Запрос комментариев: Разработка руководства для самого хранения Bitcoin высокой безопасности

Безопасное хранение холодного Bitcoins трудно и почти невозможно для любителя. Мы решаем эту проблему и хотели бы обратную связь с сообществом о нашем подходе.

Мы попытались следовать совету консенсуса для создания безопасного хранения Bitcoin - создание мульти-Sig бумаги бумажники используя воздушные-гэп компьютеров. К нашему удивлению, этот общий совет было трудно следовать. Было запутанное множество инструментов, чтобы выбрать из на каждый шаг, большинство из которых не были построены вокруг этого случая использования.

Мы также были удивлены, обнаружив, что не было никаких хороших учебников для навигации этот процесс, несмотря на Bitcoin быть несколько лет. Это не должно быть разрыва в экосистеме Bitcoin в 2016 году!

Мы решаем эту проблему путем создания с открытым исходным кодом, шаг за шагом руководство в том, что удаляет все путаницы из процесса создания безопасного хранения охлажденного.

В качестве первого шага, мы написали дизайн-документ с подробным описанием технических решений, которые мы сделали до сих пор. Это не шаг за шагом руководство, но итог, который мы собрали для более эффективной критики. Пожалуйста, дайте нам ваши наиболее резкую критику.

Ссылка ниже. Пожалуйста, оставляйте комментарии здесь или в самом документе.
https://docs.google.com/document/d/1sYK1aFubfQqj5B_5r0K4piNfYtQrSYqOU70A78DA1xs/edit#

- Прочитайте документ, это хорошо для обычных пользователей, но это не предел безопасности. Что делать, если палка USB спрятался вредоносное ПО на нем? Можно ли доверять производителю USB? Конечно, нет.

- Я согласен на аппаратных кошельках. Порт USB является шуткой. По крайней мере, они должны быть в состоянии иметь возможность отправлять данные через QR-код через старую 2 $ вебкамеры, а должен быть подключены к ПК. Вы можете избавиться от веб-камеры после ее использования, если вы параноик.

Я больше заинтересован в кости подхода. Разве вы не можете технически преодолеть кости смещения, имея более броски (добавить больше энтропии)?

Вместо создания 160 битное число, что, если вы генерировать 600 битное число, не будет ли это преодолеть предубеждение? Я интересно, если криптографические эксперты будут иметь ответ на этот вопрос. Спасибо.

Цитата: bitsec731 от 08 декабря 2016 года, 2:41:12 AM

- Я согласен на аппаратных кошельках. Порт USB является шуткой. По крайней мере, они должны быть в состоянии иметь возможность отправлять данные через QR-код через старую 2 $ вебкамеры, а должен быть подключены к ПК. Вы можете избавиться от веб-камеры после ее использования, если вы параноик.

Аппаратные бумажники должны не посылать приватные ключи через USB, и подписывать только вещи, когда кнопка принимает физически нажат, аппаратная предназначена для создания "воздушный зазор" между чипом и разъемом. Секретные ключи никогда не оставляйте кошелек.

Цитата: bitsec731 от 08 декабря 2016 года, 2:41:12 AM

Я больше заинтересован в кости подхода. Разве вы не можете технически преодолеть кости смещения, имея более броски (добавить больше энтропии)?

https://commons.wikimedia.org/wiki/File:Binary_entropy_plot.svg
Эта ссылка на графику энтропии генерируемой монеты переворачивается в зависимости вероятностей исходов (смещение), отметит, что так как максимум на графике является гладким, потеря энтропии генерируется несколько необъективной монетой квадратично зависит от смещения (монета с уклоном ~ 0,001 должны иметь потери энтропии ~ 0,000001).
Я предполагаю, что подобное соотношение имеет место для игры в кости, но 5-й мерном предвзятость пространство довольно трудно представить себе, 36 кубики роллов (~ 93 бит) только о достаточно для надежного шифрования BIP38 (использование по меньшей мере, 50 алгоритмов без ключа растяжения).

Цитата: ArcCsch от 08 декабря 2016 года, 4:01:47 AM

Это может или не может быть правдой. Я не думаю, что кто-нибудь надежно осмотрены свои фишки на ошибки или бэкдоров.

Но это не то, что я имел в виду тоже, я имел в виду анализа мощности атаки. Так как бумажник работает через порт USB, было бы тривиально установить такую атаку и расшифровывать секретные ключи путем усреднения его в течение многих случаев использования, а затем отправить секретный ключ, через какой-то скрытый канал. А так как вы вынуждены быть подключены к Интернету, используя их, я бы не назвал безопасный интернет-подключенный ПК.

https://en.wikipedia.org/wiki/Power_analysis

Цитата: ArcCsch от 08 декабря 2016 года, 4:01:47 AM

Эта ссылка на графику энтропии генерируемой монеты переворачивается в зависимости вероятностей исходов (смещение), отметит, что так как максимум на графике является гладким, потеря энтропии генерируется несколько необъективной монетой квадратично зависит от смещения (монета с уклоном ~ 0,001 должны иметь потери энтропии ~ 0,000001).
Я предполагаю, что подобное соотношение имеет место для игры в кости, но 5-й мерном предвзятость пространство довольно трудно представить себе, 36 кубики роллов (~ 93 бит) только о достаточно для надежного шифрования BIP38 (использование по меньшей мере, 50 алгоритмов без ключа растяжения).

Интересно, так ты говоришь, что даже плохие кости могут генерировать случайные числа, это просто, что она теряет энтропию значения.

Как вы можете оценить энтропию кости? Если предположить, что это не является оптимальным. (2,5849625007)

Я оставил несколько замечаний по этому документу.

