Topic: Sobre las COLISIONES. Empiezo a preocuparme de que me preocupe en unos años? - page 2. (Read 7675 times)

Dudo que de aquí a ese tiempo haya algo mejor que Bitcoin, en todo caso habría un Bitcoin que adopte toda la tecnología que se pueda implementar en todo ese tiempo.

Yo solo estaba puntualizando que cuando se habla de colisión no se refiere a colisionar con una dirección en concreto si no en cualquier anterior previamente generada. Por lo tanto los calculos esos de millones de años ... son para colisionar con cualquier dirección previamente generada. Supongo que de aquí a 10000 años habrá algo mejor que bitcoin

Cuando eso suceda ya existe una maquina perfecta de ataque contra los algoritmos de hash involucrados en la creacion de una direccion (HASH160, esto es dos pasadas de SHA256 y RIPEMD160). Y para ese entonces, ya habran cambiado los algoritmos de hash. No hay de que preocuparse!!

Cierto, pero seamos prácticos: mucho tiene que evolucionar la computación para que este ataque sea un riesgo, y antes de que sea un riesgo habría mecanismos para evitarlo, porque Bitcoin puede cambiar sus algoritmos con el tiempo.

Aunque ya se haya esclarecido acerca de la posibilidad de colisiones, hay un equívoco en tu argumentación: colidir conta una dirección que ya fue previamente utilizada, aunque esa "nueva" dirección no tenga saldo, es un riesgo de seguridad. Porque eso significa que alguna otra persona en algun otro momento tuvo llaves privadas que corresponden a esa dirección (o todavia puede ternerlas), o sea, estarías en un serio riesgo de que tuvieras tus bitcoins afanados.

Esto es un poco técnico, pero: multifirma puede implementarse de dos maneras: usando los opcodes nativos del lenguaje de scripting, o usando P2SH. Al usar P2SH, la dirección no es más que un hash RIPEMD160 del redeemScript, muy parecido a las direcciones P2PKH habituales que empiezan por 1. Por tanto, los ataques de fuerza bruta contra direcciones multifirma P2SH tienen la misma probabilidad de éxito que los ataques contra direcciones P2PKH. La forma más segura de usar multifirma sería con el método anterior a P2SH. No sé si algún monedero lo implementa (todavía).

Sobre las colisiones, es más probable que un meteorito te caiga mañana en la cabeza (bastante más probable), así que no hay razón para preocuparse.

Aún así lo que han comentado de las direcciones Multifirma (que empiezan por un 3) deberías tenerlo en cuenta, por si acaso.



Fué un negocio muy rentable para anunciantes y casinos. Yo conocí al que lo implemento en España por primera vez con los casinos de playtech a principios del 2000 y publicidad en las webs de torbe, descargas, P2P etc, y fué un negocio millonario.

Hace años había muchísimos anuncios que te anunciaban un truco infalible para ganar en casinos... al parecer era ese método, no sería raro que lo anunciaran los propios casinos.

Eso era en un estudio estadístico. Gracias por tu interés pero has comentado algo que no es cierto, así con sonrisita.

La técnica martingala la conocen los casinos, entre otros, debido a que es del siglo XVIII, más conocida por ser la estrategia de doblar la apuesta tras perder. Por supuesto que provoca la ruina a medio plazo de cualquiera que la pruebe.

Ya en el tema, la probabilidad es una, y se ve más o menos grande según quien la mire.
La posibilidad está ahí y el crecimiento anual le quitará ceros.
Otro recordatorio es que un ataque del 51% era prácticamente imposible, en 2012-2013. Realmente no se hizo nada, los "grandes" mineros disimularon su potencia bajo "Unknown" para que no pensemos en ello.

Lo del minado es por el uso de equipos ASIC, y aún así, hay muchos ceros de margen.

Y incluso en el remoto caso de estar en peligro (ordenadores cuánticos, cuyo desarrollo no es tan exponencial como Dwave dice a sus inversores), ya habría un sistema diferente con mucha mayor resistencia (cifrados postcuánticos), y la gente enviaría sus fondos a esas nuevas direcciones aún más resistentes.

