Zusammenfassung des Themenkomplex PrivateKey/Adresse/Paperwallet würfeln

[o0dy]

Also ich schrieb:

vor 47 Minuten schrieb o0dy:

Und das mache ich auch für den Ledger z.B. falls irgendwann ein Bug rauskommt schlafe ich ruhig weiter.

Du antwortest:

vor 19 Minuten schrieb Crusader:

Man lässt den Seed doch nicht von einer fremden Software erzeugen. 

Das ist so, wie wenn ich sage:
   Ich gehe heute nicht raus weils regnet.
Du antwortest:
  Man geht doch nicht raus wenns regnet.

Merkste selber wha? 🤦‍♂️
 

[Crusader]

Wenn du nicht mehr weisst was du geschrieben hast dann geh ruhig wieder schlafen.

 

[Crusader]

Der ist auch gut ...

https://forum.blocktrainer.de/t/wie-kann-man-einen-neuen-seed-fuer-den-ledger-erzeugen/2604

#8

Ja, ich habe alles über die originale Homepage von ledger gemacht und habe von dort die 24 Wörter erhalten.

[mahatma]

vor 6 Stunden schrieb Crusader:

Zunächst ging es doch darum den Seed zu erzeugen.

Und da halte ich die Arbeit mit den Würfeln eben für unnötig.

Wenn man einen vermutlich "schlechten" Zufallszahlen-Generator verwendet dann kann man eben mehrere Zahlenreihen kombinieren. Wenn eine dann nur 10^20 liefert habe ich mit drei auch 10^60.

Oder man nimmt einen guten Generator der OpenSource und geprüft ist.

Die Berechnung der Prüfsumme ist hingegen nicht kritisch.

?? Das versteh ich jetzt nicht... 10^20 was? Und mit dreien 10^60?? sicher?? nicht 10^23? oder gar 3x10^20?

Und ein "guter" Zufallszahlengenerator ist eben nicht trivial, ganz und gar nicht... Einfach paar schlechte Zufallszahlen kombinieren machts nicht besser. Bin jetzt auch nicht mehr so drin in der Stochastik, aber so einfach geht das nicht.

Für "echten" Zufall brauchst eigentlich nen physikalischen Zufallsgenerator. Klassiker: Atomarer Zerfall. Aber auch nen Münzwurf kann man mit echten p=0,5 hinbekommen, und dann ists genausogut.

Obs unnötig ist sei daheingestellt. Wenn ich mit ner Stunde Aufwand absolut sicher einen 100% zufälligen Seed mit voller Entropie erzeugen kann den nie ein Programm "gesehen" hat, dann glaub ich steht das im Verhältnis, insbesondere wenn man damit zB seine Altersvorsorge absichert.

[mahatma]

vor 6 Stunden schrieb Arther:

Kleine Anmerkung zum QC Teil: Man sollte stets zwischen logischen und physikalischen Qubits unterscheiden Wiki-Link. Wenn es um reale Maschinen geht, dann wird stets von physikalischen Qubits gesprochen, Algorithmen gehen aber (afaik) üblicherweise von logischen Qubits aus. D.h. deine Angabe mit den 2000+ Qubits ist evtl. um den Faktor 1.000 zu niedrig angesetzt.

Zitat: " multiple (currently many) physical qubits must be used to create a single, error-tolerant logical qubit. Depending on the error-correction scheme used, and the error rates of each physical qubit, a single logical qubit could be formed of up to 1,000 physical qubits.^[18]"

Es sind folglich bis zu 1000 physikalische Qubits nötig um EINEN logischen Qubit zu "betreiben".

Ok, das wusst ich nicht. Weis auch nicht wieviele logische Qubits es bräuchte für einen vernünftigen QC. Paar 100? Dann wären wir schon bei paar 100.000....

