Forwarded from 21 идея
BITCOIN TRANSLATED начинает серию коротких (и не очень) постов на тему приватности в сети Биткоин. Материал из Bitcoin Wiki объемен, но невероятно важен для понимания, поэтому я разобью его на перевариваемые части и буду регулярно пополнять статью.
Постепенно растущий материал можно будет найти по этой ссылке, а оригинал — тут.
Особая благодарность Goldfoundinshit ТМ за наводку.
Итак, начнем!
#длякаждого
#приватность
Постепенно растущий материал можно будет найти по этой ссылке, а оригинал — тут.
Особая благодарность Goldfoundinshit ТМ за наводку.
Итак, начнем!
Несмотря на то, что Биткоин может обеспечить высокий уровень конфиденциальности, многие способы его использования, как правило, приватными не назвать. При правильном понимании технологии, представляется возможность использования Биткоина действительно приватным и анонимным способом.#длякаждого
#приватность
Forwarded from 21 идея
Повторное использование адреса
Если адрес выходных данных был использован повторно, это, скорее всего, платежный выход, а не выход сдачи. Это связано с тем, что адреса сдачи создаются автоматически с помощью программного обеспечения кошелька, а платежные адреса передаются людьми вручную. Повторное использование адреса возможно в силу незнания или из-за безразличия. Данная эвристика, вероятно, является наиболее точной, поскольку в данном случае сложно представить сценарий, приводящий к ложно-позитивным результатам (кроме как преднамеренное решение дизайна кошелька). Эту эвристику также называют теневой.
Первые версии ПО (2010-2011 гг., в которых не было детерминированных кошельков) не генерировали новые адреса сдачи, а отправляли сдачу обратно на адрес входа. Это позволяло с точностью идентифицировать адрес, получающий сдачу.
Предотвращение повторного использования адреса — весомый инструмент для поддержания приватности. Данные кошельки также могут автоматически определять, использовался ли определенный адрес для получения платежа ранее (возможно, путем запроса пользователя), а затем использовать уже использованный адрес в качестве адреса сдачи; таким образом оба выхода будут использованы повторно.
Кроме того, большинство повторно используемых адресов выложены на форумах, в социальных сетях, таких как Facebook, Reddit, Stackoverflow ... и т. д. Данные адреса вы можете найти на сайте https://checkbitcoinaddress.com/. Это чем-то похоже на деанонимизацию псевдонимного блокчейна.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Если адрес выходных данных был использован повторно, это, скорее всего, платежный выход, а не выход сдачи. Это связано с тем, что адреса сдачи создаются автоматически с помощью программного обеспечения кошелька, а платежные адреса передаются людьми вручную. Повторное использование адреса возможно в силу незнания или из-за безразличия. Данная эвристика, вероятно, является наиболее точной, поскольку в данном случае сложно представить сценарий, приводящий к ложно-позитивным результатам (кроме как преднамеренное решение дизайна кошелька). Эту эвристику также называют теневой.
Первые версии ПО (2010-2011 гг., в которых не было детерминированных кошельков) не генерировали новые адреса сдачи, а отправляли сдачу обратно на адрес входа. Это позволяло с точностью идентифицировать адрес, получающий сдачу.
Предотвращение повторного использования адреса — весомый инструмент для поддержания приватности. Данные кошельки также могут автоматически определять, использовался ли определенный адрес для получения платежа ранее (возможно, путем запроса пользователя), а затем использовать уже использованный адрес в качестве адреса сдачи; таким образом оба выхода будут использованы повторно.
