного кошелька.

http://www.nilsschneider.net/2013/01/28/recovering-bitcoin-private-keys.html

Цитата: Luke-Jr, 11 августа 2013 года, 5:40:08 AM

Цитата: chriswilmer от 11 августа 2013 года, 4:11:45 AM

Это не большая проблема, если вы используете Bitcoin правильно (то есть, не повторное использование адресов).

Это не может быть предложено ваше решение этой проблемы - "Просто никогда не использовать Bitcoin адрес более одного раза"?
В то время как это имеет смысл, по соображениям секретности, это не нужно делать именно так, вы не получите ваши монеты украдены.

Если, например, я даю кому-то Bitcoin адрес, чтобы он мог сделать повторяющиеся платежи какой-то ко мне, мне нужно повторно использовать этот адрес. Все остальное будет просто главная боль в заднице.

Да. Тезис, что повторное использование адреса не "используя Bitcoin правильно", Немного странно, чтобы не сказать больше. Особенно сказал как решение для парня, который играет SatoshiDice ...

Цитата: физалис от 11 августа 2013 года, 12:29:22 PM

Цитата: Luke-Jr, 11 августа 2013 года, 5:40:08 AM

Это не большая проблема, если вы используете Bitcoin правильно (то есть, не повторное использование адресов).

Вы можете получить каждую сделку, которая была отправлена по этому адресу и не обеспечивают ни одного из своих затраченных выходов имеют ту же сигнатуру в сценарии. Но основная проблема заключается в генерации случайных чисел.

Даже если вы хотите сделать регулярные платежи, вы все равно должны сформировать адрес каждый раз. В противном случае вы рискуете серьезно связать свой адрес с вашей личностью. Это не боль в заднице, его лучшей практика для анонимности, независимо от этого текущого плохого вопроса подписи.

Цитата: TierNolan от 11 августа 2013 года, 2:16:10 AM

Цитата: Smolen 10 августа 2013, 11:47:04 PM

Как долго это займет владелец бассейна, чтобы начать сканирование mempool операций и заменить уязвимые из них?

Вы имеете в виду, они должны взломать секретный ключ для адреса, а затем снова сделать подпись? Это только кажется, полулегально.

Нечаянно раскрытие секретного ключа с помощью некорректного программного обеспечения такого же, как случайно публикации секретного ключа на этом форуме. Ключевой держатель эффективно отказывается от своего права на Bitcoins путем раскрытия ключа.

Если один имеет облажался ГСЧ, не повторное использование адреса не делает его более безопасным в любом случае, если тот же генератор используется для создания новых частных ключей.

Цитата: Luke-Jr, 11 августа 2013 года, 5:40:08 AM

Это не большая проблема, если вы используете Bitcoin правильно (то есть, не повторное использование адресов).

Хм ... так что ни один из клиентов не упоминается повторно использовать адрес для изменения (как это не то, что конечный пользователь обычно имеет никакого контроля над)?

Цитата: piotr_n от 11 августа 2013 года, 12:33:26 PM

Тезис, что повторное использование адреса не "используя Bitcoin правильно", Немного странно, чтобы не сказать больше.

Я просто перепечатывать соответствующую часть моего поста с другого форума

Цитата: Smolen от 11 августа 2013 года, 12:13:42 PM

Даже правильное повторное использование ECDSA секретного ключа делает его менее безопасным. Satoshi сделал очень хорошую работу, защищая Bitcoin от возможных будущих достижений в области криптографии - новые адреса создаются, когда это уместно, перед первым (и, в идеале, последний) используйте открытый ключ является секретным, только хеш от него (адреса) подвергаются воздействию общественности. Но Satoshi не запрещал преднамеренное повторное использование адреса, что делает ключ повторного использования возможно.

