Forwarded from 21 идея
В нашей сегодняшней беседе о приватности предлагаем обсудить варианты интерпретации биткоин-транзакции:
Многочисленные интерпретации блокчейн-транзакции
Биткоин-транзакции состоят из входных и выходных данных. На каждую транзакцию может приходится как по одному из подобных входов и выходов, так и по несколько. Ранее созданные выходы могут быть использованы в качестве входных данных для последующих операций. Такие выходы уничтожаются в момент расходования, и, как правило, им на замену создаются новые неизрасходованные выходы.
Рассмотрим следующий пример транзакции:
1 btc ----> 1 btc
3 btc ----> 3 btc
Эта операция имеет два входа, стоимостью в 1 btc и 3 btc, и создает два выхода также стоимостью в 1 btc и 3 btc.
Если бы вы наблюдали за этим на блокчейне, какое предположение вы бы могли выдвинуть на основе этой транзакции? (Например, мы обычно предполагаем, что биткоин-транзакция является платежом, но это не всегда так).
Существует, по крайней мере, девять возможных интерпретаций:
Разных вариантов интерпретации такой простой транзакции, как видите, много. Поэтому некорректно утверждать, что операции с биткоином всегда с легкостью прослеживаются, реальность намного сложнее.
Сервисы и организации, анализирующие блокчейн, обычно полагаются на эвристику (или идиомы использования), где имеют место определенные предположения о правдоподобности того или иного сценария. Затем аналитик игнорирует или исключает некоторые из этих возможностей. Не стоит забывать, что это лишь предположения; они могут быть ошибочными. Тот, кто стремится к приватности, может намеренно поступить необычным образом, вводя аналитиков в заблуждение.
Биткоины не имеют ни водяных знаков, ни серийных номеров. Например, ввод 1 btc в определенной транзакции может оказаться выводом в виде 1 btc или в части вывода 3 btc, а также стать частью обоих выводов. Транзакции представляют собой огромное количество входных и выходных данных, поэтому важно отметить, что невозможно с уверенностью определить где оказался тот самый 1 btc. Такая взаимозаменяемость биткоинов в рамках одной сделки является важной причиной различных возможных интерпретаций вышеуказанной транзакции.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#длякаждого
#приватность
Многочисленные интерпретации блокчейн-транзакции
Биткоин-транзакции состоят из входных и выходных данных. На каждую транзакцию может приходится как по одному из подобных входов и выходов, так и по несколько. Ранее созданные выходы могут быть использованы в качестве входных данных для последующих операций. Такие выходы уничтожаются в момент расходования, и, как правило, им на замену создаются новые неизрасходованные выходы.
Рассмотрим следующий пример транзакции:
1 btc ----> 1 btc
3 btc ----> 3 btc
Эта операция имеет два входа, стоимостью в 1 btc и 3 btc, и создает два выхода также стоимостью в 1 btc и 3 btc.
Если бы вы наблюдали за этим на блокчейне, какое предположение вы бы могли выдвинуть на основе этой транзакции? (Например, мы обычно предполагаем, что биткоин-транзакция является платежом, но это не всегда так).
Существует, по крайней мере, девять возможных интерпретаций:
1. Элис предоставляет оба входа и платит Бобу 3 btc. Элис принадлежит вывод 1 btc (т.е. это вывод со сдачей).
2. Элис предоставляет оба входа и платит Бобу 1 btc, при этом 3 btc возвращаются Элис в качестве сдачи.
3. Элис предоставляет вход, равный 1 btc, а Боб — 3 btc, Элис получает выход в 1 btc и Боб получает 3 btc. Это своего рода операция CoinJoin.
4. Элис платит Бобу 2 btc. Элис вводит 3 btc, получает 1 btc в качестве сдачи, Боб вводит 1 btc и получает 3 btc. Это разновидность транзакции PayJoin.
5. Элис платит Бобу 4 btc (но по какой-то причине использует два выхода).
6. Фальшивая сделка - Элис владеет всеми входами и выходами и просто перемещает монеты между своими адресами.
7. Элис платит Бобу 3 btc и Кэрол 1 btc. Это сгруппированная транзакция, избегающая сдачу (остаток).
8. Элис платит 3 btc, Боб платит 1 btc; Кэрол получает 3 btc и Дэвид получает 1 btc. Это разновидность транзакции, комбинирующая процесс CoinJoin со сгруппированной транзакцией, избегающей сдачу (остаток).
9. Элис и Боб платят Кэрол 4 btc (но с помощью двух выходов).
Разных вариантов интерпретации такой простой транзакции, как видите, много. Поэтому некорректно утверждать, что операции с биткоином всегда с легкостью прослеживаются, реальность намного сложнее.
Сервисы и организации, анализирующие блокчейн, обычно полагаются на эвристику (или идиомы использования), где имеют место определенные предположения о правдоподобности того или иного сценария. Затем аналитик игнорирует или исключает некоторые из этих возможностей. Не стоит забывать, что это лишь предположения; они могут быть ошибочными. Тот, кто стремится к приватности, может намеренно поступить необычным образом, вводя аналитиков в заблуждение.