Pero entonces habrá mejores formas de asegurar la cadena de bloques, bitcoin no se va a congelar y dejar que resto del mundo avance. Además habría más problemas, protocolos https con los bancos, hacienda, ... habría muchas más cosas en peligro.



Eso era haciendo el martingala? eso lo saben los casinos y te funden como lo apliques. Estamos hablando de que a partir de hoy y hasta el día en que ya no estes, te toque reguarlmente todas las semanas el euromillón, quiniela, once, lotería nacional, etc... para acercarte un poco a la probabilidad de bitcoin, pero de lejos.

Aprovecho el debate para iniciarme en el foro. Yo coincido con la inquietud de SuperAntonio.

Las colisiones tiene una remotísisisima posibilidad, es cierto, como se dice por aquí, pero el poder de la computación, de la memoria, del almacenamiento, por poner ejemplos... crece y cada vez lo hace más deprisa. De hecho, creo que si el robado compensara económicamente lo suficiente, los chinos se pondrían a ello y tardarían menos de 10 años en conseguirlo.

Ya no se si en 10 años, si en 15, pero cuando la tecnología avanza, avanza exponencialmente, si además le ponemos un uso muy superior al actual... aun peor. Pongamos un ejemplo: no va a ser lo mismo, pero fijémonos en evolución estratosférica si miramos la potencia de minado total de la red bitcoin actualmente, y miramos la que había hace 3 años. Nadie de aquí en este foro podría imaginar este crecimiento, (y hablamos solo de 3 años, no 10).

En unos años podría pasar lo que indica. Y eso ha de empezar a tratarse de ya, porque las cosas de palacio, luego van despacio.

Pdt: en referencia y apoyo a las palabras de Antuam2, yo he visto salir en la ruleta (puro azar) 24 veces el mismo color, 21 impares seguidos, y 19 seguidas un numero del 1 al 18... Al infinito, la probabilidad se acercará al 48.65%, pero cuando el destino es caprichoso, por baja probabilidad que haya, acaba pasando y no es tan raro.

Dados.... trucados?
Te lo digo, por que me regalafon unos dados del hotel Belize de Las Vegas y en un 30% de las ocasiones, si no eran mas, salía números impares y muy bajos, sobre todo OJOS de SERIente, es decir 1 y 1.

La aleatorias es una cosa posible pero muy maleable, os lo aseguro.

Por cierto, un amigo mío, de vez en cuando se pasa por estos lares, con conocimiento de tragaperras, fue hacer una entrevista de trabajo al Casino de Torrelodones, y le rechazaron por que sabia demasiado y o querían que supieran sus trucos, asique alejaros de los casinos si apreciáis vuestro FIAT y/o BTC.

Antuam.

teoricamente es cierto ,porque la posibilidad de encontrar una clave privada de una direccion dentro del rango 1antonio es directamente proporcional al esfuerzo computacional necesario para minar una direccion dentro de ese mismo rango
ahora bien estadisticamente , esto es en la practica. no lo sabemos si es asi:
que software uso el compañero antonio para minar esa direccion?
fue descargado de una fuente segura?
fue comprobada la firma digital de dicho soft?
ha sido auditado este soft por alguien de la comunidad?
lo audito el mismo y despues lo compilo, o directamente corrio el ejecutable?
bajo que entorno fue generada, S.O, offline u online? etc etc.
que motor de generacion de aleatoriedad tien este soft?
cualquiera de estos factores hace que en la practica estadisticamente sea mas inseguro, desde mi punto de vista.
de hecho creo que  estos factores son muy importantes, el mismo compañero dserrano5 ha comentado por aqui alguna vez, que el mismo se genera direcciones directamente tirando dados, algun misterio tendra para querer molestarse en hacer algo asi no?

Realmente crees que dentro de algunos años cada persona del mundo usará bitcoin? No lo veo problable, dónde se han ido las monedas fiat?

Las direcciones de vanidad no son más arriesgadas que las que son púramente aleatorias.

La posibilidad de chocar dos direcciones es siempre la misma.

