Почему Bitcoin выбрать secp256k1 над secp256r1?

что-то я нахожу довольно обескураживает о Bitcoin является отсутствие обоснования / объяснения для некоторых проектных решений, в частности, выбор делать 256-битовые ECDSA над secp256k1 пары ключей против secp256r1 (а.к.а. P-256) для кошельков.

лучшее, что я мог бы найти на форуме в этой теме с 2011 года - https://bitcointalk.org/?topic=2699.0

NIST рекомендует использовать secp256r1, а в более общем случае предпочитает случайные параметры кривых на те Köblitz. я могу только догадываться, почему этот выбор был сделан, вот пара возможных причин:

* NIST устанавливает стандарты для GOVT крипто АНБ / США и искренне заботится о безопасности каждого. они обнаружили, что случайные кривые являются более безопасными, чем те Köblitz.
* NIST сделал преднамеренно плохое предложение использовать secp256r1, поэтому он действует как приманка. они обнаружили, что кривые Köblitz на самом деле более безопасные, чем случайные.

с этими причинами в виде, я мог видеть Bitcoin, имеющие аналогичные обоснования:

* Satoshi была информация, которая привела его / их поверить, что secp256r1 действительно приманка и что secp256k1 был лучшим выбором для реальной безопасности
* Satoshi знал, что secp256k1 был слаб и намеренно включили его в Bitcoin, чтобы сделать Bitcoin в приманке

учитывая, что проектные решения для обоих шифров BTC и NIST оба полностью непрозрачным, это трудно сделать хорошее предположение об их мотивации. У меня есть аналогичные оговорки по поводу использования base58 везде, но это меньше озабоченность с точки зрения безопасности.

кто может предоставить обоснование для использования secp256k1 над secp256r1, кроме "что это именно так, как это" или "так что это было написано в замечательной книге"?

Случайные кривые действительно не какой-либо более или менее безопасным, чем другие кривые, они просто более консервативны. Учитывая некоторые произвольные постоянные, с которыми можно инициализировать алгоритмы, выбирая случайных чисел (или, точнее, ничего-до-мой рукав номера) является одним из способов укрепления доверия, что нет никаких забавных игр, которую играют с конкретными выборами.

Тем не менее, метод Г позволяет гораздо быстрее вычисления, когда эти константы не случайно выбраны, а выбираются в соответствии с некоторыми критериями. Это открывает возможность, что при выборе значения таким образом, какая-то неведомая слабость вводятся, но никто никогда не был в состоянии показать, что неслучайные кривые фактически являются более небезопасными.

Там не было никаких дальнейших обсуждений этой темы, поскольку исходный поток вы связаны.

Цитата: Майк Хирн 09 марта 2013 года, 1:43:23 PM

Тем не менее, метод Г позволяет гораздо быстрее вычисления, когда эти константы не случайно выбраны, а выбираются в соответствии с некоторыми критериями. Это открывает возможность, что при выборе значения таким образом, какая-то неведомая слабость вводятся, но никто никогда не был в состоянии показать, что неслучайные кривые фактически являются более небезопасными.

да, я видел, что он предлагает некоторые преимущества скорости. я не верю, что скорость проверки подписи в настоящее время является узким местом, но дополнительные циклы процессора всегда помогают.

Цитата: behindtext 09 марта 2013 года, 1:51:54 PM

Проверка подписи является, по сути, является узким местом. Он не использовал, чтобы быть, но в настоящее время. К сожалению, Ed25519 не было тогда ...

сипа говорила, что он считает, что это возможно, может удвоить скорость подписи проверки с помощью реализации специально созданной только для этого кривого (это за оптимизации GLv). Но мы посмотрим.

Цитата: gmaxwell 09 марта 2013 года, 1:57:37 PM

Цитата: behindtext 09 марта 2013 года, 1:51:54 PM

Может быть, кто-то должен начать продавать какой-то слот PCI-Express, посвященный ASIC сопроцессора для таких вычислений, чтобы смягчить это узкое место?

