Интересный взгляд на биткоин и криптовалюту

Очень интересный взгляд на криптовалюту имеет наш Александр Горчаков (он профессиональный криптограф в прошлом, лауреат госпремии). Еще в 2010 году, изучив алгоритм биткоина, он математически доказал, что с вероятностью 1 существует алгоритм взлома биткоина. Потом узнал, что его действительно взломали. Биток откатили, изменили архитектуру. Сейчас он сильно сомневается в ценности биткоина, поскольку уверен в его уязвимости, которая заключается в его децентрализованности.

Тем не менее Александр уверен, что сама технология блокчейн (не биткоин) невероятно перспективна, и считает, что основной value в блокчейне появтися, когда кто-то сможет централизовать распределенный реестр и пробить мировое банковское лобби (visa, mastercard, banks, exchanges etc), сделав ее общедоступной. Лобби традиционных финансовых институтов — это сейчас основное препятствие на пути развития технологии и ее value.

Из кулуарного общения на конференции смартлаба

криптовалюта

martynovtim

Тимофей Мартынов

Санкт-Петербург

7326

782 557

с 21 сентября 2010

95 Комментариев

gillwing
01 октября 2017, 00:56
вот объяснить мне за блокчейн.
технология подразумевает дублирование и хранение информации всеми участниками. то есть информация хранится не в одном месте а во многих, то есть количество информации которую надо хранить будет увеличиваться в арифметической последовательности, а где столько места взять то ? для хранения
0
- STRYMEX
  01 октября 2017, 01:09
  gillwing, точно так увеличивается дисковое пространство… а может еще быстрее). Более того, благодаря блокчейну, оно становится еще и более дешевым. ICO уже были, выводящие идею продажи дискового пространства любого свободного компа, например Вашего домашнего.
  0
  - gillwing
    01 октября 2017, 01:47
    STRYMEX, а что делать при массовом переходе на блокчейн?
    насколько я понимаю информация хранится бессрочно.
    0
- А. Г.
  01 октября 2017, 01:17
  gillwing, дублируются только хэши, что значительно меньше всей информации, вся собственная информация только у собственника, но любой ее пользователь внутри блокчейна точно знает, чья это информация, если становится ее пользователем законным путем. А незаконным лучше не овладевать, потому что ее все равно вернут законному владельцу, а незаконно овладевшего, как минимум, можно подвергнуть конфискации всего, что он имеет внутри блокчейна на «раз два». Все это конечно при монополизации майнинга единым центром.
  0
- Kyani
  01 октября 2017, 19:37
  gillwing, когда места будет не хватать сделают текущий snapshot всех кошельков, удалят старые логи и будут дальше накапливать инфу по транзакциям до следующего snapshot'a.
  0
Nicker
01 октября 2017, 01:22
взломать биткоин — не смешите. Нужно сравнить уязвимость ФРС и биткоина, что бы делать выводы.
0
- А. Г.
  01 октября 2017, 01:32
  Nicker, «взломать» в том смысле, что можно будет намайнить миллион биткоинов за пару часов на обычном I7. Не думаю, что надо объяснять как отразится на биткоине появление такого алгоритма. А то, что на старом алгоритме хэширования кто-то в 2010-м сумел намайнить миллиард биткоинов за невероятно короткий срок — это я узнал из ответа мне под сообщением в фэйсбуке. Тогда организаторы объявили об «ошибке» алгоритма, сменили его, биткоины, созданные до определенной даты, конвертировали 1 к 1, а все после этой даты объявили «фальшивыми».
  +1
  - $Multifractal$
    Multifractal
    01 октября 2017, 23:21
    А. Г., а как можно намайнить миллиард, если период появления блока ~= 10 мин. заложен в системе и подстраивается?
    0
Denis Kolchin
01 октября 2017, 01:26
smart-lab.ru/blog/423487.php

