Description de l'étiquette turkey

'On-line' réponses sont découragés. Veuillez préciser votre réponse et inclure des sources et des preuves à l'appui de vos allégations. Il est de Payer 2 Clé Publique de Hachage de sorte qu'il est prévu qu'il y aura seulement la Clé Publique de Hachage. Je ne vois scriptSig et la Clé Publique de hachage, mais pas à clé publique. Pouvez-vous svp me donner un exemple de blockexplorer ? La "fiction", la logique est toujours la réponse, même si la blessure n'est pas mortelle, mais graves comme la branche coupée, le corps va immédiatement dans un état de choc. Pour ne pas être en mesure de faire quoi que ce soit, et encore moins avoir un émouvant adieu. @thataustin Les banques n'ont pas à tenir XRP. Ils peuvent soit ne pas s'installer par le biais XRP (même si c'est plus lent et plus cher), ou de permettre à d'autres personnes (marché) pour fournir de la liquidité. Holding XRP est pas aussi mauvais que vous pourriez penser, parce que les gains et les pertes dues à la volatilité largement compensée.Nous avons beaucoup d'outils pour aider à gérer que, y compris le déchargement à la fois à la hausse et à la baisse de la tenue d'une autre partie.

Cette question tourne autour de Bitcoin Optech bulletin d'information n ° 51 (1) et un e-mail filetage de l'bitcoin-dev mailing list (2). J'ai posé la même question à une réponse e-mail de la newsletter et la réponse a été tellement instructif que j'ai pensé que je devais partager ma question et devis David Harding e-mail de réponse dans la réponse (j'ai eu son autorisation de le faire).

Dans le bulletin d'information du texte, l'auteur décrit ce qui est soi-disant une collision attaque sur RIPEMD160(SHA256):

Toutefois, lorsque multisig adresses sont utilisées, l'attaquant peut être l'une des parties impliquées dans la génération de l'adresse et peut donc être capable de manipuler ce que l'adresse est finalement choisi. Par exemple, Bob envoie son pubkey à Mallory s'attendant à ce que Mallory va envoyer son pubkey dos. Puis il attend de chacun de mettre la pubkeys dans un multisig modèle de script, de hachage dans une adresse, et quelqu'un va déposer de l'argent dans cette adresse.

Mallory au lieu prend le modèle de script et Bob pubkey, insère un de ses pubkeys sans en parler à Bob à ce sujet, et les tables de hachage dans une adresse. Cela lui permet de voir l'adresse de Bob va accepter avant de Mallory s'est engagée à utiliser que pubkey. Mallory peut alors comparer cette adresse à une base de données d'adresses générées à partir des scripts de ne payer que sa. Si il y a un match (collision) entre deux des adresses, elle envoie le pubkey à Bob, attend que de l'argent soit déposé dans la barre d'adresse, puis utilise le script à partir de sa base de données pour voler de l'argent. Si il n'y a pas un match, Mallory pouvez essayer de nouveau avec une autre pubkey jusqu'à ce qu'elle réussit (si nous supposons qu'elle n'a pas de limite de temps et de ressources).

Bien que cela semble être la même attaque en force brute décrit précédemment avec un 1-en-2^160 chance de succès par tentative, nous devons tenir compte de la taille de Mallory de la base de données. Si nous imaginons que la base de données a 100 adresses, puis chaque pubkey elle essaie a 100 en 2^160 chances de succès, puisqu'il réussit si elle correspond à l'une des adresses à Mallory de la base de données.

Ce type d'attaque est appelé une collision attaque.

Ma question est: N'est-ce pas le décrit attaque en fait un deuxième preimage attaque, et non pas d'une collision d'attaque?

L'attaque décrite est basée sur une base de données de préimages et les tables de hachage, donc je ferais appel de l'attaque de la deuxième preimage attaque (mais peut-être un très simultanées, l'une). Je n'appellerais pas ça une collision attaque à cause d'une collision d'attaque est le processus de trouver les deux préimages avec la même valeur de hachage, peu importe la valeur de hachage. Votre attaque de l'attaquant est à la recherche d'un ensemble de valeurs de hachage. Votre exemple avec une base de données de 100 adresses en fait assez évident que nous avons affaire à un deuxième preimage attaque. C'est encore plus clair si la base de données ne contient 1 entrée. La ligne de démarcation entre une collision attaque et une seconde preimage attaque devient un peu floue lorsque la base de données augmente, mais je pense toujours que c'est une erreur de l'appeler une collision attaque.

L'attaque décrite par Pieter Wuille dans l'e-mail lié à (3) de la newsletter est un pur collision attaque où l'attaquant ne dispose pas d'un pré-créé la base de données de préimages et les tables de hachage. Au lieu de cela, l'attaquant calcule une collision, après que la victime est pubkey est reçu, et ne se préoccupe pas de ce que la valeur de hachage est. Voir, par exemple, Ethan Heilman de l'algorithme (4), que je n'ai pas encore entièrement élucidé, mais c'est un algorithme, qui n'utilise pas de base de données, pour trouver les collisions avec l'ordre de ~2^80. Anthony Towns plus tard (5) précise explicitement un algorithme pour trouver une collision avec un choix de préfixe et de suffixe, avec environ la même complexité.

Une différence importante entre l'attaque décrite dans le bulletin d'information et de Wuille est que vous avez besoin d'une énorme base de données (~2^80 entrées) pour atteindre la complexité ~2^80, tandis que Wuille n'a pas besoin d'une base de données pour atteindre environ la même complexité. Vous sorte de simuler une collision attaque à l'aide d'un grand nombre de simultanée de deuxième preimage attaques. Donc, est-la newsletter vraiment à décrire une collision attaque?

(1) https://bitcoinops.org/en/newsletters/2019/06/19/

(2) https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2016-January/012198.html

(3) https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2016-January/012205.html

(4) https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2016-January/012202.html

(5) https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2016-January/012218.html