すべては脳の財布

暗号通貨の世界では、時間はいつも早く過ぎていきます。 2週間前に書いたブレインウォレットに関する投稿は個人的な理由で遅れてしまい、皆さんもほとんど忘れてしまったと思います。それにもかかわらず、私はこの記事をここに投稿します。一方で、通貨の価格がわずかに上昇したからといって、コインの購入と引き出しを忘れないように皆さんに注意喚起したいと思います。一方、自分のウォレットにコインを出金する際は、ある意味ビットコインウォレットはすべてブレインウォレットなので、こまめに確認することを忘れないように注意してください。

「Brainwallet.org は終了、brainwallet は永遠に生き続ける！」という投稿シリーズをまだ読んでいない場合は、まずそれを読んでみてください。

1. http://www.8btc.com/long-live-brainwallet

2. http://www.8btc.com/long-live-brainwallet-ii

3. http://www.8btc.com/long-live-brainwallet-iii

ここでは、最後のテストから始めます。

テスト結果

前回の記事ではコインのあるアドレスは 3 つあると書きましたが、実際にはコインのあるアドレスは 4 つあります。詳しい取引情報はこちらをご覧ください。

生成された文章は記事の最後にあるコメントに記載されています。いくつかの小さな変更点は次のとおりです (おそらくクラッカー自身は気付いていないでしょう...):

1. 引用されたコンテンツの一部にはすでにスペースが含まれています。

2. 一部のアドレスは、デフォルトの非圧縮形式ではなく、圧縮形式で生成されます。

3. 売春宿は赤い建物に変わった。

このテストは、記事が公開されてから完全に解読されるまでにちょうど 1 日かかりました。 2人のユーザーがどれくらいの時間を費やしたかはわかりませんが、取り出すのにかかった時間から判断すると、10分以上はかかったはずです。多少の混乱を招こうとしましたが、ルールを厳密に守れば、プログラムを通じてそれを見つけるのに実際に 1 秒もかかりません。

この実験を行った理由は、1年前に中国語のフレーズを使用してブレインウォレットを直接生成し、そこにコインを保管したからです。その後、このちょっとした巧妙な方法はブルートフォースクラッキングではまったく役に立たないことがわかり、その一部は Git コミット ID と個人情報を組み合わせて生成されたブレインウォレットに転送されました。これは十分安全ですか?おそらく、次の概念がより良い評価を行うのに役立つでしょう。

情報エントロピー

情報は非常に抽象的な概念です。情報量が多いとか、情報量が少ないとかよく言われますが、例えば 50 万語の中国語の本に実際にどれだけの情報量が含まれているかなど、情報量を正確に言うのは困難です。 1948 年になって初めて、シャノンは「情報エントロピー」(shāng) の概念を提案し、情報の量的測定の問題を解決しました。

情報理論では、エントロピーは受信した各メッセージに含まれる情報の平均量です。実際、エントロピーの大きさは、イベントが発生する確率と密接に関係しています。イベントの確率分布と各イベントに関する情報量はランダム変数を構成し、このランダム変数の平均 (つまり期待値) は、この分布によって生成される情報量の平均値 (つまりエントロピー) です。 「理想的な」コイン（表と裏が出る確率が等しい）があり、コインを投げるたびに独立して予測不可能で、結果が表か裏（0 と 1）のいずれかになるとします。この場合、このコイン投げイベントのエントロピーは 1 ビット/ビットであり、256 回投げた場合のエントロピーは 256 ビット/ビットです。そして、これが完璧なビットコインの秘密鍵になります。

生成される各ビットコイン秘密鍵について、その生成方法のエントロピーが十分に大きいかどうかは、そのセキュリティの重要な指標となります。しかし、コンピュータの世界では、すべての乱数ジェネレーターは疑似乱数であるため、ハッカーは意図的に同じ秘密鍵をシミュレートして生成することができます。 Blockchain.info はこの点で大きな損失を被りました。

この点に関して、国内のビットコインウォレットチームは多くのポピュラーサイエンスを行ってきました（詳細は記事 1、記事 2、記事 3 を参照）。ウォレットでは、秘密鍵を生成する際に、ユーザーがカメラとマイクをオンにして、ユーザーの周囲の環境から情報を取得し、より高いランダム性を得ることを要求します。これにより、生成された秘密鍵のエントロピーが高くなります。

ブレインウォレットのエントロピーはどのくらい大きくなりますか?この点について最も明確に述べているのは、ヴィタリック・ブテリン氏です。  ブログ投稿「安全なブレインウォレットの情報理論的説明」。バビットはかつてこれを中国語に翻訳したことがあるが、その翻訳にはいくつか誤りがある。能力のある生徒は原文を直接読むことをお勧めします。

この記事の最終的な結論は、現状からすると、2 ⁸⁰  安全性の許容できる最低レベルです。 80 ビットのエントロピーを得るには、約 17 個のランダムな英語の文字、または 12 個のランダムな文字、数字、記号の組み合わせが必要です。単純に文字通りの観点から言えば、前回の記事で述べた「入力長を増やす」や「拡張文字セットを使用する」などの提案は、この条件を簡単に満たすことができます。

