Topic: brainwallet (Read 1063 times)

Questa una vecchia discussione su Electrum dove mi sembra ci sia il suo creatore a dettagliare la questione dei brainwallet:

https://bitcointalksearch.org/topic/electrum-a-brainwallet-in-twelve-words-51397

In particolare c'è la lunghezza del dizionario, la scelta casuale delle parole e il numero delle combinazioni. La discussione è del 2012.

Da noate che Electrum dice:

Il numero del seed in un esempio del 3ad dice:

In pratica c'è una corrispondenza biunivoca tra il numero esadecimale e la sequenza di parole. A questo fine il dizionario è invariabile come numero e come ordine. Ovviamente il dizionario è in inglese ma nulla toglie che si crei un dizionario di sempre 1626 parole in italiano dove a ogni parola in inglese ne corrisponde una in italiano anche non come traduzione. Quel che è importante è la sequenza.

Si spera che os.urandom() da cui dipende tutta la baracca sia implementato bene e dal nome sembrerebbe una chiamata a una funzione del sistema operativo, si spera che l'entropia ci sia quando sputa fuori il suo numero casuale.

Il punto debole di questo sistema è che occorre avere sempre l'algoritmo di Electrum per convertire il numeretto e590e7dcd80a54737e49d4f95db4fd nella private key. Con le parole chiavi occorre anche avere il dizionario. In un eventuale aggiornamento dell'algoritmo è indispensabile tenersi aggiornati perché con i brainwallet non si ha la private key come nel caso di Multibit classic.

I brainwallet sono bacati di default, però se la password o la passphrase viene scelta dal pc allora si può ragionare:
https://www.reddit.com/r/Bitcoin/comments/3g9upp/are_electrum_seeds_brain_wallets_still_safe/


Ora il dizionario di Elecrtum è composto da:
https://bitcointalksearch.org/topic/where-can-i-find-the-electrum-seed-word-list-351854

che supposto (non c'è ragione non l'abbiano fatto i coders di Elecrtum) la scelta delle parole casuale fa:

1626^13 ovvero 55*10^40

per provare tutti questi hash occorre una cifra in euro pari a:
166605099799742998089606242047

Quindi è abbastanza sicuro a meno di bachi nell'implementazione. Si noti che visto l'elevato numero di parole della passphrase, alcune di queste fanno da salt.

Ragazzi come al solito faccio la figurta del noob, ma non ho capito una cosa, quali sarebbero i brainwallet? Quelli che hanno il seed ? Che vengono ripristinati inserendo il seed (che prende a caso parole da un dizionario ?) Quindi anche electrum ?

Non esattamente, se ad esempio ti sei salvato la chiave privata (o chiavi private) che hai su blockchain.info ... non perdi nulla (anche in caso di chiusura improvvisa del WebWallet).

gli stessi rischi che si corrono lasciando i propri bitcoin su un exchange online .
potrebbe chiudere al improviso e tu perderesti tutti i bitcoin .

Che rischi si corrono per chi ha un wallet online su blockchain.info?

Non credo, il problema è solo per chi si affida ai brainwallet che sono insicuri di default.

e spalmare i propi btc su molti wallett ed address di trezor garantisce piu sicurezza?

cmq all fine questa appena si espanderà sarà una mazzata allucinante per i btc

Non vedo perchè dovrebbe esserlo se consideriamo che anche lui ha il suo vocabolario di creazione, no?

Pare di si, ma non ne sono pienamente sicuro.

trezor è al sicuro da questo attacco?

Se le parole sono veramente casuali e non del tipo soggetto, complemento e verbo (che non è casuale) allora le possibilità sono:
(4*10^3)^12 = 16777216000000000000000000000000000000000000

Ma questo vuol dire tirare una monetina e scegliere una pagina e una riga del dizionario per scegliere una parola.

Per esempio le parole "Zoe Grugniva Ruspando Velocemente Un Hash. Stava Timidamente Mangiando Del Tartufo Grigio." non sono veramente casuali perché "Zoe" è un nome proprio di persona e sta ad inizio frase, questo è comodo per ricordare ma ne inficia la casualità. Invece la password di partenza è veramente casuale: "zgrvuhstmdtg" (si noti che ad ogni lettera corrisponde una parola).

Per esempio da un dizionario per bambini (500-1000 parole?) si può estrarre casualmente (sui generatori di numeri pseudocasuali si aprirebbe una lunghissima discussione) 10 parole:


le quali sono veramente casuali ma la cui sequenza è difficilissima da ricordare. In tal caso non c'è una struttura sintattica che aiuti la memoria e le possibilità sono grosso modo (10^3)^10 ovvero 10^30.

EDIT:
http://www.parolecon.it/parole-casuali.php?fs=10&fs2=1&Submit=Nuova+parola
il dizionario per bambini ha 500 termini quindi sono 10^30/1024 possibilità.

usando però parole generate in modo completamente casuale l'entropia rimane abbastanza alta secondo me. 12 parole prese in modo casuale da un dizionario di 4mila hanno circa 1^43 combinazioni, il che rende teoricamente la frase introvabile

Multibit HD in particolare comunque mi pare di ricordare che chieda un salt alla generazione del portafoglio.

Il problema è che quasi tutte le frasi sono oramai state dette e quindi la distinzione tra frasi pubbliche e private è difficile da fare. Poi le frasi in parte casuali lascia il tempo che trova, per esempio "esempio123" o "172esempio" sono password (non frasi) che sembrano difficili ma in realtà sono facilissime da scovare con un bruteforce, in pratica l'aggiunta di un numerino non inficia il fatto di essere una parola del dizionario.

In realtà l'informazione di una frase o la casualità di una frase dovrebbe essere misurato in modo dettagliato: "esempio123" è scovabile mettendo assieme una ricerca su un dizionario di 20 mila vocaboli, più un numero tra 0 e mille, fanno 20 milioni di tentativi, né più né meno.

Idem con patate se si considerano parole casuali all'interno di frasi: 10 parole equivalgono a (20*10^3)^10

Se invece le parole non sono casuali allora è un gioco da ragazzi e i tentativi da fare sono pochi.

EDIT: ho scritto un articolo tempo fa che forse vale la pena ricordare:

http://www.kensan.it/articoli/Password_sicurezza.php

in particolare la password: "zgrvuhstmdtg" è messa in equivalenza alla frase: "Zoe Grugniva Ruspando Velocemente Un Hash. Stava Timidamente Mangiando Del Tartufo Grigio." Non è propriamente vero ma non è nemmeno lontanissimo dalla realtà. Questo per dire che le password sono più chiare delle frasi che mettono solo molta confusione sulla loro sicurezza.

usare una frase pubblica come password non mi sembra una buona idea in ogni caso. il problema non si pone con password arbitrarie in parte casuali lunghe no?

Mi pare di avere capito che la lunghezza non è poi così importante in quanto non viene usato il salt nella blockchain per cui se la mia frase è "La filosofia non serve a nulla, dirai; ma sappi che proprio perchè priva del legame di servitù é il sapere più nobile." allora ne posso calcolare l'hash e poi la confronto con tutte le password memorizzate nella blockchain come brain wallet.

Così facendo non ha molto importanza la lunghezza della frase in quanto i calcoli li faccio una volta sola per brain-password. Poi spendendo migliaia di euro posso calcolare fare un brute force di migliaia di miliardi di frasi: posso trovare tutte le frasi che ci sono in Internet e provare quelle.

EDIT: rubati $103,000 dai brainwallet:
http://arstechnica.com/security/2016/02/password-cracking-attacks-on-bitcoin-wallets-net-103000/

Beh "si", ma li quanto riporti, non c'è scritto la dimensione della password

EDIT:
Non avevo letto Multibit.

Serve sapere la lunghezza delle password che hanno provato, e si calcola la velocità e il costo per quanto ci vorrebbe con una passphrase lunga come quelle di Multibit.

In questo testo:


si dice che i brainwallet sono memorizzati nella blockchain e che con pochi dollari si può fare un brute force e sono state trovate le frasi-password per 18 mila brain wallet con una spesa minima di 55 dollari.

Chiedo se Multibit HD che è un brain wallet da quel che ho capito, soffre dello stesso problema. Grazie.