Если Bitcoin становится очень популярным, такие потребности могут возникнуть в будущем - я могу видеть рынок, что потом.

Цитата: gmaxwell 09 марта 2013 года, 1:57:37 PM

Цитата: behindtext 09 марта 2013 года, 1:51:54 PM

я всегда был немного опасаться Djb крипты, несмотря на то, парень, будучи довольно крупным производителем идеи-накрест. его Algos не так хорошо изучена, как стандартные, и он имеет тенденцию уступать "frankenlicenses" по его коду.

я предполагаю, что любое изменение в Bitcoin крипто потребует жесткую вилки в отсутствии водопровода, которые способствовали бы гладким изменениям шифра.

Цитата: behindtext 09 марта 2013 года, 7:03:57 PM

Все он делает это нестандартное. Он изобрел свою собственную FHS и инициализации реализации, только потому, что. Интеграция его программное обеспечение с любой системой туманно Unix-подобных огромная боль в заднице, что люди только когда-либо переносимой, потому что альтернативы его программное обеспечение (Bind) всасывается, что много в то время.

Цитата: behindtext 09 марта 2013 года, 7:03:57 PM

Ed25519 не curve25519. Ed25519 является работа Daniel J. Bernstein, Niels Duif, Tanja Lange, Питер Швабе, Бо-Инь Ян ..

"frankenlicenses" на какой-то код не имеют значения, так как никто не состоит в браке с конкретной реализацией ... хотя эталонная реализация Ed25519 является общественным достоянием.

котировка

я предполагаю, что любое изменение в Bitcoin крипто потребует жесткую вилки в отсутствии водопровода, которые способствовали бы гладким изменениям шифра.

Bitcoin может плавно подобрать новые методы подписи. Мы даже сделали развертывание этого с P2SH. Но большое убыстрение Ed25519, возможно, не стоимость и риск, поэтому никто не предлагает его по крайней мере сейчас.

Цитата: behindtext 09 марта 2013 года, 1:21:18 PM

что-то я нахожу довольно обескураживает о Bitcoin является отсутствие обоснования / объяснения для некоторых проектных решений, в частности, выбор делать 256-битовые ECDSA над secp256k1 пары ключей против secp256r1 (а.к.а. P-256) для бумажников ...

кто может предоставить обоснование для использования secp256k1 над secp256r1, кроме "что это именно так, как это" или "так что это было написано в замечательной книге"?

С 2007 года свидетельствует о том, что якобы случайные константы в secp256r1 могут быть подделаны АНБ, чтобы обеспечить заднюю дверь. Видеть http://www.wired.com/politics/security/commentary/securitymatters/2007/11/securitymatters_1115. Предположительно Satoshi знал об этом. Кривые Köblitz не может быть так "приготовленный"; видеть http://crypto.stackexchange.com/questions/10263/should-we-trust-the-nist-recommended-ecc-parameters/10273#10273.

Этот поток является _little_ в заблуждение. Автор пишет о традиционных характеристике 2 Köblitz кривых (например, NIST к кривым). SECP256k1 представляет собой кривую, которая не является частью стандарта NIST. Это обобщение Köblitz, но с простым полем, допускающей подобные излишества. Свобода дизайна для него это обобщение несколько больше, чем для характеристики 2 Köblitz. ... но дизайн помещения по-прежнему существенно ограничен, и я согласен с выводом о том, что сокращает место для тщательно отобранных значений.

Я не думаю, что Сатоши сделал вещи легко, я начал понимать Bitcoin все больше и больше, и теперь я смотрю в код C ++, и я думаю, что он очень тщательно продуманы системы, но отмел вопросы, чтобы поощрять исследования.

Этот алгоритм очень быстро и не реализованы широко, так что будет меньше эксплуатируют, и внутренняя структура может иметь что-то делать с этим ... но что бы понимание было? Я заинтригован, чтобы узнать.

Я также думал о размере ECDSA ... это крошечные по сравнению с аналогичными схемами.