Eine Art Qubits herzustellen ist mit SQUIDs. Wir haben die an der Uni hergestellt und betrieben, für Tieftemperatur-Teilchendetektoren. Die kann man zwar mikrostrukturieren, aber da ein Array von ein paar 100 (oder 1000de) zu betreiben ist technisch unglaublich aufwendig weil man die ganzen Zuleitungen von Raumtemperatur auf 25mK legen muss. Und weil die SQUIDs selber heizen.

Wird spannend. Theoretisch ist es möglich, technisch sehr schwer. 

Bearbeitet 16. April 2021 von mahatma

[Crusader]

vor 22 Minuten schrieb mahatma:

?? Das versteh ich jetzt nicht... 10^20 was? Und mit dreien 10^60?? sicher?? nicht 10^23? oder gar 3x10^20?

... Einfach paar schlechte Zufallszahlen kombinieren machts nicht besser.

Nimm Zahlen in Bereich [0,9].

Die Zahl A wird mit der Zahl B aus einer anderen Sequenz verrechnet. Ergibt wie viele Möglichkeiten?

Das Ergebis wird mit Zahl C aus einer dritten Sequenz verrechnet. Macht für mich 10^3.

Wenn man das ordentlich macht gibt das schon gute Ergebnisse.

Auch schlechte Generatoren haben keine auffällige Verteilung oder zu kurze Periode.

Die NSA möchte sicherlich nicht nochmal erwischt werden. 

[Cricktor]

Ich bin kein Statistiker, aber beim Münzwurf muss man schon etwas aufpassen, um die Ergebnisverteilung möglichst nahe an p=0,5 zu bekommen. Die Startposition ist eine Festlegung, dann sollte man nicht immer auf die gleiche Art und Weise die Münze hochflippen, damit da genug Variation reinkommt, auch die Wurfhöhe sollte variiert werden. Aus dem Bauch heraus hätte ich mich wohl eher für Würfeln entschieden, aber gut begründen könnte ich die Entscheidung nicht.

Bei meiner kleinen Recherche zu dem Thema bin ich doch nachdenklich geworden, inwieweit man der Seedgenerierung von Soft- und Hardware wirklich trauen kann oder sollte (bei Open Source und einigermaßen gereiften Projekten, gehe ich schlicht davon aus, daß Unstimmigkeiten aufgefallen wären). Closed Source Software würde ich für eine Seedgenerierung nicht nutzen wollen.

[o0dy]

vor 40 Minuten schrieb Crusader:

Die NSA möchte sicherlich nicht nochmal erwischt werden.

Du und deine angst vor der NSA, glaubst du ernsthaft das sind Zauberer? Glaub mir, die können weniger als sie dir einreden bzw. du dir einreden lässt... 😏

 

Bearbeitet 16. April 2021 von o0dy

[Crusader]

vor 1 Minute schrieb o0dy:

Du und deine NSA, glaubst du ernsthaft das sind Zauberer? Glaub mir, die können weniger als sie dir einreden bzw. du dir einreden lässt... 😏

 

Sicherlich keine Zauberer.

Aber da arbeiten schon viele hochqualifizierte Fachleute. Und eben viele Schurken.

So einfach bringt man keine Hintertüren in öffentliche Standards.

https://www.zeit.de/digital/datenschutz/2013-12/nsa-geheimvertrag-internetsicherheitsfirma

http://anonymous-proxy-servers.net/forum/viewtopic.php?t=7712

https://de.wikipedia.org/wiki/Dual_EC_DRBG

 

[o0dy]

vor 35 Minuten schrieb Crusader:

Sicherlich keine Zauberer.

Aber da arbeiten schon viele hochqualifizierte Fachleute. Und eben viele Schurken.

So einfach bringt man keine Hintertüren in öffentliche Standards.

https://www.zeit.de/digital/datenschutz/2013-12/nsa-geheimvertrag-internetsicherheitsfirma

http://anonymous-proxy-servers.net/forum/viewtopic.php?t=7712

https://de.wikipedia.org/wiki/Dual_EC_DRBG

 

Blabla, klar versuchen die was geht, für das sind sie auch da. Aber da werden auch gerne Märchen konstruiert und in Welt gesetzt, damit man gewisse Gruppen und leichtgläubigen einschüchtern kann, ist nur Politik und Desinformation, damit man nicht ganz blöde dasteht....