0
А. Г.
01 октября 2017, 01:30
Тимофей, у Вас неточность. Я просто разобрался с алгоритмом хэширования и понял, что для него верна известная мне теорема о существовании уязвимости. Но я не автор этой теоремы. Так что я ничего не доказывал.
+2
- Nicker
  01 октября 2017, 01:39
  А. Г., ну так вы расскажите разработчикам и сообществу об этой проблеме, возможно она имеет программное решение. Если вообще такая проблема существует.
  Как я знаю там награда ограничена 12.5 биткоинами, вы не можете выйти за этот предел. Можно проманипулировать со сложностью, но думаю это не прокатит.
  В алгоритме биткоина, время является величиной которая берется из вне, ей можно попробовать манипулировать.
  0
  - А. Г.
    01 октября 2017, 02:00
    Nicker, не понимаю причем здесь время. Алгоритм майнинга основан на алгоритме хэширования SSH512 (256), который чисто теоретически может реализовываться совсем не так, как описан, а на десятки порядков быстрее не точь-в-точь, а статистически близко.
    0
    - Nicker
      01 октября 2017, 02:06
      А. Г., вы предлагаете ускорить SHA512 ?
      
      0
      - А. Г.
        01 октября 2017, 02:17
        Nicker, нет, я говорю о существовании другого алгоритма в обход SHA512, заложенного в майнинге, который, грубо говоря, за то же время, сколько сейчас уходит на майнинг одного биткоина, намайнит 1 млн. псевдобиткоинов, из которых блокчейн 1000 признает нормальными, а 999 тыс. — фальшивками.
        +2
        Виктор
        01 октября 2017, 12:31
        А. Г., пздц вы специОлисты.
        0
        alpet
        01 октября 2017, 15:15
        А. Г., там по идее нет SHA512, есть двойной SHA256(SHA256(none+header_hash)). Обратимость подобной функции, скорее много чего другого подставит под удар в финансовой индустрии, а биткойн опять откатят и прикрутят другую функцию. В конце-концов появление серьёзных квантовых компьютеров уже не за горами, но и от них в первую очередь пострадает традиционная банковская система.
        Можете уточнить, что за уязвимость порождается децентрализованностью системы?
        0
        А. Г.
        01 октября 2017, 15:56
        alpet, точной обратимости нет, но возможно существование статистической обратимости, которая становится уязвимостью только при шифровании большого числа бит на одном ключе. Конкретно нынешний биткоин эту критическую отметку числа бит преодолел с «запасом». Про другое использование SHA ничего сказать не могу. Но если на нем достаточно часто менять закрытые ключи, то никакой уязвимости нет. А значит все зависит от частоты этой смены в каждом конкретном случае. И в этой части Вы почти точно уловили мою мысль в части уязвимости. И Ваш прогноз относительно дальнейших действий в случае если узнают, что кто-то ее нашёл, тоже верен. И в 2010 все это уже было, судя по ставшей мне известной информации. Но как узнать, что ее нашли, если нашедший сначала на этом захочет денег срубить и сделает это «по тихому», а не как в случае 2010-го.
        0
        alpet
        01 октября 2017, 16:30
        А. Г., я все-таки практик инвестор, и программист. Хочу иметь представление о твердых цифрах последствий, вероятностях реализации рисков. Если до сих пор никто не «оптимизировал» PoW функцию для Bitcoin, кроме сорванной попытки AsicBoost, когда случиться этот прорыв наверняка? Через год, или через 10 лет, когда эмиссия почти сойдет на нет? И чем это грозит для обычного инвестора, который перед этим уже вышел в полноценный безубыток (вложенное вернул как минимум, после очередного 10х)? Мне вот думается, что технические риски влияют на курс биткойна, где-то уже на третьем знаке после запятой, а основные сейчас так и остаются между политикой и экономикой. То есть, их слишком банально можно обойти диверсификацией, скажем купив множество самых разных монеток. А у вас получается вывод, что эти технически риски имеют настолько критический вес, что уж лучше инвестировать в нечто централизованное, под контролем банкстеров и чиновников (а значит, наверняка инфляционное или даже гиперинфляционное по сути).
        И чисто технический вопрос, в каком месте функция хэширования SHA256 использует закрытый ключ, типичный скажем для RSA/ECDSA? Это ведь по сути обработка данных, как мясо обрабатывается мясорубкой, только полученный фарш считается относительно уникальным для каждого исходного кусочка. В биткойн применяются пары из публичных и закрытых ключей, для подписывания транзакций как раз алгоритмом на эллиптических кривых, но это все-же очень далекая тема от майнинга.
        0
        А. Г.
        01 октября 2017, 17:25
        alpet,
        