Кроме того, большинство повторно используемых адресов выложены на форумах, в социальных сетях, таких как Facebook, Reddit, Stackoverflow ... и т. д. Данные адреса вы можете найти на сайте https://checkbitcoinaddress.com/. Это чем-то похоже на деанонимизацию псевдонимного блокчейна.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Forwarded from 21 идея
Анализ отпечатков кошелька (часть 2)
- Low-R signatures (подписи с низким значением R). Формат DER, используемый для кодирования Биткоин-подписей, требует добавления дополнительного байта к подписи, чтобы указать, когда R значение подписи находится в верхней половине эллиптической кривой, используемой для Биткоина. Значение R определяется случайным образом, поэтому половина всех подписей имеет этот дополнительный байт. По состоянию на июль 2018 года Bitcoin Core генерирует только подписи с низким значением R, которые не требуют этого дополнительного байта. Таким образом, транзакции Bitcoin Core экономят (в среднем) один байт на каждые две подписи. По состоянию на 2019 год ни один другой кошелек не делает этого, поэтому подпись с высоким значением R является свидетельством того, что Bitcoin Core не используется.
- Несжатые и сжатые публичные ключи. ПО ранних кошельков использует несжатые приватные ключи. Смесь сжатых и несжатых ключей может быть использована для снятия отпечатков кошелька.
- Комиссия майнеров. ПО различных кошельков может по-разному реагировать на нехватку пространства в блоке, что может привести к разнице в выплатах комиссии майнерам. Это также может использоваться для снятия отпечатков кошелька.
- Выбор монет. Некоторые ПО кошельков при помощи различных алгоритмов могут выбирать, какие UTXO тратить, это также может быть использовано для снятия отпечатков кошелька.
Если несколько пользователей используют одно и то же ПО кошелька, то при снятии отпечатков невозможно определить адрес сдачи. Также возможно, что одному пользователю принадлежат два разных кошелька, которые используют разное программное обеспечение (например, горячий и холодный кошелек), и тогда транзакции между различными версиями ПО не будут ложно указывать на смену владельца. Отпечатки кошельков сами по себе никогда не являются окончательным доказательством, но, как и при всех других утечках приватности, они лучше всего работают в совокупности с другими данными, при объединении многочисленных утечек.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
- Low-R signatures (подписи с низким значением R). Формат DER, используемый для кодирования Биткоин-подписей, требует добавления дополнительного байта к подписи, чтобы указать, когда R значение подписи находится в верхней половине эллиптической кривой, используемой для Биткоина. Значение R определяется случайным образом, поэтому половина всех подписей имеет этот дополнительный байт. По состоянию на июль 2018 года Bitcoin Core генерирует только подписи с низким значением R, которые не требуют этого дополнительного байта. Таким образом, транзакции Bitcoin Core экономят (в среднем) один байт на каждые две подписи. По состоянию на 2019 год ни один другой кошелек не делает этого, поэтому подпись с высоким значением R является свидетельством того, что Bitcoin Core не используется.
- Несжатые и сжатые публичные ключи. ПО ранних кошельков использует несжатые приватные ключи. Смесь сжатых и несжатых ключей может быть использована для снятия отпечатков кошелька.
- Комиссия майнеров. ПО различных кошельков может по-разному реагировать на нехватку пространства в блоке, что может привести к разнице в выплатах комиссии майнерам. Это также может использоваться для снятия отпечатков кошелька.
- Выбор монет. Некоторые ПО кошельков при помощи различных алгоритмов могут выбирать, какие UTXO тратить, это также может быть использовано для снятия отпечатков кошелька.
Если несколько пользователей используют одно и то же ПО кошелька, то при снятии отпечатков невозможно определить адрес сдачи. Также возможно, что одному пользователю принадлежат два разных кошелька, которые используют разное программное обеспечение (например, горячий и холодный кошелек), и тогда транзакции между различными версиями ПО не будут ложно указывать на смену владельца. Отпечатки кошельков сами по себе никогда не являются окончательным доказательством, но, как и при всех других утечках приватности, они лучше всего работают в совокупности с другими данными, при объединении многочисленных утечек.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Forwarded from 21 идея
CoinJoin транзакции с идентичными выходами (Equal-output-CoinJoin)
Транзакции Equal-output-CoinJoin раскрывают адрес сдачи, потому что выходы сдачи не равны между собой. Например, рассмотрим этот Equal-output-coinjoin:
A (1 BTC)
X (5 BTC) ---> B (1 BTC)
Y (3 BTC) C (4 BTC)
D (2 BTC)
Можно с уверенностью заявить, что выход D является сдачей и принадлежит владельцу входа Y, тогда как выход C является сдачей и принадлежит входу X. Но, при этом, CoinJoin нарушает эвристику мульти-ввода и эффективно скрывает владение выходами оплаты (A и B), поэтому компромиссы все еще в значительной степени в пользу использования CoinJoin.