 

 

Bearbeitet 16. April 2021 von o0dy

[Arther]

vor 12 Stunden schrieb Cricktor:

Ich bin kein Statistiker, aber beim Münzwurf muss man schon etwas aufpassen, um die Ergebnisverteilung möglichst nahe an p=0,5 zu bekommen. Die Startposition ist eine Festlegung, dann sollte man nicht immer auf die gleiche Art und Weise die Münze hochflippen, damit da genug Variation reinkommt, auch die Wurfhöhe sollte variiert werden. Aus dem Bauch heraus hätte ich mich wohl eher für Würfeln entschieden, aber gut begründen könnte ich die Entscheidung nicht.

Das ist eher eine Frage für Physiker. Aber generell ist das alles mehr als genug Entropie/Zufall für unsere Anwendungsfälle hier. Der Trick mit den mehreren Münzen ist witzig, aber nicht notwendig, einfache Würfel sind absolut ausreichend.

vor 12 Stunden schrieb Cricktor:

Bei meiner kleinen Recherche zu dem Thema bin ich doch nachdenklich geworden, inwieweit man der Seedgenerierung von Soft- und Hardware wirklich trauen kann oder sollte (bei Open Source und einigermaßen gereiften Projekten, gehe ich schlicht davon aus, daß Unstimmigkeiten aufgefallen wären). Closed Source Software würde ich für eine Seedgenerierung nicht nutzen wollen.

Der Artikel oben ist geil, ich find den mega interessant. Die praktische Relevant solcher Nerd-Dinge ist aber stark begrenzt. Jede Privatperson sollte einfach `/dev/urandom` benutzen, falls Nerd. Wer kein Nerd, der benutzt einfach ein paar Würfel. Alles darüber hinaus ist nur for fun.

Es hat noch niemand sein Geld verloren, weil er seine Münzen falsch geworfen hat oder die Würfel nicht hochwertig genug waren. Fragen der Datenhaltung, organisatorische Fragen, Disaster Recovery und Phishing und Scam Projekte, dadurch verlieren Menschen ihr Geld, nicht weil sie nicht genug über elliptische Kurven wussten.

Die einzige Einschränkung ist hier, dass man Computer-Zufall als Halb-Nerd wirklich nur nach ausgiebiger Recherche verwenden sollte, sehr oft werden PRNGs statt CSPRNGs verwendet und das führt üblicherweise zum vollständigen Verlust des Geldes. Im Zweifel sollte man immer würfeln. Da Menschen prinzipbedingt nicht wissen können, ob sie wirklich Voll-Nerds sind ist das einzige sinnvolle Fazit, jedem prinzipiell dazu ru raten zu würfeln.

Aber wie gesagt, Absicherung ist maximal 50% Technik, die restlichen 50% sind Organisatorisch.

 

vor 12 Stunden schrieb mahatma:

Wird spannend. Theoretisch ist es möglich, technisch sehr schwer. 

Jenseits von Hype und Werbung gehen einige Experten, die real im Bereich der physikalischen Fragen arbeiten (das macht verglichen mit der Theorie und Algorithmen nahezu niemand), dass noch Jahrzehnte Grundlagenforschung fehlen und einige gehen davon aus, dass womögilch raus kommen wird am Ende, dass es schlicht unmöglich ist, jedenfall dieses Jahrhundert unerreichbar bleiben wird. Das Fass wollte ich eigentlich nicht aufmachen, weil die "QC... sooon! Google und IBM sind schon nah dran!" Fraktion immer sehr groß ist.

 

NSA ist hier auch komplett irrelevant. Vielleicht ab 100 Millionen Dollar persönlicher Einlage, aber selbst dann halte ich das für fraglich, da Behörden eher auf (Geo-)politische Themen zielen und nicht auf Geld an sich.

