Сплит закрытые ключи | Биткоин форум

		Биткоин Форум > Разработка и Техническое Обсуждение
Сплит закрытые ключи

18 июня 2011, 7:07:58 PM	# 1
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Таким образом, я много думал о безопасности бумажник; пароль патч Мэтты это хороший первый шаг, но, возможно, мы можем по крайней мере построить в некоторых инфраструктурах для лучшего решения. Нам действительно нужно решение, в котором операции генерируются на одном устройстве, а затем проверить на втором устройстве, так что вредоносные программы должны ставить под угрозу оба устройства (например, компьютер и мобильный телефон или веб-кошелек и мобильный телефон), чтобы украсть монеты. gmaxwell из IRC считает, что это может быть сделано без нескольких подписей (только со стандартной сделки мы имеем сейчас), и глядя на математику ECDSA На этой странице википедии Я думаю, что он прав. Я считаю, что он был вдохновлен наблюдением ByteCoin, что вы можете создать генерации ключа службы общественной тщеславия, которое secure-- служба может генерировать открытый ключ, но не знаете, закрытый ключа. Я в основном пишу это, чтобы убедить себя, что может работать и дать ByteCoin и Hal и gmaxwell и кто-нибудь еще, кто знает много больше, чем крипто мне шанс ткнуть отверстия в ней. А потом мне точку к стандарту FIPS, который имеет все это понял, уже ... Итак: генерирование ECDSA ключей означает выбор частного ключа д, то вычисления открытого ключа Q = дG (где G является неподвижной точкой на эллиптической кривой). Генерации ключа могут быть разделены; есть устройство 1 выбирает D_A1 и устройство 2 выбирают д_A2. Устройство 1 затем посылает Q_A1 к устройству 2, и он может вычислить Q_A1d_A2 = Q_{A1 * A2}. Или по-английски, устройство 1 находит открытый ключ на кривой. Затем устройство 2 использует свою часть секретного ключа, чтобы сделать более гроздь эллиптической кривой умножает найти составную открытый ключ, не зная открытый ключ устройства 1, в. Так большая, ни устройство 1 или 2 потребности когда-либо иметь оба части секретного ключа на них, чтобы сгенерировать общий открытый ключ. Теперь давайте говорить Устройство 1 хочет провести TxOut, который один из этих ключей раскола. Бит ключа алгоритма формирования подписи (см страницу Википедии: http://en.wikipedia.org/wiki/Elliptic_Curve_DSA#Signature_generation_algorithm ) является: ... 4. Рассчитать сек = к^-1(Г + й) (По модулю п) ... Это можно переписать в виде: Рассчитать сек = к^-1(Г + й_A1d_A2) (По модулю п) А теперь я застрял. Может ли это уравнение быть переработано так, что устройство-можно вычислить часть подписи, отправьте его частичный результат на устройство 2, и имеет устройство-завершить подпись (без устройства-будучи в состоянии выяснить, 1 часть закрытого ключа?)?

Как заработать Биткоины?
Без вложений. Не майнинг.

18 июня 2011, 7:52:18 PM	# 2
прохожий Сообщения: 112 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Получил 1806 Биткоинов Реальная история. Гэвин, не будучи кодировщиком я мог топтать выход из моей глубины здесь, но зачем идти на все, что длины и иметь дело с потенциальным катастрофическим взаимодействием между все, что происходит в мобильном устройстве, и все, что происходит на рабочем столе (Проблема, Bluetooth?), результаты которого составит недовольных пользователей и вины и этажерки, а не, скажем, реализовать HSM / смарт-карты поддержки? Хотя я понимаю, что вопрос о "выделенная аппаратные криптографические устройства против смартфонов" по крайней мере, по касательной к сообщению, мне кажется, стоит предположить, что разработчики изучить вопрос о том возможности современной смарт-карты / ИМП имеют отношение к целям защиты кошельков и могут быть использованы для реализации достойное решение - IIRC есть "Открытый исходный код" смарткарт решения и доступные USB ИМП, и они не убийственно дорого, и что-то мне подсказывает, что это не маловероятно, что специализированные криптографические устройства будут предлагать более простые способы обеспечения бумажника материала, чем (на первый взгляд?) экзотический подход вы набросали. Любой, кто имеет >2 000 $ на сумму монет в его кошельке должны быть в состоянии купить motherloving считыватель смарт-карт с картой, или знак, независимо от класса устройств аппаратного обеспечения безопасности вы, разработчики, будет найти проще / более практичным для поддержки.

