Bitcoin protected paper backup

Кошелёк в bitcoin шифруется паролем. Погуглите paper bitcoin wallet, найдёте много интересного. Даже в гуглокартинках посмотрите. Некая часть народа помешалась на печатании их в виде купюр с QR-кодами. Только не доверяйте сторонним сервисам.

Основная идея, как я понял, такая — заводится отдельный кошелёк, куда переводится некая (обычно круглая в BTC) сумма. Он и распечатывается в виде QR-кода.

При желании считывается обратно. Есть и мысленные кошельки — пара «закрытый-открытый» ключ выводится из пароля (главное не забыть его вовремя завещать потомкам).

Проблема со всем этим — штатно в стандартном клиенте такие операции не предусмотрены и надо в нём вызывать консоль, где проделывать массу неочевидных команд, в ходе которых есть шанс расстаться с деньгами по ошибке. Или нужно установить неофициальный навороченный глючный и тормозной клиент типа Armory.

unknown, я спрашивал про защиту того, что распечатывается на бумаге. Мне не нравится, что приватный ключ печатается в открытом виде и в случае умыкания 'paper' (и qr-кодов тоже) сразу дает возможность увести средства.
Armory делает свой собственный, т.н. root ключ, который выступает как некое зерно для генератора адресов, уникального для его (armory) кошелька – один такой ключ дает доступ ко всем адресам, сгенерированным и тем, которые будут сгенерированы в будущем. Он тоже в открытом виде.
Нативный клиент, действительно, через консоль нормально экспортирует ключи, так что зачем armory вообще нужен и чем он так уж защищенней, я не понял.

Вопрос не про биткоин вовсе, а про то, как технически проще зашифровать уже данный ключ парольной фразой и поместить на неэлектронный носитель (вдруг опыт у кого был). Так, что бы это потом можно было вручную перебить и расшифровать обратно. В том то и дело, что начиная искать "aes text encryption implementation", находятся либо какие-то школоподелки, либо проприетарщина, либо онлайн сервисы, которые оффлайн запустить не получится, либо реализации aes, в которых, хоть убейся, не получается воссоздать test vectors, а я не хочу шифровать непонятно чем. Так что простая, казалось бы, задача, растягивается во времени. =)

Сейчас я остановился на aes(key, sha2(password)) и стремительном дописывании маленького консольного интерфейса к openssh, дабы в состоянии это осилить. То есть шифруем key как он есть (в виде строки текста) хэшем парольной фразы, байты в виде 11 EE 22 печатаем на бумажку.

Выбирайте, что удобнее:

cat key | gpg -c --cipher-algo AES --armor
-----BEGIN PGP MESSAGE----- Version: GnuPG vx.x.xx (GNU/Linux) jA0EBwMCMjgm3xHpte9g0lYBAF+aLMiUhUH8sxI5MLoIV28tZOTIE+CmnIolK3SV ln/lRZnXaWcL2LAkJuAPhISpZUJHR3BjZzJdyVTSJsIeQ2OxjQVeM6LpvPD1DmOE 4vlJN4sdqA== =2vnt -----END PGP MESSAGE-----

cat key | gpg -c --cipher-algo AES | xxd
0000000: 8c0d 0407 0302 e582 1b65 5982 f25c 60d2 .........eY..\`. 0000010: 5601 91e4 3a23 e3c4 acb3 10bf 28ad 5cb7 V...:#......(.\. 0000020: 317a edbd f9c1 62f2 fe26 0e6d 0b83 207e 1z....b..&.m.. ~ 0000030: 246e 4397 5bfc 8f2d 2b1b a4ff db60 54d8 $nC.[..-+....`T. 0000040: d917 6684 7d15 d8ae 7334 b1f2 9233 98d4 ..f.}...s4...3.. 0000050: 8c15 092a 45ea 4efe 7dec f18c e8b7 aaf4 ...*E.N.}....... 0000060: b5cc e97c 564d 48 ...|VMH
Если xxd -p, то
8c0d04070302657016ab466d8b9a60d25601c40e0f5f05273f273b4425f3 ed57127b13fe56f193b6b97c505c4518b7e84d94dc3d346867d073329eb4 632c63fff5a14a1d92c025ecfb0b01bc5e722ed6c6fbfa8c4c92fcd4b815 fce2720afac6b113d6c900b2f3

Обратно в бинарник через xxd -r. Т.е. распечатываете для наглядности как в примере выше, а набираете в формате xxd -p, убрав все пробелы и выровняв в строку. После того, как сделаете xxd -r, то визуально будет легко сравнить, где ошиблись и поправить перед расшифровкой.