Биткоины не имеют ни водяных знаков, ни серийных номеров. Например, ввод 1 btc в определенной транзакции может оказаться выводом в виде 1 btc или в части вывода 3 btc, а также стать частью обоих выводов. Транзакции представляют собой огромное количество входных и выходных данных, поэтому важно отметить, что невозможно с уверенностью определить где оказался тот самый 1 btc. Такая взаимозаменяемость биткоинов в рамках одной сделки является важной причиной различных возможных интерпретаций вышеуказанной транзакции.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#длякаждого
#приватность
Forwarded from 21 идея
Повторное использование адреса
Если адрес выходных данных был использован повторно, это, скорее всего, платежный выход, а не выход сдачи. Это связано с тем, что адреса сдачи создаются автоматически с помощью программного обеспечения кошелька, а платежные адреса передаются людьми вручную. Повторное использование адреса возможно в силу незнания или из-за безразличия. Данная эвристика, вероятно, является наиболее точной, поскольку в данном случае сложно представить сценарий, приводящий к ложно-позитивным результатам (кроме как преднамеренное решение дизайна кошелька). Эту эвристику также называют теневой.
Первые версии ПО (2010-2011 гг., в которых не было детерминированных кошельков) не генерировали новые адреса сдачи, а отправляли сдачу обратно на адрес входа. Это позволяло с точностью идентифицировать адрес, получающий сдачу.
Предотвращение повторного использования адреса — весомый инструмент для поддержания приватности. Данные кошельки также могут автоматически определять, использовался ли определенный адрес для получения платежа ранее (возможно, путем запроса пользователя), а затем использовать уже использованный адрес в качестве адреса сдачи; таким образом оба выхода будут использованы повторно.
Кроме того, большинство повторно используемых адресов выложены на форумах, в социальных сетях, таких как Facebook, Reddit, Stackoverflow ... и т. д. Данные адреса вы можете найти на сайте https://checkbitcoinaddress.com/. Это чем-то похоже на деанонимизацию псевдонимного блокчейна.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Если адрес выходных данных был использован повторно, это, скорее всего, платежный выход, а не выход сдачи. Это связано с тем, что адреса сдачи создаются автоматически с помощью программного обеспечения кошелька, а платежные адреса передаются людьми вручную. Повторное использование адреса возможно в силу незнания или из-за безразличия. Данная эвристика, вероятно, является наиболее точной, поскольку в данном случае сложно представить сценарий, приводящий к ложно-позитивным результатам (кроме как преднамеренное решение дизайна кошелька). Эту эвристику также называют теневой.
Первые версии ПО (2010-2011 гг., в которых не было детерминированных кошельков) не генерировали новые адреса сдачи, а отправляли сдачу обратно на адрес входа. Это позволяло с точностью идентифицировать адрес, получающий сдачу.
Предотвращение повторного использования адреса — весомый инструмент для поддержания приватности. Данные кошельки также могут автоматически определять, использовался ли определенный адрес для получения платежа ранее (возможно, путем запроса пользователя), а затем использовать уже использованный адрес в качестве адреса сдачи; таким образом оба выхода будут использованы повторно.
Кроме того, большинство повторно используемых адресов выложены на форумах, в социальных сетях, таких как Facebook, Reddit, Stackoverflow ... и т. д. Данные адреса вы можете найти на сайте https://checkbitcoinaddress.com/. Это чем-то похоже на деанонимизацию псевдонимного блокчейна.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Forwarded from 21 идея
Анализ отпечатков кошелька (часть 2)
- Low-R signatures (подписи с низким значением R). Формат DER, используемый для кодирования Биткоин-подписей, требует добавления дополнительного байта к подписи, чтобы указать, когда R значение подписи находится в верхней половине эллиптической кривой, используемой для Биткоина. Значение R определяется случайным образом, поэтому половина всех подписей имеет этот дополнительный байт. По состоянию на июль 2018 года Bitcoin Core генерирует только подписи с низким значением R, которые не требуют этого дополнительного байта. Таким образом, транзакции Bitcoin Core экономят (в среднем) один байт на каждые две подписи. По состоянию на 2019 год ни один другой кошелек не делает этого, поэтому подпись с высоким значением R является свидетельством того, что Bitcoin Core не используется.
- Несжатые и сжатые публичные ключи. ПО ранних кошельков использует несжатые приватные ключи. Смесь сжатых и несжатых ключей может быть использована для снятия отпечатков кошелька.
- Комиссия майнеров. ПО различных кошельков может по-разному реагировать на нехватку пространства в блоке, что может привести к разнице в выплатах комиссии майнерам. Это также может использоваться для снятия отпечатков кошелька.
- Выбор монет. Некоторые ПО кошельков при помощи различных алгоритмов могут выбирать, какие UTXO тратить, это также может быть использовано для снятия отпечатков кошелька.