18 июня 2011, 11:13:58 PM	# 3
ByteCoin Сообщения: 416 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Цитата: Гэвин Андресен 18 июня 2011 года, 7:07:58 PM ... gmaxwell из IRC считает, что это может быть сделано без нескольких подписей ... Может ли это уравнение быть переработано так, что устройство-можно вычислить часть подписи, отправьте его частичный результат на устройство 2, и имеет устройство-завершить подпись (без устройства-будучи в состоянии выяснить, 1 часть закрытого ключа?)? Я полагаю, что это также не приемлемо для устройства 1, чтобы иметь возможность выяснить часть устройства 2 по закрытому ключу после просмотра завершенной подписи. Я посмотрел на это уже очень подобное заявление и первоначально я тоже надеюсь. к случайный номер, предоставленный первым подписавшего с целью предотвращения восстановления секретного ключа г простой алгебры. Второй подписавшийся должен был бы включать свои собственные случайные числа в "К" часть уравнения для того, чтобы предотвратить первый подписывающего от их выведения д_В по аналогичной манипуляции. Однако там, кажется, не быть способом сделать подпись, которая ведет себя как ECDSA без раскрытия секретной информации. Теперь это шанс Хэла блестеть, показывая, как это делается! Вы, вероятно, может создать многопартийную подпись, но она должна была бы быть проверена с помощью другого алгоритма стандартной ECDSA и, следовательно, будет входить беспокойно новую территорию крипто. Преимущества по сравнению с многопартийными подписями, реализованных в сценарии будут небольшими. Я не знаю много о безопасных многопартийных вычислениях, но может быть решением вниз, что проспект, но это было бы немного, как с помощью кувалды, чтобы расколоть орех. ByteCoin

18 июня 2011, 11:28:24 PM	# 4
cschmitz Сообщений: 98 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Вообще я считаю, что практика людей в конечном счете, должна будет включать в себя проверку и сберегательный бумажник, где лучшая практика должна быть уходящей не более 500 $ на сумме в кошельке проверки. Таким образом, бумажник с большим удобством может быть проведен, для мобильных устройств, "просто" пароль безопасности и тому подобное. С другой стороны, из-за природы Bitcoin, безопасный сбережения бумажник должен быть повышен, используя физически внешние функции безопасности, такие как мобильное приложение Идента или смарт-карту. После разработки такого второго уровня защиты есть, использование таких должно быть в значительной степени способствует bitcoin.org, ведь пользователям должны быть защищены от их собственной глупости.

18 июня 2011, 11:37:05 PM	# 5
При р Сообщения: 198 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Цитата: Гэвин Андресен 18 июня 2011 года, 7:07:58 PM Рассчитать сек = к^-1(Г + й_A1d_A2) (По модулю п) А теперь я застрял. Может ли это уравнение быть переработано так, что устройство-можно вычислить часть подписи, отправьте его частичный результат на устройство 2, и имеет устройство-завершить подпись (без устройства-будучи в состоянии выяснить, 1 часть закрытого ключа?)? Если разрешить две связи между устройствами, это не могло быть сделано следующим образом: Устройство 2 вычисляет D^-1₂г и отправляет это устройство 1. Устройство 1 затем вычисляет K^-1(д^-1₂г + д₁г) и посылает на устройство 2. Устройство 2 умножает на г₂ и имеет результат.