Цитата: Fuserleer от 11 августа 2013 года, 12:29:47 AM

КРИВОЕ эллиптическое поле кривого и уравнение, используемое
G эллиптической кривой базовая точка, генератор эллиптической кривой с большим простого порядка п
п целое число, порядок G, означает, что п * G = O

   Вычислить е = \ textrm {HASH} (м), где HASH представляет собой криптографический хэш-функция, такие как SHA-1.
   Пусть г на L_n крайний левый бит е, где L_n является немного длина группы порядка п.
   Выбрать случайное число к из [1, п-1]. - Это то, что имеет значение
   Вычислить точку кривой (x_1, y_1) = K * G.
   Вычислить г = x_1 \ ПМОД {N}. Если R = 0, вернуться к шагу 3.
   Рассчитать з = к ^ {- 1} (г + г D_A) \ PMOD {п}. Если s = 0, вернитесь к шагу 3.
   Подпись пара (R, S).

И каждый (R, S) пара происходит от того же дА и экспонировали публике означает больше пищи для hyperlinearization и SAT-решателей. (В один прекрасный день эти два зверя будут собираться вместе и дают плодовитое потомство)

Цитата: Smolen от 11 августа 2013 года, 12:13:42 PM

Конечно - я полностью согласен с вами и спасибо за указание на это.
Но все-таки, повторное использование адреса является одной из основных особенностей Bitcoin - иначе наша жизнь была бы гораздо сложнее.
Bitcoin бы, наверное, никогда не был принят, в кулак место, если один не может повторно использовать адрес.

Кроме того, если это так важно для безопасности, детерминированные бумажники, кажется, не быть правильный путь, чтобы идти вперед, не так ли?

Цитата: piotr_n от 11 августа 2013 года, 12:57:12 PM

Я не претендую быть экспертом здесь, но выглядит как сама Bitcoin и детерминированных бумажники прямо сейчас вне досягаемости для SAT-решателей и XSL атак. Мы будем предупреждены о прогрессе в этих областях нового yottahashes в горнодобывающей сложности

Я думаю, что мы обсуждали достаточно "политика" на данный момент, и хотел бы вернуться к фактическому техническому вопросу. Если я получу шанс позже сегодня я планирую загрузить исходный код для андроид кошельке и увидеть, если я могу найти фактический код подписи и посмотреть, что они делают.

Цитата: dice64 от 11 августа 2013 года, 12:17:18 PM

Спасибо за это писать. Он описывает именно то, что они делают.

Это является сутью здесь (очищены это немного):

котировка

Вычислить е = HASH (м), где Хэш криптографической хэш-функции, такие как SHA-1.
   Пусть г л_N крайние левые биты е, где L_N это бит длина группы порядка п.
   Выбрать случайное число к из [1, п-1].
   Вычислить точку кривой (Икс₁, Y₁) = К * Г.
   подсчитывать р = х₁ (Мод п). Если R = 0, вернуться к шагу 3.
   Рассчитать сек = к^-1(Г + г д) (По модулю п). Если s = 0, вернитесь к шагу 3.
   Подпись пара (R, S).

То же к приведет к тому же х₁ координат, что приведет к тому же самому г.