Bearbeitet 17. April 2021 von Arther

[mahatma]

vor 14 Stunden schrieb Cricktor:

Ich bin kein Statistiker, aber beim Münzwurf muss man schon etwas aufpassen, um die Ergebnisverteilung möglichst nahe an p=0,5 zu bekommen. Die Startposition ist eine Festlegung, dann sollte man nicht immer auf die gleiche Art und Weise die Münze hochflippen, damit da genug Variation reinkommt, auch die Wurfhöhe sollte variiert werden. Aus dem Bauch heraus hätte ich mich wohl eher für Würfeln entschieden, aber gut begründen könnte ich die Entscheidung nicht.

Absolut. Deswegen war die beschrieben Vorgehensweise ja: Werfen von mehreren Münzen (zB 7, muss ungerade sein) und zählen der zB Köpfe. Ungerade Anzahl ist zB 1, gerade 0.

Da mittelt sich alles aus und man kann zeigen dass man irgendwo bei p=0,50... ist, selbst wenn die einzelnen Münzen ein p=0,7 hätten.

 

[mahatma]

Bin grad im Zusammenhang mit dem Polyhack auf folgenden Artikel gestossen:

https://www.theblockcrypto.com/post/114045/at-least-611-million-stolen-in-massive-cross-chain-hack

Zitat

According to The Block Research's Igor Igamberdiev, the root cause of the hack was a cryptography issue — which is not usually the case. It may have been similar to the Anyswap exploit, which saw $7.9 million stolen due to a hacker reversing the private key.

 

Weis da jemand genaueres drüber?? Welchen Algorithmus verwendet Poly? Ist das ebenfalls ECDSA mit Secp256k1?

Ist das denkbar das wirklich der privateKey zurückgerechnet wurde?

[Cricktor]

Die technischen Details des Hacks/Heists interessieren mich auch, aber bisher habe ich keine Quellen finden können, die mehr tun, als zu spekulieren. An dem z.T. peinlich dünnen Geschwafel möchte man sich nicht wirklich beteiligen. Da müssen wir wohl eine fundiertere Analyse abwarten.

Das folgende war noch das Beste, was ich auf bitcointalk.org gefunden habe:

Zitat

 

HOW DID THE ATTACK TAKE PLACE?

I want to keep this part simple for those not technically minded but there are currently two working theories as to how the hack took place. They both involve the private keys for the ownership of the liquidity pools.

🔑Theory 1: Leaked Key

Poly Network has a big security problem from the outset. They had a single sig key to the pools which means that only one signer would need to authorise any changes to the liquidity pool, including withdrawal of funds. This is like leaving a vault of gold with only one key. If you wanted to access this, there wouldn't be any other parties involved.

Current theories suggest that this key was leaked or hacked via another method off-chain. This is the story from early official post mortem from Poly Network

EDIT: This theory has been disproved by Poly Network, but I wrote it so I thought I'd leave it here as an example of an early working theory

🖋 Theory 2: Hacked Contracts

There are two important contracts. A "manager" contract and a "data" contract. The data contract specifies the address which can submit transactions which can withdraw funds from the pool. If someone was to replace this address in the contract to theirs, they could withdraw as much from the pools as possible.

In solidity there is a concept called ownership. A smart contract can set certain functions to only execute if the owner executed them. Typically, when constructed the owner is the wallet who deployed the contract, which is typically the developer. However, in this case the owner of the "Data" contract was the "Manager" contract.

So now, if you were to call a function which could replace the address in the data contract with theirs from the manager, it would be allowed.

But here's another flaw in the design of Poly Network. The "manager" contract exists to run transactions on different chains. It has a function called verifyHeaderAndExecuteTx which verifies that a transaction exists on one chain, and if it does, runs it on another. This is needed for cross chain interoperability.

But wait... we've now got a way to run arbitrary functions from the "manager". If the attacker devises a specific input they can now freely set the most important address, the one which says who can withdraw from the pools, to theirs.