Постепенно растущую статью "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Транзакции Equal-output-CoinJoin раскрывают адрес сдачи, потому что выходы сдачи не равны между собой. Например, рассмотрим этот Equal-output-coinjoin:
A (1 BTC)
X (5 BTC) ---> B (1 BTC)
Y (3 BTC) C (4 BTC)
D (2 BTC)
Можно с уверенностью заявить, что выход D является сдачей и принадлежит владельцу входа Y, тогда как выход C является сдачей и принадлежит входу X. Но, при этом, CoinJoin нарушает эвристику мульти-ввода и эффективно скрывает владение выходами оплаты (A и B), поэтому компромиссы все еще в значительной степени в пользу использования CoinJoin.
Постепенно растущую статью "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Forwarded from 21 идея
Сумма
Транзакции блокчейна содержат информацию о количестве входов и выходов транзакции, а также подразумеваемую сумму вознаграждения майнеров. Эта информация доступна каждому.
Зачастую сумма транзакции представляет собой круглое число, иногда это видно при конвертации суммы в другую валюту. Анализ округленных чисел в биткоин-транзакциях также использовался для выявления страны или региона, где произошла оплата.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Транзакции блокчейна содержат информацию о количестве входов и выходов транзакции, а также подразумеваемую сумму вознаграждения майнеров. Эта информация доступна каждому.
Зачастую сумма транзакции представляет собой круглое число, иногда это видно при конвертации суммы в другую валюту. Анализ округленных чисел в биткоин-транзакциях также использовался для выявления страны или региона, где произошла оплата.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Forwarded from 21 идея
Отправка всех средств с адреса (без сдачи)
Платежи, которые отправляют полные суммы и не получают никакой сдачи, указывают на высокую вероятность того, что биткоины не меняли рук.
Обычно это означает, что пользователь использовал функцию кошелька “отправить максимальную сумму” для перевода средств на свой новый кошелек, на кошелек биржи, для пополнения лайтнинг канала или в других подобных случаях, когда биткоины не меняют владельца.
Другими возможными причинами отправки всех средств без сдачи может быть либо наличие такого набора входных данных, который позволил алгоритму или опытному пользователю предоставить сумму платежа, которая не требовала сдачи (или требовала достаточно незначительную сдачу, чтобы ей можно было пренебречь).
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Платежи, которые отправляют полные суммы и не получают никакой сдачи, указывают на высокую вероятность того, что биткоины не меняли рук.
Обычно это означает, что пользователь использовал функцию кошелька “отправить максимальную сумму” для перевода средств на свой новый кошелек, на кошелек биржи, для пополнения лайтнинг канала или в других подобных случаях, когда биткоины не меняют владельца.
Другими возможными причинами отправки всех средств без сдачи может быть либо наличие такого набора входных данных, который позволил алгоритму или опытному пользователю предоставить сумму платежа, которая не требовала сдачи (или требовала достаточно незначительную сдачу, чтобы ей можно было пренебречь).
