Bitcoin использует криптографию эллиптической кривую для своих ключей и подписей, но конкретные кривой используются довольно необычно. Это называется secp256k1, от стандарта под названием SEC2, опубликованной группой под названием SECG, http://www.secg.org/index.php?action=secg,docs_secg.
Принимая имя secp256k1 друг от друга, сек происходит от стандарта, р означает, что координаты кривой простое поле, 256 означает, что простое имеет длину 256 бит, к означает, что он представляет собой вариант на так называемой кривой Köblitz, а 1 означает его первый (и единственный) кривая этого типа в стандарте. Это все хорошо, и общее, за исключением части Köblitz кроме. Кривые Köblitz представляют собой особый вид эллиптических кривых, которые имеют некоторую внутреннюю структуру, которая может быть использована для ускорения вычислений. Стандарты органов, как правило, уклоняется от кривых Köblitz из страха, что эта внутренняя структура когда-нибудь может быть использована, чтобы получить новую атаку. Действительно наверняка кривые Köblitz, но не secp256k1, потерять пару десятков битой защиты в известной атаку.
Большинство стандартов используют так называемые случайные кривые, когда они используют простые поля. SEC2 также включает в себя случайные кривые, а следующий один за secp256k1 называется secp256r1. Эти кривые, secp256r1, широко стандартизированы и используются, в том числе правительства США, который называет его P-256.
Я не знаю, обоснование использования secp256k1. Она имеет потенциал для скорости - Я видел оценки от 33% до 50% ускорения - но методы весьма эзотерические, как это не обычные кривых Коблиц, и я сомневаюсь, что реализация OpenSSL использует это. Я не потерять много спать по теоретической возможности нападения на secp256k1, но это, вероятно, будет менее широко применяется. Я посмотрел на BouncyCastle, широко используемой библиотека Java крипты, и они закомментирован код secp256k1. В то время как secp256r1 (P-256) вполне может быть кривая по умолчанию для нативных криптографических ключей в будущей ОС.
Это не было бы изменить, чтобы сделать легко, но мы могли бы рассмотреть вопрос о переходе к этому более широко используется стандартной кривой. Мы должны были бы отметить новые ключи, чтобы отличить их, и быть готовы к обработке оба вида подписей.
Вопрос состоит в том, будем ли мы когда-нибудь достичь точки, где клиенты могли бы устранить поддержку старого кривой? Может быть, только шахтеры могли сохранить поддержку, а также тот факт, что сделка попала в блок с некоторыми подтверждениями будет достаточно доказательств того, что это действительно было.
|
|
||||||
9 января 2011, 5:58:24 AM
|
# 1 |
Сообщения: 314
цитировать ответ |
Re: secp256k1
Взлом Биткоин адресов.
500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru |
|
|
|
Как заработать Биткоины?
Без вложений. Не майнинг.
|
9 января 2011, 1:04:21 PM
|
# 2 |
|
Сообщения: 1526
цитировать ответ |
Re: secp256k1
Получил 1806 Биткоинов
Реальная история. Были ли вы по почте Satoshi спросить его? Мне было бы интересно в том, почему это было выбрано слишком. К сожалению, я не реально получить убедительные ответы в последний раз, когда я спросил Satoshi объяснить выбор деталей; некоторые реализации (например, почему 21М монеты, ответ "догадка"), Но, возможно, вы бы лучше удачи.
Bitcoin адреса уже есть версия коды в них, так что это не будет технически слишком сложно для переключения кривых для вновь созданных ключей - просто вопрос ждет достаточно долго для людей, чтобы обновить их клиентов. Я не думаю, что это, скорее всего, поддержка старых адресов когда-либо будет удален, будучи в состоянии сделать полную проверку блока цепи, вероятно, будет функцией желательно любой не тонким клиентом Implementor. Тем не менее, должно быть сильное обоснование. Отсутствие поддержки, кажется, не будет достаточно хорошей причиной. У меня есть реализация Java на основе Замок Надувной работает отлично с этой кривой, и Helmut в IRC отметил он имел он работает в Python тоже. В худшем случае вы должны указать параметры в библиотеку самостоятельно, но это не сложно. Возможность нападения на кривых Köblitz является более сильной причиной, даже если это только воспринимаемый риск, а не заслуживающий доверия один. Поддержка может быть прекращена в медленно в течение долгого времени, например, клиенты могут быть запрограммированы, чтобы начать создавать secp256r1 ключей по умолчанию в год после их введений, как измерен во время блока. Это позволит уменьшить разрушение значительно. |
|
|
|
|
9 января 2011, 5:44:15 PM
|
# 3 |
|
Сообщения: 1652
цитировать ответ |
Re: secp256k1
Я согласен с mh--, если есть вопросы, реальная совместимость или недостатки, то это были бы хорошим поводом для переключения кривых.