        1. С алгоритмом транзакций я еще не разбирался
        2. «Закрытый» ключ для SHA — это 32 бита каких-то дробных частей. То, что он открыт, дела не меняет в силу несуществования точной обратимости. В эту часть можно и нужно менять для уменьшения информации, хэшированной на одном ключе.
        3. Криптографические прорывы — дело непрогнозируемое. Мне известны случаи их открытия через 10 лет после снятия шифров с эксплуатации и 25 лет после начала эксплуатации. Для кандидатской диссертации этого хватало, а вот практическая часть была сомнительна, так как ни у кого и в мыслях не было собирать зашифрованные сообщения в те годы. Можно было бы прочесть через 10-25 лет, а, увы, нечего. За вскрытие действующих давали Госпремии.
        0
        alpet
        01 октября 2017, 20:28
        А. Г., точной обратимости, у функции хэширования нет и быть не может по определению. Её параметрами, может быть огромное множество данных, с одним и тем-же результатом. Чем больше размер, тем больше вариаций (называемых коллизиями), и это число растет по экспоненте. Уязвимость хэширования начинается там, когда достижение единичной коллизии, происходит за скажем число операций, равное квадратному корню от линейного перебора параметров в множестве X, где данное решение присутствует в среднем 1 раз. Причем мы имеем дело ещё и с параметром сложности, который постоянно это множество делает больше. Иными словами нужна математическая магия, которая позволит отбрасывать заведомо ложные варианты параметров целыми суб-множествами, и оной пока для хэширования SHA256 не существует. Другое дело квантовые компьютеры, чьи способности к брутфорсу хэшей можно назвать идеальными…
        +1
        А. Г.
        01 октября 2017, 21:03
        alpet, да Вы «в теме». Вы используете непривычную для меня терминологию, но я Вас понял, в отличии от других критиков в этой теме. При 512 битах в SHA и нынешнем объеме намайненых биткоинов «достижение единичной коллизии» теоретически может достигаться за корень восьмой степени (а не квадратный) «операций» (для конкретного алгоритма хэширования может и меньше, может и больше, но для почти всех(!) мыслимых алгоритмов именно корень 8-й степени). То, что мне для SHA такая «математическая магия» неизвестна — это точно, как и, вероятней всего, ПОКА никому неизвестно принадлежит SHA этому множеству «почти всех» или нет. Впрочем, это одна и та же задача: тот, кто докажет, что SHA из множества «почти всех», тот и станет обладателем «математической магии».
        0
        alpet
        01 октября 2017, 22:04
        А. Г., там нет 512 бит, там просто надо найти пересечение множества коллизий. Т.е. если конечный хэш дает 10 в степени 100500 (условно) вариаций промежуточного хэша, надо к каждой вариации попытаться найти свою коллизию ведущую к параметрическим данным. Если не ошибаюсь, это может быть намного «дороже» в вычислительном отношении, чем поиск коллизии SHA512.
        Ну ладно, допустим риски нахождения алгоритма ускоряющего майнинг в 1000 раз, стремятся хотя-бы к 0.001% в ближайшие 100 лет. Чем это таким катастрофическим обернется для инвестиций в биткойн, особенно по сравнению с квантовыми компьютерами?
        0
        А. Г.
        02 октября 2017, 00:02
        alpet, куча 32 бит из каких-то дробных частей каких то чисел как раз и составляет по 512 бит в этом алгоритме. А чем грозит? Мне кажется опасно владеть набором чисел, когда кто-то может сделать аналогичные по «ценности» «на раз-два» и этих записей станет в системе на порядки больше, крутящихся там нормальных денег.
        0
        alpet
        02 октября 2017, 01:30
        А. Г., вы мягко говоря переоцениваете возможности атаки на PoW функцию криптовалюты. Она позволит выпускать блоки чаще чем допускает текущая сложность, по крайней мере ближайшие несколько тысяч блоков. Но у злоумышленника таким образом не появиться из ниоткуда миллион биткойнов, протокол этого категорически не допускает. Такое было возможно на ранних этапах, когда баги в протоколе изучали немногие энтузиасты, без шансов что-то заработать. А сегодня к коду проявляют интерес тысячи специалистов, в том числе из спецслужб крупнейших стран, и многие мотивированны как раз быстро разбогатеть обнаружив какую-либо уязвимость. К протоколу очень пристальное внимание, благодаря чему кстати, по официальной версии были украдены сотни тысяч биткойнов с MtGox — злоумышленники проэксплуатировали свойство пластичности транзакций, а владелец биржи видимо был в доле и сделал вид, что не замечает оттока большей части средств на протяжении многих месяцев.
        0
        А. Г.
        02 октября 2017, 02:07
        alpet, я думаю, что к шифраторам определенного уровня власти определенных государств интерес не меньше, однако случаи их дешифрования не столь часты, но встречались. Это, во-многом, дело случая, нетривиального взгляда одиночки. Если интересна эта тема, то найдите профессиональное описание случая с Энигмой и роль в нем польского криптографа (забыл фамилию). Так что наличие интереса в условиях отсутствия результата не отменяет высокой вероятности того, что завтра этот одиночка найдется. Конечно она не 0,9, но и не меньше 0,1. А протоколу все равно сколько появилось новых, отслеживать это может надстройка. Но, судя по случаю 2010, время у «умельца» есть. Да и борьба с этим возможна только через конвертацию «честных» и замену алгоритма майнинга. При нынешних объемах это «вырубит» расчёты в биткоинах на недели, а то и месяцы. Какое будет доверие после этого?
        0
        alpet
        02 октября 2017, 12:34
        А. Г., Насчет 10% вероятности «завтра», я с вами пожалуй не соглашусь. Это ведь более 50% вероятность в течении недели получается. Если вы переоцениваете риски настолько легко, то конечно можно полностью отказаться от венчурных инвестиций.
        0
        А. Г.
        02 октября 2017, 14:32
        alpet, это в независимой модели 50%, а кто сказал, что тут независимость?
        0
А. Г.
01 октября 2017, 01:54
Уточню, что я имел ввиду под перспективами: блокчейн с централизацией майнинга — это в обозримой перспективе замена банковских карт, депозитариев, свифта и прочих межбанковских и почтовых переводов. Причем одновременно это полное пресечение мошенничества с банковскими картами и счетами в банках как то несанкционированный владельцем счета перевод средств на счета третьих лиц.
+1
- Nicker
  01 октября 2017, 02:04
  А. Г.,
  Блокчейн с централизацией майнинга — он уже существует — это ЦБ, просто они сейчас записывают в обычную базу данных. А в будущем это будет что то типа блокчейна, но суть в том что бы убрать зависимость о человеческой ошибки. Депозитарии свифт — это то же. Основная проблема это ЧЕЛОВЕК — человек склонен ошибаться. Блокчейн же функционирует без человека.
  