Цитата: bitsec731 от 08 декабря 2016 года, 5:26:13 AM

Это может или не может быть правдой. Я не думаю, что кто-нибудь надежно осмотрены свои фишки на ошибки или бэкдоров.

Даже если чипы позволили что-то просачиваться через USB, там еще должна быть прошивка, которая управляет чип, так что это сделать. IIRC прошивка для большинства аппаратных кошельков является открытым исходным кодом и общедоступный (это для Трезора по крайней мере).

Цитата: bitsec731 от 08 декабря 2016 года, 5:26:13 AM

Но это не то, что я имел в виду тоже, я имел в виду анализа мощности атаки. Так как бумажник работает через порт USB, было бы тривиально установить такую атаку и расшифровывать секретные ключи путем усреднения его в течение многих случаев использования, а затем отправить секретный ключ, через какой-то скрытый канал. А так как вы вынуждены быть подключены к Интернету, используя их, я бы не назвал безопасный интернет-подключенный ПК.

https://en.wikipedia.org/wiki/Power_analysis

Атаки анализа мощности были сделаны раньше на Trezors: https://jochen-hoenicke.de/trezor-power-analysis/. Однако они могут быть относительно легко исправить с изменениями встроенного программного обеспечения.

Я буду читать его позже, но недурно вуп первый пост / тема уже. Отлично сработано.

Цитата: bitsec731 от 08 декабря 2016 года, 5:26:13 AM

Я имел в виду анализа мощности атаки.

Самый простой способ, чтобы устранить это анализ мощности с использованием конденсатора и резистора внутри бумажника:

(1) Подключите конденсатор к USB для зарядки.
(2) Отсоедините конденсатор от USB.
(3) Подключение конденсатора к чипу для некоторого количества вычислений.
(4) Отсоедините конденсатор от чипа, прежде чем он может, возможно, закончился.
(5) Подключите конденсатор к резистору, чтобы слить всю избыточную энергию.
(6) Отсоедините конденсатор от резистора и петли обратно на стадию (1).

Это предотвращает компьютер от мониторинга использования энергии.

Цитата: bitsec731 от 08 декабря 2016 года, 2:41:12 AM

Вместо создания 160 битное число, что, если вы генерировать 600 битное число, не будет ли это преодолеть предубеждение? Я интересно, если криптографические эксперты будут иметь ответ на этот вопрос.

Вам не нужно будет 600 бит, если матрица не очень предвзято.

Энтропия равна -sum (р (п) * log2 (р (п)).

В основном, сумма логарифма вероятности каждого состояния взвешенных по вероятности каждого состояния.

Справедливая монета будет иметь 2 состояние с р = 0,5.

Это дает

сумма (0,5 * log2 (0,5)) = - [0,5 * (-1) + 0,5 * (-1)] = 1 бит

Нечестно монета с 60% вероятностью голов дает

[0,4 * log2 (0,4) + 0,6 * log2 (0,6)] = - [0,4 * (-1,32) + 0,6 * (-0.737)] = 0,971 бит

Это означает, что 60% монеты дают 97% энтропию справедливой монеты.

Справедливая кость дает 2.584962501 битам энтропии.

Кости с 20% вероятностью 1 и 16% шансом для остальных в дают.

[0,2 * log2 (0,2) + 5 * 0,16 * log2 (0,16)] = 2.57947 биты

Это довольно большая нагрузка, и до сих пор почти не влияет на энтропию.

Штамп с 50% шансов на 6 и 10% остальных дает

[0,5 * log2 (0,5) + 5 * 0,1 * log2 (0,1)] = 2,16 бит

Если вы прокатке один кубик на каждые 2 бита, которые вы хотите, то вы должны использовать очень низкого качества кости, чтобы не получить энтропию вам требуется.

Если результат 80 бросков костей был запущен, хотя хэш-функция, то выход будет иметь по меньшей мере, 160 битые энтропию и, вероятно, близки к 206 бит.

Цитата: achow101 от 08 декабря 2016 года, 5:56:35 AM

Является ли все это с открытым исходным кодом, хотя? Это большой вопрос, потому что, как правило, всегда есть биты и сгустки, которые контролируют некоторые аспекты чипа, которые являются закрытым исходным дизайном, и часто они не могут быть перепрограммирован на всех, а не продавцом, а патенты и другие дизайн секреты дизайнера чипа.

Там нет открытых процессоров источника в настоящее время для ПК, которые целесообразно использовать для общего использования, например.

Цитата: TierNolan от 08 декабря 2016 года, 5:34:45 PM

Цитата: bitsec731 от 08 декабря 2016 года, 2:41:12 AM

Спасибо. Мои криптографические навыки не так хорошо, что это не моя область знаний.

Вы можете ссылаться на эту формулу, что вы использовали?

Цитата: bitsec731 от 08 декабря 2016 года, 9:40:38 PM

Посмотрите на код самостоятельно: https://github.com/trezor/trezor-mcu

Вы можете скомпилировать из исходников и прошить на устройство, так что все, что есть то, что является частью прошивки Trezor.

Цитата: bitsec731 от 08 декабря 2016 года, 2:41:12 AM

Спасибо за ваши комментарии. Можете ли вы предложить более безопасную альтернативу? Мне интересно, если у вас есть что-то в уме. Имейте в виду, что компьютер в вопрос должен получить программное обеспечение генерации ключей на нем как-то, и мы, конечно, не хотим, чтобы достигнуть этого, подключив его к сети.

Цитата: achow101 от 08 декабря 2016 года, 5:56:35 AM

Я оставил несколько замечаний по этому документу.

Я видел, что, спасибо! Это займет некоторое время, чтобы просмотреть все комментарии, но с нетерпением жду этого.