18 июня 2011, 11:46:56 PM	# 6
гИМ Сообщений: 90 Цитировать по имени цитировать ответ	Re: Сплит частных ключей (Подписки, и сомнение относительно инъекционных cryptonovelties пролива в Bitcoin)

19 июня 2011, 2:55:49 PM	# 7
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Может быть, лучше, чтобы обсудить этот вопрос в список рассылки? Все, что предполагает значительные изменения в шифровании кажется плохой идеей. Даже если уравнения звук, это будет сложнее убедить других в правильности системы. Два сига сделка гораздо проще реализовать и доказать правильность. Учитывая, что необходимая поддержка мобильных устройств пока не существует, опасения по поводу обновления времени не кажется большим делом для меня.

19 июня 2011, 4:04:14 PM	# 8
При р Сообщения: 198 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Цитата: Майк Хирн 19 июня 2011 года, 2:55:49 PM Все, что предполагает значительные изменения в шифровании кажется плохой идеей. Даже если уравнения звук, это будет сложнее убедить других в правильности системы. Согласитесь, что не следует менять крипто беззаботно. Я понял, оригинальное предложение в качестве дополнительной опции и возможности, которые будут предложены, только для тестирования. Более того: В моем вкладе вчера поздно вечером я показал, как эти два устройства могут сделать совместную подпись с обеими своими ключами. Тем не менее, я сделал краткий обзор безопасности и нашел изъян в схеме. Мое предложение требует, чтобы сообщение от устройства 2 к устройству 1, а затем другой связи от устройства 1 к устройству 2. второе сообщение должно быть доверенным в противном случае секретный ключ устройства двух может быть поставлена под угрозу. Поскольку Gavins идея состояла в том, чтобы разделить доверие между двумя устройствами, это не работает: Устройство 2 посылает $ d_2 ^ {- 1} $ г на устройство 1. Это является безопасным, так как $ Z $ является случайным. Устройство 1 генерирует $ K ^ {- 1} (d_2 ^ {- 1} г + d_1 г) $ и посылает на устройство 2. Устройство 2 затем умножает на $ d_2 $ и публикует результат. Поэтому любой, кто умеет подглядывать во второй связи между устройствами, способен восстановить $ d_2 $. Таким образом, очевидно, вектор атаки на компромисс устройства 1 и задание затем делается. Цитата: Майк Хирн 19 июня 2011 года, 2:55:49 PM Может быть, лучше, чтобы обсудить этот вопрос в список рассылки? Зачем? Лично я предпочитаю, чтобы обсудить на форуме, где есть лучший доступ, где, как правило, лучше visability темы и больше вклада других и большую прозрачность процесса.

19 июня 2011, 4:08:16 PM	# 9
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Сплит частных ключей FYI: Я отправил это здесь на форумах, потому что я вижу список рассылки как для гаек-и болтов "позволяет говорить именно о том, как получить XYZ сделано." И я вижу, эти форумы как лучшее место для мозгового штурма и пирог-в-небо, может быть-это будет с работой, может быть, он-won't дискуссии. Кроме того, уравнения не выглядят довольно в простых текстовых сообщений электронной почты.

19 июня 2011, 6:08:55 PM	# 10
ена Сообщений: 42 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Так как вы не криптограф, почему бы не только осуществлять операции с несколькими подписями?