Благодаря Сноуден & Брюс Шнайер, теперь мы знаем ответ. secp256r1 имеет лазейку NSA - см http://www.linuxadvocates.com/2013/09/is-openssls-cryptography-broken.html

Так что - в то время как бэкдор не действительно "горшок меда" это самый лучший ответ: -

Цитата: behindtext 09 марта 2013 года, 1:21:18 PM

* NIST сделал преднамеренно плохое предложение использовать secp256r1, поэтому он действует как приманка. они обнаружили, что кривые Köblitz на самом деле более безопасные, чем случайные.

* Satoshi была информация, которая привела его / их поверить, что secp256r1 действительно приманка и что secp256k1 был лучшим выбором для реальной безопасности

Цитата: CND от 03 декабря 2013 года, 1:00:17 PM

Цитата: behindtext 09 марта 2013 года, 1:21:18 PM

RedHat последовательно отказывались включать ECC в своих продуктах в течение длительного времени.

Они не будут обсуждать, почему помимо говоря «возможные патенты», которые на мой взгляд, является фигню.

Однако в последнее время они решили, что эти патентные вопросы были решены после стольких лет ерунды и в следующей версии RedHat Enterprise Linux они будут включать в себя версию OpenSSL с поддержкой ECC это недоставало так долго.

Стоит отметить, что они сделали это в довольно сложную работу, чтобы перейти к совместимому OpenSSL ECC без потенциально разрушая вашу установку Linux.

Все дело воняет секретное постановление суда для меня.

Дает ли это больше доверия к Ed25519?

Почему я нашел никого, перед тем gmaxwell, пытаясь проверить, если secp256r1 константы имеют смысл? Зачем?

Цитата: oakpacific от 03 декабря 2013 года, 1:17:05 PM

Почему я нашел никого, перед тем gmaxwell, пытаясь проверить, если secp256r1 константы имеют смысл? Зачем?

В спецификации описана как случайные, и если вы смотрели на и не думаете, что слишком трудно претензия случайного звучала довольно хорошо ... "Они использовали криптографический хэш, чтобы установить значение, на самом деле не любая алгебраическая структуры будет найти там!",

Как много вещей, его, кажется, совершенно очевидно, задним числом, но лично я думал только пересмотреть его, пока я был в середине разглагольствуя от кому-то "нет никаких реальных причин для беспокойства, они устанавливают их в случайном порядке, используя ... постойте!"... и даже тогда я проводил время возне вокруг с нуля доказательств knoweldge на основе Фиат-Шамира эвристики, в которой злоумышленник перемалывает в хэш в надежде получить повезло значение, которое имеет его делать успешные зонды проверки.

Я не был первым человеком, чтобы выразить некоторые оговорки в отношении методологии, используемой для кривых NIST (например, кривая RFC Brainpool показывает кривые NIST не любит), хотя я не знаю никого, указывая на то, что кто-то может иметь проверенные семена до тех пор, они получили более слабый (или сильнее) один, пока я не сделал, хотя я уверен, что другие _должны_ поняли это. Кроме того, более очевидно, в отличии от secp256k1 и ed25519, которые имеют fewer- почти бездекомпрессионные степени свободы.

Он был признан в презентации Djb и Тани Ланге в мае:

http://www.hyperelliptic.org/tanja/vortraege/20130531.pdf

Поиск слайдов для имени Джерри Солинас. Также смотрите слайд, содержащий фразу "Но что, если NSA знает слабость", И, как вы обратите внимание, что Brainpool RFC прямо говорит, что кривые NIST не дает никаких оснований для их исходных значений.

Я бы предположил, что, вероятно, в мире всего 10-15 человек, которые знали об этой проблеме до раздутия Сноуден, хотя.

Цитата: gmaxwell от 03 декабря 2013 года, 2:25:12 PM

Цитата: oakpacific от 03 декабря 2013 года, 1:17:05 PM

Почему я нашел никого, перед тем gmaxwell, пытаясь проверить, если secp256r1 константы имеют смысл? Зачем?