котировка

Имея все с открытым исходным кодом, безусловно, помогает, но с открытым исходным кодом может иметь важные уязвимости тоже (например, Heartbleed). И атаки со стороны канала, как атаки анализа мощности вы связаны между собой. Возможно, что может быть исправлено, но какой еще неоткрытых уязвимость может быть там? Это соединение USB только создает инкрементный риск любым способом вы посмотрите на него.

Вы должны оценить, если ваши решения программного обеспечения соответствуют передовым методам выбора криптографического программного обеспечения (см разговора я дал по этому вопросу (третий раздел) в https://youtu.be/Gs9lJTRZCDc?t=2240); или если вы принимаете потенциально опасный код, который вы нашли в Интернете, потому что его поверхностный набор функций звучит хорошо.

Цитата: ArcCsch от 08 декабря 2016 года, 5:02:35 PM

Цитата: bitsec731 от 08 декабря 2016 года, 5:26:13 AM

Я имел в виду анализа мощности атаки.

Хорошая отправная точка, чтобы сорвать атаки анализа мощности, но это не могло быть сконструированы таким образом, что он встроен в системе или автоматизирован, часть спусковой безопасности?

Я думаю, что мы должны помнить, что это руководство предназначено для новичков - любая рекомендация должна ставить это рассмотрение на передовой мысли.

Цитата: buwaytress 09 декабря 2016 года, 5:52:02 AM

Цитата: ArcCsch от 08 декабря 2016 года, 5:02:35 PM

надрез

О, это была ориентирована на разработчиков аппаратных кошельков, чтобы дать безопасность аппаратного непосредственно от анализа мощности.
Другие возможности безопасности вложить чип в толстом случае сильно проводящего металл, чтобы остановить электромагнитные волны, добавить ультразвуковой источник шума, гораздо более мощными, чем легитимная чип фольги акустического криптоанализа, и добавить небольшую TRNG постоянно семени PRNG ,
Кроме того, имеет ли Trezor показать сделку в полном объеме до его подписания?
Это, безусловно, должно быть.
Кроме того, оно должно быть трудно подтвердить случайно (контакт должен быть введен.)

Цитата: bitsec731 от 08 декабря 2016 года, 9:40:38 PM

Вы можете ссылаться на эту формулу, что вы использовали?

Это довольно стандартная формула. Вы можете получить его из теории информации энтропии статьи о википедия.

Цитата: achow101 от 08 декабря 2016 года, 9:55:47 PM

Цитата: bitsec731 от 08 декабря 2016 года, 9:40:38 PM

Но процессор ARM не открытый исходный код.

котировка

TREZOR использует 120 МГц встроенный процессор ARM (Cortex M3, чтобы быть точным) с пользовательской развитой системой.

Большая часть этого материала запатентован. Если процессор не является открытым, это не имеет значения, что остальная часть кода.

https://en.wikipedia.org/wiki/ARM_architecture

Цитата: jhogan 09 декабря 2016 года, 1:37:48 AM

Я мог бы, но я думаю, что это было бы излишним. Конечно, как вы сказали, для холдингов 100,000-500,000 $ Я бы сказал, что это руководство нормально. Если человек имеет больше, чем он мог бы пойти на полное создание ключа вручную, потому что, конечно, не цифровая машина не может доверять на 100%. Есть и другие векторы атаки тоже.

Я бы оценил руководство 7/10, она по-прежнему на порядок лучше, чем то, что имеет средний пользователь Bitcoin, и вор всегда будет начинаться с плодами низких висячие.

Цитата: jhogan 09 декабря 2016 года, 1:37:48 AM

Когда речь идет в сторону каналов атаки, существуют сотни возможных векторов атаки, и это почти невозможно, чтобы защитить против всех. Люди должны начать с наиболее уязвимыми из них, и защищаться от тех, кто первым.

Люди должны также создавать свои собственные модели угроз, и посмотреть, какие обороны они нужны или нет. Не у всех есть много монет, а также для небольших хозяйств, некоторые из этих вещей могут быть слишком много.

Руководство кажется разумным, и приятно видеть некоторые работы претворяются в этом.

Вот мой метод для безопасного хранения в холодильнике:

1) Начните с чистым, автономным компьютером, с отключенной беспроводной возможностью

2) Загрузите несколько различных кошельков и части генерирующего программного обеспечения адреса на компьютере

3) Я использовал Bitaddress.org как мой генератор ключей. Crappy RNG Java-скрипта? Нет проблем. Разве я проверяю Sigs? Неа. Я пусть генерировать пару ключей, и использовать его в качестве отправной точки.

4) я изменить секретный ключ вручную! Я делаю около 7 изменений, включая делеции, добавления и замены. Я также добавить короткое слово, чтобы сделать визуальное подтверждение легко. Я просто убедитесь, что ключ заканчивается такой же длины, как это начиналось.

5) Я импортировать измененный закрытый ключ на несколько других кошельков, и подтвердить, что каждый сгенерированный адрес тот же.

6) Я архивировать закрытые ключи в случае необходимости, через зашифрованные флэш-накопитель и резервные копья бумаги, которые я вырезанные (с ножницами) на фрагменты и распределено.

7) Адреса I изолируют и сделать доступными для интернет-машин.

Хорошая часть об этом методе есть между модифицированием приватных ключей вручную, и перекрестными ссылками генерации адресов среди различных частей программного обеспечения, возможность вредоносного программного обеспечения на компромисс средств строго ограничена.