Если нет, sep256k1 кажется много достаточно хорошо для обозримого будущего. Я думаю, что большинство программистов (включая меня), имеет тенденцию беспокоиться о малой вероятности "что если" Проблемы, которые мы знаем, как решить, когда мы будем лучше думать о высокой вероятности проблем, которые мы не хотим думать о том, потому что мы уже не знаем, как их решить. Как аутентификация кошелька многофакторной так трояны не воруют кошельки пользователей .... |
|
|
|
|
9 января 2011, 6:43:11 PM
|
# 4 |
|
Сообщения: 487
цитировать ответ |
Re: secp256k1
Нахождение реализации в Java, который не будет конфликтовать с версией БК на Android было немного трудно, но я нашел flexiprovider [1], который имеет достойную реализацию в Java, ни одна идея, если они не используют некоторые трюки SpeedUp. Но для мобильных устройств возможности проверки транзакций с участием моего собственный адрес является обязательным, а затем с помощью простого / быстрого алгоритма будет иметь смысл 🙂
[1] http://flexiprovider.de/ |
|
|
|
|
9 января 2011, 8:46:12 PM
|
# 5 |
|
Сообщения: 1526
цитировать ответ |
Re: secp256k1
Это по-прежнему стоит рассматривать отойти от secp256k1, как изменения, как это намного проще сделать в проектах рано, чем поздно, и быть убедительным криптография за Bitcoin должен быть неоспоримым. Если один день Bitcoin имеет сотни тысяч пользователей мы не хотим люди, использующие это как клуб бить нас по голове.
Это говорит Гэвин совершенно справедливо, что по сравнению с другими проблемами безопасности Bitcoin имеет (вредоносное ПО, DoS) это один звучит немного тривиально. Как насчет предлагая график свитки к Satoshi и видя, что он думает? Выполнение мудро не было бы огромным бременем, я думаю. КСТАТИ Крис, вы можете использовать Bouncy Castle на Android, вы просто должны использовать легкий API и переименовать его, чтобы не иметь те же имена пакетов. Хороший IDE может сделать это автоматически. |
|
|
|
|
9 января 2011, 9:03:06 PM
|
# 6 |
|
Сообщения: 289
цитировать ответ |
Re: secp256k1
Были ли вы по почте Satoshi спросить его? О, МОЙ БОГ. Будет ли кто-нибудь по почте Satoshi, чтобы сообщить ему о существовании этого форума? Извините за горькие, но это становится сложно. |
|
|
|
|
9 января 2011, 9:55:59 PM
|
# 7 |
Сообщения: 1526
цитировать ответ |
Re: secp256k1
Satoshi делает общаться как по электронной почте, и этот форум. У меня было несколько хороших с ним беседы о аспектах системы Bitcoin.
