Bitcoin Hintertüre Secp256k1

[Tetrade]

Hallo liebe Krypto Freunde,

ich bin ein stiller Leser und verfolge eure Themen schon länger. Ich habe sehr viel von euch gelernt. Vielen Dank dafür.

Nun bin auf folgenden Bericht gestossen und würde gerne eure Meinung von euch zu dem Thema "eventuelle Hintertüre in Elliptische Kurve Secp256k1" hören, bzw. besprechen wie realistisch das ganze ist.

https://de.cointelegraph.com/news/this-researcher-says-bitcoins-elliptic-curve-could-have-a-secret-backdoor

Da ich hier schon Beiträge von sehr erfahrenen Bitcoin Usern gelesen habe in Bezug auf Technik und Kryptographie, würde ich mich freuen wenn diese sich auch zu Wort melden...

Viele Grüße

[..::. o.Z.o.n.e .::..]

Moin. ;o))

Hast Du den Artikel gelesen?

Salopp gesagt... Clickbait.

So long...

–o

 

[Tetrade]

Ich stimme dir zu was den Aufhänger der Meldung angeht und teilweise die Darstellung des Artikels. Auch fehlt Tiefe , Details und Referenzen.

Dennoch finde ich die Behauptung spannend und frage mich ob da was dahinter stecken könnte oder ob man die Sache an sich noch verbessern kann in Zukunft.

Das hier habe ich noch gefunden zu dem Thema:
https://hal-normandie-univ.archives-ouvertes.fr/hal-02320909/document

https://arxiv.org/ftp/arxiv/papers/1808/1808.02988.pdf 

Das ist dann aber schon etwas für die härteren  Ich selbst komm bei dem Artikel nicht ganz mit, da fehlt mir zuviel Hintergrundwissen.. Die Conclusion am Ende ist aber interessant

[Jokin]

Da steht:

"the security of Bitcoin with ECDSA and secp256k1 is not optimal"

Da steht also, dass das Verfahren nicht "optimal" ist. Es ist also nicht "unsicher" und es gibt keine "Hintertüre".

Fertig.

Im zweiten Link steht auch nix Konkretes ÜBER ein Hintertür sondern nur wie sich die Gefahr einer Hintertür reduzieren lässt.

Fertig.

 

Ganz generell ist ECDSA nur eine mathematische Berechnungsmethode und kein Programmcode.

Eine Methode kann allein vom Prinzip her schon keine Hintertür enthalten. Jeder kann die Methode prüfen.

Ebenso der Bitcoin-Programmcode: Auch er kann keine Hintertür enthalten. Nicht weil er OpenSource ist! Sondern weil Bitcoin im Konsensusverfahren arbeitet. Blöcke, die gegen die Konsensusregeln verstoßen werden im Netzwerk nicht verteilt. 

Und weil das so ist, hat das Bitcoinnetzwerk diesen mittlerweile immens hohen Gesamtwert (Marketcap) erreicht. Andere Netzwerke mit Kopien des Bitcoin-Programmcodes erreichen diesen Wert nicht weil sie weit weniger "prüfende" Netzwerknodes haben.

[rheingold]

Einfach Faketoshi fragen und alles wird gut. 😀

[battlecore]

vor 6 Stunden schrieb Jokin:

"the security of Bitcoin with ECDSA and secp256k1 is not optimal"

Eigentlich steht da "die Sicherheit von Bitcoin mit ECDSA und secp256k1 ist nicht optimal."

Einer von wenigen Sätzen die sich tatsächlich wörtlich übersetzen lassen.

Der Satz legt nahe das die Sicherheit mit diesen Verfahren nicht optimal ist, aber mit anderen Verfahren besser sein könnte.

Das Verfahren an sich muss nicht unsicher sein. Es kann auch an der Implementierung liegen das die Sicherheit nicht optimal erreicht wird.

Um es mit einer Haustür zu vergleichen. Ein absolut sichere Alarmanlage. Aber sie wurde aussen an die Tür gebaut und ist für jeden zugänglich. Klarer Fall von falscher Implementierung.

[Jokin]

vor 38 Minuten schrieb battlecore:

Um es mit einer Haustür zu vergleichen. Ein absolut sichere Alarmanlage. Aber sie wurde aussen an die Tür gebaut und ist für jeden zugänglich. Klarer Fall von falscher Implementierung.

Falscher Vergleich!!