Если несколько пользователей используют одно и то же ПО кошелька, то при снятии отпечатков невозможно определить адрес сдачи. Также возможно, что одному пользователю принадлежат два разных кошелька, которые используют разное программное обеспечение (например, горячий и холодный кошелек), и тогда транзакции между различными версиями ПО не будут ложно указывать на смену владельца. Отпечатки кошельков сами по себе никогда не являются окончательным доказательством, но, как и при всех других утечках приватности, они лучше всего работают в совокупности с другими данными, при объединении многочисленных утечек.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
- Low-R signatures (подписи с низким значением R). Формат DER, используемый для кодирования Биткоин-подписей, требует добавления дополнительного байта к подписи, чтобы указать, когда R значение подписи находится в верхней половине эллиптической кривой, используемой для Биткоина. Значение R определяется случайным образом, поэтому половина всех подписей имеет этот дополнительный байт. По состоянию на июль 2018 года Bitcoin Core генерирует только подписи с низким значением R, которые не требуют этого дополнительного байта. Таким образом, транзакции Bitcoin Core экономят (в среднем) один байт на каждые две подписи. По состоянию на 2019 год ни один другой кошелек не делает этого, поэтому подпись с высоким значением R является свидетельством того, что Bitcoin Core не используется.
- Несжатые и сжатые публичные ключи. ПО ранних кошельков использует несжатые приватные ключи. Смесь сжатых и несжатых ключей может быть использована для снятия отпечатков кошелька.
- Комиссия майнеров. ПО различных кошельков может по-разному реагировать на нехватку пространства в блоке, что может привести к разнице в выплатах комиссии майнерам. Это также может использоваться для снятия отпечатков кошелька.
- Выбор монет. Некоторые ПО кошельков при помощи различных алгоритмов могут выбирать, какие UTXO тратить, это также может быть использовано для снятия отпечатков кошелька.
Если несколько пользователей используют одно и то же ПО кошелька, то при снятии отпечатков невозможно определить адрес сдачи. Также возможно, что одному пользователю принадлежат два разных кошелька, которые используют разное программное обеспечение (например, горячий и холодный кошелек), и тогда транзакции между различными версиями ПО не будут ложно указывать на смену владельца. Отпечатки кошельков сами по себе никогда не являются окончательным доказательством, но, как и при всех других утечках приватности, они лучше всего работают в совокупности с другими данными, при объединении многочисленных утечек.
Постепенно растущий материал можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Forwarded from 21 идея
Сегодня предлагаю поговорить об изменении комиссии (fee bumping), оплачиваемой майнерам, и как этот процесс может повлиять на приватность в сети Биткоин:
Изменение комиссии
BIP 0125 определяет механизм замены неподтвержденной транзакции новой транзакцией, которая платит более высокую комиссию. Время от времени пользователь может обнаружить, что его транзакция не подтверждается достаточно быстро; в подобной ситуации есть возможность повысить комиссию, то есть заплатить более высокую плату майнеру. Однако, как правило, новая более высокая плата майнеру будет происходить за счет уменьшения суммы сдачи. Таким образом, если злоумышленник наблюдает за всеми неподтвержденными транзакциями, он может увидеть как более раннюю транзакцию с низкой комиссией, так и более позднюю транзакцию с высокой комиссией. Будет логично предположить, что выход, чья сумма уменьшилась, является выходом сдачи.
Иногда это можно завуалироать за счет сокращения обоих выходных данных или уменьшения суммы платежа вместо сдачи, при использовании модели “отправитель платит за комиссию” (sender-pays-for-fee).
Постепенно растущую статью "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Изменение комиссии
BIP 0125 определяет механизм замены неподтвержденной транзакции новой транзакцией, которая платит более высокую комиссию. Время от времени пользователь может обнаружить, что его транзакция не подтверждается достаточно быстро; в подобной ситуации есть возможность повысить комиссию, то есть заплатить более высокую плату майнеру. Однако, как правило, новая более высокая плата майнеру будет происходить за счет уменьшения суммы сдачи. Таким образом, если злоумышленник наблюдает за всеми неподтвержденными транзакциями, он может увидеть как более раннюю транзакцию с низкой комиссией, так и более позднюю транзакцию с высокой комиссией. Будет логично предположить, что выход, чья сумма уменьшилась, является выходом сдачи.
Иногда это можно завуалироать за счет сокращения обоих выходных данных или уменьшения суммы платежа вместо сдачи, при использовании модели “отправитель платит за комиссию” (sender-pays-for-fee).
Постепенно растущую статью "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
Перевод подготовлен ₿-T.ru
#приватность
#длякаждого
Forwarded from 21 идея
Пакетирование
Пакетирование платежей — это метод, позволяющий уменьшить комиссию за майнинг. Он работает путем объединения нескольких платежей в одну блокчейн транзакцию. Обычно он используется биржами, казино и другими крупногабаритными клиентами.
Компромиссом в данной ситуации является то, что получатели могут видеть сумму и адрес друг друга.
Получив вывод средств с биржи Кракен, например, вы можете просмотреть свою транзакцию в блок-эксплорере и увидеть адреса всех остальных, получивших платеж в той же транзакции. Вы не знаете, кто эти получатели, но знаете, что они получили биткоины от Кракена так же, как и вы.