Dentro de 127.000 años quizás debas preocuparte si toda la red bitcoin, en vez de minar, se dedicara desde hoy mismo a buscar tu dirección y robarte esos "ahorros"

Quizás esto te interese...

http://diyhpl.us/~bryan/papers2/bitcoin/bitcoin-birthday.pdf

(en inglés, pero se entiende bien)

SUPERANTONIO, creo que tiene razón lukyforvar. Estás mezclando el ataque de colisiones con lo que sería simplemente la búsqueda de direcciones concretas. Los tiempos que mencionas al principio se refieren al ataque de colisiones y no los puedes dividir por el número de direcciones conocidas.

Voy a intentar explicar la situación tal como yo la entiendo.

El número de direcciones posibles Bitcoin es 2¹⁶⁰, que corresponden a los números enteros entre 0 y 2¹⁶⁰ - 1, que son las posibles imágenes de la función hash RIPEMD-160.

Haré dos suposiciones importantes (válidas a día de hoy):

1) RIPEMD-160 es una buena función hash, en el sentido de que arroja resultados que se distribuyen como si se tratara de una lotería perfecta entre los 2¹⁶⁰ valores posibles.

2) Disponemos solamente de algoritmos de búsqueda clásicos (es decir, no disponemos de un ordenador cuántico capaz de ejecutar el algoritmo de Grover).

Bajo estas hipótesis, podemos tratar el problema como si se tratara de un problema de extracción de bolas numeradas de una urna. Supongamos entonces que tenemos 2¹⁶⁰ bolas en una urna y vamos extrayendo una bola (con reposición) hasta encontrar la que tiene el número que buscamos. Entonces tendremos que hacer un número de extracciones del orden de magnitud de 2¹⁶⁰ para que la probabilidad de encontrar la bola buscada sea muy alta. Recordemos que 2¹⁶⁰ es un número enorme (más de un "octillón", en la escala larga española), del orden de magnitud de la cantidad de átomos de la Luna.

Supongamos ahora que en lugar de buscar una única bola concreta hay más de un millón de bolas que nos sirven. Para hacer fáciles los cálculos, supongamos que son 2²⁰ (1.048.576) el número de bolas que nos sirven. Entonces, el número de extracciones necesario será mucho más bajo: 2¹⁶⁰/2²⁰. Pero, ojo, esto todavía son 2¹⁴⁰ operaciones, un número que sigue siendo enorme (más de un septillón español).

Pero un problema diferente es el de ir extrayendo bolas hasta que salgan dos iguales, sin importarnos cuál sea su número. Esto es lo que se conoce como "ataque del cumpleaños" (por la llamada paradoja del cumpleaños, el hecho antiintuitivo de que en todo grupo humano a partir de 23 personas lo más probable es que haya al menos dos personas con el mismo cumpleaños). En ese tipo de ataque, el exponente se reduce a la mitad. Para 2¹⁶⁰ bolas posibles bastaría, para encontrar dos bolas de igual número, con llevar a cabo alrededor de 2⁸⁰ operaciones.

Es este último número, 2⁸⁰ (más de un cuatrillón español), el que se ha utilizado para las estimaciones temporales de "11.700 millones de años" del artículo de elbitcoin.org. El error en tu argumento, SUPERANTONIO, creo que está aquí. Es como si hubieras dividido 2⁸⁰ por 2²⁰, lo que te daría un valor ciertamente preocupante. Pero lo correcto, salvo que haya algo que se me escape, sería utilizar 2²⁰ como divisor de las 2¹⁶⁰ operaciones de la búsqueda por fuerza bruta. Por eso, el intento de encontrar una de entre 1.200.000 direcciones con saldo requeriría muchísimo más tiempo que esos 11.700 millones de años o 100.000 años. Si no me he equivocado, tendrías que multiplicar esos tiempos por 2⁶⁰ (2¹⁴⁰/2⁸⁰) en lugar de dividir por 2²⁰.

No. El foro e internet están llenos de la matemática necesaria, y la fotito del sol y demás.

—Pero, la paradoja del cumpleaños!!

Que no, coñe!

si tanto te preocupa no deberias usar una direccion minada de reserva que empieze por 1antonio es mas vulnerable :-)
para un ahorro usa una que empieze por 3, esto es una multifirma,
con eso creo que ya no tendras dudas ni preocupaciones  :-)