Der Nachtaktiven Chat

[MixMax]

vor 11 Stunden schrieb skunk:

Bis auf "Hallo Welt" ist das genau das was bei einer digitalen Signatur gemacht wird. Anstelle von "Hallo Welt" kannst du auch eine ausführbare Datei signieren. Das macht keinen Unterschied. Eine Signatur ist ein verschlüsselter Hash Wert.

 

vor 11 Stunden schrieb skunk:

Das spielt ebenfalls keine Rolle. Die Signaturen sehen unterschiedlich aus je nachdem welche Verschlüsselung man nimmt. Selbst der Hash Wert kann unterschiedlich aussehen je nach Hash Funktion. Gemeinsam haben sie alle, dass der Hash mit dem Privaten Schlüssel verschlüsselt wird und jeder mit dem Öffentlichen Schlüssel die Signatur entschlüssel kann um den daraus resultierenden Hash Wert gegen das Original zu vergleichen.

 

Eine Verschlüsselung kommt beim ECDSA-Signaturverfahren zu keinem Zeitpunkt vor.
An deiner Ausführung ist leider nur ein einziger Punkt richtig, und zwar  das die zu signierende Datei gehasht wird (SHA256). Der Rest ist leider  komplett falsch!

Nur weil es eben so dermaßen falsch ist und du damit prahlst, für eine Firma ein Signaturverfahren zu implementieren schreibe ich das hier.

Ich empfehle dir dringend wenigstens einen Blick auf das ECDSA Signaturverfahren zu werfen: https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm

 

Kannst dir auch gerne von meiner ECDSA Implementierung abschauen:

https://github.com/MrMaxweII/Secp256k1

Bearbeitet 16. Oktober 2019 von MixMax

[skunk]

vor 14 Stunden schrieb MixMax:

Eine Verschlüsselung kommt beim ECDSA-Signaturverfahren zu keinem Zeitpunkt vor.

Stimmt da hast du Recht. Das hat man davon wenn man versucht das Thema mit einfach Worten zu erklären. Da bin ich dir schön in die Falle gegangen. Danke für die Korrektur.

vor 14 Stunden schrieb MixMax:

An deiner Ausführung ist leider nur ein einziger Punkt richtig, und zwar  das die zu signierende Datei gehasht wird (SHA256). Der Rest ist leider  komplett falsch!

Was genau ist "der Rest"? Wichtig ist mir lediglich zu erklären wofür der Zeitstempel notwendig ist. Alle Signatur Verfahren brauchen etwas um zu verhindern, dass eine Signatur doppelt verwendet wird. Wenn das erlaubt ist, kann ich als Angreifer wunderbar vorgeben im Besitz des Privaten Schlüssels zu sein obwohl das nicht der Fall ist.

vor 14 Stunden schrieb MixMax:

Nur weil es eben so dermaßen falsch ist und du damit prahlst, für eine Firma ein Signaturverfahren zu implementieren schreibe ich das hier.

Huch? Hab ich dich versehentlich beleidigt oder warum fangen wir an jetzt Nettigkeiten auszutauschen? Falls ja so bitte ich um Entschuldigung.

Um mal ein paar Punkte richtig zu stellen:
1. Ich bin Release Manager und Test Engineer. Meine Aufgabe ist es Fehler zu finden und nicht irgendwas zu implementieren.
2. Storj entwickelt Cloud Storage. Zwangsweise ist es dafür Notwendig Nachrichten zu signieren aber wir haben ganz sicher nicht vor ein eigenes Signaturverfahren zu implementieren. Wir nutzen einfach ein Signaturverfahren und wir tauschen es bei bedarf auch einfach aus. Die Signaturen sind nur Mittel zum Zweck.
3. Wenn mir hier in diesem Thread eine Frage gestellt wird, bin ich bemüht diese auch zu beantworten. Wenn dich das stört, dann frag einfach nicht und wechsel das Thema. Kein Grund gleich handgreiflich zu werden  

vor 14 Stunden schrieb MixMax:

Ich empfehle dir dringend wenigstens einen Blick auf das ECDSA Signaturverfahren zu werfen: https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm

Danke werde ich bei Gelegenheit tun. Bezüglich der Dringlichkeit fällt mir ein Spruch ein. Nichts kann so dringend sein, dass es durch ein bisschen warten nicht noch dringender werden kann.

vor 14 Stunden schrieb MixMax:

Kannst dir auch gerne von meiner ECDSA Implementierung abschauen:

https://github.com/MrMaxweII/Secp256k1

Um des Frieden willens sage ich einfach nur "Respekt". Um das Thema zu Wechseln füge ich noch eine Frage hinzu. Was machst du schönes beruflich?

