Хранение информации (где спрятать олимпиард биткоинов)

[xen0n.livejournal.com]

Чарли Шрем — известный активист Bitcoin-сообщества, который часто выступал на конференциях. [...] Некоторые в шутку называли его «Чарли четыре пальца», потому что он носил пароли от своих кошельков в кольце на руке, рискуя потерять палец в результате ограбления.

А как вообще лучше было бы хранить такую информацию? Большой объем можно закриптовать, раскидать по тысяче мест (чтобы уж точно хоть где-то осталось, даже если весь мир в труху), и хранить только ключ для расшифровки. Но его тоже - простой ненадежно (разгадают), сложный не запомнишь. Задача упирается в хранение скажем 1-4 килобайт данных.

Вопрос и про реальные возможности (предположим, это ВАЖНАЯ информация, такая, какой у простого смертного просто даже и нет. Вот, как в примере с этим человеком - без нее он просто, а с ней - миллионер) и про немного выдуманные (те что технически возможно сейчас нельзя реализовать, но лет через 20-50 будет можно).

На пальце нельзя - угроза от бандитов, в банке нельзя - угроза от государства (мало ли, коррумпированный чиновник, сотрудник банка или 007), дома обворуют. Татуху сделать?? Так в бане или на пляже подглядят. Одну копию, на флешке, закопать в огороде - так вдруг флешка сгниет?

Надо и обеспечить, чтобы другие не получили информацию, и, чтобы сам не потерял.

Comments

[kong-en-ge.livejournal.com]

Берете детский стишок, вбитый в голову в детском саду, и используете в качестве исходника для генерации ключа

[green-dq.livejournal.com]

Только не забудьте использовать неправЕльные словеи. Для бОльшей энтропии.

[basila]

плюсую. Любой кусок из "Евгения Онегина" или "Мцыри" - тоже неплохо :)

[step-e.livejournal.com]

и генерировать вот так
http://ru.wikipedia.org/wiki/%D0%9F%D0%B0%D1%81%D1%8C%D1%8F%D0%BD%D1%81_(%D1%88%D0%B8%D1%84%D1%80)

[xen0n.livejournal.com]

Это, к сожалению, не сработает.
Во-первых, стишков не так уж и много. Заставь вас спеть песенку - что вы петь будете - или гимн СССР или "в лесу родилась елочка", всего два варианта срабатывают для 90% населения. (хотя, наверное "елочка" для 90%, а гимн - еще для 9%).

Все известные "мутации" - (по первым буквам, ВЛРЁ ВЛОР ЗИЛСЗБ, или "добавить в конце 1" или "добавить в конце 2" или "вместо о писать 0") - они, конечно усложняют, но тем не менее очень предсказуемы и легко перебираемы. Всякие программы для взлома паролей по словарю, вроде John the Ripper - умеют это.

Пока таких "извращений" поверх текста мало - это просто будет лишний час (день, месяц) работы мощного компа. Как только станет много - уже есть риск, что сам забудешь.

[d-v-temnote.livejournal.com]

чип типа ветеринарного

[wordsmsdnua.livejournal.com]

он же легко считывается

[green-dq.livejournal.com]

Вообще-то всё просто. Есть такая штука, как бумажный кошелёк. Никто не мешает при помощи лазерного гравёра (или трафарета или станка с ЧПУ - вам ведь надо миллион битков растусовать, чего мелочиться?) на стальных (из нержавейки, чтобы надёжнее) пластинах выгравировать всю нужную инфу. потом пластины покрываем краской, заливаем в битум, потом заливаем бетоном. Никто ничего не найдёт, главное - самому не забыть. Делаем 10-20-100 таких пластинок распределяя всё честно награбленное и прячем в 10-20-100 местах.

[xen0n.livejournal.com]

А гравируем-то что? Сами коды "монеток"? Тогда рано или поздно кто-то докопается до одной из 100 таких закладок. Чем больше копий - тем выше риск.

[sveaman.livejournal.com]

перед терморектальным криптоанализом все равны.

[xen0n.livejournal.com]

хорошее замечание. на этот случай лучше тогда объединиться с кем-то по другую сторону океана. одновременно двум паяльники врядли вставят.

[rus-logic.livejournal.com]

зашифровать, едреныть

пароль - восьмая страница "войны и мира " издания такого-то года, верхняя строчка.
подбирай...

[wordsmsdnua.livejournal.com]

как мировое светило информационной безопасноти, аналитик и эксперт, скажу вам - пароли подбирают только тупые мудаки, сейчас подавляющее большинство взломов производится с помощью украденных паролей.