19 июня 2011, 7:07:46 PM	# 11
kjj Сообщения: 1302 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Я думал о безопасности кошелька тоже. Я думаю, что второе устройство является хорошей идеей, но я вижу, что работает по-другому. Я вижу портативное специализированное устройство с очень ограниченной возможностью связи. Только последовательный порт будет делать, что, вероятно, означает последовательную передачу по USB или последовательной передачи Bluetooth. Он также будет иметь разъем SD-карты для бумажника резервного копирования. Устройство будет генерировать пары ключей и хранить их. Закрытый ключ никогда не покидает устройство, за исключением резервного копирования SD-карты, которая может быть зашифрована. Я думаю, что это нужно только 3 крючка в клиентское программное обеспечение PC. 1) Он должен быть в состоянии выдвинуть открытые ключи к клиенту. 2) Он должен быть в состоянии просить (и получать) обновление баланса от клиента. 3) Он должен быть в состоянии принять адрес от клиента, и произвести полную транзакцию на этот адрес, используя введенную сумму на клавиатуре. (Или, возможно, принять адрес и сумму, затем только попросить подтверждения.) Я думаю, что это может помочь с розничной проблемой тоже; нет никаких причин, почему вы не можете подключить его в потенциально враждебный терминал. Я имею в виду Arduino. Он должен уже иметь все криптографические библиотеки, необходимых, плюс сцеплений для последовательного, USB, BT, и SD-карт. Возможно закажу некоторые аппаратные средства на этой неделе, чтобы начать работу.

20 июня 2011, 12:10:06 AM	# 12
При р Сообщения: 198 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Цитата: kjj от 19 июня 2011 года, 7:07:46 PM Я вижу портативное специализированное устройство с очень ограниченной возможностью связи. Только последовательный порт будет делать, что, вероятно, означает последовательную передачу по USB или последовательной передачи Bluetooth. Он также будет иметь разъем SD-карты для бумажника резервного копирования. Я думаю, что это может помочь с розничной проблемой тоже; нет никаких причин, почему вы не можете подключить его в потенциально враждебный терминал. Как вы убедитесь, что 2,00 BTC, который враждебное терминал показывает, что Вы собираетесь заплатить не 450,00 BTC. То есть: Как вы планируете бороться с враждебным вопросом дисплея? Будет ли ваше устройство имеет свой собственный экран?

20 июня 2011, 12:20:39 AM	# 13
kjj Сообщения: 1302 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Цитата: дляр 20 июня 2011, 12:10:06 AM Цитата: kjj от 19 июня 2011 года, 7:07:46 PM Я вижу портативное специализированное устройство с очень ограниченной возможностью связи. Только последовательный порт будет делать, что, вероятно, означает последовательную передачу по USB или последовательной передачи Bluetooth. Он также будет иметь разъем SD-карты для бумажника резервного копирования. Я думаю, что это может помочь с розничной проблемой тоже; нет никаких причин, почему вы не можете подключить его в потенциально враждебный терминал. Как вы убедитесь, что 2,00 BTC, который враждебное терминал показывает, что Вы собираетесь заплатить не 450,00 BTC. То есть: Как вы планируете бороться с враждебным вопросом дисплея? Будет ли ваше устройство имеет свой собственный экран? Да, это будет иметь дисплей. Я предполагаю, что я не упомянул, что, но это абсолютно необходимо. Он может либо показать адрес и попросить сумму. Или он может показать адрес и сумму, и попросить Да / Нет.

20 июня 2011, 12:23:29 AM	# 14
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Цитата: гипнотический от 19 июня 2011 года, 6:08:55 PM Так как вы не криптограф, почему бы не только осуществлять операции с несколькими подписями? Потому что отправка к множественным подписи требуемого адреса требуется новый стандартный тип транзакции, новый тип Bitcoin адрес и протокол для устройства 1 <-> Устройство 2 связи. Больше кода означает больше вероятность ошибок, так что я надеюсь, есть более простое решение. И как я уже говорил в оригинальной статье, я хотел бы начать дискуссию: котировка а затем указать меня к стандарту FIPS, который имеет все это понял, уже ... Если ответ "несколько подписей" Так тому и быть.