[MixMax]

vor einer Stunde schrieb skunk:

Stimmt da hast du Recht. Das hat man davon wenn man versucht das Thema mit einfach Worten zu erklären. Da bin ich dir schön in die Falle gegangen. Danke für die Korrektur.

Danke, es ging mir hauptsächlich nur darum.

 

vor einer Stunde schrieb skunk:

Was genau ist "der Rest"?

Vergiss es, zur anschaulichen Beschreibung reicht es. Ich hatte Anfangs ja auch noch extra gefragt, ob du es nur Beispielhaft erklärt hast.
ECDSA ist komplex , ich möchte es auch nicht für den Leien hier erklären müssen. Was ohnehin eine große Herausforderung wäre.

vor einer Stunde schrieb skunk:

Huch? Hab ich dich versehentlich beleidigt oder warum fangen wir an jetzt Nettigkeiten auszutauschen? Falls ja so bitte ich um Entschuldigung.

Ach komm schon skunk, das ist jetzt Albern, ich wollte das so falsch einfach nur nicht stehen lassen.

Von wegen beleidigt, im Gegenteil! Ob du es glaubst oder nicht, gerade weil du einer der mir sympatischsten Menschen hier im Forum bist, mit dem wirklich bereicherndensten Kontent, nehme ich mir die Zeit für Dich. Die meisten Anderen würde ich einfach ignorieren.

Kritik tut immer weh, mir auch. Du teilst auch oft hart aus (was mich oft zum Lachen bringt), also nimm es wie ein Mann und profitiere davon! 🙂

 

Bearbeitet 16. Oktober 2019 von MixMax

[MixMax]

Zum Zeitstempel:

Eine Signatur braucht eigentlich keinen Zeitstempel. Es geht ja nur darum zu beweisen, dass der Ersteller im Besitz des Priv. Schlüssels ist.
Wann ein Dokument etc. erstellt wurde ist dabei eigentlich egal.

Signaturen sind normalerweise auch immer öffentlich. Keiner der irgendeine Signatur von irgendjemanden besitzt, kann damit behaupten der Ersteller zu sein, weil Signaturen ja
eben öffentlich sind.

Möchte nun eine Person beweisen ein bestimmtes Dokument erstellt zu haben, muss er einfach noch ein Dokument signieren, welches den Inhalt der Identität enthält.

 

Edit:
Wenn ich z.B. beweisen möchte, dass ein bestimmtes Github Profil mir gehört, brauche ich nur eine Nachricht signieren, mit dem Inhalt "Das ist alles von mir. MixMax".
Vorausgesetzt ich habe mein Pub.Key dort deponiert. Oh, was für Zufall, das hab ich ja damals getan 🙂

Bearbeitet 16. Oktober 2019 von MixMax

[RGarbach]

Moin zusammen,

das ist ein kultiger Fred hier 😝

danke euch für die interessante Diskussion. 

beste Grüße aus Paris

[MixMax]

vor 1 Stunde schrieb skunk:

Alle Signatur Verfahren brauchen etwas um zu verhindern, dass eine Signatur doppelt verwendet wird. Wenn das erlaubt ist, kann ich als Angreifer wunderbar vorgeben im Besitz des Privaten Schlüssels zu sein obwohl das nicht der Fall ist.

Ein Angreifer kann nicht behaupten im Besitz des Priv.Keys zu sein nur weil er eine Signatur besitzt! Signaturen sind ja nicht geheim, sondern eh öffentlich.
Eine Signatur beweist immer nur das der Inhalt des Signierten Dokumentes auch vom Ersteller ist.

[skunk]

vor 16 Minuten schrieb MixMax:

Signaturen sind normalerweise auch immer öffentlich. Keiner der irgendeine Signatur von irgendjemanden besitzt, kann damit behaupten der Ersteller zu sein, weil Signaturen ja
eben öffentlich sind.

Bei einer Blockchain sind Signaturen immer öffentlich. Soweit ich weiß, prüfen Bitcoin und Ethereum nicht ob sie eine Signatur schon einmal gesehen haben. Müssen sie auch nicht. Weil Bitcoin durch UTXO und Ethereum durch einen Nonce dafür sorgen, dass eine Signatur nur einmal gültig ist. Versucht jemand die Signatur zu kopieren, kann er damit nichts anfangen weil die neue Transaktion ungültig wäre.

Es gibt neben Blockchains aber noch eine Reihe anderer Anwendungen mit signierten Nachrichten. In der Regel machen die Entwickler dabei zwei verhängnisvolle Fehler.
1. Sie vergessen die Signatur mit irgend einer Form von Ablaufdatum zu versehen. Genau dafür nimmt man normalerweise den Zeitstempel aber auch ein Nonce wie bei Ethereum erfüllt diese Aufgabe.
2. Sie prüfen nur ob eine Signatur gültig ist aber nicht ob der Öffentliche Schlüssel auch vom Sender stammt.

Ich hätte sogar ein Beispiel für dich um beide Punkte zu veranschaulichen. Das Beispiel kannst du sogar selber ausführen wenn du möchtest. Einziges Problem: Wir müssen damit noch ein paar Wochen warten. Das Beispiel betrifft eine Anwendung die aktuell noch produktiv im Einsatz ist. Wir müssen warten bis die Anwendung offiziell vom Netz genommen wird.

 

 

[skunk]

vor 23 Minuten schrieb MixMax:

Ein Angreifer kann nicht behaupten im Besitz des Priv.Keys zu sein nur weil er eine Signatur besitzt! Signaturen sind ja nicht geheim, sondern eh öffentlich.
Eine Signatur beweist immer nur das der Inhalt des Signierten Dokumentes auch vom Ersteller ist.

Wie gesagt nicht jede Signatur ist öffentlich.

Tausche mal das Dokument mit einer Arbeitsanweisung. Wie wäre es mit einer Auszahlungsanweisung an deine Bank. Da macht es dann einen Unterschied ob du die signierte Anweisung einreichst oder ob das jemand anderes macht. Soll der Angreifer dein Konto leer räumen dürfen? Wie oft darf er die immer gleiche Anweisung einreichen und das Geld von deinem Konto ausgezahlt bekommen?

[MixMax]

vor 21 Stunden schrieb skunk:

Ich hätte sogar ein Beispiel für dich um beide Punkte zu veranschaulichen. Das Beispiel kannst du sogar selber ausführen wenn du möchtest. Einziges Problem: Wir müssen damit noch ein paar Wochen warten. Das Beispiel betrifft eine Anwendung die aktuell noch produktiv im Einsatz ist. Wir müssen warten bis die Anwendung offiziell vom Netz genommen wird.

Ach, dann ist es ja langweilig. 🤑

vor 20 Stunden schrieb skunk:

Wie gesagt nicht jede Signatur ist öffentlich.

Tausche mal das Dokument mit einer Arbeitsanweisung. Wie wäre es mit einer Auszahlungsanweisung an deine Bank. Da macht es dann einen Unterschied ob du die signierte Anweisung einreichst oder ob das jemand anderes macht. Soll der Angreifer dein Konto leer räumen dürfen? Wie oft darf er die immer gleiche Anweisung einreichen und das Geld von deinem Konto ausgezahlt bekommen?

Wenn eine Signatur nicht öffentlich ist, dann dann macht sie überhaupt keinen Sinn. Genau wie bei diesem Beispiel hier mit der Bank, ist ein Signaturverfahren an der stelle nicht die richtige Wahl.

Es gibt sichere Verschlüsselungen die genau dort anzuwenden sind. Ein Signaturverfahren ist keine Verschlüsselung und sollte auch nicht dafür missbraucht werden. Jetzt könnte man auf die Idee kommen eine Verschlüsselte Signatur zu benutzen? Ist aber auch überflüssig, denn wenn schon verschlüsselt wird, und das sicher ist, dann währe ne zusätzliche Signatur überflüssig. 