[provintiale.livejournal.com]

Фильм такой был "Джонни-мнемоник"...

[krugovoy.livejournal.com]

Вот не поверите, но в детстве я читал книгу о происхождении фамилий. И была там фамилия какого-то вождя индейского племени, состоявшая из 122 букв. Мне хватило 5 прочтений, чтобы запомнить ее наизусть. Проверяли даже - вру или нет. Прошло 30 лет, а она у меня словно отпечатанная. Вот такой пароль бы подошёл?..

[kong-en-ge.livejournal.com]

словарная атака возможна на пароль из одного слова, которое было опубликовано
как в притче:
-- Учитель, я нашел пароль, который не находит поисковик
-- Теперь находит

[wordsmsdnua.livejournal.com]

как мировое светило информационной безопасности скажу вам правду.

сейчас достаточно 128 битного ключа aes зашифровать им файл и нужной информацией, для подбора ключа потребуется больше компьютеров чем сейчас есть на планете и 10 в 9 лет.

ключ заучить на память.

[rocketsan.livejournal.com]

128 бит = 16 байт
коррелирует ли это с предположением, что 16-символьный пароль аналогичен по криптостойкости?

[drpancraft.livejournal.com]

В порядке бреда. Использовать как ключ, кусок собственной днк?

[lenivaya.livejournal.com]

ходить и трястись чтобы ни один волосок с головы не упал? )))

[nishi-miller.livejournal.com]

от терморектального криптоанализа не спасет ни один пароль
а найти незламываемй пароль - легко

берете строчку из любимой песни - и вот вам пароль
запароленный на 25 символов архив будут вскрывать века

[xen0n.livejournal.com]

ну вот я выше привел пример. в качестве любимой песни - "война и мир", в качестве "лома" - мощный, но домашний компьютер. хитовых песен - не так уж и много. любимых исполнителей можно определить по постам в жж, историям на разных музыкальных сайтах типа ласт.фм итд.

а строчка из песни, по криптостойкости гораздо-гораздо хуже просто произвольного набора символов/слов. Так же как брутфорсят сначала по словарям, а потом уже полный перебор, так и подбирать пароль можно сначала из известных стихов и песен.

Если вообще все известные вам тексты наизусть (стихи, песни, небольшая проза) записать - получится ведь достаточно короткий файлик. (причем, мой файлик и ваш будут очень сильно похожи). И ваш пароль, если иначе посмотреть - всего-то позиция в этом файле (1-2-3-10 слов, начиная со слова номер 175: "и немедленно выпил"). Перебрать все варианты стартовой позиции и 1 слово, потом то же но брать 2 слова, 3 итд. На самом деле очень мало вариантов в масштабах, как компьютеры могут их перебирать.

[blackyblack.livejournal.com]

Защищать точно так же как обычные деньги.
Ключ записать на флэшку + бумажку и в банковскую ячейку. Для надёжности территориально разнести.
Для текущих нужд сделать десяток мелких кошельков, ключи от них организовать с разумной долей удобства и безопасности: положить в дропбокс + бумажку в сейф + привязать к телефону.

[green-dq.livejournal.com]

Информация на флэш-памяти "рассасывается" в течение 3-5 лет при неиспользовании. Там же биты в виде зарядов хранятся.

[sergey-sovkov.livejournal.com]

Такой пароль категорически нельзя запоминать. Бо терморектальный криптоанализ вычислит его на раз.

Самое простое и надёжное, что приходит в голову: миллион мегабайтных файлов на надёжном носителе в банковской ячейке. Один из файлов - пароль для. Какой из файлов верный пароль - знает только владелец. Неправильный ввод пароля изменяет действующий пароль по сложному алгоритму. Алгоритм спрятан в другой банковской ячейке, на другом континенте и под другим именем.

Что на выходе: я свой пароль не помню. Когда надо - иду в банк, выбираю нужный файл и ввожу его. Коррумпированный 007 не сможет найти нужный файл из миллиона. А если власть возьмёт меня за кумкваты, я ввожу неправильный пароль, после чего становлюсь в позу: всё стёрлось, идите в лес, ни грамма пороха врагу. Отсидев положенное, восстанавливаю пароль...

[shark-ru.livejournal.com]

> А если власть возьмёт меня за кумкваты, я ввожу неправильный пароль, после чего становлюсь в позу: всё стёрлось, идите в лес, ни грамма пороха врагу. Отсидев положенное, восстанавливаю пароль...