10 августа 2013, 10:53:13 PM	# 1
BurtW Сообщения: 2114 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Я видел только это обсуждалось в разделе Новенькие, так что я думал, что я бы открыть нить здесь для более технического обсуждения этого вопроса. Несколько человек сообщили их BTC украдены и отправлены в https://blockchain.info/address/1HKywxiL4JziqXrzLKhmB6a74ma6kxbSDj Как вы можете видеть адрес в настоящее время содержит 55.82152538 украденные монеты. Было замечено, что монеты все передаются через несколько часов после того, как клиент неправильно подписывает сделку по повторному использованию то же случайное число. Как обсуждалось здесь: http://en.wikipedia.org/wiki/Elliptic_Curve_DSA повторное использование одного и того же значения K позволяет любому быть в состоянии восстановить закрытый ключ. Оказывается, что это то, что может быть. Оказывается, что ошибка происходит в обоих blockchain.info андроида бумажника и бумажнике Andreas Шильдбов Android, так что я подозреваю, что ошибку в криптографической библиотеке или деталь реализации совместно обоими приложениями. Это обсуждалось в этой теме с более техническими должностями быть эти два: Проверьте две сделки, размещенные здесь (которые сделали привести к краже 0.9184236 BTC в этой сделке https://blockchain.info/tx/211c135e58dc55bcce4c71dc02eae2dffc5a55387c29e8144bf1cd1e8878e52e) Цитата: johoe от 08 августа 2013 года, 12:55:52 PM @ Зенона Genesis Для вас плохие сделки были https://blockchain.info/tx/b6350f4339a59faf09bfc2a4086c2261598f46f257517ce53785145c964799bc https://blockchain.info/tx/38fbb8a3ff718dd7c8006feb6aa9ed6add1772522781b0db95abb350a859220b которые используют один и тот же R-значение в подписи. Странно, что то же самое случайное число генерировали в двух сделках, которые четыре дня друг от друга. Это не соответствует обычной схеме. Какой Bitcoin клиента вы используете? Кража транзакции произошли менее чем пять часов после операции, которая повторно использовать R-значение.

10 августа 2013, 11:47:04 PM	# 2
Смолен Сообщения: 525 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Получил 1806 Биткоинов Реальная история. Цитата: BurtW 10 августа 2013, 10:53:13 PM Было замечено, что монеты все передаются через несколько часов после того, как клиент неправильно подписывает сделку по повторному использованию то же случайное число. Как обсуждалось здесь http://en.wikipedia.org/wiki/Elliptic_Curve_DSA повторное использование одного и того же значения K позволяет любому быть в состоянии восстановить закрытый ключ. Как долго это займет владелец бассейна, чтобы начать сканирование mempool операций и заменить уязвимые из них?

11 августа 2013, 2:16:10 AM	# 3
TierNolan Сообщения: 1148 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: Smolen 10 августа 2013, 11:47:04 PM Как долго это займет владелец бассейна, чтобы начать сканирование mempool операций и заменить уязвимые из них? Вы имеете в виду, они должны взломать секретный ключ для адреса, а затем снова сделать подпись? Это только кажется, полулегально. Он не может даже решить эту проблему, все узлы получают все транзакции непосредственно. Было бы сделать его немного сложнее, узел должен быть всегда онлайн, а не только того, чтобы сканировать шарнирную цепь через каждый час или около того.

11 августа 2013, 2:26:33 AM	# 4
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Конечно, если эти приложения не постоянно повторно использовать адрес экспозиция здесь- то, что основная причина, в конечном счете, оказывается, быть- будет намного меньше.

11 августа 2013, 4:11:45 AM	# 5
chriswilmer Сообщения: 1008 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Это похоже на серьезную проблему! Извинения, если я задаю вопрос с очевидным ответом, но есть способ, пользователь может легко проверить, если то же самое случайное число было использовано для второй операции, прежде чем передавать его?

11 августа 2013, 5:40:08 AM	# 6
Luke-Jr Сообщения: 2282 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: chriswilmer от 11 августа 2013 года, 4:11:45 AM Это похоже на серьезную проблему! Извинения, если я задаю вопрос с очевидным ответом, но есть способ, пользователь может легко проверить, если то же самое случайное число было использовано для второй операции, прежде чем передавать его? Это не большая проблема, если вы используете Bitcoin правильно (то есть, не повторное использование адресов).