Also mit der Bank einfach verschlüsselt Kommunizieren. Problem gelöst.

 

vor 21 Stunden schrieb skunk:

Es gibt neben Blockchains aber noch eine Reihe anderer Anwendungen mit signierten Nachrichten. In der Regel machen die Entwickler dabei zwei verhängnisvolle Fehler.
1. Sie vergessen die Signatur mit irgend einer Form von Ablaufdatum zu versehen. Genau dafür nimmt man normalerweise den Zeitstempel aber auch ein Nonce wie bei Ethereum erfüllt diese Aufgabe.
2. Sie prüfen nur ob eine Signatur gültig ist aber nicht ob der Öffentliche Schlüssel auch vom Sender stammt.

Ich kann das Problem immer noch nicht richtig erkennen.
1. Warum Ablaufdatum? Beispiel?
2. Wenn die Signatur gültig ist, ist sie gültig. Der Rest ist doch egal. Ist auch egal wer sie mir gegeben hat oder wer irgendwas behauptet. Der Inhalt ist entscheidend und den kann nur der rechtmäßige Verfasser mit dem Priv.Key geschrieben haben. Vielleicht auch hier nen Beispiel?

 

 

Bearbeitet 17. Oktober 2019 von MixMax

[skunk]

Sorry heute nicht. Ich wurde heute zu früh aus dem Bett geklingelt weil ein Trupp heute Nacht unterwegs war und einfach lustig die Seitenscheiben von diversen Autos eingeschlagen hat. Ich habe dann den Vormittag damit verbraucht alles zu regeln. Jetzt bin ich einfach nur Müde.

Da der Thread hier Tagsüber geschlossen ist (Wink mit dem Zaunpfahl!), kann ich frühstens Morgen ab 22 Uhr antworten.

[skunk]

Hat sich jemand von euch Festivals of Light angesehen? Ich bin gerade zurück aus der Berliner Innenstadt. Da waren so viele Menschen unterwegs, dass sie die Straßen absperren mussten. Eine gigantisch Party.

[Heineken]

Nabend...na was gibt es neues?

[BitcoinNow]

i will buy bitcoin

[Heineken]

vor 6 Minuten schrieb Simon6592:

i will buy bitcoin

was hält dich davon ab?

[skunk]

vor 1 Stunde schrieb Heineken:

Nabend...na was gibt es neues?

Viel Arbeit wie üblich. Ich darf heute Nacht das Release testen was Morgen raus gehen soll. Bis jetzt sieht alles gut aus.

[skunk]

Viel zu ruhig hier  

 

[ratzfatz]

vor 21 Stunden schrieb skunk:

Viel zu ruhig hier  

 

Beim nächsten ATH wird sich das wieder ändern, dann machen wieder einige die Nächte durch. Ach waren das Zeiten😁👻😁

[Heineken]

Guten Abend

[skunk]

vor 22 Stunden schrieb ratzfatz:

Beim nächsten ATH wird sich das wieder ändern, dann machen wieder einige die Nächte durch. Ach waren das Zeiten😁👻😁

Wir vergessen einfach die Höchstwerte und nehmen den aktuellen Kurs als neuen Höchstwert. Dann ist es spannend wie damals  

[skunk]

Hier was interessantes zum lesen: https://doist.com/blog/asynchronous-communication/

[skunk]

Hat schon jemand raus gefunden warum INXT mein Lieblings Shitcoin ist?

[skunk]

Nagut dann löse ich das Rätsel mal auf.

Internxt hat den Quellcode von Storj v2 geforkt und damit ein ICO durchgezogen. Was danach kam hat mich dann doch überrascht und das in so vieler Hinsicht, dass ich nicht mal weiß womit ich anfangen soll. Zu den Problemen, die sie mit Storj v2 bekommen werden, darf ich erst etwas sagen sobald der letzte Kunde zu Storj v3 migriert wurde. Viel interessanter ist für mich aber ohnehin das restliche Umfeld. Fangen wir mal mit der chronologischen Reinfolge an:

• ICO war im September 2017. Von geplanten 41M USD wurden INXT im Werte von 220K USD verkauft.
• Gekaufte Listings auf zwei oder drei Börsen. Die Börsen haben im Jahr 2019 dann angemerkt, dass das Trading Volumen zu gering ist. Bitte Zusatzpaket (Fake Volumen) kaufen oder es droht das Delisting. Der CEO höchst persönlich hat sich im Telegramm Chat über das angerohte Delisting aufgeregt. Dumm nur, dass er damit auch das gekaufte Listing zugegeben hat und auch beim Zusatzpaket störte ihn nicht der Inhalt sondern nur der Preis. Man kann also davon ausgehen, dass er bereits ähnliche Zusatzpakete zu einem geringeren Preis abgeschlossen hat. Da tun sich Abgründe auf... (Die Preise habe ich nicht mehr im Kopf aber bei Interesse kann ich das raus suchen)
• In 2019 geht dem Projekt langsam das Geld aus. Es ist mir ein Rätsel wie sie sich mit dem bisschen Geld vom ICO so lange über Wasser halten können.
• Zeit für eine Series A. Für 500K € bekommt man einen Anteil von 10%. Wie sie auf einen Firmenwert von 5M €kommen, ist mir ein Rätsel.
• Sie haben aktuell 3000 User mit einer Conversation Rate von 1,5%. Die Zahlen hat der CEO stolz präsentiert aber übersehen, dass man damit den Firmenwert berechnen kann. Selbst wenn die 45 zahlenden Kunden das teuerster Paket kaufen, sind das nur 450€ Einnahmen pro Monat. Damit komme ich auf einen Firmen Wert von vielleicht 50K €. Das ist dann doch etwas zu weit entfernt von 5M €.
• Auch kann ich mir nicht erklären warum überhaupt jemand Firmen Anteile kaufen wollen würde. Praktisch jeder kann einfach den Quellcode forken und hätte dann kostenlos die vollen 100%. Es fehlen nur die erfahrenen Entwickler um das Produkt weiter zu entwickeln und die Kunden um damit einen Gewinn zu erwirtschaften. Wie schwer ist es 45 zahlende Kunden zu bekommen? Wie aufwändig ist es für einen sehr guten Entwicklern sich in fremden Quellcode einzuarbeiten und diesen weiter zu entwickeln? Kann ein unerfahrener Entwickler das ebenfalls leisten?
• Storj v3 is kompatibel zu Storj v2. Eine Migration wäre daher möglich und vom Aufwand deutlich geringer als das Betreiben eines eigenen Storj v2 Netzwerks. Der nahe liegende Schritt wäre daher ein Deal mit Storj v3. Storj v3 ist kostengünstiger, bessere Performance, höhere Verfügbarkeit und  SLAs sind möglich. Außerdem bietet Storj eine Open Source Revenue Programm an was eine zusätzliche Einnahmequelle wäre. Warum gibt es Partner die das aus genau diesen Gründen machen?Warum macht Internxt das nicht? Was erhofft sich Internxt davon das veraltete Storj v2 weiter zu benutzen und es sogar selber zu betreiben?
• Wie möchte Internxt die bekannten Probleme der Storj v2 Architektur lösen?
• Der CEO ist auch eine spezielle Persönlichkeit. Das muss man erlebt haben. Mehr dazu vielleicht an einem anderen Tag bzw Nacht  

Rätsel über Rätsel. Ich finde die Entwicklung spannend und kann kaum Erwarten das Ende zu sehen. Kennst jemand ähnlich spannende Fälle?

Bearbeitet 14. November 2019 von skunk

[skunk]

Ich habe in den letzten Tagen meine Waschmaschine und meine Kaffeemaschine reparieren müssen. Da merkt man dann erstmal wie aufgeschmissen man ist ohne diese beiden Geräte. Dann müssen die auch noch gleichzeitig streiken. Jetzt habe ich hoffentlich erstmal Ruhe für ein paar Jahre.

Jetzt wo der Kaffee Nachschub gesichert ist, bin ich gleich wieder gut gelaunt. Und wie geht es euch so?

Bearbeitet 21. November 2019 von skunk

[MixMax]

Was ist eine "Waschmaschine"?

[skunk]

vor 1 Stunde schrieb MixMax:

Was ist eine "Waschmaschine"?

Ein Geschirrspüler nur eben für Wäsche