20 июня 2011, 12:28:21 AM	# 15
Oldminer Сообщения: 1022 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Paypal используется для (не знаю, если они все еще делают) выдают бесплатный RSA брелока с каждой новой учетной записи. Я думаю, что позже они начали взимать плату за них, но цена была miniscal. WoW я считаю, использует ту же систему.

20 июня 2011, 3:44:18 AM	# 16
CydeWeys Сообщения: 154 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Двухфакторная проверка подлинности на нескольких устройствах отлично подходит для вниз линии, но нам действительно нужно хорошее решение для шифрования частных компонентов наших ECDSA пары ключей прямо сейчас. Я бы реализовать эту PULL как можно скорее (с соответствующими изменениями), а затем перейдем к дополнительным изменениям. Хешировании закрытых ключей с хорошим алгоритмом будет сделать стандартный вектор атаки "искать wallet.dat, отправить его домой" гораздо сложнее. Злоумышленник должен будет установить какое-то кейлоггер или регистратор памяти, а затем ждать в следующий раз, пользователь должен расшифровать частный компонент бумажника подписать сделку. Кроме того, шансы порядочный пользователь может обнаружить инфекцию в промежутке времени, прежде чем они когда-либо расшифровать их wallet.dat. В качестве анекдота, я считаю себя довольно опытными пользователями ПК. Тем не менее, назад, когда я использую Windows, в качестве основного ОСА, я получаю вирус один раз из тенистого торрента. В течение дня я сразу понял вещи покинуть и полностью переформатировать мой компьютер. Теперь, делая вид, что Bitcoin существует тогда, шифрование секретного ключа компонента было бы разницей между мной потерять все мой Bitcoins и нет.

20 июня 2011, 12:48:42 PM	# 17
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Сплит частных ключей RE: вытягивать бумажник закрытого ключа шифрования ASAP: Согласовано 100% Я хотел бы начать обсуждать расколоть ключи теперь, потому что, если нам нужен новый стандартный тип транзакции, то лучше всего сделать это в stages-- реле позволить клиентам, и шахтеры включают в блоках, новый тип транзакции. Тогда, как только большая часть сети будет принимать новые операции, люди могут реально начать использовать их.

21 июня 2011, 2:51:19 AM	# 18
ByteCoin Сообщения: 416 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Я нашел статью Двухпартийная поколение DSA Подписи Филипп Д. Маккензи и Майкл К. Reiter который выглядит очень перспективным. На первый взгляд, адаптируя схему ECDSA не должно быть трудным, но его реализации, скорее всего, привлечь значительный объем работы. Это, однако, значительно проще, чем пытаться сделать это, используя общую схему MPC. Это должно быть именно то, что вам нужно Гэвина. Все остальные должны отметить, что реализация этого не предполагает каких-либо изменений в системе Bitcoin. Также стоит читать Безопасный Распределенная генерация ключей для дискретных Log криптосистемы, основанные Розарио Дженнаро, Станис закон Jarecki Уго Кравчик и Таль Рабина ByteCoin

21 июня 2011, 2:06:16 PM	# 19
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Цитата: ByteCoin от 21 июня 2011 года, 2:51:19 AM На первый взгляд, адаптируя схему ECDSA не должно быть трудным, но его реализации, скорее всего, привлечь значительный объем работы. Это, однако, значительно проще, чем пытаться сделать это, используя общую схему MPC. доказательства с нулевым знанием ... мммм .... Приятно знать, что это Можно быть сделано надежно. Я оставлю это профессионалам на самом деле это сделать.

21 июня 2011, 10:00:33 PM	# 20
При р Сообщения: 198 Цитировать по имени цитировать ответ	Re: Сплит частных ключей Цитата: ByteCoin от 21 июня 2011 года, 2:51:19 AM Я нашел статью Двухпартийная поколение DSA Подписи Филипп Д. Маккензи и Майкл К. Reiter который выглядит очень перспективным. Очень интересная статья. И метод запатентован или патент http://www.freepatentsonline.com/20030059041.pdf

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW