Bitcoin protected paper backup
Дано: приватный ключ от адреса bitcoin, base58.
Надо: зашифрованную "бумажную" резервную копию (то есть хранить ключ в читаемом, но не в открытом виде).
Как лучше сделать?
На ум приходит:
1) key xor base58(password) – стойко ли? Еще где-то реализацию base58 найти надо.
2) hex от aes(key, sha2(password)) – сложнее, тоже нужно искать приемлемый софт.
Вам непонятно, зачем криптографы страдают ерундой, разрабатывая нетривиальные конструкции для KDF, когда можно просто похэшировать пароль и быть таковым?
Ключевые слова были произнесены, ссылки на эти понятия через гугл выцепляются на раз, в чём вопрос? Некоторые простые наклоненочные вещи настолько кривые, что взламываются практически. Другие тривиально не взламываются, но можно показать, что они криптографически слабы и не обладают теми свойствами, которыми должны. «Слабы» не в смысле практического, а в смысле сертификационного/теоретического криптоанализа.
комментариев: 9796 документов: 488 редакций: 5664
Какие биткоины вообще могут существовать после изобретения такого КК?
комментариев: 9796 документов: 488 редакций: 5664
Разница в том, что для симметрики не важно сколько кубит больше, начиная с определённого порогового уровня, в сторону приближения к затратам 2n/2 на размер ключа n.
А асимметрика, включая ECC, которым заверяются кошельки и транзакции биткоина с какого-то предела, может рухнуть полностью. И как там и что попадает в этот зазор — прогнозировать сложно.
Для любой конкретной реализации (хоть симметрики, хоть асимметрики) есть такое число кубит и такое число операций, которое её сломает. Но если у атакующего нет этого числа логических кубитов, или он не может произвести нужное число операций, то атаку нельзя будет осуществить практически.
В ECC есть конкретная кривая. Её сломать можно. Однако, весь ECC — вроде как нет, потому что достаточно выбрать иную кривую, более сложную, и для неё существующих ресурсов КК может уже не хватить.
Пример: у вас есть КК на 2 логических кубита. 21 вы на нём факторизовать, допустим, можете, а 247 — уже нет. Вот если у вас появится технология, как сделать КК на любое число логических кубитов, то это будет другой разговор, но вряд ли такая технология когда-либо появится. Тут как с частотой процессоров: растить можно, но не до бесконечности, и чем выше частота, тем тяжелее её добиться.
Какие имеются конкретные претензии к конкретной конструкции aes(key, sha2(password)) в плане криптоскойскости? Я так понимаю, конкретных притензий нет.
Это был намек на сертификационный криптоанализ AES?
Читайте, пока не наступит просветление:
Argument from ignorance во всей красе, ага.
Вы говорите, что это безопасно — вот вы и доказывайте. Лучше в виде развёрнутой статьи по криптографии, которая пройдёт реферирование, оппонирование и будет-таки принята на конференцию или в журнал.