Topic: Вопросы по кошельку Electrum - page 13. (Read 62081 times)

Я уточнил в своем посте выше, что "если найдется эффективный способ вычислить приватный ключ из публичного", то средства могкт быть в опасности. Если такой способ найдется, то у нас будут гораздо большие проблемы, так что придется переходить на что-то более безопасное. Долгосрочные холдеры надеяться, что текущая криптография достаточно сильна и их средства в безопасности, но все равно стоит быть начеку и следить за новостями. Скажем так, если вы не используете адреса повторно, то вам беспокоится нужно меньше, чем тем, кто использует. Если вы планиуете оставить свои биткоины внукам и правнукам, то имеет смысл не делиться публичными ключами.

Теперь что касается публичного ключа. Ваш горячий кошелек использует расширенный публичный ключ (extended public key или xpub) для генерации адресов. Соответственно, если злоумышленник завладеет этим ключом, то он сможет сгенерировать те же самые адреса, узнает ваш баланс и отследит все транзакции. Очевидно, это очень плохо для приватности и может привести к плохим последствиям. Еще есть проблема с безопасностью, опять же, но это уже слишком технический вопрос, который касается генерации приватных ключей.

Противоречие здесь вижу я.

Не слушайте вы этих дядек. О чем они говорят вполне возможно, но это лишь страшилка. Пока не было ни одного подтвержденного случая взлома кошелька как по хэшу так и по публичному ключу. И даже если кто-то в будущем получит вычислительные мощности способные на это, то их будут интересовать прежде всего кошельки с тысячами Биткоинов. Копейки которые находятся на кошельках большинства рядовых пользователей интересуют разве что мелких скамеров, запускающих свои токены, либо биржевых скамеров, которые зазывают торговать у них, а потом обтяпывают "взлом биржи неизвестными хакерами".

Подобрать приватный ключ к публичному легче, чем к хешу публичного ключа, то есть, к адресу. Криптостойкость публичного ключа - 128 бит, криптостойкость адреса - 160 бит. Адрес защищён от подбора приватного ключа сильнее, чем публичный ключ, при помощи дополнительных алгоритмов хеширования SHA-256 + RIPEMD-160. Но в то же время, криптостойкость 128 бит для алгоритма Secp256k1, которым защищён публичный ключ, не даёт оснований беспокоиться о подборе к нему приватного ключа - это всё равно сильная криптография.

Если вам удобно пользоваться одним и тем же адресом - пользуйтесь, на комиссии транзакций это никак не влияет. Если считаете, что для вас плохо, если вас будут ассоциировать с одним и тем же адресом - меняйте адреса.

Приватность это одна сторона вопроса, но есть еще безопасность. Когда вы тратите UTXO с одного и того же адреса, вы создаете разные подписи. Подписи нужны для авторизации платежа, чтобы доказать, что вы действительно имеете право на трату средств. Так вот. Вы создаете разные подписи, но с помощью одного и того же приватного ключа. Существует вероятность, причем немалая, что может быть обнаружена уязвимость, которая позволит вычислить приватный ключ с помощью нескольких подписей. Еще одна опасность в том, что когда вы тратите средства с адреса, то вы  раскрываете свой публичный ключ. Если вдруг найдется способ вычислить приватный ключ из публичного, то у хакера будет много времени, чтобы попытаться взломать ваши средства. Если же вы не используете адрес повторно, то публичный ключ будет полезен, только пока транзакция не подтвержена, дальше его взламывать бессмысленно. Объясню проще, у вас на адресе 5BTC и вы тратите 1BTC. У вас остается 4BTC. Но потратив 1BTC, вы рассказали всему миру про публичный ключ к оставшимся на адресе 4BTC. Теперь хакер знает ваш публичный ключ и может попытаться взломать его и найти приватный ключ. Если же вы потратили все 5BTC, то хакеру нужно действовать быстро, чтобы найти приватный ключ и попытаться повторно потратить средства. Если транзакция подтвердиться быстрее, чем хакер успеет взломать, то она уже будет на новом адресе, где публичный ключ снова скрыт.

Новый релиз: Electrum 4.2.0. Улучшена поддержка Lightning и аппаратных кошельков. Ссылка на скачивание: https://electrum.org/#download

Да, повышение уровня приватности при использовании разных адресов выше, чем при получении платежей на один адрес. Кроме того, использование разных адресов может экономить комиссионные расходы при отправке биткойнов. При выполнении транзакции с адреса, в случаях когда Вы тратите не всю  сумму, т.е., практически всегда, остаток не остаётся на на старом адресе, а переводится на адрес для сдачи. Строго говоря, это не всегда так, но для лучшего понимания считайте, что это так.

Для понимания вопроса следует усвоить одну важную вещь: в кошельке электрум не хранятся Ваши биткойны. Кошелёк электрум это программа, которая хранит приватные ключи и предоставляет Вам удобный доступ к Вашим биткойнам. Выбирая себе кошелёк, Вы выбираете программу для доступа к своим средствам для выполнения транзакций. Можно владеть биткойнами, выполнять транзакции и при этом не пользоваться ни одним из кошельков, но это очень неудобно...

Суть этого, не дать кому либо вычислить мою личность так? Или кроме этого есть ещё какие либо подводные камни?

Вот скажем ситуация такая, человек для примера получает оплату за свою работу в BTC всегда на один и тот же адрес в электруме. Работает анонимно, его личность работодателю неизвестна.

Первый случай: он не снимает монеты со своего кошелька и просто их хранит.

Второй случай: он периодически отправляет какую то часть монет на другой кошелек электрум, скажем тоже как оплату за какую то работу другому человеку. Все так же анонимно.

Какие есть риски для первого и для второго случая? В первом случае я так понимаю все относительно безопасно. Во втором случае когда он получал оплату на один адрес и после исходящей транзакции дальше получает на этот адрес монеты повышается риск, так? Но в чем именно риск?

Или все так же будет безопасно, пока не сделать вывод на какую то биржу (если там верифицирован), или обналичивание через обменник на карту? Задался вопросами безопасности, но разобраться не могу сам и в развернутом виде интересующую меня информацию не получается найти.

Да, так и есть,... в кошельке много адресов и для приёма новых платежей правильнее использовать новый адрес. Если на один и тот же адрес придёт несколько платежей, то страшного ни чего не случится, битки не пропадут.

Почитал последние страницы и у меня возник вопрос: то есть если у меня будет кошелек электрум на который я получил биткоин и потом сделал исходящую транзакцию с него, то на этот кошелек лучше больше не получать транзакции, а сделать новый для получения? Или каждая новая транзакция - новый адрес, это имеется ввиду, новый адрес, которых в электруме моем много?

А даже если адрес активный, и ключ подобрали, ключ ведь получится уникальный, не такой, как у владельца. То есть ничего и не было украдено, не так ли? За что судить? Типа адрес был мой еще в 9-м году, а то, что кто-то мне деньги присылал, так в этом моей вины нет)).

Интересная ситуация. Тут кроме ключа для доказательства потребуются предоставить исходящие транзакции с его оборудования и с его ip, которые были ранее. Если таковых транзакций нет, т.е. выходов, то доказать свое право "первородства" нельзя, стало быть второй имеет ровно такие же права на битки. Причем это ведь суд должен разбираться. Еще надо доказать право владения оборудованием, предоставить его суду (а может уже и нет ничего через 10 то лет), поднять журналы провайдера насчет ip, кроме того доказать место проживания по этому ip, договор с провайдером. А если он снимал жилище? Если прежний арендодатель продал жилище новому, а тот ничего не знает, прежнего найти нельзя, договоры аренды утеряны? В общем сложная ситуация. Второй может забрать битки без всяких проблем. У кого ключ того и тапки получается, если адрес мертвый.

Ага, ну тогда понятно, почему 115 бит нашли, ведь это примерно соответствует 57 битам без публичного ключа.
Почему 2²⁵⁵? Ведь 2¹²⁸, вы и сами это писали... Или это без публ. ключа? Тогда для большинства адресов будет, как я понимаю, 2¹⁶⁰. Ну а параноикам можно использовать P2WSH или P2TR адреса, там все 256 бит. У меня, кстати, на мультиподписном и хранится ).

Если адреса активные, то конечно. А вот как расценивать подбор приватника к неактивному адресу, типа того, что я приводил выше? Ведь доступ к нему наверняка утерян, с 10-го года не было транзакций.
Или представьте фантастическую ситуацию - генерируете сид, создаете кошелек, а там уже лежат монеты - что делать? Уничтожить кошелек и сид? Я думаю, что если это уже ничьи деньги, то ничего аморального в их присвоении нет. Ну а если найдется владелец, докажет владение наличием ключа, то тогда конечно следует вернуть.

Перебор был до 63-битного, и застряли с перебором на 64-м. С 65-го до 160-го известны публичные ключи, т.к. создатель головоломки сделал транзакции с каждого пятого адреса, и включительно до 115-го приватники нашли по ним.

Полагаю что такая сложность 2^128 в целом вообще к любому приватнику относится если известен только публичный ключ и неизвестен диапазон.
Интересно вот что, период группы это наименьшее кратное порядков элементов, в случае кривой значит точек, т.е пабликов. Например, ищут разгадку головоломки в 120-м диапазоне и заодно еще куча пабликов у которых вообще ключи могут быть где-то высоко, скажем в 254-м. Но! мы ж не знаем какой период группы, а она может иметь элементы по всему диапазону, и в том же 120-м какое-то значение может дать такую же точку, и ключ скомпрометирован. Вероятность ничтожная, но все-таки...
Поэтому мне кажется что использовать адреса для сдачи обязательно, даже если это и не совсем удобно с каких-то соображений. А если совсем уж параноидально, то и держать частями на кошельках с разными мнемониками, потому как мнемоники тоже ищут перебором. Если простой перебор приватников имеет сложность где-то 2^255, то с мнемониками это вроде бы примерно 2^132 или меньше.

Кстати, я не думаю что кто-то будет подбирать к богатым адресам с активностью, т.к. это ведь будет расценено как преступление, кража. Рано или поздно могут найти похитителей. Вчера была новость что арестовали двоих, укравших с bitfinex 120k битков в 16-м году. Битки уже изъяты и сроки в 25 лет грозят, как я читал. Другое дело головоломка, которая и создана специально чтобы исследовать текущие мощности или новые подходы на каждом этапе существования битка, где балансы это по существу вознаграждения.

 
Я наверно неправильно выразился, имел в виду периодическую группу точек, она не то же самое что циклическая. Т.е. внутри циклической группы точек есть периодические подгруппы, их и ищет бсгс и кенгуру по пабликам. Тоже не большой специалист в этом, просто было интересно как все устроено.

Создатель оригинальной транзакции, спустя несколько лет, сделал траты с каждого пятого выхода, тем самым открыв публичные ключи от каждого пятого адреса. И с тех пор программисты работают над эффективными реализациями оптимальных алгоритмов нахождения приватного ключа из публичного (BSGS, кенгуру Полларда).

Примеры реализаций:
https://bitcointalksearch.org/topic/pollards-kangaroo-ecdlp-solver-5244940
https://bitcointalksearch.org/topic/bsgs-solver-for-cuda-5364845
https://github.com/JeanLucPons/BSGS

Верно. На самом деле, все публичные ключи и так образуют циклическую группу, поэтому, что имел в виду viljy я не понял, впрочем, я не большой специалист в области ECC.

Может быть, конечно... Хотя человеку свойственно хвастаться своими достижениями - если бы было хотя бы несколько десятков таких случаев, то что-то уже было бы известно.
Да, несколько таких случаев было. Но там, кажется, ни в одном перед этим не был засвечен публичный ключ, так что это не по теме нашего разговора.
Тоже немного не то, если я правильно понял. Там тупой перебор первых десятков бит приватника для получения адреса с призом. Из публичного ключа приватный там не получают. Интересно, что уже кто-то даже 115-битный ключ нашел, я думал, там процесс застрял в районе 50-60 бит. Но все равно хотя бы до 128-битного ключа еще целая пропасть.
Спасибо, попробую хоть что-то понять ). Сложно для меня это... Я так понимаю (касательно нашего разговора) оттуда нужно сделать вывод, что 256-битный приватник по публичному подбирается за 2¹²⁸ итерации, так? Но и это число слишком огромно на данный момент.

@igor72

Полагаю те кто находит не распространяются о своих находках, поэтому и не слышно. С другой стороны бывает вдруг оживают древние адреса, ну и головоломка 32 битка - живой пример находок по публичным ключам: https://bitcointalksearch.org/topic/bitcoin-challenge-transaction-1000-btc-total-bounty-to-solvers-updated-5218972
https://privatekeys.pw/puzzles/bitcoin-puzzle-tx

Про циклические группы можно прочитать вот здесь, очень толково описано: https://habr.com/ru/post/335906/

Да, но с другой стороны пока не слышно, чтобы кто-то нашел приватник по публичному ключу, а значит пока еще такой опасности нет. Когда увидим исходящую транзакцию, например, с адреса 12ib7dApVFvg82TXKycWBNpN8kFyiAN1dr, тогда можно начинать волноваться ).
Но в общем согласен, сам дважды адреса не использую (по соображениям приватности в том числе).
 Можно немного развернуть про циклические группы? Или может есть ссылка? Просто эта информация как-то прошла мимо меня.
Если точнее, то на несколько порядков меньше.
Мне кажется, что сейчас это бесполезное занятие при любых мощностях.

1. Не делайте сдачу обратно на адрес отправки, т.к. ваш публичный ключ уже в блокчейне и извлекается на раз два. Надежен адрес с которого не было ни одной транзакции. Хотя по публичному и неизвестен диапазон, где приватник, тем не менее пренебрегать не стоит. Все пространство и так постоянно шерстят от нечего делать, а уж по публичным ключам там скорости на порядки выше, чем просто по декодированным до 160го хеша адресам, т.к. по публичному это не тупой брутфорс, а поиск циклической группы, т.е. достаточно попасть хотя бы на одного члена группы, в которой ваш приватник и все. А таких чисел много. Защита в том, что пространство ключей больше чем атомов во вселенной. Специально никто именно один ваш ключ искать не будет, выкачают миллионы публичных с транзакций и всю кучу скопом гоняют с терабайтами памяти и сотнями ядер, если есть доступ к таким мощностям, например по работе. А у кого есть карты тоже самое могут делать на кенгуру, хотя с кучей карт лучше майнить эфир, пока еще можно до эфира-2, но мало ли. Более опасны сервера с гигантской памятью, тем более бсгс намного быстрее кенгуру.
2. Обновлять из кошелька не надо, а надо самому скачать новую версию и проверить подпись. Всякие предложения обновления в кошельке уже себя скомпрометировали. Лучше не рисковать.