¿Es la frase semilla de 12 palabras (como la que usa Electrum, por ejemplo) lo suficientemente segura para generar una billetera fuera de línea?
Mi entendimiento es este: el grupo de 2048 palabras genera 11 bits de entrofia por palabra. 12 palabras en semilla hacen un total de 132 bits de entrofia.
¿Se considera esto lo suficientemente seguro?
No estoy hablando de ser resistente a la computación cuántica, solo de que no sea factible descifrar usando la fuerza bruta dada la potencia informática esperada en el futuro previsible.
128 bits generalmente se considera más que suficiente; 132 bits ciertamente son suficientes.
¿Se considera esto lo suficientemente seguro?
Nada es "suficientemente seguro" si no sabemos el costo.
De acuerdo, si tiene $ 100k en bitcoins, la frase de 12 palabras es lo suficientemente segura.
Si la frase de 12 palabras es la semilla del "Método para destruir el Universo", recomendaría agregar al menos 11 bits de entropía y usar 13 palabras.
En resumen: la semilla de 12 palabras tiene suficiente entropía para estar a salvo de un ataque de fuerza bruta.
En primer lugar, no todos los 132 bits son aleatorios. La semilla usa algún tipo de suma de control.
Hablemos de 128 bits de entropía.
Imaginemos el siguiente ataque:
Tomaremos mil millones (10^9) del hardware de minería más potente en 2017 (13 TH/s cada uno). Haremos un ataque de fuerza bruta de 1000 años para comprometer cualquiera de los miles de millones (10 ^ 9) de billeteras existentes con monedas dentro.
Este ataque comprobará el siguiente número de combinaciones de semillas:
10^9 * (13 * 10^12) * (1000 * 365 * 24 * 3600) = ~ 10^33 combinaciones marcadas
128 bits de entropía equivalen a ~ 10^38 combinaciones totales
Significa que el ataque dado tiene la siguiente posibilidad de romper una o más de 10 ^ 9 billeteras :
1/10^5 = 0.001%
PD No olvides que es una tarea extra complicada averiguar si esta o aquella semilla contiene dinero. El hardware de minería de hash tiene una tarea mucho más simple. No tenemos hardware para verificar semillas al mismo ritmo que los ASIC modernos.
La seguridad en bits de un mnemotécnico de 12 palabras que tiene una suma de comprobación válida según BIP39 no es de 132 bits, sino de 128 bits, ya que los últimos 4 bits se determinan en función de los primeros 128 bits, la "entropía" inicial.
(2^128)*16 = 2^132)
, la suma de verificación no se puede predecir a menos que un atacante pueda romper SHA256, ya que la suma de verificación se calcula en función del resumen hash de los 128 bits principales formateado como una matriz de bytes.Entonces, la idea con la suma de verificación era ralentizar a un atacante para que no buscara en todas las mnemotecnias posibles de 12 palabras, de las cuales hay 2^132, aunque el número de válidas es 2^128 en términos de una suma de verificación válida (como si reduciendo la fuerza de 12 palabras a 11,6363636364 palabras, ya que la suma de comprobación completa parte de la última palabra), ya que un atacante tendría que ejecutar el algoritmo SHA256 cada vez, lo que ralentizaría su búsqueda de fuerza bruta.
En resumen, creo que un mnemotécnico con una suma de verificación válida sería más seguro que uno sin suma de verificación, sobre la base de que probablemente sea menos probable que SHA256 se descifre pronto, lo que de otro modo aceleraría una posible búsqueda de fuerza bruta de todos los mnemotécnicos.
Nota: si quisiera elevar su seguridad al cuadrado (es decir, elevarla a la potencia de 2), una regla nemotécnica de 24 palabras que representa 264 bits (menos una suma de verificación de 8 bits) sería el cuadrado de dos reglas nemotécnicas de 12 palabras en términos de bit de seguridad como 2^128*2^128 == 2^256.
Un salto tan grande en la seguridad podría ayudar a proteger a un usuario más tarde del algoritmo de Grover que se ejecuta en una computadora cuántica lo suficientemente rápida que podría realizar una búsqueda de fuerza bruta de n tiempos en el "cuadrado de n tiempos", en comparación con las computadoras clásicas que requieren n -hora.
De: https://en.wikipedia.org/wiki/Grover%27s_algorithm :
El algoritmo de Grover podría aplicar fuerza bruta a una clave criptográfica simétrica de 128 bits en aproximadamente 2^64 iteraciones o una clave de 256 bits en aproximadamente 2^128 iteraciones.
En otras palabras, una regla nemotécnica de 12 palabras tendría su seguridad reducida a 64 bits (considerada insegura) en términos de seguridad informática clásica, mientras que una regla nemotécnica de 24 palabras solo se reduciría a 128 bits en el mismo escenario.
shx2
amaclin
claris
shx2
erik aronesty