АНБ была наша психология прибила, она хорошо знает, что мы не будем беспокоить, чтобы выполнить некоторые тесты над своим постоянными, даже если миллионами из нас зависят от ECC каждого дня.

Ото, это очень повезло обучаться и шлепала в мире каждый день Bitcoin, то "ничего между вами и вашим врагом, но криптография" дизайн гарантирует, что никто не должен перестать быть параноиком (или по крайней мере бдительными), не получив наказания.

Цитата: Майк Хирн 03 декабря 2013 года, 2:30:53 PM

Я видел эту презентацию, но я не видел тщательного изучения других, чем gmaxwell сделал, а также слайд упоминает использование Apple, в Curve25519, а не кривую NIST констант, интересно, если они также знают о своих проблемах.

Некоторые основные Google-фу все еще оказывается на удивление мало о кривых secp256k1, используемых для этого протокола, даже после стольких лет.

Кто-нибудь есть какие-нибудь хорошие статьи / рецензии / демки на этой кривой, которая может помочь выявить, почему она была выбрана для Bitcoin, или в самом деле, если он подходит для долгосрочной Bitcoin использовать?

http://www.secg.org/collateral/sec2_final.pdf (2.7.1) при условии небольшого количества информации об этом, но я думаю, что я бы на самом деле искать это источники, доказывающие, что с помощью кривых Köblitz является более безопасным (или безопасность / ограничение его лучше поняли), чем при использовании "доказуемо случайным" кривые ...?

9 марта 2013, 1:21:18 PM	# 1
behindtext Сообщения: 121 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru что-то я нахожу довольно обескураживает о Bitcoin является отсутствие обоснования / объяснения для некоторых проектных решений, в частности, выбор делать 256-битовые ECDSA над secp256k1 пары ключей против secp256r1 (а.к.а. P-256) для кошельков. лучшее, что я мог бы найти на форуме в этой теме с 2011 года - https://bitcointalk.org/?topic=2699.0 NIST рекомендует использовать secp256r1, а в более общем случае предпочитает случайные параметры кривых на те Köblitz. я могу только догадываться, почему этот выбор был сделан, вот пара возможных причин: * NIST устанавливает стандарты для GOVT крипто АНБ / США и искренне заботится о безопасности каждого. они обнаружили, что случайные кривые являются более безопасными, чем те Köblitz. * NIST сделал преднамеренно плохое предложение использовать secp256r1, поэтому он действует как приманка. они обнаружили, что кривые Köblitz на самом деле более безопасные, чем случайные. с этими причинами в виде, я мог видеть Bitcoin, имеющие аналогичные обоснования: * Satoshi была информация, которая привела его / их поверить, что secp256r1 действительно приманка и что secp256k1 был лучшим выбором для реальной безопасности * Satoshi знал, что secp256k1 был слаб и намеренно включили его в Bitcoin, чтобы сделать Bitcoin в приманке учитывая, что проектные решения для обоих шифров BTC и NIST оба полностью непрозрачным, это трудно сделать хорошее предположение об их мотивации. У меня есть аналогичные оговорки по поводу использования base58 везде, но это меньше озабоченность с точки зрения безопасности. кто может предоставить обоснование для использования secp256k1 над secp256r1, кроме "что это именно так, как это" или "так что это было написано в замечательной книге"?

9 марта 2013, 1:43:23 PM	# 2
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Получил 1806 Биткоинов Реальная история. Случайные кривые действительно не какой-либо более или менее безопасным, чем другие кривые, они просто более консервативны. Учитывая некоторые произвольные постоянные, с которыми можно инициализировать алгоритмы, выбирая случайных чисел (или, точнее, ничего-до-мой рукав номера) является одним из способов укрепления доверия, что нет никаких забавных игр, которую играют с конкретными выборами. Тем не менее, метод Г позволяет гораздо быстрее вычисления, когда эти константы не случайно выбраны, а выбираются в соответствии с некоторыми критериями. Это открывает возможность, что при выборе значения таким образом, какая-то неведомая слабость вводятся, но никто никогда не был в состоянии показать, что неслучайные кривые фактически являются более небезопасными. Там не было никаких дальнейших обсуждений этой темы, поскольку исходный поток вы связаны.