А почему вы решили, что этот вот момент устоит перед ТРКА?

[wordsmsdnua.livejournal.com]

http://useless-faq.livejournal.com/14119922.html?thread=455367410#t455367410

[ohshitnotuagain.livejournal.com]

Как уже неоднократно упомянули, терморектальный криптоанализ решает всё.
Поэтому задача сводится к защите от оного.

Всё, что приходит в голову - некая система, которая давала бы вам доступ только в определённом случае.
Типа ИИ, умеющего читать мысли.
Т.е. чтобы для доступа нужны были обстоятельства, не зависящие от вас напрямую.

[wordsmsdnua.livejournal.com]

http://useless-faq.livejournal.com/14119922.html?thread=455367410#t455367410

[stairian.livejournal.com]

Вы недооцениваете человеческую память. Среднему человеку вполне по силам запомнить рассказ из 100 слов, что примерно соответствует ключу 2000 бит

[xen0n.livejournal.com]

И вполне по силам забыть, где вчера носки бросил, не говоря уже о рассказе из 100 слов. Нам ведь нужно _надежное_ хранение, которое никогда не забудешь. А не

Белая береза под моим окном
принакрылась снегом словно серебром
дальше - хрен знает. Но когда-то точно помнил.

[7river.livejournal.com]

Распределенная система вас спасет: N-дцать друзей Оушена, каждый из которых знает только часть ключа. Для расшифровки нужно всех их собрать вместе.
Предполагается, что насильственным образом это сделать достаточно затруднительно.
Есть правда недостаток - система не имеет защиты от потери данных. Неприбытие на встречу хотя бы одного хранителя ключа делает бессмысленным явку остальных.

[hofmann.livejournal.com]

ну почему же?
можно носителей частей ключа зеркалировать в произвольном количестве,
на случай неожиданной смерти и прочего форс-мажора.
еще разнести географически и т.д. каждую копию части

[parking-brake.livejournal.com]

Может быть использовать какой-нибудь гипноз, чтобы пароль можно было вспомнить только у входа в банк, например или ещё при каком-нибудь обстоятельстве.

[xen0n.livejournal.com]

Только гипнотизировать как-то самому себя, а то еще по слову "розовый бутон" сам будешь в банк бегать и приносить деньги гипнотизеру.

[vvdrebezgi.livejournal.com]

Какой-нибудь вставной зуб-флешка)) Беда этого Чарли Шрема в том, что все в курсе, что у него на кольце пароль!

[xen0n.livejournal.com]

Может потому всем и говорит, про этот перстень, что на самом деле носить ключи на флешке в трусах.

(а на перстне и в самом деле может быть ключ от кошелька, в котором денег на пару пива только)

[galickii-moskal.livejournal.com]

Подобные штуки придумали уже давно. Защита от терморектального анализа должна быть встроена в ключ. То есть при неправильном использовании ключа ключ самоуничтожается. Аналог пин код в карте три ввода и карта блокируется. А восстановление через доверенных особ. Ну например части кода хранить за дополнительную плату у Чака Нориса, Панды Кунфу и т.д.

[shredder-by.livejournal.com]

ввод неправильного ключа = вызов правоохранительных органов

[mask-13.livejournal.com]

Хорошо хранить пароли в куче мусора. Допустим, у вас есть какая-то помойка на компьютере (например, папка, куда браузер по умолчанию сохраняет файлы или папка с тысячей mp3-файлов). Сохраняете свои пароли и ключи в текстовый файл (архивируете его с паролем, можно слабым), для веса добавляете в архив mp3-шку, и называете файл Татьяна_Буланова_-_01_-_Я_плакала_три_года.mp3 . Если даже злоумышленник получит доступ к этой папке, вряд ли он найдет ваши ключи.

[sverlovshik.livejournal.com]

Если пароль (единственный доступ к важной информации) не потребуется мгновенно, то можно воспользоваться обычной почтой. Надо просто разделить пароль на куски и отправить в бумажном конверте по несколько экземпляров в разные дальние уголки планеты с выдуманными получателями. Не найдя адресата, почта через какое-то время вернётся обратно. Вернувшийся кусок пароля можно подкорректировать и снова куда-то отправить.Таким образом часть пароля постоянно будет находиться в неизвестном вам месте, не нужно запоминать сам пароль и злоумышленники не смогут получить к нему доступ немедленно, даже если вы им объясните принцип.

[elk-killa.livejournal.com]

только не в России!!! АААА