Это не очень хорошо для приватности, но, возможно, это не самое страшное. Если бы Кракен осуществил каждый из платежей отдельно, эти платежи все равно могли бы быть связаны между собой через выходные данные сдачи и, возможно, также с помощью некоторых других идентифицирующих характеристик, которые компании и частные лица, анализирующие цепочку, используют для идентификации конкретных участников сети.
Однако это следует иметь в виду, если вы планируете провести комбинированный платеж в том случае, когда конфиденциальность может быть либо особенно важной, либо уже несколько ослабленной, например,при начислении заработной платы в небольшой компании, где вы не хотите, чтобы сотрудники знали зарплату коллег.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Пакетирование платежей — это метод, позволяющий уменьшить комиссию за майнинг. Он работает путем объединения нескольких платежей в одну блокчейн транзакцию. Обычно он используется биржами, казино и другими крупногабаритными клиентами.
Компромиссом в данной ситуации является то, что получатели могут видеть сумму и адрес друг друга.
Получив вывод средств с биржи Кракен, например, вы можете просмотреть свою транзакцию в блок-эксплорере и увидеть адреса всех остальных, получивших платеж в той же транзакции. Вы не знаете, кто эти получатели, но знаете, что они получили биткоины от Кракена так же, как и вы.
Это не очень хорошо для приватности, но, возможно, это не самое страшное. Если бы Кракен осуществил каждый из платежей отдельно, эти платежи все равно могли бы быть связаны между собой через выходные данные сдачи и, возможно, также с помощью некоторых других идентифицирующих характеристик, которые компании и частные лица, анализирующие цепочку, используют для идентификации конкретных участников сети.
Однако это следует иметь в виду, если вы планируете провести комбинированный платеж в том случае, когда конфиденциальность может быть либо особенно важной, либо уже несколько ослабленной, например,при начислении заработной платы в небольшой компании, где вы не хотите, чтобы сотрудники знали зарплату коллег.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Forwarded from 21 идея
Проведение оплаты тайным покупателем
Проведение оплаты тайным покупателем происходит, когда злоумышленник платит биткоины жертве с целью получения конфиденциальной информации. Этот вид атаки продуктивен, даже если жертва избегает повторное использование адреса. Например, если целью является онлайн-продавец, то злоумышленник может произвести незначительную покупку; в интерфейсе платежа им будет показан один из биткоин-адресов продавца. Теперь злоумышленник знает, что этот адрес принадлежит продавцу, и, при наблюдении за последующими транзакциями на блокчейне, будет обнаружена другая информация, которая в сочетании с другими методами слежки может раскрыть много данных о продавце. Эвристика мульти-ввода и обнаружение адреса сдачи может выявить другие адреса, принадлежащие продавцу (при условии, что контрмеры, такие как CoinJoin не используются), и может предоставить информацию о минимальном объеме продаж. Этот метод функционален, потому что любой интернет-пользователь может запросить один из адресов продавца.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Проведение оплаты тайным покупателем происходит, когда злоумышленник платит биткоины жертве с целью получения конфиденциальной информации. Этот вид атаки продуктивен, даже если жертва избегает повторное использование адреса. Например, если целью является онлайн-продавец, то злоумышленник может произвести незначительную покупку; в интерфейсе платежа им будет показан один из биткоин-адресов продавца. Теперь злоумышленник знает, что этот адрес принадлежит продавцу, и, при наблюдении за последующими транзакциями на блокчейне, будет обнаружена другая информация, которая в сочетании с другими методами слежки может раскрыть много данных о продавце. Эвристика мульти-ввода и обнаружение адреса сдачи может выявить другие адреса, принадлежащие продавцу (при условии, что контрмеры, такие как CoinJoin не используются), и может предоставить информацию о минимальном объеме продаж. Этот метод функционален, потому что любой интернет-пользователь может запросить один из адресов продавца.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Forwarded from 21 идея
Принудительное повторное использование адреса
Принудительное повторное использование адресов или стимулированное повторное использование адресов — это когда злоумышленник выплачивает (часто небольшое) количество биткоинов на адреса, которые уже были активны. Злоумышленник надеется, что пользователи или ПО их кошелька используют эти платежи в качестве входных данных для более крупной транзакции, которая приведет к обнаружению других адресов с помощью эвристики мульти-ввода. Эти платежи можно воспринимать как способ вынудить владельца адреса к непреднамеренному повторному использованию адресов.
Эту атаку иногда ошибочно называют атакой dust (пыль).
Безопасным поведением кошельков будет считаться отказ от траты монет, попавших на уже использованные пустые адреса.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Принудительное повторное использование адресов или стимулированное повторное использование адресов — это когда злоумышленник выплачивает (часто небольшое) количество биткоинов на адреса, которые уже были активны. Злоумышленник надеется, что пользователи или ПО их кошелька используют эти платежи в качестве входных данных для более крупной транзакции, которая приведет к обнаружению других адресов с помощью эвристики мульти-ввода. Эти платежи можно воспринимать как способ вынудить владельца адреса к непреднамеренному повторному использованию адресов.
Эту атаку иногда ошибочно называют атакой dust (пыль).
Безопасным поведением кошельков будет считаться отказ от траты монет, попавших на уже использованные пустые адреса.
Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь.
#приватность
#дляпро
Forwarded from 21 идея
Итак, перевод раздела “Блокчейн-атаки на приватность” готов. Оглавление вы можете найти ниже. Постепенно растущий материал "Приватность в сети Биткоин” можно найти по этой ссылке, а оригинал — здесь. Работа продолжается ✊
3.0 Втупление:
https://t.iss.one/bitcoin_translated/151
3.1 Эвристика мульти-ввода
https://t.iss.one/bitcoin_translated/153
3.2 Обнаружение адреса-получателя сдачи
https://t.iss.one/bitcoin_translated/160
3.2.1 Повторное использование адреса
https://t.iss.one/bitcoin_translated/163
3.2.2 Анализ отпечатков кошелька
https://t.iss.one/bitcoin_translated/168
https://t.iss.one/bitcoin_translated/169
3.2.3 Круглые числа
https://t.iss.one/bitcoin_translated/171
3.2.4 Изменение комиссии
https://t.iss.one/bitcoin_translated/176
3.2.5 Эвристика лишних входных данных
https://t.iss.one/bitcoin_translated/186
3.2.6 Отправка на другой тип скрипта
https://t.iss.one/bitcoin_translated/188
3.2.7 Баги кошелька
https://t.iss.one/bitcoin_translated/194
3.2.8 CoinJoin транзакции с идентичными выходами (Equal-output-CoinJoin)
https://t.iss.one/bitcoin_translated/199
3.2.9 Рост размера кластера
https://t.iss.one/bitcoin_translated/205
3.3 Эвристика графа транзакций
https://t.iss.one/bitcoin_translated/210
3.3.1 Taint-анализ (анализ запятнанных монет)
https://t.iss.one/bitcoin_translated/214
3.4 Сумма
https://t.iss.one/bitcoin_translated/221
3.4.1 Значения входных данных, раскрывающие средства на балансе отправителя
https://t.iss.one/bitcoin_translated/224
3.4.2 Отправка всех средств с адреса (без сдачи)
https://t.iss.one/bitcoin_translated/232
3.5 Пакетирование
https://t.iss.one/bitcoin_translated/237
3.6 Необычные скрипты
https://t.iss.one/bitcoin_translated/241
3.7 Оплата тайного покупателя
https://t.iss.one/bitcoin_translated/245
3.8 Принудительное повторное использование адреса
https://t.iss.one/bitcoin_translated/252
3.9 Соотношение сумм
https://t.iss.one/bitcoin_translated/256
3.10 Временнáя корреляция
https://t.iss.one/bitcoin_translated/281
Следующий раздел предоставит информацию о возможных атаках на приватность вне блокчейна.
#приватность
#дляпро
3.0 Втупление:
https://t.iss.one/bitcoin_translated/151
3.1 Эвристика мульти-ввода
https://t.iss.one/bitcoin_translated/153
3.2 Обнаружение адреса-получателя сдачи
https://t.iss.one/bitcoin_translated/160
3.2.1 Повторное использование адреса
https://t.iss.one/bitcoin_translated/163
3.2.2 Анализ отпечатков кошелька
https://t.iss.one/bitcoin_translated/168
https://t.iss.one/bitcoin_translated/169
3.2.3 Круглые числа
https://t.iss.one/bitcoin_translated/171
3.2.4 Изменение комиссии
https://t.iss.one/bitcoin_translated/176
3.2.5 Эвристика лишних входных данных
https://t.iss.one/bitcoin_translated/186
3.2.6 Отправка на другой тип скрипта
https://t.iss.one/bitcoin_translated/188
3.2.7 Баги кошелька
https://t.iss.one/bitcoin_translated/194
3.2.8 CoinJoin транзакции с идентичными выходами (Equal-output-CoinJoin)
https://t.iss.one/bitcoin_translated/199
3.2.9 Рост размера кластера
https://t.iss.one/bitcoin_translated/205
3.3 Эвристика графа транзакций
https://t.iss.one/bitcoin_translated/210
3.3.1 Taint-анализ (анализ запятнанных монет)
https://t.iss.one/bitcoin_translated/214
3.4 Сумма
https://t.iss.one/bitcoin_translated/221
3.4.1 Значения входных данных, раскрывающие средства на балансе отправителя
https://t.iss.one/bitcoin_translated/224
3.4.2 Отправка всех средств с адреса (без сдачи)
https://t.iss.one/bitcoin_translated/232
3.5 Пакетирование
https://t.iss.one/bitcoin_translated/237
3.6 Необычные скрипты
https://t.iss.one/bitcoin_translated/241
3.7 Оплата тайного покупателя
https://t.iss.one/bitcoin_translated/245
3.8 Принудительное повторное использование адреса
https://t.iss.one/bitcoin_translated/252
3.9 Соотношение сумм
https://t.iss.one/bitcoin_translated/256
3.10 Временнáя корреляция
https://t.iss.one/bitcoin_translated/281
Следующий раздел предоставит информацию о возможных атаках на приватность вне блокчейна.