9 марта 2013, 1:51:54 PM	# 3
behindtext Сообщения: 121 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: Майк Хирн 09 марта 2013 года, 1:43:23 PM Тем не менее, метод Г позволяет гораздо быстрее вычисления, когда эти константы не случайно выбраны, а выбираются в соответствии с некоторыми критериями. Это открывает возможность, что при выборе значения таким образом, какая-то неведомая слабость вводятся, но никто никогда не был в состоянии показать, что неслучайные кривые фактически являются более небезопасными. да, я видел, что он предлагает некоторые преимущества скорости. я не верю, что скорость проверки подписи в настоящее время является узким местом, но дополнительные циклы процессора всегда помогают.

9 марта 2013, 1:57:37 PM	# 4
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: behindtext 09 марта 2013 года, 1:51:54 PM да, я видел, что он предлагает некоторые преимущества скорости. я не верю, что скорость проверки подписи в настоящее время является узким местом, но дополнительные циклы процессора всегда помогают. Проверка подписи является, по сути, является узким местом. Он не использовал, чтобы быть, но в настоящее время. К сожалению, Ed25519 не было тогда ...

9 марта 2013, 3:40:49 PM	# 5
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? сипа говорила, что он считает, что это возможно, может удвоить скорость подписи проверки с помощью реализации специально созданной только для этого кривого (это за оптимизации GLv). Но мы посмотрим.

9 марта 2013, 6:40:14 PM	# 6
ShadowOfHarbringer Сообщения: 1470 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: gmaxwell 09 марта 2013 года, 1:57:37 PM Цитата: behindtext 09 марта 2013 года, 1:51:54 PM да, я видел, что он предлагает некоторые преимущества скорости. я не верю, что скорость проверки подписи в настоящее время является узким местом, но дополнительные циклы процессора всегда помогают. Проверка подписи является, по сути, является узким местом. Он не использовал, чтобы быть, но в настоящее время. К сожалению, Ed25519 не было тогда ... Может быть, кто-то должен начать продавать какой-то слот PCI-Express, посвященный ASIC сопроцессора для таких вычислений, чтобы смягчить это узкое место? Если Bitcoin становится очень популярным, такие потребности могут возникнуть в будущем - я могу видеть рынок, что потом.

9 марта 2013, 7:03:57 PM	# 7
behindtext Сообщения: 121 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: gmaxwell 09 марта 2013 года, 1:57:37 PM Цитата: behindtext 09 марта 2013 года, 1:51:54 PM да, я видел, что он предлагает некоторые преимущества скорости. я не верю, что скорость проверки подписи в настоящее время является узким местом, но дополнительные циклы процессора всегда помогают. Проверка подписи является, по сути, является узким местом. Он не использовал, чтобы быть, но в настоящее время. К сожалению, Ed25519 не было тогда ... я всегда был немного опасаться Djb крипты, несмотря на то, парень, будучи довольно крупным производителем идеи-накрест. его Algos не так хорошо изучена, как стандартные, и он имеет тенденцию уступать "frankenlicenses" по его коду. я предполагаю, что любое изменение в Bitcoin крипто потребует жесткую вилки в отсутствии водопровода, которые способствовали бы гладким изменениям шифра.

9 марта 2013, 7:12:43 PM	# 8
justusranvier Сообщения: 1400 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: behindtext 09 марта 2013 года, 7:03:57 PM я всегда был немного опасаться Djb крипты, несмотря на то, парень, будучи довольно крупным производителем идеи-накрест. его Algos не так хорошо изучена, как стандартные, и он имеет тенденцию уступать "frankenlicenses" по его коду. Все он делает это нестандартное. Он изобрел свою собственную FHS и инициализации реализации, только потому, что. Интеграция его программное обеспечение с любой системой туманно Unix-подобных огромная боль в заднице, что люди только когда-либо переносимой, потому что альтернативы его программное обеспечение (Bind) всасывается, что много в то время.