Наконец, codegroup — там вроде даже встроенная коррекция ошибок есть:
cat key | gpg -c --cipher-algo AES | codegroup
ZZZZZ YIMAN AEAHA DACIF BEJIB DKLMP KLEEG ANCFG ABOEF JPGEK GKNBP MACCP KOEOP CEJFI YGPLP HBHPI CLLEB BNPIH DIPND NFMPM MFDNC OBDMJ OBALI DECKL OBHMM ONHCH GEEIG YMAGO ACKPA DKLIG JOAOK AIBNN FDBJM JJMML FKCMC FOPFM JNGDI NPFJG DADEK JBHEG VAHOB ELOCO IOKIL MNJOA OKAIB NNFDB JMJJM MLFKC MCFOP FMJNG DINPF JGDAD EKJBH UDFAA AAAAP EAAIA AAHPA HJAAE FNDMI CCAAL JJIDC AEHCC IPAAA CNEOH AEKHI OEFAD WWWWW

Спасибо, не знал, что gpg умеет так делать.

Дело не в gpg, просто задача разделяется на две:

1. Зашифровать чем-нибудь стандартным (можно чем угодно, хоть openssl'ем).
2. Вывести результат в baseX-формат (помимо xxd и codegroup ещё есть широко известный hexdump -Cv).

Всё-таки лучше gpg -c --cipher-algo AES → gpg -c --cipher-algo rijndael256, а то вдруг он AES-128 берёт, который в КК превратится в AES-64 и, вполне вероятно, может быть сломан перебором.

gpg -c --cipher-algo rijndael256

Надо gpg -c --cipher-algo aes256, rijndael256 там вроде нет и никогда не было.

а то вдруг он AES-128 берёт

Не вдруг, а точно :)

Дайте угадаю: вы активный пользователь хабра или ЛОРа. Кулхацкеры не знают матчасти, но любят кодить. Вместо того, чтобы воспользоваться стандартным инструментом, можно поступить более TRUEшно: написать свою поделку-велосипед. Кстати, прежде чем рожать потуги типа aes(key, sha2(password)), почему бы не узнать хотя бы про KDF, PBKDF2 и scrypt?

Перед тем, как написать, я проверяю то, что пишу:Можете подставить вместо rijndael256 какое-нибудь blablabla, чтобы убедиться, что название имеет значение.

Sentaus, правило двух кавычкек знаете? :) При наборе команд с двумя минусами помогает.

Ага, как раз когда исправлял, появился новый коммент :)
А не, rijndael256 таки есть.

Правда, отличие между aes128 и aes256 имеет смысл только тогда, когда у пассфразы есть хотя бы 128 бит энтропии.


Судя по pgpru-поиску, это древние рекомендации, которые ссылаются на ещё более античные.

Кулхацкеры не знают матчасти, но любят кодить. Вместо того, чтобы воспользоваться стандартным инструментом

Если вы прочитаете более внимательно, то заметите, что его вопрос был о том, какой стандартный инструмент лучше выбрать, а не как что-то накодить. Вполне логично задать его здесь, дабы те, кто знает матчасть, сообщили наилучшее решение.

а то вдруг он AES-128 берёт, который в КК превратится в AES-64 и, вполне вероятно, может быть сломан перебором.

Название топика почитайте.

Ничего не имею против, но человек всё же проговорился:

Сейчас я остановился на aes(key, sha2(password)) и стремительном дописывании маленького консольного интерфейса к openssh, дабы в состоянии это осилить. То есть шифруем key как он есть (в виде строки текста) хэшем парольной фразы, байты в виде 11 EE 22 печатаем на бумажку.

поэтому имело смысл указать на то, что он не только технически, но и концептуально далёк от того, что нужно. Ну, и всё же сначала находят ответы на вопросы, а только потом начинают кодить. Тут же человек всё решил, уже клепает на коленке решение, а потом бац — и засомневался, пошёл спрашивать. Хорошо, что хоть на этой стадии пошёл.


Имеется в виду, что «приватный ключ от адреса bitcoin» протоколом защищён посредством AES-128, поэтому не имеет смысла усиливать шифр?