Dein Vergleich macht das Verfahren "unsicher" und nicht nur "nicht optimal".

Eine Alarmanlage verhindert zudem keinen Einbruch.

Besserer Vergleich: Du schließt eine Stahltür im Stahlrahmen einmal ab, mit Sicherheitsriegel - das Schloss ist nicht knackbar. Nun kommt jemand und behauptet, dass das nicht optimal ist. Besser wären mehrere unknackbare Schlösser.

Und das grenzt an Unsinn - wenn ich ein unknackbares Schloss einbaue, dann reicht dieses eine - es ist eh nicht knackbar.

[Tetrade]

Ich sage ja nicht das eine Hintertüre besteht, bzw. hoffe ich das keine besteht wie alle anderen wahrscheinlich auch. Ich bin allerdings der Meinung man sollte aus technischer Sicht auch kritische Fragen stellen dürfen, wenn irgendwelche Kryptografen da schon Untersuchungen dazu angestellt haben und zu solchen Schlüssen kommen.. Sorry für das zähe fragen, aber mir sind bildliche, theoretische Vergleiche oder eine einfache Aussage "Es passt alles mach dir keine Sorgen" etwas zu wenig bei der technischen Komplexität des Bitcoins.  Bitte nehmt es mir nicht krum 😄

Im Link https://arxiv.org/ftp/arxiv/papers/1808/1808.02988.pdf 
wird unter Conclusion die MECDSA vorgeschlagen und eine Hintertüre im ECDSA zumindestens NICHT vollständig ausgeschlossen. (rein von der technischen Machbarkeit) 
Nachweisen konnte bisher ja noch niemand etwas, vermutlich.. 

Da von der gewürfelten Entropie bis zu den Adressen aber mehrere Schritte durchlaufen werden,  ist halt wie Frage selbst wenn man mal hypothetisch annimmt im ECDSA wäre eine Hintertüre (Schritt 6 Link unten), was für Auswirkungen hätte das auf Seed / Private Key / Puplic Key ??? Ich möchte einfach nur das mögliche Szenario durchspinnen...

https://royalforkblog.github.io/2014/08/11/graphical-address-generator/#%40bkawk
 

[Jokin]

vor einer Stunde schrieb Tetrade:

Nachweisen konnte bisher ja noch niemand etwas, vermutlich.. 

Nein, nicht "vermutlich" sondern mit "absoluter Sicherheit" - ansonsten würde derjenige, der diese Hintertür gefunden hat schon fleißig irgendwelche Guthaben plündern. Und das wäre den rechtmäßigen Besitzern dann schon aufgefallen und die würden sicher nicht schweigen.

vor einer Stunde schrieb Tetrade:

ist halt wie Frage selbst wenn man mal hypothetisch annimmt im ECDSA wäre eine Hintertüre (Schritt 6 Link unten)

Das ist eine mathematische Funktion. Wie soll es da eine Hintertür geben?

Sorry, aber das ist schlichtweg unlogisch.

vor einer Stunde schrieb Tetrade:

Ich möchte einfach nur das mögliche Szenario durchspinnen...

Was willste da denn durchspinnen?

Entweder hältst Du eine Hintertür für "möglich", dann machst Du einen verdammt großen Bogen um Bitcoin und behältst Dein Geld weiterhin auf dem Sparbuch und vertraust Deiner Sparkasse.

Oder Du erkennst an, dass eine mathematische Funktion keine Hintertür haben kann. 

Viel gefährlicher ist hingegen die Nutzung einer Walletsoftware, die durchaus eine Hintertür haben kann durch die Deine PrivateKeys an Hacker gesendet werden. Bitcoin an sich hat jedoch keine Hintertür.

Bearbeitet 13. Juli 2020 von Jokin

[MixMax]

Ob es eine Hintertür in den Secp252k1 Parameter gibt, kann natürlich nur diese Person wissen, die eine derartige Hintertür dort eingebaut hätte.
Aber wie wahrscheinlich ist das denn?
Gibt es Motivation eine mögliche Hintertür auszunutzen? Nun ja, annähernd das gesamte Bitcoin Marktkapital könnte man mit einer solchen Hintertür abräumen und das sogar ohne Strafverfolgen befürchten zu müssen, wenn man es richtig macht.
Warum ist das bisher noch nicht geschehen? Gibt es Motivationen die noch höher sind? Vielleicht, aber wie wahrscheinlich ist das? Und welche Motivation könnte das sein?

