Atak na klucz publiczny.

[blank2]

Na pewno jeszcze coś pomyślę ale chyba nie tędy droga. Trochę mi się rozjaśniło ale jeszcze ciężko mi się przystosować do zakresu 1, -1. Do wczoraj wyobrażałem to sobie deko inaczej. Widziałem to jako tarczę zegarową i wszystkie klucze prywatne od 1 do -1/2 (prywatny jest bliżej 1 niż 1/2 dlatego napisałem wcześniej że masz zamienione ) to były kolejne liczby "dodatnie" (godziny 1-6) a klucze od 1/2 do -1 to były liczby "ujemne" (godziny 6-12) o wartości klucza prywatnego. Jedyne co mi nie pasowało w takim ułożeniu to był przeskok pomiędzy 1/2 a -1/2 (duża dodatnia zamienia się na dużą ujemną). Próbowałem np dodawać do klucza publicznego inny klucz publiczny (znając klucze prywatne do nich) i sprawdzać jak zmieniają położenie względem jakiegoś stałego punktu np 1 lub -1 (czy są bliżej czy dalej po dodawaniu) ale nic to nie daje bo wynik jest zawsze taki sam niezależnie od tego czy klucze są w "dodatniej" czy "ujemnej" połowie.

[garlonicon]

Jak chcesz lepiej to zrozumieć, to zacznij od mniejszych liczb. Jak chcesz zegar, to modulo 13 daje zakres od 1 do 12, czyli się pięknie pokryje z takim przykładem. Ewentualnie modulo 67, jak na tej stronie: https://www.coindesk.com/math-behind-bitcoin.

Edit: może to coś rozjaśni, klucze prywatne modulo 13 z tej samej linii są sobie równe:

1 -12 -1/12
2 -11 -1/6
3 -10 -1/4
4 -9 -1/3
5 -8 -3/2 2/3
6 -7 -1/2
7 -6 1/2
8 -5 3/2 -2/3
9 -4 1/3
10 -3 1/4
11 -2 1/6
12 -1 1/12

[blank2]

Stronę znam ... używam wzorów tam podanych do swoich obliczeń. Wielkie dzięki za wyjaśnienie dzielenia może coś jeszcze z nim popróbuję. Postaram się napisać jakiś własny skrypt do dzielenia ale to dopiero w sobotę/niedzielę na razie nie jestem bogaty więc trzeba do pracy chodzić

[kadexor]

Złamanie konkretnego klucza prywatnego jest niemożliwe. Nie bez komputerów kwantowych.

Natomiast grą wartą świeczki jest próba łamania tzw. brainwallet, których powstało bardzo wiele w pierwszych latach istnienia Bitcoin. Generalnie można się posiłkować różnymi słownikami, książkami itp. aby szukać fraz i generować brainwallet - adres BTC wygenerowany z wykorzystaniem jakiegoś tekstu. Tak jak to robiono z pierwszych latach istnienia BTC na masową skalę.

Ta metoda jednak została już przez wiele osób wykorzystana i wiele portfeli padło ofiarą tego, że ktoś zrobił brainwallet na podstawie np. cytatu z biblii.

Jest jednak wiele portfeli brainwallet, które zostały stworzone na na podstawie zwykłego zdania (często głupiego, ale jednak). Nie sposób znaleźć słowniki na wszystkie zdania jakie może wymyślić człowiek, ale powstało pewne narzędzie: https://bitcoinwalletcracker.com/ które działa jak robot Google i chodzi po całym internecie szukając różnych fraz, zdań, bloków tekstów i wykorzystuje je do tworzenia adresów BTC /portfeli brainwallet. To jako jedno z nielicznych narzędzi tego typu ma szanse powodzenia i znalezienia starych portfeli na których może być sporo BTC.

[blank2]

Brainwallety to chyba jakiś nowszy wynalazek i na początku chyba nikt o nich nie słyszał. Powstały dla ułatwienia generowania kluczy tak mi się wydaje. Więc takie portfele są nowsze i raczej mają właściciela (o ile ktoś już nie sprawdził wszystkich słowników). Ja bym raczej celował w jakiś naprawdę stary adres od dawna nieaktywny a nie zgadywał. Z drugiej strony prawdopodobnie zgadywanie i tak da szybciej i do tego lepsze lepsze wyniki
ps. nie wiem jak jest tu z moderacją ale był kiedyś portfel z brainwalletu "dupa"

[garlonicon]

wychodzą mi pierwiastki trzeciego stopnia modulo a tego nie wiem jak ruszyć.