NOTE: I don't own the content, I just want to share the beautiful explanation and analysis of Crypto Vigilante

Content Source: https://t.me/CryptoVigilanteANN/530

 

Vom Thema her gehört der Poly Hack aber nicht hier in diesen Thread mit rein, lieber in einen eigenen Thread auslagern.

Bearbeitet 17. August 2021 von Cricktor

[Wiederbelebung]

Ein toller Beitrag 👍 Es war zwar nichts dabei was ich nicht vorher schon wüsste aber für Neueinsteiger oder gar alten Hasen die sich mit der Materie noch nie wirklich beschäftigt haben, sehr hilfreich. 

Bei einem Punkt muss ich jedoch widersprechen, bzw. klar stellen:

Am 24.3.2021 um 01:50 schrieb mahatma:

Also, eine Bitcoin Adresse, von der nie eine Transaktion wegging, ist 100% quantensicher.

Es gilt: Also, eine Bitcoin Adresse, von der Public Key nicht bekannt ist, ist 99,99% quantensicher. 100 % Sicherheit gibt es auf der Blockchain nicht und wird es auch nie geben.

Wieso ich den PubKey und nicht die Transaktion betonne, liegt an der Tatsache, dass alle Wallets die bis 2012 erstellt wurden und damit Coins generiert wurde, automatisch ihren Public Key auf der Blockchain veröffentlich bekommen, trotz keinen ausgehenden Transaktionen. Das betrifft 30.000+ Wallets mit festen 50 Bitcoins drauf und  knapp 150.000 Wallets mit unterschiedlichen Summen an Bitcoins.

Das sieht dann so aus: https://ibb.co/B2YY4WH Und wenn man dann auf den Hash klickt, bekommt man ganz unten den PubKey angezeigt. Selbst alle Address->PubKey-Programme können den nicht ermitteln.

Einige erwachen mit der Zeit aus dem Tiefschlaf auf.

Bearbeitet 24. Mai 2022 von Wiederbelebung

[Cricktor]

Das sind P2PK (Pay to Public Key) Script-Transaktionen, die heute zwar noch gültig, aber eben nicht mehr gebräuchlich sind, weil man das Veröffentlichen des Public Keys an der Stelle vermeiden möchte. P2PK wurde quasi ersetzt durch das "sichere" P2PKH-Script, wo letzteres nur den Hash des Public Keys präsentiert.

Insofern "schummelt" die Darstellung in https://ibb.co/B2YY4WH auch, weil der Transfer im Grunde genommen nicht auf die Adresse 1KPpFKp8WLUxNbTi9FD1FxiEfWVPC2Ac6x (Public Key Hash), sondern auf den Public Key 04c94255fa0b8f895ad469fa6dcbc5824a52acf94700282a651e442f2c34ad89eb8bfe220d34fcdbe288b41c2ce9f6eb091bfe0534888ec208c42e8cdf9d2b42ca erfolgte.

Ein Electrum-Server liefert z.B. auch nicht diese Coinbase-Transaktion mit den 50 BTC für die Adresse 1KPpFKp8WLUxNbTi9FD1FxiEfWVPC2Ac6x aus, wenn selbige z.B. in einer Watch-only-Wallet drin wäre.

[Wiederbelebung]

vor 51 Minuten schrieb Cricktor:

Insofern "schummelt" die Darstellung in https://ibb.co/B2YY4WH auch, weil der Transfer im Grunde genommen nicht auf die Adresse 1KPpFKp8WLUxNbTi9FD1FxiEfWVPC2Ac6x (Public Key Hash), sondern auf den Public Key 04c94255fa0b8f895ad469fa6dcbc5824a52acf94700282a651e442f2c34ad89eb8bfe220d34fcdbe288b41c2ce9f6eb091bfe0534888ec208c42e8cdf9d2b42ca erfolgte.