11 августа 2013, 5:48:21 AM	# 7
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: chriswilmer от 11 августа 2013 года, 4:11:45 AM Это похоже на серьезную проблему! Извинения, если я задаю вопрос с очевидным ответом, но есть способ, пользователь может легко проверить, если то же самое случайное число было использовано для второй операции, прежде чем передавать его? Нет, не легкий путь, чтобы сделать это. Плюс программное обеспечение на самом деле помочь вам сделать это будет сложнее, чем программное обеспечение, необходимое, чтобы сделать супер-уверены, что это не может произойти. (Например, выбрать случайное слово как SHA256 (сообщение \|\| privkey \|\| случайная величина) - хотя, если ваш RNG плохо вы также должны беспокоиться о слабых ключей))

11 августа 2013, 5:49:09 AM	# 8
chriswilmer Сообщения: 1008 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: gmaxwell от 11 августа 2013 года, 5:48:21 AM Цитата: chriswilmer от 11 августа 2013 года, 4:11:45 AM Это похоже на серьезную проблему! Извинения, если я задаю вопрос с очевидным ответом, но есть способ, пользователь может легко проверить, если то же самое случайное число было использовано для второй операции, прежде чем передавать его? Нет, не легкий путь, чтобы сделать это. Плюс программное обеспечение на самом деле помочь вам сделать это будет сложнее, чем программное обеспечение, необходимое, чтобы сделать супер-уверены, что это не может произойти. (Например, выбрать случайное слово как SHA256 (сообщение \|\| privkey \|\| случайная величина) - хотя, если ваш RNG плохо вы также должны беспокоиться о слабых ключей)) Благодаря!

11 августа 2013, 11:49:08 AM	# 9
piotr_n Сообщения: 1778 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: BurtW 10 августа 2013, 10:53:13 PM повторное использование одного и того же значения K позволяет любому быть в состоянии восстановить закрытый ключ. Оказывается, что это то, что может быть. Оказывается, что ошибка происходит в обоих blockchain.info андроида бумажника и бумажнике Andreas Шильдбов Android, так что я подозреваю, что ошибку в криптографической библиотеке или деталь реализации совместно обоими приложениями. Уч ... Спасибо за информацию - я провел все утро тройной проверки, если мой кошелек не будет делать такую же ошибку, по случайности. Кажется, что я в порядке, но ты меня испугался, сэр

11 августа 2013, 12:17:18 PM	# 10
dice64 Сообщений: 34 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Я видел это подправить некоторое время назад, кажется, есть некоторые вебы-кошельки, которые используют бедные генерации случайных чисел для каждой транзакции, или, как в этом случае аппаратного кошелька. http://www.nilsschneider.net/2013/01/28/recovering-bitcoin-private-keys.html

11 августа 2013, 12:29:22 PM	# 11
Физалис Сообщения: 392 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: Luke-Jr, 11 августа 2013 года, 5:40:08 AM Цитата: chriswilmer от 11 августа 2013 года, 4:11:45 AM Это похоже на серьезную проблему! Извинения, если я задаю вопрос с очевидным ответом, но есть способ, пользователь может легко проверить, если то же самое случайное число было использовано для второй операции, прежде чем передавать его? Это не большая проблема, если вы используете Bitcoin правильно (то есть, не повторное использование адресов). Это не может быть предложено ваше решение этой проблемы - "Просто никогда не использовать Bitcoin адрес более одного раза"? В то время как это имеет смысл, по соображениям секретности, это не нужно делать именно так, вы не получите ваши монеты украдены. Если, например, я даю кому-то Bitcoin адрес, чтобы он мог сделать повторяющиеся платежи какой-то ко мне, мне нужно повторно использовать этот адрес. Все остальное будет просто главная боль в заднице.

11 августа 2013, 12:33:26 PM	# 12
piotr_n Сообщения: 1778 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Да. Тезис, что повторное использование адреса не "используя Bitcoin правильно", Немного странно, чтобы не сказать больше. Особенно сказал как решение для парня, который играет SatoshiDice ...