Я думаю, что конечная точка безопасности для Bitcoin еще компьютерные аппаратная часть. Это не проблема, использовать кости, чтобы создать безопасную энтропию и бумагу в качестве запоминающего носителя (который горит очень хорошо и может быть конфискована - что-то, что холодное хранение не должно быть), но Bitcoin все еще полагается на закрытых исходных компьютерах , Конечно, обычные люди могли бы построить открытый источник питания источника с нуля, но и создание источника processer открытым является Pratically невозможно, поэтому каждый, кто хранит Bitcoins, будет доверять несколько крупных производителям электронных деталей, что они не хранить ваш свеж создано форума ключи в любом месте. Таким образом, система Bitcoin не 100% ненадежный вообще.

Проверьте https://en.wikipedia.org/wiki/List_of_open-source_hardware_projects

Даже при использовании аппаратного обеспечения с открытым исходным кодом не защищает вас от производителей чипов и т.д., так что мы по-прежнему должны доверять много.
Кроме того, до тех пор, как Интернет является то, что несколько человек могут просто закрыть, мы должны доверять много, что они не делают.
Вы, возможно, все еще есть ваши Bitcoins в вашем бумажнике то, но вы не сможете отправить их на другой кошелек - даже не свой собственный.

Цитата: Cubic Земли 10 декабря 2016 года, 4:42:40 AM

Руководство кажется разумным, и приятно видеть некоторые работы претворяются в этом.

Вот мой метод для безопасного хранения в холодильнике:

4) я изменить секретный ключ вручную! Я делаю около 7 изменений, включая делеции, добавления и замены. Я также добавить короткое слово, чтобы сделать визуальное подтверждение легко. Я просто убедитесь, что ключ заканчивается такой же длины, как это начиналось.

Мне особенно нравится часть я жирная. слово может быть намеком на то, что этот ключ / Адди для, содержит, что угодно.

больше работы, но более потенциальная полезность.

Цитата: vapourminer от 10 декабря 2016 года, 12:51:27 PM

Цитата: Cubic Земли 10 декабря 2016 года, 4:42:40 AM

Кроме того, потенциальный боковой канал, его, вероятно, не так много, но ключ со словом в нем легче угадать, чем ключевой Thats совершенно случайно. Если вы не доверяете дерьмовый Java ПСЧ использовать только одну ОС обеспечивает.

8 декабря 2016, 12:15:59 AM	# 1
jhogan Сообщения: 6 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Безопасное хранение холодного Bitcoins трудно и почти невозможно для любителя. Мы решаем эту проблему и хотели бы обратную связь с сообществом о нашем подходе. Мы попытались следовать совету консенсуса для создания безопасного хранения Bitcoin - создание мульти-Sig бумаги бумажники используя воздушные-гэп компьютеров. К нашему удивлению, этот общий совет было трудно следовать. Было запутанное множество инструментов, чтобы выбрать из на каждый шаг, большинство из которых не были построены вокруг этого случая использования. Мы также были удивлены, обнаружив, что не было никаких хороших учебников для навигации этот процесс, несмотря на Bitcoin быть несколько лет. Это не должно быть разрыва в экосистеме Bitcoin в 2016 году! Мы решаем эту проблему путем создания с открытым исходным кодом, шаг за шагом руководство в том, что удаляет все путаницы из процесса создания безопасного хранения охлажденного. В качестве первого шага, мы написали дизайн-документ с подробным описанием технических решений, которые мы сделали до сих пор. Это не шаг за шагом руководство, но итог, который мы собрали для более эффективной критики. Пожалуйста, дайте нам ваши наиболее резкую критику. Ссылка ниже. Пожалуйста, оставляйте комментарии здесь или в самом документе. https://docs.google.com/document/d/1sYK1aFubfQqj5B_5r0K4piNfYtQrSYqOU70A78DA1xs/edit#

8 декабря 2016, 2:41:12 AM	# 2
bitsec731 Сообщений: 32 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Получил 1806 Биткоинов Реальная история. - Прочитайте документ, это хорошо для обычных пользователей, но это не предел безопасности. Что делать, если палка USB спрятался вредоносное ПО на нем? Можно ли доверять производителю USB? Конечно, нет. - Я согласен на аппаратных кошельках. Порт USB является шуткой. По крайней мере, они должны быть в состоянии иметь возможность отправлять данные через QR-код через старую 2 $ вебкамеры, а должен быть подключены к ПК. Вы можете избавиться от веб-камеры после ее использования, если вы параноик. Я больше заинтересован в кости подхода. Разве вы не можете технически преодолеть кости смещения, имея более броски (добавить больше энтропии)? Вместо создания 160 битное число, что, если вы генерировать 600 битное число, не будет ли это преодолеть предубеждение? Я интересно, если криптографические эксперты будут иметь ответ на этот вопрос. Спасибо.

8 декабря 2016, 4:01:47 AM	# 3
ArcCsch Сообщения: 224 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: bitsec731 от 08 декабря 2016 года, 2:41:12 AM - Я согласен на аппаратных кошельках. Порт USB является шуткой. По крайней мере, они должны быть в состоянии иметь возможность отправлять данные через QR-код через старую 2 $ вебкамеры, а должен быть подключены к ПК. Вы можете избавиться от веб-камеры после ее использования, если вы параноик. Аппаратные бумажники должны не посылать приватные ключи через USB, и подписывать только вещи, когда кнопка принимает физически нажат, аппаратная предназначена для создания "воздушный зазор" между чипом и разъемом. Секретные ключи никогда не оставляйте кошелек. Цитата: bitsec731 от 08 декабря 2016 года, 2:41:12 AM Я больше заинтересован в кости подхода. Разве вы не можете технически преодолеть кости смещения, имея более броски (добавить больше энтропии)? https://commons.wikimedia.org/wiki/File:Binary_entropy_plot.svg Эта ссылка на графику энтропии генерируемой монеты переворачивается в зависимости вероятностей исходов (смещение), отметит, что так как максимум на графике является гладким, потеря энтропии генерируется несколько необъективной монетой квадратично зависит от смещения (монета с уклоном ~ 0,001 должны иметь потери энтропии ~ 0,000001). Я предполагаю, что подобное соотношение имеет место для игры в кости, но 5-й мерном предвзятость пространство довольно трудно представить себе, 36 кубики роллов (~ 93 бит) только о достаточно для надежного шифрования BIP38 (использование по меньшей мере, 50 алгоритмов без ключа растяжения).