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Forwarded from 21 идея
Проведение оплаты тайным покупателем
Проведение оплаты тайным покупателем происходит, когда злоумышленник платит биткоины жертве с целью получения конфиденциальной информации. Этот вид атаки продуктивен, даже если жертва избегает повторное использование адреса. Например, если целью является онлайн-продавец, то злоумышленник может произвести незначительную покупку; в интерфейсе платежа им будет показан один из биткоин-адресов продавца. Теперь злоумышленник знает, что этот адрес принадлежит продавцу, и, при наблюдении за последующими транзакциями на блокчейне, будет обнаружена другая информация, которая в сочетании с другими методами слежки может раскрыть много данных о продавце. Эвристика мульти-ввода и обнаружение адреса сдачи может выявить другие адреса, принадлежащие продавцу (при условии, что контрмеры, такие как CoinJoin не используются), и может предоставить информацию о минимальном объеме продаж. Этот метод функционален, потому что любой интернет-пользователь может запросить один из адресов продавца.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Проведение оплаты тайным покупателем происходит, когда злоумышленник платит биткоины жертве с целью получения конфиденциальной информации. Этот вид атаки продуктивен, даже если жертва избегает повторное использование адреса. Например, если целью является онлайн-продавец, то злоумышленник может произвести незначительную покупку; в интерфейсе платежа им будет показан один из биткоин-адресов продавца. Теперь злоумышленник знает, что этот адрес принадлежит продавцу, и, при наблюдении за последующими транзакциями на блокчейне, будет обнаружена другая информация, которая в сочетании с другими методами слежки может раскрыть много данных о продавце. Эвристика мульти-ввода и обнаружение адреса сдачи может выявить другие адреса, принадлежащие продавцу (при условии, что контрмеры, такие как CoinJoin не используются), и может предоставить информацию о минимальном объеме продаж. Этот метод функционален, потому что любой интернет-пользователь может запросить один из адресов продавца.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Forwarded from 21 идея
10 советов для более приватного использования Биткоина
1. Никому не говорите. (Все просто: чем меньше людей знает что у вас есть биткоины или хотя-бы сколько биткоинов у вас есть, тем лучше)
2. Храните свои приватные ключи самостоятельно. (Самостоятельное хранение приватных ключей значительно снижает возможность связать вашу личность с биткоинами в сети)
3. Сохраняйте анонимность онлайн. (Вы можете создать отдельные учетные записи, не связанные с вашей личностью специально для взаимодействия с Биткоином)
4. Используйте инструменты шифрования. (Почтовый клиент Proton Mail является примером подобного ПО)
5. Используйте Tor и/или VPN. (Данные сервисы шифруют ваши данные и помогают разорвать связь истории браузинга и вашей личности)
6. Используйте non-KYC площадки для покупки биткоинов. (Как только вы совершаете покупку через централизованную биржу, потребовавшую ваши персональные данные, вы теряете анонимность и ваши средства возможно отследить)
7. Запустите собственную полную ноду. (Использование собственной полной ноды устраняет необходимость в предоставлении персональных данных и доверии третьей стороне при взаимодействии с блокчейном Биткоин)
8. Используйте оффчейн транзакции. (При возможности и в тех случаях, когда это логично, используйте Lightning Network или Opendime)
9. CoinJoin. (Позволяет смешивать ваши монеты с монетами других участников сети, запутывая ваши следы)
10. Избегайте сервисов Google. (Такие гиганты, как Apple и Google, используют все больше различных программ, отслеживающих каждый ваш шаг. На рынке появляются и совершенствуются альтернативные решения, такие как Graphene OS)
Полная статья на английском
#приватность
1. Никому не говорите. (Все просто: чем меньше людей знает что у вас есть биткоины или хотя-бы сколько биткоинов у вас есть, тем лучше)
2. Храните свои приватные ключи самостоятельно. (Самостоятельное хранение приватных ключей значительно снижает возможность связать вашу личность с биткоинами в сети)
3. Сохраняйте анонимность онлайн. (Вы можете создать отдельные учетные записи, не связанные с вашей личностью специально для взаимодействия с Биткоином)
