Author

Topic: Wenig Entropie + Multisig = sicherer? (Read 245 times)

legendary
Activity: 1778
Merit: 1070
October 22, 2017, 07:45:38 AM
#4
Für die Brute Force Suche ändert P2SH erst mal nichts, ausser dass natürlich ein zweiter Suchraum geprüft werden muss.

Liegt allerdings pro Private Key wenig Entropie vor und ein Angreifer weiss, wie er diese Eigenschaft nutzen kann, dann hilft Multisig, die Entropie des Gesammtschlüssels durch die Kombination mehrerer Schlüssel zu erhöhen. Man könnte dazu allerdings auch zuerst auf geeignete Art die beteiligten Schlüssel kombinieren, um danach einen einzigen Schlüssel mit der gewünschten Entropie zu erhalten.

Daher würde ich die Fragen wie folgt beantworten.

(i) Das kann man nicht generell sagen, es hängt vom Einzelfall ab.

(ii) Ja. Allerdings kann man diese Sicherheit auch durch andere Massnahmen erreichen. Niedrige Entropie ist nicht das einzige Risiko beim Zufallszahlengenerator. Wenn dieser nicht vertrauenswürdig ist, könnten dort auch eine interne Abhängigkeit vorhanden sein, sodass mehr Zufallszahlen / Keys die Sicherheit nicht erhöhen (siehe Dual_EC_DRBG). Ein solcher RNG taugt dann maximal als einer von vielen Lieferanten für einen anderen Entropiepool.

(iii) Hängt vom betrachteten Angriffsszenario ab. Gegen niedrige Entropie ist nicht sinnvoll, da der Master Key nur einmal angegriffen werden muss. Dort wären unabhängige Schlüssel besser geeignet. Erst wenn andere Anfroderungen dazukommen, kann ein einheitlicher Master Key sinnvoll werden.

Danke für Deine Einschätzung. Zu (iii): natürlich wäre, wenn der Masterkey schlecht ist, dann noch der zweite Nichtmasterkey zu kompromitieren um an die Coins des entsprechenden Scripts zu kommen. Mir kam dann noch in den Sinn, dass man, wollte man die Coins auf einem Script ausgeben, man ja den Publickey des Masterkeys veröffentlichen müsste. Was auch schon wieder kackig ist, weil dieser Publickey auch für die anderen n-1 Schlüssel gelten würde. Man bräuchte also eigentlich n Paare an Keys in zwei verschiedenen Wallets. Dann macht natuerlich der Begriff "Masterkey" keinen Sinn mehr, da beide Wallets gleichwertig sind.

All diese Überlegungen eignen sich natuerlich vorrangig nur für Coldwallets.
legendary
Activity: 2730
Merit: 1263
October 22, 2017, 05:02:23 AM
#3
Für die Brute Force Suche ändert P2SH erst mal nichts, ausser dass natürlich ein zweiter Suchraum geprüft werden muss.

Liegt allerdings pro Private Key wenig Entropie vor und ein Angreifer weiss, wie er diese Eigenschaft nutzen kann, dann hilft Multisig, die Entropie des Gesammtschlüssels durch die Kombination mehrerer Schlüssel zu erhöhen. Man könnte dazu allerdings auch zuerst auf geeignete Art die beteiligten Schlüssel kombinieren, um danach einen einzigen Schlüssel mit der gewünschten Entropie zu erhalten.

Daher würde ich die Fragen wie folgt beantworten.

(i) Das kann man nicht generell sagen, es hängt vom Einzelfall ab.

(ii) Ja. Allerdings kann man diese Sicherheit auch durch andere Massnahmen erreichen. Niedrige Entropie ist nicht das einzige Risiko beim Zufallszahlengenerator. Wenn dieser nicht vertrauenswürdig ist, könnten dort auch eine interne Abhängigkeit vorhanden sein, sodass mehr Zufallszahlen / Keys die Sicherheit nicht erhöhen (siehe Dual_EC_DRBG). Ein solcher RNG taugt dann maximal als einer von vielen Lieferanten für einen anderen Entropiepool.