8 декабря 2016, 5:26:13 AM	# 4
bitsec731 Сообщений: 32 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: ArcCsch от 08 декабря 2016 года, 4:01:47 AM Аппаратные бумажники должны не посылать приватные ключи через USB, и подписывать только вещи, когда кнопка принимает физически нажат, аппаратная предназначена для создания "воздушный зазор" между чипом и разъемом. Секретные ключи никогда не оставляйте кошелек. Это может или не может быть правдой. Я не думаю, что кто-нибудь надежно осмотрены свои фишки на ошибки или бэкдоров. Но это не то, что я имел в виду тоже, я имел в виду анализа мощности атаки. Так как бумажник работает через порт USB, было бы тривиально установить такую атаку и расшифровывать секретные ключи путем усреднения его в течение многих случаев использования, а затем отправить секретный ключ, через какой-то скрытый канал. А так как вы вынуждены быть подключены к Интернету, используя их, я бы не назвал безопасный интернет-подключенный ПК. https://en.wikipedia.org/wiki/Power_analysis Цитата: ArcCsch от 08 декабря 2016 года, 4:01:47 AM Эта ссылка на графику энтропии генерируемой монеты переворачивается в зависимости вероятностей исходов (смещение), отметит, что так как максимум на графике является гладким, потеря энтропии генерируется несколько необъективной монетой квадратично зависит от смещения (монета с уклоном ~ 0,001 должны иметь потери энтропии ~ 0,000001). Я предполагаю, что подобное соотношение имеет место для игры в кости, но 5-й мерном предвзятость пространство довольно трудно представить себе, 36 кубики роллов (~ 93 бит) только о достаточно для надежного шифрования BIP38 (использование по меньшей мере, 50 алгоритмов без ключа растяжения). Интересно, так ты говоришь, что даже плохие кости могут генерировать случайные числа, это просто, что она теряет энтропию значения. Как вы можете оценить энтропию кости? Если предположить, что это не является оптимальным. (2,5849625007)

8 декабря 2016, 5:56:35 AM	# 5
achow101 Сообщения: 1246 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Я оставил несколько замечаний по этому документу. Цитата: bitsec731 от 08 декабря 2016 года, 5:26:13 AM Это может или не может быть правдой. Я не думаю, что кто-нибудь надежно осмотрены свои фишки на ошибки или бэкдоров. Даже если чипы позволили что-то просачиваться через USB, там еще должна быть прошивка, которая управляет чип, так что это сделать. IIRC прошивка для большинства аппаратных кошельков является открытым исходным кодом и общедоступный (это для Трезора по крайней мере). Цитата: bitsec731 от 08 декабря 2016 года, 5:26:13 AM Но это не то, что я имел в виду тоже, я имел в виду анализа мощности атаки. Так как бумажник работает через порт USB, было бы тривиально установить такую атаку и расшифровывать секретные ключи путем усреднения его в течение многих случаев использования, а затем отправить секретный ключ, через какой-то скрытый канал. А так как вы вынуждены быть подключены к Интернету, используя их, я бы не назвал безопасный интернет-подключенный ПК. https://en.wikipedia.org/wiki/Power_analysis Атаки анализа мощности были сделаны раньше на Trezors: https://jochen-hoenicke.de/trezor-power-analysis/. Однако они могут быть относительно легко исправить с изменениями встроенного программного обеспечения.

8 декабря 2016, 7:57:19 AM	# 6
АГД Сообщения: 1414 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Я буду читать его позже, но недурно вуп первый пост / тема уже. Отлично сработано.

8 декабря 2016, 5:02:35 PM	# 7
ArcCsch Сообщения: 224 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: bitsec731 от 08 декабря 2016 года, 5:26:13 AM Я имел в виду анализа мощности атаки. Самый простой способ, чтобы устранить это анализ мощности с использованием конденсатора и резистора внутри бумажника: (1) Подключите конденсатор к USB для зарядки. (2) Отсоедините конденсатор от USB. (3) Подключение конденсатора к чипу для некоторого количества вычислений. (4) Отсоедините конденсатор от чипа, прежде чем он может, возможно, закончился. (5) Подключите конденсатор к резистору, чтобы слить всю избыточную энергию. (6) Отсоедините конденсатор от резистора и петли обратно на стадию (1). Это предотвращает компьютер от мониторинга использования энергии.