11 августа 2013, 12:47:11 PM	# 13
dice64 Сообщений: 34 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: физалис от 11 августа 2013 года, 12:29:22 PM Цитата: Luke-Jr, 11 августа 2013 года, 5:40:08 AM Это не большая проблема, если вы используете Bitcoin правильно (то есть, не повторное использование адресов). Это не может быть предложено ваше решение этой проблемы - "Просто никогда не использовать Bitcoin адрес более одного раза"? В то время как это имеет смысл, по соображениям секретности, это не нужно делать именно так, вы не получите ваши монеты украдены. Если, например, я даю кому-то Bitcoin адрес, чтобы он мог сделать повторяющиеся платежи какой-то ко мне, мне нужно повторно использовать этот адрес. Все остальное будет просто главная боль в заднице. Вы можете получить каждую сделку, которая была отправлена по этому адресу и не обеспечивают ни одного из своих затраченных выходов имеют ту же сигнатуру в сценарии. Но основная проблема заключается в генерации случайных чисел. Даже если вы хотите сделать регулярные платежи, вы все равно должны сформировать адрес каждый раз. В противном случае вы рискуете серьезно связать свой адрес с вашей личностью. Это не боль в заднице, его лучшей практика для анонимности, независимо от этого текущого плохого вопроса подписи.

11 августа 2013, 12:48:49 PM	# 14
Смолен Сообщения: 525 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: TierNolan от 11 августа 2013 года, 2:16:10 AM Цитата: Smolen 10 августа 2013, 11:47:04 PM Как долго это займет владелец бассейна, чтобы начать сканирование mempool операций и заменить уязвимые из них? Вы имеете в виду, они должны взломать секретный ключ для адреса, а затем снова сделать подпись? Это только кажется, полулегально. Нечаянно раскрытие секретного ключа с помощью некорректного программного обеспечения такого же, как случайно публикации секретного ключа на этом форуме. Ключевой держатель эффективно отказывается от своего права на Bitcoins путем раскрытия ключа.

11 августа 2013, 12:52:35 PM	# 15
piotr_n Сообщения: 1778 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Если один имеет облажался ГСЧ, не повторное использование адреса не делает его более безопасным в любом случае, если тот же генератор используется для создания новых частных ключей.

11 августа 2013, 12:53:29 PM	# 16
CIYAM Сообщения: 1862 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: Luke-Jr, 11 августа 2013 года, 5:40:08 AM Это не большая проблема, если вы используете Bitcoin правильно (то есть, не повторное использование адресов). Хм ... так что ни один из клиентов не упоминается повторно использовать адрес для изменения (как это не то, что конечный пользователь обычно имеет никакого контроля над)?

11 августа 2013, 12:54:32 PM	# 17
Смолен Сообщения: 525 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: piotr_n от 11 августа 2013 года, 12:33:26 PM Тезис, что повторное использование адреса не "используя Bitcoin правильно", Немного странно, чтобы не сказать больше. Я просто перепечатывать соответствующую часть моего поста с другого форума Цитата: Smolen от 11 августа 2013 года, 12:13:42 PM Даже правильное повторное использование ECDSA секретного ключа делает его менее безопасным. Satoshi сделал очень хорошую работу, защищая Bitcoin от возможных будущих достижений в области криптографии - новые адреса создаются, когда это уместно, перед первым (и, в идеале, последний) используйте открытый ключ является секретным, только хеш от него (адреса) подвергаются воздействию общественности. Но Satoshi не запрещал преднамеренное повторное использование адреса, что делает ключ повторного использования возможно. Цитата: Fuserleer от 11 августа 2013 года, 12:29:47 AM КРИВОЕ эллиптическое поле кривого и уравнение, используемое G эллиптической кривой базовая точка, генератор эллиптической кривой с большим простого порядка п п целое число, порядок G, означает, что п * G = O Вычислить е = \ textrm {HASH} (м), где HASH представляет собой криптографический хэш-функция, такие как SHA-1. Пусть г на L_n крайний левый бит е, где L_n является немного длина группы порядка п. Выбрать случайное число к из [1, п-1]. - Это то, что имеет значение Вычислить точку кривой (x_1, y_1) = K * G. Вычислить г = x_1 \ ПМОД {N}. Если R = 0, вернуться к шагу 3. Рассчитать з = к ^ {- 1} (г + г D_A) \ PMOD {п}. Если s = 0, вернитесь к шагу 3. Подпись пара (R, S). И каждый (R, S) пара происходит от того же дА и экспонировали публике означает больше пищи для hyperlinearization и SAT-решателей. (В один прекрасный день эти два зверя будут собираться вместе и дают плодовитое потомство)