Изменение кривых будет означать новую версию адреса (легкий), новый OP_CHECKSIG эквивалент для новой кривой и модернизации сети, чтобы понять, как из них. Что еще я забыл? /Майк |
|
|
|
|
10 января 2011, 1:08:37 AM
|
# 8 |
|
Сообщения: 416
цитировать ответ |
Re: secp256k1
премьер имеет длину 256 бит, к означает, что он представляет собой вариант на так называемой кривой Köblitz, а 1 означает, что он является первым (и только) кривая этого типа в стандарте. Это все хорошо, и общее, за исключением части Köblitz кроме. Кривые Köblitz представляют собой особый вид эллиптических кривых, которые имеют некоторую внутреннюю структуру, которая может быть использована для ускорения вычислений. Я не в курсе каких-либо академических криптографических документов, которые относятся к любому кривому над простыми полями как кривые Köblitz. Стандарты органы публикации не учитываются в качестве научных работ, и я считаю, что их включение "К" во имя является особенным. Действительно стандартные состояния "Здесь .. [термин "Коблиц"] Обобщаются для обозначения также кривой над F_p, которые обладают эффективно вычислимой эндоморфизм. [Allong линии на бумаге Gallant, Ламберт и Ванстоуном "Быстрее точка Умножение на эллиптических кривых с Efficient эндоморфизмов"] Эта схема, как правило, называют в литературе как "метод Г" При выборе соответствующей криптографии можно варьировать "размер" Параметр, который имеет очевидное влияние на безопасность. Вы также можете варьировать "особенность" который может параметр Я существенно увеличить скорость за счет небольшого снижения в эффективном "размер", Прежде чем беспокоиться теряет ли особый характер secp256k1 кривых несколько бит безопасности по отношению к случайному кривому, мы должны исследовать, что рассуждения информировали выбор кривой 256bit. Возможно, 224 бит или 192 бит кривая а был бы вполне удовлетворительным. В таком случае, теоретическая потеря безопасности в связи с особым характером secp256k1 кривым является несущественной в то время как увеличение скорости по-прежнему полезно. Я предвижу общую тенденцию к использованию более специализированных кривых над ванильными случайными эллиптическими кривыми, как выигрыш в производительности является существенным. Это сравнимо со смещением от ванильного RSA к более специализированной ECC в обмен на более короткие ключи, что произошло около десяти лет назад. Я вижу мало оснований для ухода secp256k1 без полной реконструкции Bitcoin для устранения существующих недостатков в масштабируемости и реализации безопасности. Будущие схемы, однако, следует избегать жесткого кодирования какой-либо конкретной реализации основных криптографических примитивов. ByteCoin |
|
|
|
|
10 января 2011, 10:35:03 AM
|
# 9 |
|
Сообщения: 1526
цитировать ответ |
Re: secp256k1
Я считаю, что ключевым фактор в выборе кривого, размера и даже сам ECC был размером блока цепи - которая в конечном счете, на основе набора образованных догадок. Key.h файл содержит список размеров подписи наверху вместе с комментарием, что система скрипт может кодировать подписи до 75 байт с одного размера опкодом. Это трудно понять, если это причина или нет, но это кажется вероятным.
Стать полностью родовым будет означать параметры кривого кодирования в ... где? Адреса? Сценарии и, таким образом, блок цепь? Все те будут совершать сделки гораздо более крупные и уменьшить масштабируемость сети в качестве результата. Мы знаем, что Satoshi заботится много о размере блока цепи, поэтому мы не можем вставлять сообщения в транзакцию. /Майк |
|
|
|
|
10 января 2011, 2:28:50 PM
|
# 10 |
|
Сообщения: 149
цитировать ответ |
Re: secp256k1
Я не криптограф, что вы все, как представляется, но, для меня эта дискуссия поднимает тревожный момент. Вы все, кажется, говорят, что алгоритм шифрования для генерации Bitcoin и будущей безопасности изменчив в это время. Как так? Я думал, что все это было какой-то открытая исходная программа и клиент, который все положить "там" в P2P пространстве, без центральной власти. Тот факт, что этот человек Satoshi (изобретатель?) Имеет право изменить метод шифрования по желанию, не означает ли это, что он является центральным органом, а не в отличие от банка, который может измениться, как остальные 75% 21000000 монеты чеканятся?
|
|
|
|
|
10 января 2011, 2:42:49 PM
|
# 11 |
Сообщения: 1106
цитировать ответ |
Re: secp256k1
Любой мог выполнить такое изменение. Это с открытым исходным кодом.