Takie pierwiastki również można uzyskać:

0000000000000000000000000000000000000000000000000000000000000001 1=cbrt(1)*cbrt(1)*cbrt(1)
5363ad4cc05c30e0a5261c028812645a122e22ea20816678df02967c1b23bd72 cbrt(1)
ac9c52b33fa3cf1f5ad9e3fd77ed9ba4a880b9fc8ec739c2e0cfc810b51283ce cbrt(1)*cbrt(1)

Jak łatwo zauważyć, 5363ad4cc05c30e0a5261c028812645a122e22ea20816678df02967c1b23bd72 pomnożony przez sam siebie daje ac9c52b33fa3cf1f5ad9e3fd77ed9ba4a880b9fc8ec739c2e0cfc810b51283ce, natomiast obie wartości wymnożone przez siebie wracają z powrotem do jedynki. Jeśli użyjesz ich bezpośrednio jako kluczy prywatnych, to okaże się, że wartości Y we wszystkich trzech przypadkach są identyczne. W ten sposób można wyliczać klucze z identycznymi wartościami Y, po prostu mnożąc dowolny klucz przez pierwszą lub drugą wartość, uzyskując odpowiednio pierwszy lub drugi pierwiastek. Oczywiście, podobnie jak poprzednio, posiadanie kluczy z identycznymi wartościami Y jest równie pomocne, co posiadanie identycznych wartości X, więc wcale nie ułatwia atakowania kluczy, jedynie pozwala tym bardziej utwierdzić się w przekonaniu, że ten system jest bezpieczny.

Więcej informacji, jak to policzyć: https://bitcoin.stackexchange.com/quest ... ecp256k1-c

[blank2]

Tak myślałem że tak to jakoś będzie wyglądało skoro x występuje dwa razy jako "dodatnia" i "ujemna" to y występuje trzy razy (y^2=x^3+7). Ja próbowałem to liczyć ze wzoru na podwojenie punktu i wychodziło mi na początku coś w stylu: C^4 - 6C^2 x3 - 8C y3 - 3x3 ^2 = 0 ale pod koniec dochodziłem do momentu gdzie był pierwiastek trzeciego stopnia modulo i nie wiedziałem jak to ruszyć.

Sprawdziłem te "pierwiastki" na kluczach publicznych i rzeczywiście jest jak piszesz. Dodatkowo jak weźmiesz te "pierwiastki" o jeden większe to wyjdą ci y takie jak dla "-1". Ja trochę pobawiłem się dzieleniem kluczy publicznych parzystych i nieparzystych przez 2. Zauważyłem tylko że jak podzielisz dodatnią parzystą to wynik normalnie zbliża się w kierunku "1" a jak dzielisz nieparzystą to wynik wywala do drugiej połówki liczb. Próbowałem kombinować z dodawaniem do wyników dzielenia "1/2" ale to też niczego sensownego nie daje i nie umożliwia rozpoznania parzystości klucza.

Może odkrycie potrójnego y nic nie daje do łamania klucza ale zawsze to jakaś wiedza i dodatkowo dobrze wiedzieć że nie tylko ja mam nadzieję . Pewnie da się dopasować jeszcze kilka ciekawych obliczeń do kluczy ale nie ma się chyba co oszukiwać że to nie jest po prostu zbiór punktów które są liczone z jednokierunkowego wzoru do których akurat pasują niektóre teorie.

PS. Z braku sensownych pomysłów próbowałem brainwalleta wbudowanego w bitaddress.org i znalazłem dosłownie kilkadziesiąt adresów które miały kiedyś jakieś środki nawet jak weźmiesz nagłówek z bitadress czyli "Open Source JavaScript Client-Side Bitcoin Wallet Generator" to też daje klucz do portfela gdzie było kiedyś trochę btc

[garlonicon]

ale pod koniec dochodziłem do momentu gdzie był pierwiastek trzeciego stopnia modulo i nie wiedziałem jak to ruszyć