11 августа 2013, 12:57:12 PM	# 18
piotr_n Сообщения: 1778 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: Smolen от 11 августа 2013 года, 12:13:42 PM Даже правильное повторное использование ECDSA секретного ключа делает его менее безопасным. Satoshi сделал очень хорошую работу, защищая Bitcoin от возможных будущих достижений в области криптографии - новые адреса создаются, когда это уместно, перед первым (и, в идеале, последний) используйте открытый ключ является секретным, только хеш от него (адреса) подвергаются воздействию общественности. Но Satoshi не запрещал преднамеренное повторное использование адреса, что делает ключ повторного использования возможно. Конечно - я полностью согласен с вами и спасибо за указание на это. Но все-таки, повторное использование адреса является одной из основных особенностей Bitcoin - иначе наша жизнь была бы гораздо сложнее. Bitcoin бы, наверное, никогда не был принят, в кулак место, если один не может повторно использовать адрес. Кроме того, если это так важно для безопасности, детерминированные бумажники, кажется, не быть правильный путь, чтобы идти вперед, не так ли?

11 августа 2013, 1:21:23 PM	# 19
Смолен Сообщения: 525 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Цитата: piotr_n от 11 августа 2013 года, 12:57:12 PM Конечно - я полностью согласен с вами и спасибо за указание на это. Но все-таки, повторное использование адреса является одной из основных особенностей Bitcoin - иначе наша жизнь была бы гораздо сложнее. Bitcoin бы, наверное, никогда не был принят, в кулак место, если один не может повторно использовать адрес. Кроме того, если это так важно для безопасности, детерминированные бумажники, кажется, не быть правильный путь, чтобы идти вперед, не так ли? Я не претендую быть экспертом здесь, но выглядит как сама Bitcoin и детерминированных бумажники прямо сейчас вне досягаемости для SAT-решателей и XSL атак. Мы будем предупреждены о прогрессе в этих областях нового yottahashes в горнодобывающей сложности

11 августа 2013, 1:22:13 PM	# 20
BurtW Сообщения: 2114 Цитировать по имени цитировать ответ	Re: Плохие подписи, ведущие к 55.82152538 кражи BTC (до сих пор) Я думаю, что мы обсуждали достаточно "политика" на данный момент, и хотел бы вернуться к фактическому техническому вопросу. Если я получу шанс позже сегодня я планирую загрузить исходный код для андроид кошельке и увидеть, если я могу найти фактический код подписи и посмотреть, что они делают. Цитата: dice64 от 11 августа 2013 года, 12:17:18 PM Я видел это подправить некоторое время назад, кажется, есть некоторые вебы-кошельки, которые используют бедные генерации случайных чисел для каждой транзакции, или, как в этом случае аппаратного кошелька. http://www.nilsschneider.net/2013/01/28/recovering-bitcoin-private-keys.html Спасибо за это писать. Он описывает именно то, что они делают. Это является сутью здесь (очищены это немного): котировка Вычислить е = HASH (м), где Хэш криптографической хэш-функции, такие как SHA-1. Пусть г л_N крайние левые биты е, где L_N это бит длина группы порядка п. Выбрать случайное число к из [1, п-1]. Вычислить точку кривой (Икс₁, Y₁) = К * Г. подсчитывать р = х₁ (Мод п). Если R = 0, вернуться к шагу 3. Рассчитать сек = к^-1(Г + г д) (По модулю п). Если s = 0, вернитесь к шагу 3. Подпись пара (R, S). То же к приведет к тому же х₁ координат, что приведет к тому же самому г.

Заголовок