Если вы сделаете фундаментальные изменения, вы, вероятно, в конечном итоге разветвление проекта. Кто-то может следовать за вами, некоторые из них будут оставаться с использованием предыдущей ветви. |
|
|
|
|
10 января 2011, 2:47:40 PM
|
# 12 |
|
Сообщения: 149
цитировать ответ |
Re: secp256k1
Я думаю, я бы следовать за кем бы освобождает клиента, знал ли я в нем содержатся изменения или нет. Большинство будет.
|
|
|
|
|
10 января 2011, 3:17:30 PM
|
# 13 |
|
Сообщения:
цитировать ответ |
Re: secp256k1
Я не криптограф, что вы все, как представляется, но, для меня эта дискуссия поднимает тревожный момент. Вы все, кажется, говорят, что алгоритм шифрования для генерации Bitcoin и будущей безопасности изменчив в это время. Как так? Я думал, что все это было какой-то открытая исходная программа и клиент, который все положить "там" в P2P пространстве, без центральной власти. Тот факт, что этот человек Satoshi (изобретатель?) Имеет право изменить метод шифрования по желанию, не означает ли это, что он является центральным органом, а не в отличие от банка, который может измениться, как остальные 75% 21000000 монеты чеканятся? Satoshi является создателем и основным разработчиком Bitcoin. Он может вносить изменения в программное обеспечение, создание новой версии, и позволить другим, чтобы загрузить эту новую обновленную версию ... это весь остальной выбор в качестве физического лица, будут ли они скачать новую версию и использовать его, используйте старую версию, использовать кого-то то еще версия Bitcoin, написать свою собственную версию, или не использовать Bitcoin больше. Satoshi не может просто изменить код на машине кто-либо другой. Он не имеет никакого контроля над программным обеспечением, работающим на машинах кому-либо еще, но это просто самый популярный поставщик программного обеспечения Bitcoin. Поскольку его программное обеспечение в настоящее время используется большинством пользователей Bitcoin, он фактически определяет стандарт протокола Bitcoin, что означает, что Satoshi в настоящее время определяет стандарт протокола. Но это не технический вопрос, а скорее социальный. Если какая-либо другая реализация выгод Bitcoin в популярности, это может привести либо кто-то устанавливают стандарты протоколов, или вилку в блоке цепи. Если два или более альтернативные реализаций Bitcoin там, и ни один из них не имеет большинства пользователей, то он все еще может привести к вилкам блока цепи, если разработчики различных реализаций продолжают согласовать стандарт. Те, кто не согласен со стандартом и вилку блока цепи, скорее всего, потеряет пользователей, как раздвоенный блок цепи будет меньше обеспечения, а также несовместима с другой цепи (ей), что не в интересах многих пользователей. Так в настоящее время, Satoshi оказывает значительное социальное влияние на протоколе Bitcoin, но он не имеет контроля над сетью или чьим программным обеспечением. Кажущаяся "централизация" это просто добровольный / анархическая социальный один, который останется только до тех пор, как достаточное количество пользователей согласны с или потерпят решение Satoshi в. Если он делает выбор, что большинство пользователей не нравятся, Bitcoin либо крах или (более вероятно) блок цепь будет раздвоенной и не осуществлять нежелательные изменения. Влияние Satoshi является не привели силой, и, следовательно, не сравнима с государственным создана / защищаемого центрального банка, который может изменить денежную систему на прихоти, не говорят народов. |
|
|
|
|
11 января 2011, 10:31:40 PM
|
# 14 |
|
Сообщения: 1526
цитировать ответ |
Re: secp256k1
Я обсуждал это с Satoshi. Там нет особых причин, почему secp256k1 используется. Это просто случилось быть вокруг в то время.
Однако это звучит как нет единого мнения о том, что кривая k1 действительно страшная вещь, и на самом деле это может быть даже полезно в будущем, так как проверка ECDSA является основным узким местом CPU для запуска сетевого узла. Так что, если кривые Köblitz действительно работают лучше, мы могли бы в конечном итоге благодарен за это в будущем ... |
|
|
|
|
12 января 2011, 3:03:21 AM
|
# 15 |
|
Сообщения: 416
цитировать ответ |
Re: secp256k1
Стать полностью родовым будет означать параметры кривого кодирования в ... где? Одно из возможных вариантов для будущего Bitcoin-подобной системы является возможность выбора из пронумерованной диапазона предварительно выбранных кривых. Меньшие операции или остатки могут использовать меньшие Ключи длиной в случае необходимости.Вот почему мы не можем вставлять сообщения в транзакции. Вы все еще можете вставлять сообщения в операции см http://bitcointalk.org/index.php?topic=2393.msg32288#msg32288ByteCoin |
|
|
|
|
12 января 2011, 5:35:34 PM
|
# 16 |
|
Сообщений: 43
цитировать ответ |
Re: secp256k1
Я также обсудил с Satoshi, и он сказал, что его работодатели в АНБЕ хотел его, чтобы создать первую P2P валюту с задней дверью в нем. Это задняя дверь оказывается в этой конкретной эллиптической кривой. Правительственные суперкомпьютеры искали случайный эллиптический кривой, которая содержала заднюю дверь.