Żeby móc liczyć pierwiastki, warto jest umieć potęgować. Co do potęgowania, no to najpierw należy rozpisać to sobie w formacie a do potęgi b razy c. Następnie sprawa staje się prosta, początkowo a oraz b mamy dane, zaś c wynosi jeden. Jeśli b jest parzyste, to podnosimy a do kwadratu, natomiast b dzielimy przez dwa. Jeśli b jest nieparzyste, to mnożymy c przez a oraz odejmujemy jedynkę od wartości b. Docelowo uzyskujemy jakieś a do potęgi zerowej, co niweluje się do jedynki i zostaje nam c jako ostateczny wynik. Za każdym razem działamy na wartościach modulo, więc nie musimy się nigdy przejmować tym, że jakaś liczba będzie za duża, po prostu bierzemy wynik modulo i liczymy dalej. Mając opanowane potęgowanie, liczenie pierwiastków sprowadza się jedynie do ustalenia, jakie wartości należy podnieść do jakiej potęgi, aby uzyskać właściwy wynik. Znając dzielenie wiemy zaś, w jaki sposób tworzyć ułamki. A że pierwiastki nie są niczym innym, jak tylko liczbami podniesionymi do ułamkowych potęg, to wystarczy wyliczyć odpowiedni ułamek i po wykonaniu potęgowania dostajemy odpowiedni pierwiastek.

[blank2]

Z braku pomysłów sprawdziłem jak na wykresie kołowym (zegar) rozkładają się liczby o takim samym y (dla kluczy prywatnych 3,6,9,12,15... jest nawet jakiś sensowny rozkład ) oczywiście nic to nie daje.
Chyba trzeba jeszcze poszukać jakiejś metody by rozpoznawać parzystość albo odejmować duże klucze od szukanego i liczyć że nie przekroczy się punktu bazowego.

PS. Dzięki za opis potęgowania.

[garlonicon]

Chyba trzeba jeszcze poszukać jakiejś metody by rozpoznawać parzystość

Nie da się rozpoznawać parzystości, bo parzystość nie zależy wyłącznie od jednego klucza publicznego, co można łatwo pokazać: jeśli podzielisz punkt bazowy G przez dwa, to wszystkie klucze prywatne możesz pomnożyć przez dwa i same klucze publiczne będą takie, jakie były, natomiast klucze prywatne nagle zmienią parzystość (te do połowy nagle staną się parzyste, a te za połową przebiją w górę wartość modulo, przekręcą się i będą nieparzyste). Stąd prosty wniosek, że aby zdefiniować parzystość, nie wystarczy jakiś klucz publiczny, trzeba jeszcze znać punkt bazowy i dopiero dla pary takich punktów jesteś w stanie określić parzystość, o ile znasz klucz prywatny.

albo odejmować duże klucze od szukanego i liczyć że nie przekroczy się punktu bazowego

To też nie zadziała, bo nie tylko nie jesteś w stanie ustalić, czy nie przekraczasz punktu bazowego, ale również nie wiesz tego, jak bardzo się do niego zbliżasz. Nie masz żadnego kryterium na podstawie którego dałoby się stwierdzić choćby to, czy jesteś przed połową, czy też za połową. Same klucze publiczne nie pokazują, w którym miejscu przebijasz punkt bazowy, co doskonale widać na wcześniejszym przykładzie dzielenia klucza Satoshiego przez dwa. Możesz to robić setki razy, ale nie ustalisz, jak daleko jesteś od punktu bazowego.

[blank2]

To z dzieleniem G przez 2 ciekawe ale chyba nic to nie zmienia. Ja cały czas piszę o parzystości klucza publicznego żeby go dzielić (i odejmować 1 jak nieparzysty) aż się dojdzie do punktu bazowego. Jak podzielisz parzysty klucz publiczny to klucz wynikowy jest bliżej punktu bazowego niż dzielony klucz. Jak podzielisz nieparzysty to wynikowy klucz wywala za "1/2" do dużych kluczy (to chyba to samo co opisujesz przy dzieleniu G przez 2). Może by się dało jakoś to sprawdzić gdzie jest wynik nawet nie konkretnie gdzie tylko czy bliżej czy dalej od punktu bazowego niż poprzednio dzielony klucz. Podobnie z odejmowaniem (myślałem o tym jak nie wiedziałem jak dzielić) od szukanego klucza publicznego odejmujesz klucz 2^255 i sprawdzasz (jakoś magicznie ) czy nie przekroczyłeś punktu bazowego i jak nie przekraczasz to odejmujesz klucz 2^254 itd aż dojdziesz do punktu bazowego. Mając odrobinę szczęścia można spróbować szukany klucz podzielić przez 2 (może jest parzysty) i jednocześnie odjąć od niego 2^255 i porównać wyniki może będą na tyle blisko siebie by znać różnicę (mało prawdopodobne ). Myślałem też żeby odejmować duże klucze o stałej różnicy wartości pomiędzy kluczami i wyniki dodawać do siebie jak miniesz punkt bazowy to w danej parze kluczy byłby inny wynik bo jeden z kluczy jest "ujemny" ale chyba w końcu nic z tego nie wyszło.
Wiem że marne szanse ale jeszcze poszukam