Es ist wahr, dass die Herkunft und Wahl der Parameter der Secp256k1 Kurve nicht mehr so richtig nachvollzogen werden kann. Die entsprechenden
Personen sind schlicht unbekannt. Zumindest nicht öffentlich bekannt. Gerade über den Parameter "G" (Generator Punkt) wird viel spekuliert, weil eben nicht ganz klar ist wie der zustande gekommen ist. Es gibt nun mal sehr viele mögliche Generator Punkte und es wurde halt einfach einer ausgewählt. Ob das nun Zufall war oder nicht, ist abschließend nicht mehr zu klären.

Ich persönlich finde es nur etwas "Interessant" das die X-Koordinate von G/2 eine so außergewöhnlich kleine Zahl ist: "3B78CE563F89A0ED9414F5AA28AD0D96D6795F9C63".
Es könnte sein, das G etwas Konstruiert wurde. Was aber die Sicherheit keineswegs schwächen würde.

Alles in Allem gibt es keinerlei Anhaltspunkte, dass durch die gewählten Parameter die Sicherheit irgendwie geschwächt sein könnte. Es könnten auch ganz anderer Parameter sein und wir würden dann hier genauso darüber spekulieren.

Bearbeitet 13. Juli 2020 von MixMax

[battlecore]

Am 12.7.2020 um 14:33 schrieb Jokin:

Falscher Vergleich!!

Dein Vergleich macht das Verfahren "unsicher" und nicht nur "nicht optimal".

Eine Alarmanlage verhindert zudem keinen Einbruch.

Besserer Vergleich: Du schließt eine Stahltür im Stahlrahmen einmal ab, mit Sicherheitsriegel - das Schloss ist nicht knackbar. Nun kommt jemand und behauptet, dass das nicht optimal ist. Besser wären mehrere unknackbare Schlösser.

Und das grenzt an Unsinn - wenn ich ein unknackbares Schloss einbaue, dann reicht dieses eine - es ist eh nicht knackbar.

Mit steigendem eingesetzten Zeitaufwand wird die Warscheinlichkeit eines erfolgreichen Angriffes aber warscheinlicher.

Da wiederum hilft dann eben doch die Verwendung mehrerer verschiedener Schlösser weil der Zeitaufwand sich dann zusätzlich vervielfacht.

Genau das ist die Methode die bei Verschlüsselung eingesetzt wird, den Zeitaufwand steigern, mehr ist es ja eigentlich nicht. Das etwas zu 100 Prozent unknackbar ist wird eigentlich ja als falsche Aussage gesehen weil man nicht mit einbeziehen kann wie es in Zukunft aussieht. Und man weiss nie alle Möglichkeiten die es gibt.

Doch mit zunehmender Leistung wird es dennoch leichter. Also immer ein Katz und Maus Spiel, eine Seite steigert die Leistung, die andere zieht nach. Aber hin und wieder gewinnt eine der Seiten eine Schlacht, auch wenn der Krieg immer weiter laufen wird.

Aber ok, ja man kann das halten wie ein Dachdecker. Nur nicht so hoch.

[Axiom0815]

Es ist doch eine Interessante Diskussion geworden. 😉
@Tetrade hatte mich per PN angeschrieben und ich möchte ein Teil meiner Antwort auch hier zitieren.

Zitat

...
Aber Satoshi hat gut vorgesorgt. Der öffentliche Schlüssel wird noch gehasht, mit zwei unterschiedlichen Algorithmen, falls einer man "anfällig" sein sollte. Man hat also gar nicht den öffentlichen Schlüssel des Besitzers, bevor er nicht irgendwas damit signiert. 

...

Man sollte aber, und so ist es heute Standard, bei Nutzung immer die gesamte Adresse leerräumen und auf eine andere neue Adresse das Restgeld verschieben. Nur so kommt keiner an die öffentlichen Schlüssel.

Also bevor man sich die Köpfe darüber heiß redet, sollte man sich Gedanken machen, wie der Angreifer an die öffentlichen Schlüssel überhaupt kommen soll! Denn die Bitcoinadressen sind Hashs. 
Diese Diskussion ist also bei richtiger Benutzung akademisch. 

Wer mehr wissen darüber will, 2014 haben wir hier dazu viel diskutiert.

 

Axiom

Bearbeitet 13. Juli 2020 von Axiom0815