8 декабря 2016, 5:34:45 PM	# 8
TierNolan Сообщения: 1148 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: bitsec731 от 08 декабря 2016 года, 2:41:12 AM Вместо создания 160 битное число, что, если вы генерировать 600 битное число, не будет ли это преодолеть предубеждение? Я интересно, если криптографические эксперты будут иметь ответ на этот вопрос. Вам не нужно будет 600 бит, если матрица не очень предвзято. Энтропия равна -sum (р (п) * log2 (р (п)). В основном, сумма логарифма вероятности каждого состояния взвешенных по вероятности каждого состояния. Справедливая монета будет иметь 2 состояние с р = 0,5. Это дает сумма (0,5 * log2 (0,5)) = - [0,5 * (-1) + 0,5 * (-1)] = 1 бит Нечестно монета с 60% вероятностью голов дает [0,4 * log2 (0,4) + 0,6 * log2 (0,6)] = - [0,4 * (-1,32) + 0,6 * (-0.737)] = 0,971 бит Это означает, что 60% монеты дают 97% энтропию справедливой монеты. Справедливая кость дает 2.584962501 битам энтропии. Кости с 20% вероятностью 1 и 16% шансом для остальных в дают. [0,2 * log2 (0,2) + 5 * 0,16 * log2 (0,16)] = 2.57947 биты Это довольно большая нагрузка, и до сих пор почти не влияет на энтропию. Штамп с 50% шансов на 6 и 10% остальных дает [0,5 * log2 (0,5) + 5 * 0,1 * log2 (0,1)] = 2,16 бит Если вы прокатке один кубик на каждые 2 бита, которые вы хотите, то вы должны использовать очень низкого качества кости, чтобы не получить энтропию вам требуется. Если результат 80 бросков костей был запущен, хотя хэш-функция, то выход будет иметь по меньшей мере, 160 битые энтропию и, вероятно, близки к 206 бит.

8 декабря 2016, 9:40:38 PM	# 9
bitsec731 Сообщений: 32 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: achow101 от 08 декабря 2016 года, 5:56:35 AM Даже если чипы позволили что-то просачиваться через USB, там еще должна быть прошивка, которая управляет чип, так что это сделать. IIRC прошивка для большинства аппаратных кошельков является открытым исходным кодом и общедоступный (это для Трезора по крайней мере). Является ли все это с открытым исходным кодом, хотя? Это большой вопрос, потому что, как правило, всегда есть биты и сгустки, которые контролируют некоторые аспекты чипа, которые являются закрытым исходным дизайном, и часто они не могут быть перепрограммирован на всех, а не продавцом, а патенты и другие дизайн секреты дизайнера чипа. Там нет открытых процессоров источника в настоящее время для ПК, которые целесообразно использовать для общего использования, например. Цитата: TierNolan от 08 декабря 2016 года, 5:34:45 PM Цитата: bitsec731 от 08 декабря 2016 года, 2:41:12 AM Вместо создания 160 битное число, что, если вы генерировать 600 битное число, не будет ли это преодолеть предубеждение? Я интересно, если криптографические эксперты будут иметь ответ на этот вопрос. Вам не нужно будет 600 бит, если матрица не очень предвзято. Энтропия равна -sum (р (п) * log2 (р (п)). В основном, сумма логарифма вероятности каждого состояния взвешенных по вероятности каждого состояния. Справедливая монета будет иметь 2 состояние с р = 0,5. Это дает сумма (0,5 * log2 (0,5)) = - [0,5 * (-1) + 0,5 * (-1)] = 1 бит Нечестно монета с 60% вероятностью голов дает [0,4 * log2 (0,4) + 0,6 * log2 (0,6)] = - [0,4 * (-1,32) + 0,6 * (-0.737)] = 0,971 бит Это означает, что 60% монеты дают 97% энтропию справедливой монеты. Справедливая кость дает 2.584962501 битам энтропии. Кости с 20% вероятностью 1 и 16% шансом для остальных в дают. [0,2 * log2 (0,2) + 5 * 0,16 * log2 (0,16)] = 2.57947 биты Это довольно большая нагрузка, и до сих пор почти не влияет на энтропию. Штамп с 50% шансов на 6 и 10% остальных дает [0,5 * log2 (0,5) + 5 * 0,1 * log2 (0,1)] = 2,16 бит Если вы прокатке один кубик на каждые 2 бита, которые вы хотите, то вы должны использовать очень низкого качества кости, чтобы не получить энтропию вам требуется. Если результат 80 бросков костей был запущен, хотя хэш-функция, то выход будет иметь по меньшей мере, 160 битые энтропию и, вероятно, близки к 206 бит. Спасибо. Мои криптографические навыки не так хорошо, что это не моя область знаний. Вы можете ссылаться на эту формулу, что вы использовали?

8 декабря 2016, 9:55:47 PM	# 10
achow101 Сообщения: 1246 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: bitsec731 от 08 декабря 2016 года, 9:40:38 PM Является ли все это с открытым исходным кодом, хотя? Это большой вопрос, потому что, как правило, всегда есть биты и сгустки, которые контролируют некоторые аспекты чипа, которые являются закрытым исходным дизайном, и часто они не могут быть перепрограммирован на всех, а не продавцом, а патенты и другие дизайн секреты дизайнера чипа. Посмотрите на код самостоятельно: https://github.com/trezor/trezor-mcu Вы можете скомпилировать из исходников и прошить на устройство, так что все, что есть то, что является частью прошивки Trezor.

9 декабря 2016, 1:37:48 AM	# 11
jhogan Сообщения: 6 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: bitsec731 от 08 декабря 2016 года, 2:41:12 AM - Прочитайте документ, это хорошо для обычных пользователей, но это не предел безопасности. Что делать, если палка USB спрятался вредоносное ПО на нем? Можно ли доверять производителю USB? Конечно, нет. Спасибо за ваши комментарии. Можете ли вы предложить более безопасную альтернативу? Мне интересно, если у вас есть что-то в уме. Имейте в виду, что компьютер в вопрос должен получить программное обеспечение генерации ключей на нем как-то, и мы, конечно, не хотим, чтобы достигнуть этого, подключив его к сети. Цитата: achow101 от 08 декабря 2016 года, 5:56:35 AM Я оставил несколько замечаний по этому документу. Я видел, что, спасибо! Это займет некоторое время, чтобы просмотреть все комментарии, но с нетерпением жду этого. котировка Даже если чипы позволили что-то просачиваться через USB, там еще должна быть прошивка, которая управляет чип, так что это сделать. IIRC прошивка для большинства аппаратных кошельков является открытым исходным кодом и общедоступный (это для Трезора по крайней мере). Имея все с открытым исходным кодом, безусловно, помогает, но с открытым исходным кодом может иметь важные уязвимости тоже (например, Heartbleed). И атаки со стороны канала, как атаки анализа мощности вы связаны между собой. Возможно, что может быть исправлено, но какой еще неоткрытых уязвимость может быть там? Это соединение USB только создает инкрементный риск любым способом вы посмотрите на него.