9 марта 2013, 7:31:39 PM	# 9
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: behindtext 09 марта 2013 года, 7:03:57 PM я всегда был немного опасаться Djb крипты, несмотря на то, парень, будучи довольно крупным производителем идеи-накрест. его Algos не так хорошо изучена, как стандартные, и он имеет тенденцию уступать "frankenlicenses" по его коду. Ed25519 не curve25519. Ed25519 является работа Daniel J. Bernstein, Niels Duif, Tanja Lange, Питер Швабе, Бо-Инь Ян .. "frankenlicenses" на какой-то код не имеют значения, так как никто не состоит в браке с конкретной реализацией ... хотя эталонная реализация Ed25519 является общественным достоянием. котировка я предполагаю, что любое изменение в Bitcoin крипто потребует жесткую вилки в отсутствии водопровода, которые способствовали бы гладким изменениям шифра. Bitcoin может плавно подобрать новые методы подписи. Мы даже сделали развертывание этого с P2SH. Но большое убыстрение Ed25519, возможно, не стоимость и риск, поэтому никто не предлагает его по крайней мере сейчас.

11 сентября 2013, 8:26:43 PM	# 10
gafter Сообщений: 17 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: behindtext 09 марта 2013 года, 1:21:18 PM что-то я нахожу довольно обескураживает о Bitcoin является отсутствие обоснования / объяснения для некоторых проектных решений, в частности, выбор делать 256-битовые ECDSA над secp256k1 пары ключей против secp256r1 (а.к.а. P-256) для бумажников ... кто может предоставить обоснование для использования secp256k1 над secp256r1, кроме "что это именно так, как это" или "так что это было написано в замечательной книге"? С 2007 года свидетельствует о том, что якобы случайные константы в secp256r1 могут быть подделаны АНБ, чтобы обеспечить заднюю дверь. Видеть http://www.wired.com/politics/security/commentary/securitymatters/2007/11/securitymatters_1115. Предположительно Satoshi знал об этом. Кривые Köblitz не может быть так "приготовленный"; видеть http://crypto.stackexchange.com/questions/10263/should-we-trust-the-nist-recommended-ecc-parameters/10273#10273.

11 сентября 2013, 8:33:34 PM	# 11
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Этот поток является _little_ в заблуждение. Автор пишет о традиционных характеристике 2 Köblitz кривых (например, NIST к кривым). SECP256k1 представляет собой кривую, которая не является частью стандарта NIST. Это обобщение Köblitz, но с простым полем, допускающей подобные излишества. Свобода дизайна для него это обобщение несколько больше, чем для характеристики 2 Köblitz. ... но дизайн помещения по-прежнему существенно ограничен, и я согласен с выводом о том, что сокращает место для тщательно отобранных значений.

12 сентября 2013, 3:16:10 PM	# 12
jdbtracker Сообщения: 687 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Я не думаю, что Сатоши сделал вещи легко, я начал понимать Bitcoin все больше и больше, и теперь я смотрю в код C ++, и я думаю, что он очень тщательно продуманы системы, но отмел вопросы, чтобы поощрять исследования. Этот алгоритм очень быстро и не реализованы широко, так что будет меньше эксплуатируют, и внутренняя структура может иметь что-то делать с этим ... но что бы понимание было? Я заинтригован, чтобы узнать. Я также думал о размере ECDSA ... это крошечные по сравнению с аналогичными схемами.

3 декабря 2013, 1:00:17 PM	# 13
CND Сообщения: 6 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Благодаря Сноуден & Брюс Шнайер, теперь мы знаем ответ. secp256r1 имеет лазейку NSA - см http://www.linuxadvocates.com/2013/09/is-openssls-cryptography-broken.html Так что - в то время как бэкдор не действительно "горшок меда" это самый лучший ответ: - Цитата: behindtext 09 марта 2013 года, 1:21:18 PM * NIST сделал преднамеренно плохое предложение использовать secp256r1, поэтому он действует как приманка. они обнаружили, что кривые Köblitz на самом деле более безопасные, чем случайные. * Satoshi была информация, которая привела его / их поверить, что secp256r1 действительно приманка и что secp256k1 был лучшим выбором для реальной безопасности