4. Используйте инструменты шифрования. (Почтовый клиент Proton Mail является примером подобного ПО)
5. Используйте Tor и/или VPN. (Данные сервисы шифруют ваши данные и помогают разорвать связь истории браузинга и вашей личности)
6. Используйте non-KYC площадки для покупки биткоинов. (Как только вы совершаете покупку через централизованную биржу, потребовавшую ваши персональные данные, вы теряете анонимность и ваши средства возможно отследить)
7. Запустите собственную полную ноду. (Использование собственной полной ноды устраняет необходимость в предоставлении персональных данных и доверии третьей стороне при взаимодействии с блокчейном Биткоин)
8. Используйте оффчейн транзакции. (При возможности и в тех случаях, когда это логично, используйте Lightning Network или Opendime)
9. CoinJoin. (Позволяет смешивать ваши монеты с монетами других участников сети, запутывая ваши следы)
10. Избегайте сервисов Google. (Такие гиганты, как Apple и Google, используют все больше различных программ, отслеживающих каждый ваш шаг. На рынке появляются и совершенствуются альтернативные решения, такие как Graphene OS)
Полная статья на английском
#приватность
Forwarded from 21 идея
Приватность в сети Биткоин: значимые события июля 2020 (2/2)
— 14 июля 🏯 повторное использование адресов в Samourai Wallet
Samourai Wallet опубликовал обзор, посвященный актуальным уязвимостям, идентифицирующий случаи как преднамеренного, так и непреднамеренного повторного использования адресов пользователями. Хотя они рассматривали обе категории, анализ “главным образом касался непреднамеренных повторных использований адресов”.
— 15 июля ✒️ Судебный иск против налогового управления на основе четвертой поправки к конституции США
Джим Харпер, научный сотрудник American Enterprise Institute, бывший старший научный сотрудник CATO Institute и член Bitcoin Foundation, подал иск на налоговое управление США в связи с предполагаемым нарушением ими его прав и свобод относительно четвертой поправки к конституции США. Поправка запрещает необоснованные обыски и задержания, а также требует, чтобы любые ордеры на обыск выдавались судом при наличии достаточных оснований, исключая случаи федерального законодательства. В деле вновь замешана компания Coinbase и одной из причин иска является неправомерное использование информации о клиентах.
— 20 июля 🛂 “как я узнал твоего клиента”
Ряд кастодиальных бирж создали рабочую группу для разработки коллективного решения “с целью соответствия правилам FATF”, позволяющего им обмениваться клиентскими данными.
— 24 июля 👾 Активация Шнорр и Тапрут
Состоялось собрание клуба Bitcoin Core PR Review, организованного Джоном Ньюберри. На собрании обсуждалась реализация Шнорр, Тапрут и BIP’ов: 340, 341 и 342. Более ста человек участвовали в обсуждении, в частности об алгоритме хеширования транзакций Тапрут. Записи доступны по этой ссылке.
— 29 июля 📧 Ledger сообщил об утечке маркетинговых данных
- 1M адресов электронной почты;
- Данные 9500 клиентов, такие как полное имя, почтовый адрес, номер телефона или заказанные продукты.
Такие данные могут представлять опасность для клиентов, поскольку открывают векторы физической атаки на потенциальных держателей криптовалют. (h/t Hype Coin News)
#приватность
— 14 июля 🏯 повторное использование адресов в Samourai Wallet
Samourai Wallet опубликовал обзор, посвященный актуальным уязвимостям, идентифицирующий случаи как преднамеренного, так и непреднамеренного повторного использования адресов пользователями. Хотя они рассматривали обе категории, анализ “главным образом касался непреднамеренных повторных использований адресов”.
— 15 июля ✒️ Судебный иск против налогового управления на основе четвертой поправки к конституции США
Джим Харпер, научный сотрудник American Enterprise Institute, бывший старший научный сотрудник CATO Institute и член Bitcoin Foundation, подал иск на налоговое управление США в связи с предполагаемым нарушением ими его прав и свобод относительно четвертой поправки к конституции США. Поправка запрещает необоснованные обыски и задержания, а также требует, чтобы любые ордеры на обыск выдавались судом при наличии достаточных оснований, исключая случаи федерального законодательства. В деле вновь замешана компания Coinbase и одной из причин иска является неправомерное использование информации о клиентах.