#приватность
#дляпро
Forwarded from 21 идея
Приватность в сети Биткоин: значимые события июля 2020 (2/2)
— 14 июля 🏯 повторное использование адресов в Samourai Wallet
Samourai Wallet опубликовал обзор, посвященный актуальным уязвимостям, идентифицирующий случаи как преднамеренного, так и непреднамеренного повторного использования адресов пользователями. Хотя они рассматривали обе категории, анализ “главным образом касался непреднамеренных повторных использований адресов”.
— 15 июля ✒️ Судебный иск против налогового управления на основе четвертой поправки к конституции США
Джим Харпер, научный сотрудник American Enterprise Institute, бывший старший научный сотрудник CATO Institute и член Bitcoin Foundation, подал иск на налоговое управление США в связи с предполагаемым нарушением ими его прав и свобод относительно четвертой поправки к конституции США. Поправка запрещает необоснованные обыски и задержания, а также требует, чтобы любые ордеры на обыск выдавались судом при наличии достаточных оснований, исключая случаи федерального законодательства. В деле вновь замешана компания Coinbase и одной из причин иска является неправомерное использование информации о клиентах.
— 20 июля 🛂 “как я узнал твоего клиента”
Ряд кастодиальных бирж создали рабочую группу для разработки коллективного решения “с целью соответствия правилам FATF”, позволяющего им обмениваться клиентскими данными.
— 24 июля 👾 Активация Шнорр и Тапрут
Состоялось собрание клуба Bitcoin Core PR Review, организованного Джоном Ньюберри. На собрании обсуждалась реализация Шнорр, Тапрут и BIP’ов: 340, 341 и 342. Более ста человек участвовали в обсуждении, в частности об алгоритме хеширования транзакций Тапрут. Записи доступны по этой ссылке.
— 29 июля 📧 Ledger сообщил об утечке маркетинговых данных
- 1M адресов электронной почты;
- Данные 9500 клиентов, такие как полное имя, почтовый адрес, номер телефона или заказанные продукты.
Такие данные могут представлять опасность для клиентов, поскольку открывают векторы физической атаки на потенциальных держателей криптовалют. (h/t Hype Coin News)
#приватность
— 14 июля 🏯 повторное использование адресов в Samourai Wallet
Samourai Wallet опубликовал обзор, посвященный актуальным уязвимостям, идентифицирующий случаи как преднамеренного, так и непреднамеренного повторного использования адресов пользователями. Хотя они рассматривали обе категории, анализ “главным образом касался непреднамеренных повторных использований адресов”.
— 15 июля ✒️ Судебный иск против налогового управления на основе четвертой поправки к конституции США
Джим Харпер, научный сотрудник American Enterprise Institute, бывший старший научный сотрудник CATO Institute и член Bitcoin Foundation, подал иск на налоговое управление США в связи с предполагаемым нарушением ими его прав и свобод относительно четвертой поправки к конституции США. Поправка запрещает необоснованные обыски и задержания, а также требует, чтобы любые ордеры на обыск выдавались судом при наличии достаточных оснований, исключая случаи федерального законодательства. В деле вновь замешана компания Coinbase и одной из причин иска является неправомерное использование информации о клиентах.
— 20 июля 🛂 “как я узнал твоего клиента”
Ряд кастодиальных бирж создали рабочую группу для разработки коллективного решения “с целью соответствия правилам FATF”, позволяющего им обмениваться клиентскими данными.
— 24 июля 👾 Активация Шнорр и Тапрут
Состоялось собрание клуба Bitcoin Core PR Review, организованного Джоном Ньюберри. На собрании обсуждалась реализация Шнорр, Тапрут и BIP’ов: 340, 341 и 342. Более ста человек участвовали в обсуждении, в частности об алгоритме хеширования транзакций Тапрут. Записи доступны по этой ссылке.
— 29 июля 📧 Ledger сообщил об утечке маркетинговых данных
- 1M адресов электронной почты;
- Данные 9500 клиентов, такие как полное имя, почтовый адрес, номер телефона или заказанные продукты.
Такие данные могут представлять опасность для клиентов, поскольку открывают векторы физической атаки на потенциальных держателей криптовалют. (h/t Hype Coin News)
#приватность
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций #приватность
Нашел подборку неплохих статей на Хабре насчет собственно защиты информации. После их прочтения (чего и вам советую) в очередной раз убедился что защита целостности и конфиденциальности любой информации это всегда комплексная мера, а не только условный Tor как многие полагают.
1. Виды угроз
Статья о собственно видах угроз и возможных векторах атаки на информацию
2. Средства защиты
Собственно об основных способах защиты информации
3. Цена ошибки
Что случится, если вы забьете болт на это дело, прикрываясь старым-добрым "Ну меня это точно не коснется!"