Просто шучу, но это моя теория заговора. На самом деле, если нет особых причин для этого эллиптическая кривая будет выбран, то есть на самом деле подозрительно ... |
|
|
|
|
14 января 2011, 2:10:43 AM
|
# 17 |
|
Сообщения:
цитировать ответ |
Re: secp256k1
Я посмотрел на BouncyCastle, широко используемой библиотека Java крипты, и они закомментирован код secp256k1. Текущая версия BouncyCastle (версия 1.45 в то время я пишу это) имеет secp256k1 доступна, насколько я могу судить. org.bouncycastle.asn1.sec.SECNamedCurves.getNames () даст вам список некоторых названных кривых (в том числе "secp256k1"). org.bouncycastle.asn1.sec.SECNamedCurves.getByName ("secp256k1") Даст вам объект org.bouncycastle.asn1.x9.X9ECParameters Вот пример того, что я получаю в Clojure: Код: пользователь> (Перечисление-сл (org.bouncycastle.asn1.sec.SECNamedCurves / GetNames)) ("sect233r1" "secp112r2" "secp112r1" "secp256k1" "sect113r2" "secp521r1" "sect113r1" "sect409r1" "secp192r1" "sect193r2" "sect131r2" "sect193r1" "sect131r1" "secp160k1" "sect571r1" "sect283k1" "secp384r1" "sect163k1" "secp256r1" "secp128r2" "secp128r1" "secp224k1" "sect233k1" "secp160r2" "secp160r1" "sect409k1" "sect283r1" "sect163r2" "sect163r1" "secp192k1" "secp224r1" "sect239k1" "sect571k1") пользователь> (Org.bouncycastle.asn1.sec.SECNamedCurves / getByName "secp256k1") # |
|
|
|
|
23 августа 2012, 5:53:31 PM
|
# 18 |
|
Сообщения: 819
цитировать ответ |
Re: secp256k1
Не знаю, если кто-нибудь знает об этом, но как воспользоваться преимуществами ускорения, встроенного в Köblitz кривой?
Это автоматический? Вы делаете что-то особенное? Является ли клиент BTC уже использует возможность -го ускорения? Даже если это не так, может кто-то мне точку в код расположения источника указанного алгоритма? Заранее спасибо и SRY для натыкаясь. |
|
|
|
|
23 августа 2012, 7:48:25 PM
|
# 19 |
|
Сообщения: 1302
цитировать ответ |
Re: secp256k1
Google "метод Г", Я не видел ни одного исходного кода, но несколько научных работ и слайд палуб о нем.
Для того, чтобы использовать его, вы должны быть в состоянии предвычисления кратной точки (что является свойством кривой, используемой), то вы можете фактор будущего умножения на этой кривой на две умножений каждый с половиной как много битов. Для того, что делает Bitcoin, я не думаю, что сложность стоит 30% до 50% прироста в скорости. |
|
|
|
|
23 августа 2012, 9:43:49 PM
|
# 20 |
|
Сообщения: 819
цитировать ответ |
Re: secp256k1
Для того, что делает Bitcoin, я не думаю, что сложность стоит 30% до 50% прироста в скорости. Огромное спасибо.Я исследование это разработать Btc смарт-карту, которая является более ограниченной. Если это легко сделать это может быть стоит ... |
|
|
|
Как заработать Биткоины?
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Регистрация для новых участников, на данный момент не доступна. Просим извинения за временные неудобства.