3 декабря 2013, 1:06:50 PM	# 14
Самсон Сообщения: 1274 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: CND от 03 декабря 2013 года, 1:00:17 PM Благодаря Сноуден & Брюс Шнайер, теперь мы знаем ответ. secp256r1 имеет лазейку NSA - см http://www.linuxadvocates.com/2013/09/is-openssls-cryptography-broken.html Так что - в то время как бэкдор не действительно "горшок меда" это самый лучший ответ: - Цитата: behindtext 09 марта 2013 года, 1:21:18 PM * NIST сделал преднамеренно плохое предложение использовать secp256r1, поэтому он действует как приманка. они обнаружили, что кривые Köblitz на самом деле более безопасные, чем случайные. * Satoshi была информация, которая привела его / их поверить, что secp256r1 действительно приманка и что secp256k1 был лучшим выбором для реальной безопасности RedHat последовательно отказывались включать ECC в своих продуктах в течение длительного времени. Они не будут обсуждать, почему помимо говоря «возможные патенты», которые на мой взгляд, является фигню. Однако в последнее время они решили, что эти патентные вопросы были решены после стольких лет ерунды и в следующей версии RedHat Enterprise Linux они будут включать в себя версию OpenSSL с поддержкой ECC это недоставало так долго. Стоит отметить, что они сделали это в довольно сложную работу, чтобы перейти к совместимому OpenSSL ECC без потенциально разрушая вашу установку Linux. Все дело воняет секретное постановление суда для меня. Дает ли это больше доверия к Ed25519?

3 декабря 2013, 1:17:05 PM	# 15
oakpacific Сообщения: 798 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Почему я нашел никого, перед тем gmaxwell, пытаясь проверить, если secp256r1 константы имеют смысл? Зачем?

3 декабря 2013, 2:25:12 PM	# 16
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: oakpacific от 03 декабря 2013 года, 1:17:05 PM Почему я нашел никого, перед тем gmaxwell, пытаясь проверить, если secp256r1 константы имеют смысл? Зачем? В спецификации описана как случайные, и если вы смотрели на и не думаете, что слишком трудно претензия случайного звучала довольно хорошо ... "Они использовали криптографический хэш, чтобы установить значение, на самом деле не любая алгебраическая структуры будет найти там!", Как много вещей, его, кажется, совершенно очевидно, задним числом, но лично я думал только пересмотреть его, пока я был в середине разглагольствуя от кому-то "нет никаких реальных причин для беспокойства, они устанавливают их в случайном порядке, используя ... постойте!"... и даже тогда я проводил время возне вокруг с нуля доказательств knoweldge на основе Фиат-Шамира эвристики, в которой злоумышленник перемалывает в хэш в надежде получить повезло значение, которое имеет его делать успешные зонды проверки. Я не был первым человеком, чтобы выразить некоторые оговорки в отношении методологии, используемой для кривых NIST (например, кривая RFC Brainpool показывает кривые NIST не любит), хотя я не знаю никого, указывая на то, что кто-то может иметь проверенные семена до тех пор, они получили более слабый (или сильнее) один, пока я не сделал, хотя я уверен, что другие _должны_ поняли это. Кроме того, более очевидно, в отличии от secp256k1 и ed25519, которые имеют fewer- почти бездекомпрессионные степени свободы.

3 декабря 2013, 2:30:53 PM	# 17
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Он был признан в презентации Djb и Тани Ланге в мае: http://www.hyperelliptic.org/tanja/vortraege/20130531.pdf Поиск слайдов для имени Джерри Солинас. Также смотрите слайд, содержащий фразу "Но что, если NSA знает слабость", И, как вы обратите внимание, что Brainpool RFC прямо говорит, что кривые NIST не дает никаких оснований для их исходных значений. Я бы предположил, что, вероятно, в мире всего 10-15 человек, которые знали об этой проблеме до раздутия Сноуден, хотя.