(iii) Hängt vom betrachteten Angriffsszenario ab. Gegen niedrige Entropie ist nicht sinnvoll, da der Master Key nur einmal angegriffen werden muss. Dort wären unabhängige Schlüssel besser geeignet. Erst wenn andere Anfroderungen dazukommen, kann ein einheitlicher Master Key sinnvoll werden.
full member
Activity: 235
Merit: 100
October 21, 2017, 03:08:11 PM
#2
Hallo Curiosity,

Würfel deine private keys doch einfach aus. 99 Würfe ergeben einen Private key.
So habe ich es gemacht.
Hier wird es erklärt:
https://www.bitaddress.org/
Einfach auf Walletdetails gehen und dann rechts unten auf das grüne Plus klicken.

Am besten dann am Schluß noch mit dem "addwitnessaddress" Befehl in der Console die zugehörige Segwit-Adresse berechnen.

Es macht Spaß und man ist einen Nachmittag lang beschäftigt Smiley

Nebenbei hat es noch den Vorteil, dass man seine Paperwallets unverschlüsselt verstecken kann. Man braucht sich kein Passwort merken, und die allermeisten Unbefugten werden trotzdem große Schwierigkeiten haben, einen B6 Private key als solchen zu erkennen und in einen Base58 private key umzurechnen.
legendary
Activity: 1778
Merit: 1070
October 21, 2017, 09:07:40 AM
#1
Hallo,

eine Frage die sich mir heute beim Joggen stellte (alle paar Jubeljahre bekomme ich einen Paranoiaanfall):

Angenommen bei Walleterstellung liegt nur wenig Entropie vor oder man kann nicht garantieren, dass genug Entropie vorliegt da unterschiedliche Hardware sich unterschiedlich verhält, macht es da Sinn zu allen Sicherheitsvorkehrungen noch Multisig (https://bitcoinblog.de/2016/07/14/multisig-in-theorie-und-praxis/) zu nutzen? Multisig bedeutet ja nichts anderes als dass eine Transaktion von mehreren privaten Schlüsseln signiert werden muss. Selbst wenn ein Angreifer einen Schlüssel errät oder anderweitig an sich bringt, so werden zum Ausgeben der auf einer Adresse gelagerten Coins auch die anderen Signaturen benötigt.

Die genauen Fragen sind nun:
  • (i) Vergrössert Multisig die Sicherheit von Bitcoin?
  • (ii) Vergrössert Multisig bei privaten Schlüsseln mit wenig Entropie die Sicherheit?
  • (iii) Macht es Sinn, die eigenen Bitcoins per "Multisig-Masterschlüssel" abzusichern?

Zu (i):  Diese Frage ist relativ leicht zu beantworten. Normale Transaktionen nutzen P2PKH (Pay-to-Public-Key-Hash), Multisig-Transaktionen nutzen P2SH (Pay-to-Script-Hash), d.h., dass bei Multisig-Transaktionen die Adresse aus dem Hash des Skripts und der entsprechenden Schlüssel erzeugt wird. P2SH-Adressen beginnen mit einer 3, verdoppeln also mindestens den Suchraum. Ein gewisses Projekt versucht die Menge der 2^256 privaten Schlüssel abzugrasen um welche zu finden, die auf eine der 2^160 P2PKH-Adressen mappen und schon benutzt wurden. Imho ist das Zeit und Energieverschwendung und mit Multisig-Adressen müsste das Projekt vollkommen umgebaut werden. Auch wenn ich nicht ausschliesse, dass man da clever vorgehen könnte. Bleibt hier noch die Frage, wie schwierig z.B. das Auffinden von zwei anderen privaten Schlüsseln einer schon generierten 2-2-Multisig-Adresse ist: Genauso schwierig, wie das Auffinden eines anderen privaten Schlüssels mit der gleichen schon generierten P2PKH-Adresse, leichter oder schwieriger? (*)

Zu (ii): Kann ich leider nicht beantworten. Die Antwort ist glaube ich in der Antwort auf (*) enthalten.

Zu (iii): Was ich meinte ist: Erzeugt man n private Schlüssel auf die man seine Coins aufteilen möchte, dann erzeugt man noch einen zusätzlichen privaten Schlüssel, den Masterschlüssel. Mit jedem der n Schlüssel und dem Masterschlüssel erzeugt man nun n Multisigadressen auf die man die Coins verteilt. Die n privaten Schlüssel hält man nun in einer Wallet getrennt vom Masterschlüssel den man in einer anderen Wallet vorhält. Die Wallets kann man nun noch weiter verschlüsseln. Was ist eure Meinung dazu?
Jump to: