Bitcoin protected paper backup

Дано: приватный ключ от адреса bitcoin, base58.
Надо: зашифрованную "бумажную" резервную копию (то есть хранить ключ в читаемом, но не в открытом виде).

Как лучше сделать?

На ум приходит:
1) key xor base58(password) – стойко ли? Еще где-то реализацию base58 найти надо.
2) hex от aes(key, sha2(password)) – сложнее, тоже нужно искать приемлемый софт.

На страницу: 1, 2 След.

Комментарии

—	*Гость* (11/01/2014 23:53) <#>

Гость (11/01/2014 23:09) Ну вы бы объяснили тогда, чем плохо aes(key, sha2(password)) и предложили бы альтернативу доступным языком, а то ваше выступление получилось неконструктивно.

—	*Гость* (12/01/2014 00:14) <#>

> Ну вы бы объяснили тогда, чем плохо aes(key, sha2(password))

Вам непонятно, зачем криптографы страдают ерундой, разрабатывая нетривиальные конструкции для KDF, когда можно просто похэшировать пароль и быть таковым?

> и предложили бы альтернативу доступным языком, а то ваше выступление получилось неконструктивно.

Кстати, прежде чем рожать потуги типа aes(key, sha2(password)), почему бы не узнать хотя бы про KDF, PBKDF2 и scrypt?

Ключевые слова были произнесены, ссылки на эти понятия через гугл выцепляются на раз, в чём вопрос? Некоторые простые наклоненочные вещи настолько кривые, что взламываются практически. Другие тривиально не взламываются, но можно показать, что они криптографически слабы и не обладают теми свойствами, которыми должны. «Слабы» не в смысле практического, а в смысле сертификационного/теоретического криптоанализа.

—	unknown (12/01/2014 14:21) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

а то вдруг он AES-128 берёт, который в КК превратится в AES-64 и, вполне вероятно, может быть сломан перебором.

Название топика почитайте.

Имеется в виду, что «приватный ключ от адреса bitcoin» протоколом защищён посредством AES-128, поэтому не имеет смысла усиливать шифр?

Какие биткоины вообще могут существовать после изобретения такого КК?

—	*Гость* (12/01/2014 20:02) <#>

А в чём проблема? Допустим, сделали KK на ≈ 64 кубита. Им можно (условно говоря) поломать AES-128, но нельзя AES-256. Для асимметрики будет какой-то свой скейлинг, но суть остаётся той же.

—	unknown (12/01/2014 21:27, исправлен 12/01/2014 21:28) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Разница в том, что для симметрики не важно сколько кубит больше, начиная с определённого порогового уровня, в сторону приближения к затратам 2^n/2 на размер ключа n.

А асимметрика, включая ECC, которым заверяются кошельки и транзакции биткоина с какого-то предела, может рухнуть полностью. И как там и что попадает в этот зазор — прогнозировать сложно.

—	*Гость* (12/01/2014 22:40) <#>

Первое ваше предложение не понял.

Для любой конкретной реализации (хоть симметрики, хоть асимметрики) есть такое число кубит и такое число операций, которое её сломает. Но если у атакующего нет этого числа логических кубитов, или он не может произвести нужное число операций, то атаку нельзя будет осуществить практически.

В ECC есть конкретная кривая. Её сломать можно. Однако, весь ECC — вроде как нет, потому что достаточно выбрать иную кривую, более сложную, и для неё существующих ресурсов КК может уже не хватить.

Пример: у вас есть КК на 2 логических кубита. 21 вы на нём факторизовать, допустим, можете, а 247 — уже нет. Вот если у вас появится технология, как сделать КК на любое число логических кубитов, то это будет другой разговор, но вряд ли такая технология когда-либо появится. Тут как с частотой процессоров: растить можно, но не до бесконечности, и чем выше частота, тем тяжелее её добиться.

—	*Гость* (24/01/2014 13:38) <#>

Вам непонятно, зачем криптографы страдают ерундой, разрабатывая нетривиальные конструкции для KDF, когда можно просто похэшировать пароль и быть таковым?

Какие имеются конкретные претензии к конкретной конструкции aes(key, sha2(password)) в плане криптоскойскости? Я так понимаю, конкретных притензий нет.

Некоторые простые наклоненочные вещи настолько кривые, что взламываются практически. Другие тривиально не взламываются, но можно показать, что они криптографически слабы и не обладают теми свойствами, которыми должны. «Слабы» не в смысле практического, а в смысле сертификационного/теоретического криптоанализа.

Это был намек на сертификационный криптоанализ AES?

—	*Гость* (24/01/2014 13:40) <#>

P.S. претензий, ага

—	*Гость* (24/01/2014 18:30) <#>

> Какие имеются конкретные претензии

Читайте, пока не наступит просветление:

When debating any issue, there is an implicit burden of proof on the person asserting a claim. The fallacy of an argument from ignorance occurs if, when a claim is challenged, the burden of proof is shifted to be on the challenger.

> Я так понимаю, конкретных притензий нет.

Argument from ignorance во всей красе, ага.

Вы говорите, что это безопасно — вот вы и доказывайте. Лучше в виде развёрнутой статьи по криптографии, которая пройдёт реферирование, оппонирование и будет-таки принята на конференцию или в журнал.

—	*Гость* (28/01/2014 15:38) <#>

Вы говорите, что это безопасно — вот вы и доказывайте

Эта, вам доказывать безопасность аЕса, что-ли? Тюю, милай..

—	*Гость* (28/01/2014 19:44) <#>

При чём тут AES? Из безопасных элементов-криптопримитивов можно собрать небезопасный протокол. Вы же KDF переизобретаете.

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]