— 20 июля 🛂 “как я узнал твоего клиента”
Ряд кастодиальных бирж создали рабочую группу для разработки коллективного решения “с целью соответствия правилам FATF”, позволяющего им обмениваться клиентскими данными.
— 24 июля 👾 Активация Шнорр и Тапрут
Состоялось собрание клуба Bitcoin Core PR Review, организованного Джоном Ньюберри. На собрании обсуждалась реализация Шнорр, Тапрут и BIP’ов: 340, 341 и 342. Более ста человек участвовали в обсуждении, в частности об алгоритме хеширования транзакций Тапрут. Записи доступны по этой ссылке.
— 29 июля 📧 Ledger сообщил об утечке маркетинговых данных
- 1M адресов электронной почты;
- Данные 9500 клиентов, такие как полное имя, почтовый адрес, номер телефона или заказанные продукты.
Такие данные могут представлять опасность для клиентов, поскольку открывают векторы физической атаки на потенциальных держателей криптовалют. (h/t Hype Coin News)
#приватность
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций #приватность
Нашел подборку неплохих статей на Хабре насчет собственно защиты информации. После их прочтения (чего и вам советую) в очередной раз убедился что защита целостности и конфиденциальности любой информации это всегда комплексная мера, а не только условный Tor как многие полагают.
1. Виды угроз
Статья о собственно видах угроз и возможных векторах атаки на информацию
2. Средства защиты
Собственно об основных способах защиты информации
3. Цена ошибки
Что случится, если вы забьете болт на это дело, прикрываясь старым-добрым "Ну меня это точно не коснется!"
К этому разделу хочу добавить недавний пример, показательный так сказать:
Кулхацкеры закодировали данные компании Garmin, так, как там наверное тоже думали что "ну нас не коснется", и потребовали выкуп в 10 миллионов долларов. Пришлось платить. Пожадничали на защиту миллион баксов раньше, заплатили в 10 раз больше. Собственно вы от этой компании (в плане уязвимости и мотивации вас взламывать) ничем не отличаетесь. Я бы даже сказал, что более простая жертва ☺️
Статьи написаны немного академично, но полезной информации, хоть на первый взгляд все кажется очевидным (люблю это слово, чаще всего те, кто его произносят, попадаются на этом очевидно) , хватает. Советую к прочтению
Нашел подборку неплохих статей на Хабре насчет собственно защиты информации. После их прочтения (чего и вам советую) в очередной раз убедился что защита целостности и конфиденциальности любой информации это всегда комплексная мера, а не только условный Tor как многие полагают.
1. Виды угроз
Статья о собственно видах угроз и возможных векторах атаки на информацию
2. Средства защиты
Собственно об основных способах защиты информации
3. Цена ошибки
Что случится, если вы забьете болт на это дело, прикрываясь старым-добрым "Ну меня это точно не коснется!"
К этому разделу хочу добавить недавний пример, показательный так сказать:
Кулхацкеры закодировали данные компании Garmin, так, как там наверное тоже думали что "ну нас не коснется", и потребовали выкуп в 10 миллионов долларов. Пришлось платить. Пожадничали на защиту миллион баксов раньше, заплатили в 10 раз больше. Собственно вы от этой компании (в плане уязвимости и мотивации вас взламывать) ничем не отличаетесь. Я бы даже сказал, что более простая жертва ☺️
Статьи написаны немного академично, но полезной информации, хоть на первый взгляд все кажется очевидным (люблю это слово, чаще всего те, кто его произносят, попадаются на этом очевидно) , хватает. Советую к прочтению
Хабр
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность» . Многие слышали это словосочетание, но не все понимают, что же это такое?...