  С картами согласен, там вообще никакой безопасности, дибилы придумывали безопасность банковских карт, достаточно сделать пароль на перевод денег с карты и все проблемы автоматически решаются. По сути переводы аппл пай это и есть пароль, отпечаток пальца выступает как пароль.
  0
  - А. Г.
    01 октября 2017, 02:20
    Nicker, централизованный майнинг тоже исключает человеческий фактор. Не вижу разницы с точки зрения техники, кроме регулирования, гарантирующего своевременную смену ключей, а не безконтрольную, как при отсутствии централизации майнинга.
    0
nbvehrfr
01 октября 2017, 02:10
таксист математически доказал с вероятностью 1?
-1
- А. Г.
  01 октября 2017, 02:23
  nbvehrfr, где в топике Вы увидели слово «таксист». Уж кем-кем, а таксистом я никогда не был.
  0
  - nbvehrfr
    02 октября 2017, 22:09
    А. Г., извиняюсь, ошибка вышла
    0
- sapirk
  01 октября 2017, 09:17
  nbvehrfr, вы перепутали Герчика с Горчаковым)))
  +3
aps
01 октября 2017, 02:28
А как может выглядеть «идеализированная» система блокчейна в финансовом секторе (если считать, что нет проблем ЦБ и секторального «лобби»)?
0
- А. Г.
  01 октября 2017, 02:39
  aps, надо просто понимать, что блокчейн — это сетевая децентрализованная база данных с электронной подписью. Уязвимость текущего подхода в децентрализации электронной подписи, а вовсе не в самой идее децентрализации базы данных. Таким образом эта технология при устранении уязвимости подписи может с успехом заменить все централизованные базы данных с защитой информации и обмен информацией между ними. Некоторые примеры использования централизованных защищенных баз я уже привел: базы данных банков, депозитариев, регистраторов, эмиссионеров банковских карт и т. д.
  0
aps
01 октября 2017, 02:59
Это как раз мне понятно. Просто интересны последствия. Биржи и карты — тут вопросов нет. Как вот с денежной системой и валютным обращением не совсем понятно? Особенно глобальном масштабе.
0
chizhan
01 октября 2017, 04:15
Ребята вы со своим тервером серьёзно?
С вероятностью 1 можно посадить 100500 обезьян за рояль и одна из них напишет сонату Бетховена.
Емнип биткоин никто не взламывал, случайное раздвоение цепочки всего-то.