しかし、ユーザーは、自分たちが構築する入力情報が十分にランダムであると本当に確信しているのでしょうか?残念ながら、これはほぼ不可能な作業です。人間の文化の限界により、膨大な量の本があっても、ほとんどの人が思いつく言葉は実際にはほんの一部にすぎません。コンピュータハードウェアの急速な改善と機械学習の能力の向上により、入力フレーズが十分に長くなかったり、意味が覚えやすい場合、ブルートフォースクラッキングは避けられなくなります。

したがって、一般的な単語の文字列で構成されるフレーズをブレインウォレットとして直接入力することは非常に危険です。この観点から見ると、Brainwallet.org の死は不当なものではありませんでした。

決定論

一般的によく使われるフレーズのみで構成されたブレインウォレットは、特定のターゲットがなければハッカーによるブルートフォースクラッキングを逃れるのが難しいとすれば、ブレインウォレットを生成する際に「個人専用の情報を追加」し「入力を暗号化」することで、ブレインウォレットに不確実性を加えることと同等であるため、ある程度は非常に「複雑な」ブレインウォレットを生成することができます。

ただし、ユーザーが意図的に追加したこのステップは、すでに決定されている生成されたブレイン ウォレットの性質を実際に変更するものではありません。このとき、ハッカーがこのようなブレインウォレットに侵入したい場合、同じ入力を構築するだけでなく、元の入力に対するユーザーの操作手順を知る必要があります。特定のアドレスに対する個人攻撃は通常非常にコストがかかりますが、コインの価格が高く、特定のアドレス内の大量のコインが特定の人物に属していることが確認された場合、何らかのソーシャルエンジニアリングを通じて標的を絞った分析やクラッキングを行うことは考えられないことではありません。

例えば、ユーザーが  SHA256("a")  最後の3桁を削除すると、文字列ca978112ca1bbdcafac231b39a23dc4da786eff8147c4e72b9807785afee4が得られます。  非常に複雑に思えますし、この文字列を力ずくで直接列挙するのは実に困難です。しかし、攻撃者がログやインターネット閲覧記録の監視を通じて、ユーザーがトランザクションの前にオンライン ツールを使用して SHA256 値を計算する習慣があると判断した場合、衝突を試み、成功する確率は無視できません。

ユーザーは上記の結果を何らかの方法でさらに処理することで、確かにクラックされる可能性を減らすことができますが、これによって上記の問題が解決されるわけではなく、問題がさらに深く隠されるだけです。この場合、ブレインウォレットのセキュリティは、ユーザーが使用する方法の複雑さだけでなく、ユーザーが生成手順を明確に覚えておくのに十分な記憶力を持っているかどうかにも依存します。カスタマイズされた手順が多いほど、クラッキングされる可能性は低くなりますが、そのような面倒な手順は、アドレスを再度ロック解除するための障害になることがよくあることを、年長者としてお伝えしたいと思います。

これがすべてのブレインウォレットの悲劇の根源です。これは決定論的であり、あなたの心の中から特定のビットコイン アドレスにマッピングできるため、入力内容とその生成方法を知っていれば、他の人も同じ方法で同じ秘密鍵を生成できることになります。ユーザーは自分自身を守るために最善を尽くすことができますが、この固有の原罪はダモクレスの剣のように、コインが入っているすべてのブレインウォレットアドレスの上に常にかかっています。

ブレインウォレットツールは、上記の基本的な問題によって引き起こされる恥ずかしさを回避することはできませんが、別の方法でブルートフォースによってクラックされる状況を実際に緩和できることは言及する価値があります。この方法は、アルゴリズムの固定操作を複数回繰り返し実行するもので、生成される結果の複雑さが増し、ブレインウォレットの生成に必要な時間も長くなります。ユーザーにとっては、ブレインウォレットアドレスを生成する際の 2 ミリ秒と 200 ミリ秒の間に大きな違いはないかもしれませんが、ブルートフォースプログラムの場合、速度は元の速度の 1 パーセントに低下します。興味のある学生はKeybase.ioにアクセスしてください。  包む ウォレットをお試しください。 （私は キーベース 招待、10mBTC/コインで販売、興味のある学生は私にプライベートメッセージを送ってください、ハハハハ。 ）

すべては脳の財布

ブレインウォレットの問題の根本的な原因は、決定論的なルートを持ち、一方向に推測できることですが、この問題は不確実生成アルゴリズムを使用することで解決できるでしょうか?

この質問に対する答えは「はい」であると同時に「いいえ」でもあります。

実際、暗号セキュリティの観点から見ると、ユーザー環境にランダム変数を導入することで、攻撃者が使用されている暗号化方式を知っていたとしても、ユーザーが秘密鍵を生成するときの動作環境を再現することができず、解読できなくなります。しかし、ビットコイン アドレスの数が星の数ほど多かったとしても、ユーザーが最終的に使用したいビットコイン アドレスを決定したときには、秘密鍵はすでに確定しており、変更することはできません。なぜなら、最終的には、すべてのビットコインの秘密鍵が確定されるからです。

Brainwallet.org で一連のフレーズを入力して取得した Bitcoin 秘密鍵が従来の意味でのブレイン ウォレットである場合、広義のブレイン ウォレットは、ユーザーが自身の記憶とさまざまな手段を通じて Bitcoin 秘密鍵を制御できることを指します。実際、使用されるすべてのビットコイン秘密鍵は、ユーザーの精神的な変換を通じてロック解除される必要があります。

信じられませんか？それではこれについて話しましょう:

Bitcoin Core からランダムに生成されたウォレットを使用します。

実際には、wallet.dat を暗号化するために使用したパスワードを覚えておく必要があります。また、ファイルを定期的にバックアップし、どのフォルダーに保存されているかを覚えておく必要がある場合もあります。

Electrum によってオフラインで生成されたウォレット アドレスを使用します。

バックアップはできるはずですよね？ 12 個程度のランダムな単語は、前回の記事で説明したのと同じ方法で生成されます。そして、これらの 12 個の単語を書き留めるだけでなく、それらを再インポートできるように、それらを生成するために使用されたソフトウェアを覚えておく必要もあります。

Vanitygen によって生成された秘密鍵を使用しました。

では、この秘密鍵を頭の中に覚えていますか、それともノートに書き留めていますか? BIP38 暗号化が使用されていますか?暗号化されたパスワードを書き留めましたか?

指紋認証に対応したハードウェアウォレットを使用しているので、パスワードは一切必要ありません！

どのハードウェア ウォレットを使用しているか、それがどこにあるか、そしてそれを識別するためにどの指を使用したかを覚えておく必要があります...

私のビットコインはすべて取引所のウェブサイトにあり、ビットコインのパスワードすら知りません。

実際のところ、取引所にあるビットコインはもはやあなたのものではありません。あなたが得るのは、他人から与えられた単なる借用書です。 Bitcoin ウォレットをダウンロードしてコインを保管しましょう!

そのため、ビットコインの秘密鍵はそれぞれ数十文字程度であるにもかかわらず、その保存媒体や取得方法はユーザーによって大きく異なります。

人間はデジタル情報よりも物理的なメディアを管理する方がはるかに得意です。多くの場合、秘密鍵を紙に印刷して金庫に保管するだけで済みます。このとき、秘密鍵の管理は実際にはペーパーウォレットの保管場所のメモリ内に限定され、このような物理的な分離によってブルートフォース攻撃から秘密鍵が保護されます。結局のところ、ハッカーが家に侵入して強盗をする可能性は低いです。しかし、これにより使用上の不便さが増す一方で、秘密鍵のバックアップとメンテナンスの負担も増加します。そうしないと、火災や洪水などの予期せぬ災害が発生したときに、そこに保管されているビットコインも消えてしまいます。

ここまで書いてきたことで、ビットコインを保管するための万能な方法は存在しないということを読者はすでに理解していると思います。従来のブレインウォレットはユーザーにとって便利ですが、ハッカーにとっての機会も提供します。ソフトウェアによって生成されたアドレスは、必要なときにすぐに使用することができず、自然災害や人為的災害によって破壊される可能性もあります。

したがって、さまざまなストレージ方法の特性に基づいて適切なホスティング方法を選択することがより重要になります。

1. 日常生活で使用する少額のビットコインの場合は、携帯電話のソフトウェアを使用して保管用のアドレスをランダムに生成できますが、支払いパスワードを忘れないようにしてください。

2. 保管に使う大量のビットコインは、ソフトウェアを使ってオフライン環境でアドレスストレージを生成することもできますが、保存場所のバックアップを忘れないようにしてください。

3. 一時的には使用しないが、いつか緊急時に使用すると予想されるビットコインについては、ブレインウォレットを使用して生成し、保管することができます。ただし、入力内容を難読化し、個人情報を追加し、WrapWallet などのブレインウォレットツールを使用して複数の計算を実行し、クラッキングの難易度を高めることを忘れないでください。

4. 可能な場合はマルチ署名アドレスを使用します。ブレインウォレットで生成された秘密鍵を使用して、ストレージ用のマルチ署名アドレスを構築しましたが、残念ながら、マルチ署名RedeemScriptを単独でインポートすることをサポートするソフトウェアは見つかりませんでした。

ここまで書いてきて、ようやくこの一連の記事のタイトルに答えることができるようになりました。Brainwallet.org は消滅しましたが、ブレイン ウォレットは永遠に生き続けるでしょう。各 Bitcoin アドレスをどのように管理するかを覚えておいてください。なぜなら、あなた以外には、おそらく誰もそれを再現することはできないからです。