К этому разделу хочу добавить недавний пример, показательный так сказать:
Кулхацкеры закодировали данные компании Garmin, так, как там наверное тоже думали что "ну нас не коснется", и потребовали выкуп в 10 миллионов долларов. Пришлось платить. Пожадничали на защиту миллион баксов раньше, заплатили в 10 раз больше. Собственно вы от этой компании (в плане уязвимости и мотивации вас взламывать) ничем не отличаетесь. Я бы даже сказал, что более простая жертва ☺️
Статьи написаны немного академично, но полезной информации, хоть на первый взгляд все кажется очевидным (люблю это слово, чаще всего те, кто его произносят, попадаются на этом очевидно) , хватает. Советую к прочтению
Нашел подборку неплохих статей на Хабре насчет собственно защиты информации. После их прочтения (чего и вам советую) в очередной раз убедился что защита целостности и конфиденциальности любой информации это всегда комплексная мера, а не только условный Tor как многие полагают.
1. Виды угроз
Статья о собственно видах угроз и возможных векторах атаки на информацию
2. Средства защиты
Собственно об основных способах защиты информации
3. Цена ошибки
Что случится, если вы забьете болт на это дело, прикрываясь старым-добрым "Ну меня это точно не коснется!"
К этому разделу хочу добавить недавний пример, показательный так сказать:
Кулхацкеры закодировали данные компании Garmin, так, как там наверное тоже думали что "ну нас не коснется", и потребовали выкуп в 10 миллионов долларов. Пришлось платить. Пожадничали на защиту миллион баксов раньше, заплатили в 10 раз больше. Собственно вы от этой компании (в плане уязвимости и мотивации вас взламывать) ничем не отличаетесь. Я бы даже сказал, что более простая жертва ☺️
Статьи написаны немного академично, но полезной информации, хоть на первый взгляд все кажется очевидным (люблю это слово, чаще всего те, кто его произносят, попадаются на этом очевидно) , хватает. Советую к прочтению
Хабр
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность» . Многие слышали это словосочетание, но не все понимают, что же это такое?...
Forwarded from 21 идея
ИЗБЕГАЙ КРАДУЩЕЙСЯ ТВАРИ
Значимость приватности для биткоинера сложно переоценить, но на удивление малое количество людей уделяет ей должное внимание. В сегодняшней статье мы поговорим о рисках, связанных с использованием централизованных бирж и сервисов, следующих политике “Знай своего клиента” (KYC)
Ссылка на статью: https://bitcoin-translated.ru/sources/bitcoin-privacy/no-kyc-only/
h/t: https://www.bitcoinqna.com/
#приватность
Значимость приватности для биткоинера сложно переоценить, но на удивление малое количество людей уделяет ей должное внимание. В сегодняшней статье мы поговорим о рисках, связанных с использованием централизованных бирж и сервисов, следующих политике “Знай своего клиента” (KYC)
"Суть приватности не в том, чтобы скрывать неправомерные действия. Она необходима для защиты того, что делает нас людьми: наша личность, наши повседневные занятия, наши страхи, наши отношения, наши уязвимости." — Tor FoundationСсылка на статью: https://bitcoin-translated.ru/sources/bitcoin-privacy/no-kyc-only/
h/t: https://www.bitcoinqna.com/
#приватность
Приватность в сети Биткоин: значимые события сентября 2020 (1/2)
Перед вами резюме основных событий августа, связанных с приватностью в сети Биткоин, детально описанные в GitHub коммите шифропанка That One Privacy Girl.
Web-версия вскоре появится на: https://bitcoin-translated.ru/sources/bitcoin-abc/this-month-in-bitcoin-privacy/
— 1 сентября - ✒️ Шнорра много не бывает
Питер Вулле сообщил, что пулл-реквест "для BIP340 (подпись Шнора) в libsecp256k1 близок к слиянию", и призвал остальных к финальной рецензии. Он также только что выступил соавтором статьи под названием "MuSig-DN: Schnorr Multi-Signatures with Verifiably Deterministic Nonces", которая является его последним проектом в составе группы Blockstream Research.
— 2 сентября - 🔎 Фонд электронных рубежей взывает к прозрачности Coinbase
Законодательная активистка Хейли Цукаяма из Electronic Frontier Foundation (EFF) опубликовала призыв к Coinbase "начать выпускать регулярные отчеты о прозрачности, дающие представление о количестве правительственных запросов о получении информации и исходах данных взаимодействий". Как они писали еще в июле 2018 г., эти отчеты по прозрачности будут предоставлять "обзор того, сколько запросов от правительств получено за определенный период времени (например, за год)" и, по желанию, "другие детали, такие как, сколько запросов было удовлетворено, сколько счетов было затронуто, и любые запросы по цензурированию или списанию счетов".
— 4 сентября - 🕵🏻♂️ Налоговая служба США все стремится отслеживать приватные монеты
В июльском выпуске мы упоминали запрос на получение информации от Отдела по киберпреступлениям (CCU) относительно инструментов отслеживания приватных монет, лайтнинг транзакций, сайдчейнов и ончейн биткоинов с использованием подписей Шнорра. Похоже, что таких инструментов не существует 😂, и запрос остался невыполненным, потому что в сентябре они находились в поисках подрядчиков на их изготовление.
— 7 сентября - 🎫 Симпозиум института инженеров электротехники и электроники по приватности и безопасности
В Институте инженеров электротехники и электроники (IEEE) была проведена цифровая научная конференция по криптовалютам с целью "достижения и оценки финансовой приватность в публичных блокчейнах".