«кто-то сможет централизовать распределенный реестр»
В чем логика? Это будет обычная БД с большим количеством бэкапов в других ДЦ.
+1
- А. Г.
  01 октября 2017, 11:02
  chizhan, только одно возражение «случайное раздвоение цепочки» — это может быть раз, но вероятность этого миллиард раз в схеме блокчейна из области встречи с динозавром в Москве. Я могу представить системную ошибку в коде реализации, которая может приводить к раздвоению, но причем здесь «случайность»? Версия об ошибке в коде — это версия создателей. Но она имеет ровно такую же вероятность быть верной, как и версия взлома. Почему? Потому что при ошибке кода не меняют почти все, как это сделали тогда.
  0
trader_95
01 октября 2017, 05:08
«кто-то сможет централизовать распределенный реестр»
Серьезно? В этом вся суть.
А.Г. могу порекомендовать отойти от привычных воззрений и принять блокчейн как он есть. Попытки засунуть в привычные рамки централизации будут всегда, и в первую очередь от органов власти, но ценность будут иметь независимые валюты.
0
ICEDONE
01 октября 2017, 09:15
Блокчейн это замена финансовой системы в таком виде в которой она сейчас. Банки не нужны, фрс и центробанки нахер. Бабла нового не напечатаешь. Все страны в равных условиях. Конец долларовой системе.
0
Анатолий И.
01 октября 2017, 10:13
в общем нет в русском языке эквивалента слова «value» :)
0
h.
01 октября 2017, 14:29
Интересно, а криптоадепты в курсе, что квантовый компьютер не за горами, а это значит что эффект 51% контроля сети, также компрометирует криптовалюту.
0
Игорь Жуков
01 октября 2017, 15:32
Где доказательство? Доказал, хахах. Очередной ебанат который нихуя не добился в своей жизни...
Если бы он реально доказал, и нашёл тот баг в 2010, то сейчас он бы не шкерился по конфам смартлаба а был бы долларовым миллионером стремящимся к миллиарду.

А так любая бабка на базаре может говорить что она что-то там доказала ещё в 2010...
0
- А. Г.
  01 октября 2017, 17:31
  fsb4000, Видимо к криптографической службе ФСБ Вы имеете такое же отношение, как я к балету. Если бы имели, то легко бы поняли, что между доказательством существования критографической уязвимости и ее нахождением — пропасть. И эту пропасть могут не преодолеть никогда, а могут завтра. Про то, что я проверил (а не доказал, так как в общем случае все доказали давно и не я) текущее положение дел в биткоине на конец 2016-го на соответствие условиям теоремы о существовании уязвимости, я уже написал в ответе Тимофею. 2010-й тут попал по ошибке и связан с другой историей, которую я упомянул в беседе:
  
  В 2010-м году имели место два достоверных факта: кто-то намайнил миллиард биткоинов за очень короткое время, организаторы объявили об ошибке и полностью сменили алгоритм. Если предположить (!), что тот, кто намайнил, вскрыл прошлый алгоритм, то второе совершенно логично.
  0
  - Игорь Жуков
    01 октября 2017, 17:54
    А. Г., дайте ссылку на ваши доказательства и письма в 2010 году в OpenSource комьюнити. Кто проверил ваши доказательства, и подтвердил что они чего стоят, а не полный бред.
    Я в отличие от вас математик и криптограф, и понимаю что охинея написанная для себя ничего не стоит. Лишь после того как ваши домыслы будут рассмотрены другими экспертами, и лишь после тщательной проверки какие-то догадки могут быть признаны доказательством.
    А так как я читал темы тех времен и что-то не помню дискуссий об уязвимостях Александра Горчакова с Сатоши, или с Гэвином Андерсоном...
    
    0
    - А. Г.
      01 октября 2017, 18:24
      fsb4000, мне незачем дискутировать на тему криптографии с неизвестными анонимами в сети, потому что это чревато для меня определенными последствиями
      
      Если Вы настоящий криптограф, то должны знать, что значит этот диплом, а я со своей стороны знаю, что было «там» и что есть в открытой части криптографии. И то, что «там» (пусть и было до моего ухода в 1998-м) не для публичных дискуссий в сети. Вы можете справедливо спросить: а Вы знаете как использовать существование уязвимости? Отвечу честно, конкретно для биткоина я не знаю, но я точно знаю о случаях их нахождения в тех сферах, где все алгоритмы делались и теми, кто хорошо знал и закрытую часть криптографии. А про историю 2010 — это ответ мне знатока биткоина в фэйсбуке:
      
      А On 6 August 2010, a major vulnerability in the bitcoin protocol was spotted. Transactions were not properly verified before they were included in the blockchain, which let users bypass bitcoin's economic restrictions and create an indefinite number of bitcoins.[88][89] On 15 August, the vulnerability was exploited; over 184 billion bitcoins were generated in a transaction, and sent to two addresses on the network. Within hours, the transaction was spotted and erased from the transaction log after the bug was fixed and the network forked to an updated version of the bitcoin.
      
      «за что купил, за то и продаю».
      +2
      - Тихая Гавань
        01 октября 2017, 18:43
        А. Г., мое почтение! имхо не ведитесь на тролей!
        0
      - Игорь Жуков
        02 октября 2017, 17:27
        А. Г., как я и ожидал. Никаких доказательств этой цитаты
        Еще в 2010 году, изучив алгоритм биткоина, он математически доказал, что с вероятностью 1 существует алгоритм взлома биткоина
        
        нет и не будет. Как тема стала хайповой любой будет набивать себе цену как эксперта, тем что он ещё 5-10 лет назад все проанализировал и был в теме.
        Но тут многим гуманитариям вы можете легко запудрить мозги, они не будут проверять правду. Уже вижу плюсы вашим комментариям, и не думаю что возможен дальнейший диалог, каждый останется при своём мнении.
        0
        А. Г.
        02 октября 2017, 17:32
        fsb4000, где Вы увидели, что я конкретно «проанализировал» блокчейн 5-10 лет назад? Я же четко написал, что всю схему осилил только в этом году. Это с блочным шифрованием я сталкивался давно из-за появления DES. А насчет доказательства существования (!) уязвимости погуглите «разложение булевых функций в ряд Фурье». Может своим умом дойдете до него, коль «криптограф и математик».
        0