[rav3n_pl]

@blank2 TLDR:
Jeżeli adres był nie używany do wysyłania (monety weszły na adres i leżą) to klucz publiczny NIE jest znany - mamy tylko jego hasz, który jest częścią adresu.
Takie środki są 100% bezpieczne.
Inna kwesta, gdy ktoś używał jednego adresu wielokrotnie i nadal są na nim jakieś środki - przy wydawaniu klucz publiczny JEST ujawniany - i takie adresy można będzie "atakować".

Zanim jednak pojawią się kwanty mogące takie rzeczy robić to nasze wnuki będą chodzić na studia...

Ponadto - zdecydowanie bardziej łakomym kąskiem będzie wszystko inne używające kryptografii asymetrycznej

ps. zapomnijcie o bruteforce bo 2^256

[garlonicon]

Takie środki są 100% bezpieczne.

Jeśli to P2PKH albo P2WPKH, to jak najbardziej tak, bo jest jeden klucz, którego nikt inny nie posiada, a złamanie tego wymaga 2^160 operacji. Co innego w przypadku P2SH, gdzie mamy na przykład multisig pomiędzy dwoma osobami. Wtedy teoretycznie da się wykonać 2^80 operacji i uzyskać dwa identyczne adresy, gdzie pierwszy klucz będzie częścią 2-of-2 multisig, a drugi klucz będzie użyty bezpośrednio. Do tego wystarczy kolizja, bo wystarczą dwa dowolne identyczne adresy, a nie jakieś konkretne, druga strona zaakceptuje multisig, jeśli nie wie o kolidującym adresie. Dlatego przy multisigach najlepiej używać P2WSH, tam jest 2^128 operacji wymaganych do kolizji.

Ponadto - zdecydowanie bardziej łakomym kąskiem będzie wszystko inne używające kryptografii asymetrycznej

Dokładnie, dopóki choćby takie zagadki, jak adres z kluczem 64-bitowym nie zostały ruszone, to nie ma się czego obawiać. Chociaż tak naprawdę w tego typu zagadkach nie wiadomo, czy autor rzeczywiście stosuje się do takich reguł (choć wszystko na to wskazuje), lepszy byłby niestandardowy Script, gdzie pasowałby dowolny klucz, który na przykład dawałby 64 ostatnie bity ustawione na zera (bo pierwsze bity łatwo wyzerować dzieląc punkt bazowy przez dwa), ale obecnie Script nie ma takich opkodów, jak OP_CAT albo OP_SUBSTR, które by to umożliwiały.

ps. zapomnijcie o bruteforce bo 2^256

W przypadku ECDSA jest to raczej 2^128, choćby dlatego, że w słynnej zagadce padł już 115-bitowy klucz publiczny. Logiczne jest to, że jego złamanie nie wymagało 2^115 operacji, inaczej inne klucze też byłyby złamane, no i przede wszystkim widzielibyśmy bloki mające ponad 100 bitów zerowych, a jak dotąd mają ich około 80 (co oznacza, że w przyszłości można się spodziewać ataków wymagających 2^80 operacji, jeśli będą bardziej opłacalne niż zdobycie nagrody za blok, również z tego powodu adresy onion v2 wymagające 2^80 operacji są wycofywane z użycia).

Inna sprawa, że klucze publiczne nie są wcale takie rzadkie, jakby się mogło wydawać. Przede wszystkim, niemal cały mempool stoi na kluczach publicznych, więc jeśli jest zapchany i transakcja wisi na przykład tydzień, to jak klucz jest słaby, to potencjalnie transakcja może zostać zastąpiona, zwłaszcza jeśli jest używany RBF lub jeśli atakujący jest górnikiem. Kolejna sprawa: wszystkie multisigi stoją na kluczach publicznych, co prawda adres nie ujawnia samych kluczy (chyba że to jest tak zwany "raw multisig"), no ale druga strona musi znać klucz publiczny, bo transakcja multisig oparta o hashe kluczy publicznych jest niestandardowa. Kolejne miejsce, gdzie lata pełno kluczy publicznych, to węzły Lightning Network, tam się nie da działać na hashach kluczy, bo trzeba składać sygnatury pod transakcjami, więc ujawnienie klucza publicznego jest nieuniknione. Natomiast niedługo dojdzie jeszcze jedno miejsce, gdzie występują gołe klucze publiczne, mianowicie taproot. Programiści dość mocno ufają kluczom publicznym, skoro najnowsze typy adresów nie owijają ich w żaden sposób hashami.