3 декабря 2013, 2:44:43 PM	# 18
oakpacific Сообщения: 798 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: gmaxwell от 03 декабря 2013 года, 2:25:12 PM Цитата: oakpacific от 03 декабря 2013 года, 1:17:05 PM Почему я нашел никого, перед тем gmaxwell, пытаясь проверить, если secp256r1 константы имеют смысл? Зачем? В спецификации описана как случайные, и если вы смотрели на и не думаете, что слишком трудно претензия случайного звучала довольно хорошо ... "Они использовали криптографический хэш, чтобы установить значение, на самом деле не любая алгебраическая структуры будет найти там!", Как много вещей, его, кажется, совершенно очевидно, задним числом, но лично я думал только пересмотреть его, пока я был в середине разглагольствуя от кому-то "нет никаких реальных причин для беспокойства, они устанавливают их в случайном порядке, используя ... постойте!"... и даже тогда я проводил время возне вокруг с нуля доказательств knoweldge на основе Фиат-Шамира эвристики, в которой злоумышленник перемалывает в хэш в надежде получить повезло значение, которое имеет его делать успешные зонды проверки. Я не был первым человеком, чтобы выразить некоторые оговорки в отношении методологии, используемой для кривых NIST (например, кривая RFC Brainpool показывает кривые NIST не любит), хотя я не знаю никого, указывая на то, что кто-то может иметь проверенные семена до тех пор, они получили более слабый (или сильнее) один, пока я не сделал, хотя я уверен, что другие _должны_ поняли это. Кроме того, более очевидно, в отличии от secp256k1 и ed25519, которые имеют fewer- почти бездекомпрессионные степени свободы. АНБ была наша психология прибила, она хорошо знает, что мы не будем беспокоить, чтобы выполнить некоторые тесты над своим постоянными, даже если миллионами из нас зависят от ECC каждого дня. Ото, это очень повезло обучаться и шлепала в мире каждый день Bitcoin, то "ничего между вами и вашим врагом, но криптография" дизайн гарантирует, что никто не должен перестать быть параноиком (или по крайней мере бдительными), не получив наказания.

3 декабря 2013, 2:52:30 PM	# 19
oakpacific Сообщения: 798 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Цитата: Майк Хирн 03 декабря 2013 года, 2:30:53 PM Он был признан в презентации Djb и Тани Ланге в мае: http://www.hyperelliptic.org/tanja/vortraege/20130531.pdf Поиск слайдов для имени Джерри Солинас. Также смотрите слайд, содержащий фразу "Но что, если NSA знает слабость", И, как вы обратите внимание, что Brainpool RFC прямо говорит, что кривые NIST не дает никаких оснований для их исходных значений. Я бы предположил, что, вероятно, в мире всего 10-15 человек, которые знали об этой проблеме до раздутия Сноуден, хотя. Я видел эту презентацию, но я не видел тщательного изучения других, чем gmaxwell сделал, а также слайд упоминает использование Apple, в Curve25519, а не кривую NIST констант, интересно, если они также знают о своих проблемах.

16 декабря 2013, 4:08:18 PM	# 20
e4xit Сообщения: 302 Цитировать по имени цитировать ответ	Re: почему Bitcoin выбрать secp256k1 над secp256r1? Некоторые основные Google-фу все еще оказывается на удивление мало о кривых secp256k1, используемых для этого протокола, даже после стольких лет. Кто-нибудь есть какие-нибудь хорошие статьи / рецензии / демки на этой кривой, которая может помочь выявить, почему она была выбрана для Bitcoin, или в самом деле, если он подходит для долгосрочной Bitcoin использовать? http://www.secg.org/collateral/sec2_final.pdf (2.7.1) при условии небольшого количества информации об этом, но я думаю, что я бы на самом деле искать это источники, доказывающие, что с помощью кривых Köblitz является более безопасным (или безопасность / ограничение его лучше поняли), чем при использовании "доказуемо случайным" кривые ...?

Заголовок