9 декабря 2016, 2:57:33 AM	# 12
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Вы должны оценить, если ваши решения программного обеспечения соответствуют передовым методам выбора криптографического программного обеспечения (см разговора я дал по этому вопросу (третий раздел) в https://youtu.be/Gs9lJTRZCDc?t=2240); или если вы принимаете потенциально опасный код, который вы нашли в Интернете, потому что его поверхностный набор функций звучит хорошо.

9 декабря 2016, 5:52:02 AM	# 13
buwaytress Сообщения: 462 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: ArcCsch от 08 декабря 2016 года, 5:02:35 PM Цитата: bitsec731 от 08 декабря 2016 года, 5:26:13 AM Я имел в виду анализа мощности атаки. Самый простой способ, чтобы устранить это анализ мощности с использованием конденсатора и резистора внутри бумажника: (1) Подключите конденсатор к USB для зарядки. (2) Отсоедините конденсатор от USB. (3) Подключение конденсатора к чипу для некоторого количества вычислений. (4) Отсоедините конденсатор от чипа, прежде чем он может, возможно, закончился. (5) Подключите конденсатор к резистору, чтобы слить всю избыточную энергию. (6) Отсоедините конденсатор от резистора и петли обратно на стадию (1). Это предотвращает компьютер от мониторинга использования энергии. Хорошая отправная точка, чтобы сорвать атаки анализа мощности, но это не могло быть сконструированы таким образом, что он встроен в системе или автоматизирован, часть спусковой безопасности? Я думаю, что мы должны помнить, что это руководство предназначено для новичков - любая рекомендация должна ставить это рассмотрение на передовой мысли.

9 декабря 2016, 1:54:52 PM	# 14
ArcCsch Сообщения: 224 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: buwaytress 09 декабря 2016 года, 5:52:02 AM Цитата: ArcCsch от 08 декабря 2016 года, 5:02:35 PM надрез Хорошая отправная точка, чтобы сорвать атаки анализа мощности, но это не могло быть сконструированы таким образом, что он встроен в системе или автоматизирован, часть спусковой безопасности? Я думаю, что мы должны помнить, что это руководство предназначено для новичков - любая рекомендация должна ставить это рассмотрение на передовой мысли. О, это была ориентирована на разработчиков аппаратных кошельков, чтобы дать безопасность аппаратного непосредственно от анализа мощности. Другие возможности безопасности вложить чип в толстом случае сильно проводящего металл, чтобы остановить электромагнитные волны, добавить ультразвуковой источник шума, гораздо более мощными, чем легитимная чип фольги акустического криптоанализа, и добавить небольшую TRNG постоянно семени PRNG , Кроме того, имеет ли Trezor показать сделку в полном объеме до его подписания? Это, безусловно, должно быть. Кроме того, оно должно быть трудно подтвердить случайно (контакт должен быть введен.)

9 декабря 2016, 3:31:52 PM	# 15
TierNolan Сообщения: 1148 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: bitsec731 от 08 декабря 2016 года, 9:40:38 PM Вы можете ссылаться на эту формулу, что вы использовали? Это довольно стандартная формула. Вы можете получить его из теории информации энтропии статьи о википедия.

9 декабря 2016, 8:31:13 PM	# 16
bitsec731 Сообщений: 32 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: achow101 от 08 декабря 2016 года, 9:55:47 PM Цитата: bitsec731 от 08 декабря 2016 года, 9:40:38 PM Является ли все это с открытым исходным кодом, хотя? Это большой вопрос, потому что, как правило, всегда есть биты и сгустки, которые контролируют некоторые аспекты чипа, которые являются закрытым исходным дизайном, и часто они не могут быть перепрограммирован на всех, а не продавцом, а патенты и другие дизайн секреты дизайнера чипа. Посмотрите на код самостоятельно: https://github.com/trezor/trezor-mcu Вы можете скомпилировать из исходников и прошить на устройство, так что все, что есть то, что является частью прошивки Trezor. Но процессор ARM не открытый исходный код. котировка TREZOR использует 120 МГц встроенный процессор ARM (Cortex M3, чтобы быть точным) с пользовательской развитой системой. Большая часть этого материала запатентован. Если процессор не является открытым, это не имеет значения, что остальная часть кода. https://en.wikipedia.org/wiki/ARM_architecture Цитата: jhogan 09 декабря 2016 года, 1:37:48 AM Спасибо за ваши комментарии. Можете ли вы предложить более безопасную альтернативу? Мне интересно, если у вас есть что-то в уме. Имейте в виду, что компьютер в вопрос должен получить программное обеспечение генерации ключей на нем как-то, и мы, конечно, не хотим, чтобы достигнуть этого, подключив его к сети. Я мог бы, но я думаю, что это было бы излишним. Конечно, как вы сказали, для холдингов 100,000-500,000 $ Я бы сказал, что это руководство нормально. Если человек имеет больше, чем он мог бы пойти на полное создание ключа вручную, потому что, конечно, не цифровая машина не может доверять на 100%. Есть и другие векторы атаки тоже. Я бы оценил руководство 7/10, она по-прежнему на порядок лучше, чем то, что имеет средний пользователь Bitcoin, и вор всегда будет начинаться с плодами низких висячие. Цитата: jhogan 09 декабря 2016 года, 1:37:48 AM Имея все с открытым исходным кодом, безусловно, помогает, но с открытым исходным кодом может иметь важные уязвимости тоже (например, Heartbleed). И атаки со стороны канала, как атаки анализа мощности вы связаны между собой. Возможно, что может быть исправлено, но какой еще неоткрытых уязвимость может быть там? Это соединение USB только создает инкрементный риск любым способом вы посмотрите на него. Когда речь идет в сторону каналов атаки, существуют сотни возможных векторов атаки, и это почти невозможно, чтобы защитить против всех. Люди должны начать с наиболее уязвимыми из них, и защищаться от тех, кто первым. Люди должны также создавать свои собственные модели угроз, и посмотреть, какие обороны они нужны или нет. Не у всех есть много монет, а также для небольших хозяйств, некоторые из этих вещей могут быть слишком много.