Edit: Zegar na dziś:

n=fffffffffffffffffffffffffffffffebaaedce6af48a03bbfd25e8cd0364141

1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^1=1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^2=ac9c52b33fa3cf1f5ad9e3fd77ed9ba4a880b9fc8ec739c2e0cfc810b51283cf
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^3=70ad49ae7f8574ecab641a42b3a24f22d6374023944cc665a6bcaeb0f37bbf78
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^4=ac9c52b33fa3cf1f5ad9e3fd77ed9ba4a880b9fc8ec739c2e0cfc810b51283ce
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^5=52f304001743db1f87b8daf4cc4e75bfde925893336d9f80b9a2e8393ed84778
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^6=fffffffffffffffffffffffffffffffebaaedce6af48a03bbfd25e8cd0364140
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^7=e245ba5197be6632dc54c0b218ac269bc309f5564e697956d2b898151b92c941
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^8=5363ad4cc05c30e0a5261c028812645a122e22ea20816678df02967c1b23bd72
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^9=8f52b651807a8b13549be5bd4c5db0dbe4779cc31afbd9d61915afdbdcba81c9
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^a=5363ad4cc05c30e0a5261c028812645a122e22ea20816678df02967c1b23bd73
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^b=ad0cfbffe8bc24e07847250b33b18a3edc1c84537bdb00bb062f7653915df9c9
1dba45ae684199cd23ab3f4de753d962f7a4e79060df26e4ed19c677b4a37800^c=0000000000000000000000000000000000000000000000000000000000000001

04 988A1012E853A2648B09D206D73E29BDACC130556B88F1C2472801BB0976E95F A63DFB3590273CD7FDC825F84AD559C1949E3C6E9B89A40A5618B2696EDB1BC0   pow(1, 1/12)
04 BCACE2E99DA01887AB0102B696902325872844067F15E98DA7BBA04400B88FCB B7C52588D95C3B9AA25B0403F1EEF75702E84BB7597AABE663B82F6F04EF2777   pow(1, 2/12)
04 DEC440F3E363D3C460E2675624377C6F631F945CE99142A1A05910BD707710A5 59C204CA6FD8C3280237DA07B52AA63E6B61C39164765BF5A9E74D959124E06F   pow(1, 3/12)
04 C994B69768832BCBFF5E9AB39AE8D1D3763BBF1E531BED98FE51DE5EE84F50FB 483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8   pow(1, 4/12)
04 88B1AEF9344889D71413C6A3048A59D2F01F3B4DAAE5CB9C187EED858611FE5A A63DFB3590273CD7FDC825F84AD559C1949E3C6E9B89A40A5618B2696EDB1BC0   pow(1, 5/12)
04 79BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798 B7C52588D95C3B9AA25B0403F1EEF75702E84BB7597AABE663B82F6F04EF2777   pow(1, 6/12)
04 988A1012E853A2648B09D206D73E29BDACC130556B88F1C2472801BB0976E95F 59C204CA6FD8C3280237DA07B52AA63E6B61C39164765BF5A9E74D959124E06F   pow(1, 7/12)
04 BCACE2E99DA01887AB0102B696902325872844067F15E98DA7BBA04400B88FCB 483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8   pow(1, 8/12)
04 DEC440F3E363D3C460E2675624377C6F631F945CE99142A1A05910BD707710A5 A63DFB3590273CD7FDC825F84AD559C1949E3C6E9B89A40A5618B2696EDB1BC0   pow(1, 9/12)
04 C994B69768832BCBFF5E9AB39AE8D1D3763BBF1E531BED98FE51DE5EE84F50FB B7C52588D95C3B9AA25B0403F1EEF75702E84BB7597AABE663B82F6F04EF2777   pow(1,10/12)
04 88B1AEF9344889D71413C6A3048A59D2F01F3B4DAAE5CB9C187EED858611FE5A 59C204CA6FD8C3280237DA07B52AA63E6B61C39164765BF5A9E74D959124E06F   pow(1,11/12)
04 79BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798 483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8   pow(1,12/12)