Oh, hab nicht das richtige gescreenshotet. Hier ein paar Beispiele mehr, was deine Aussage mit geschummelter Darstellung für nichtig erklärt, bzw. untergräbt:

18njiKJJBU8htUr2KtgpRVpGgL3sEWsi1U   Screenshot: https://ibb.co/GnN7bVx
044dee25fd4a57a1c37d309578cb23ce26c6fe599bfb13fb5180c5bc63c3f1d8e918fb9f4ae663eedd55bfe828cfce6900de7f13d0cd330ebbd5eeb689d6ab1fcc

1Gd16REHtbxqgKJ5cZ8t9KqfZctEtvgZmw   Screenshot: https://ibb.co/RyXDTPK
04cb6e02b876f5c87aa1dafa82b4db733cb517e3c969a09deb2e539e4c96fbc43673f42fc8008922751edc12f9719ef4e2f28225efe62dc876b99fad8701b2c2c1

1BVTCQWsfz4uBsNE2cQhfV9gbUQHRpqMrZ   Screenshot: https://ibb.co/2MdWBvk
04926fe8b82e81984f236b20f5bd78b3bbf5ca0b363594e40647237a9798de4a75aded729264e4c52fdb5c85669bd08fc5f007aef1d9b4961c7fbeccd8b99cbaba

Ohne dir nah zu treten zu wollen, aber mir ist schon in den letzten Thread von mir aufgefallen, dass du sehr gerne mit Fachbegriffen um dich rumschmeißt, aber nicht wirklich Ahnung von der Materie hast. Ich würd dir raten etwas auf die Bremse zu treten und wirklich alles vorher zu 100% zu überprüfen, anstatt c&p aus irgendwelchen Quellen zu tätigen. Manchmal ist weniger, viel mehr.

 

Anleitung:

Bitcoinadresse bei www.blockchain.com in die Suchleiste einfügen -> auf BTC Address klicken -> bis nach ganz unten auf die erste empfangene Transaktion runterscrollen, in dem Fall die 50 BTC Transaktionen -> auf den Hash klicken -> wieder bis nach ganz unten scrollen und bei "Outputs" den unkomprimierten Public Key anschauen. Finito

 

Edit: ich hatte in meinem vorherigen Beitrag doch das richtige gescreenshotet gehabt. Da steht nur jetzt "Spent", weil die 50 BTC ausgegeben wurden. Und wenn die nicht ausgegeben worden wären, würde da "Unspent" stehen. Trotz nicht vorhandenen ausgehenden Transaktionen, wird der Public Key angezeigt, wie ich den drei aktuellen Beispielen von mir eben präsentiert habe. 

Bearbeitet 24. Mai 2022 von Wiederbelebung
Anleitung für nicht fortgeschrittene Member hinzugefügt

[Cricktor]

vor 20 Minuten schrieb Wiederbelebung:

18njiKJJBU8htUr2KtgpRVpGgL3sEWsi1U   Screenshot: https://ibb.co/GnN7bVx
044dee25fd4a57a1c37d309578cb23ce26c6fe599bfb13fb5180c5bc63c3f1d8e918fb9f4ae663eedd55bfe828cfce6900de7f13d0cd330ebbd5eeb689d6ab1fcc

Wenn du meinst, die Darstellung im zitierten Screenshot wäre "ehrlicher" als diese, dann ist das für dich so. Ich hab' damit kein Problem. Die Coinbase-Transaktion hat ein P2PK-Script, nichts anderes habe ich beschrieben. Wenn blockchain.com das erst in den Transaktionsdetails offenbart, dann ist das eben so.

Aber das müssen wir nicht vertiefen...

[Wiederbelebung]

vor 3 Minuten schrieb Cricktor:

Wenn du meinst, die Darstellung im zitierten Screenshot wäre "ehrlicher" als diese, dann ist das für dich so. Ich hab' damit kein Problem. Die Coinbase-Transaktion hat ein P2PK-Script, nichts anderes habe ich beschrieben. Wenn blockchain.com das erst in den Transaktionsdetails offenbart, dann ist das eben so.

Aber das müssen wir nicht vertiefen...

Dann haben wir uns wohl missverstanden. 🙂 Alles gut.