10 декабря 2016, 4:42:40 AM	# 17
Кубический Земли Сообщения: 868 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Руководство кажется разумным, и приятно видеть некоторые работы претворяются в этом. Вот мой метод для безопасного хранения в холодильнике: 1) Начните с чистым, автономным компьютером, с отключенной беспроводной возможностью 2) Загрузите несколько различных кошельков и части генерирующего программного обеспечения адреса на компьютере 3) Я использовал Bitaddress.org как мой генератор ключей. Crappy RNG Java-скрипта? Нет проблем. Разве я проверяю Sigs? Неа. Я пусть генерировать пару ключей, и использовать его в качестве отправной точки. 4) я изменить секретный ключ вручную! Я делаю около 7 изменений, включая делеции, добавления и замены. Я также добавить короткое слово, чтобы сделать визуальное подтверждение легко. Я просто убедитесь, что ключ заканчивается такой же длины, как это начиналось. 5) Я импортировать измененный закрытый ключ на несколько других кошельков, и подтвердить, что каждый сгенерированный адрес тот же. 6) Я архивировать закрытые ключи в случае необходимости, через зашифрованные флэш-накопитель и резервные копья бумаги, которые я вырезанные (с ножницами) на фрагменты и распределено. 7) Адреса I изолируют и сделать доступными для интернет-машин. Хорошая часть об этом методе есть между модифицированием приватных ключей вручную, и перекрестными ссылками генерации адресов среди различных частей программного обеспечения, возможность вредоносного программного обеспечения на компромисс средств строго ограничена.

10 декабря 2016, 7:30:42 AM	# 18
АГД Сообщения: 1414 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Я думаю, что конечная точка безопасности для Bitcoin еще компьютерные аппаратная часть. Это не проблема, использовать кости, чтобы создать безопасную энтропию и бумагу в качестве запоминающего носителя (который горит очень хорошо и может быть конфискована - что-то, что холодное хранение не должно быть), но Bitcoin все еще полагается на закрытых исходных компьютерах , Конечно, обычные люди могли бы построить открытый источник питания источника с нуля, но и создание источника processer открытым является Pratically невозможно, поэтому каждый, кто хранит Bitcoins, будет доверять несколько крупных производителям электронных деталей, что они не хранить ваш свеж создано форума ключи в любом месте. Таким образом, система Bitcoin не 100% ненадежный вообще. Проверьте https://en.wikipedia.org/wiki/List_of_open-source_hardware_projects Даже при использовании аппаратного обеспечения с открытым исходным кодом не защищает вас от производителей чипов и т.д., так что мы по-прежнему должны доверять много. Кроме того, до тех пор, как Интернет является то, что несколько человек могут просто закрыть, мы должны доверять много, что они не делают. Вы, возможно, все еще есть ваши Bitcoins в вашем бумажнике то, но вы не сможете отправить их на другой кошелек - даже не свой собственный.

10 декабря 2016, 12:51:27 PM	# 19
vapourminer Сообщения: 1427 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: Cubic Земли 10 декабря 2016 года, 4:42:40 AM Руководство кажется разумным, и приятно видеть некоторые работы претворяются в этом. Вот мой метод для безопасного хранения в холодильнике: 4) я изменить секретный ключ вручную! Я делаю около 7 изменений, включая делеции, добавления и замены. Я также добавить короткое слово, чтобы сделать визуальное подтверждение легко. Я просто убедитесь, что ключ заканчивается такой же длины, как это начиналось. Мне особенно нравится часть я жирная. слово может быть намеком на то, что этот ключ / Адди для, содержит, что угодно. больше работы, но более потенциальная полезность.

10 декабря 2016, 5:06:45 PM	# 20
Шорена Сообщения: 1400 Цитировать по имени цитировать ответ	Re: Запрос на комментарий: Разработка руководства для самого хранения Bitcoin высокой безопасности Цитата: vapourminer от 10 декабря 2016 года, 12:51:27 PM Цитата: Cubic Земли 10 декабря 2016 года, 4:42:40 AM Руководство кажется разумным, и приятно видеть некоторые работы претворяются в этом. Вот мой метод для безопасного хранения в холодильнике: 4) я изменить секретный ключ вручную! Я делаю около 7 изменений, включая делеции, добавления и замены. Я также добавить короткое слово, чтобы сделать визуальное подтверждение легко. Я просто убедитесь, что ключ заканчивается такой же длины, как это начиналось. Мне особенно нравится часть я жирная. слово может быть намеком на то, что этот ключ / Адди для, содержит, что угодно. больше работы, но более потенциальная полезность. Кроме того, потенциальный боковой канал, его, вероятно, не так много, но ключ со словом в нем легче угадать, чем ключевой Thats совершенно случайно. Если вы не доверяете дерьмовый Java ПСЧ использовать только одну ОС обеспечивает.

Заголовок