— 10 сентября - 💰 Тест микснета NYM и вознаграждения в биткоинах
Дэйв Храйсишин (Dave Hrycyszyn), соучредитель и технический директор Nym Technologies, объявил о выходе версии 0.8.0 платформы Nym, "анонимной оверлейной сети, обеспечивающей сильную приватность на сетевом уровне", которая не основана на "централизованном управлении каталогами для маршрутизации", как сеть "Tor". Среди прочего, они официально запустили систему вознаграждения за микс-ноды в тестнете.
#приватность
_______
Источник: https://t.iss.one/bitcoin_translated/596
Перед вами резюме основных событий августа, связанных с приватностью в сети Биткоин, детально описанные в GitHub коммите шифропанка That One Privacy Girl.
Web-версия вскоре появится на: https://bitcoin-translated.ru/sources/bitcoin-abc/this-month-in-bitcoin-privacy/
— 1 сентября - ✒️ Шнорра много не бывает
Питер Вулле сообщил, что пулл-реквест "для BIP340 (подпись Шнора) в libsecp256k1 близок к слиянию", и призвал остальных к финальной рецензии. Он также только что выступил соавтором статьи под названием "MuSig-DN: Schnorr Multi-Signatures with Verifiably Deterministic Nonces", которая является его последним проектом в составе группы Blockstream Research.
— 2 сентября - 🔎 Фонд электронных рубежей взывает к прозрачности Coinbase
Законодательная активистка Хейли Цукаяма из Electronic Frontier Foundation (EFF) опубликовала призыв к Coinbase "начать выпускать регулярные отчеты о прозрачности, дающие представление о количестве правительственных запросов о получении информации и исходах данных взаимодействий". Как они писали еще в июле 2018 г., эти отчеты по прозрачности будут предоставлять "обзор того, сколько запросов от правительств получено за определенный период времени (например, за год)" и, по желанию, "другие детали, такие как, сколько запросов было удовлетворено, сколько счетов было затронуто, и любые запросы по цензурированию или списанию счетов".
— 4 сентября - 🕵🏻♂️ Налоговая служба США все стремится отслеживать приватные монеты
В июльском выпуске мы упоминали запрос на получение информации от Отдела по киберпреступлениям (CCU) относительно инструментов отслеживания приватных монет, лайтнинг транзакций, сайдчейнов и ончейн биткоинов с использованием подписей Шнорра. Похоже, что таких инструментов не существует 😂, и запрос остался невыполненным, потому что в сентябре они находились в поисках подрядчиков на их изготовление.
— 7 сентября - 🎫 Симпозиум института инженеров электротехники и электроники по приватности и безопасности
В Институте инженеров электротехники и электроники (IEEE) была проведена цифровая научная конференция по криптовалютам с целью "достижения и оценки финансовой приватность в публичных блокчейнах".
— 10 сентября - 💰 Тест микснета NYM и вознаграждения в биткоинах
Дэйв Храйсишин (Dave Hrycyszyn), соучредитель и технический директор Nym Technologies, объявил о выходе версии 0.8.0 платформы Nym, "анонимной оверлейной сети, обеспечивающей сильную приватность на сетевом уровне", которая не основана на "централизованном управлении каталогами для маршрутизации", как сеть "Tor". Среди прочего, они официально запустили систему вознаграждения за микс-ноды в тестнете.
#приватность
_______
Источник: https://t.iss.one/bitcoin_translated/596
Приватность в сети Биткоин: значимые события сентября 2020 (2/2)
Перед вами резюме основных событий августа, связанных с приватностью в сети Биткоин, детально описанные в GitHub коммите шифропанка That One Privacy Girl.
— 14 сентября - 🚩 Доклад FATF о "Красных флажках-индикаторах подозрительной активности"
Группа разработки финансовых мер борьбы с отмыванием денег (FATF) опубликовала доклад о "показателях риска" в контексте виртуальных активов (VA), который, по их мнению, "поможет поставщикам услуг в области виртуальных активов, финансовым учреждениям и определенным нефинансовым бизнесам и профессиям, а также другим отчитывающимся субъектам выявлять подозрительные операции и сообщать о них".
— 15 сентября - 🎭 Конференция Fidelity, посвященная приватности
В Центре Фиделити по прикладным технологиям (FCAT) была проведена "двухдневная виртуальная конференция с основными докладами, посвященными следующим четырем темам: приватность в сети Биткоин, криптография, финансовая приватность и ориентированный на приватность бизнес". В случае, если вы пропустили мероприятие в прямом эфире, надеюсь, что видео и слайды будут опубликованы в ближайшее время.
— 16 сентября - 👾Митинг разработчиков кошелька WASABI
Команда Wasabi транслировала встречу разработчиков.
— 22 сентября - 🕸 Инспектор приватности сайтов Blacklight
Markup, некоммерческая организация СМИ во главе с Джулией Ангвин, которая специализируется на журналистских расследованиях на основе данных, выпустила новый инструмент под названием "Blacklight (Черный свет): Инспектор приватности сайтов". Blacklight сканирует любой указанный вами веб-адрес, а затем генерирует короткие "инспекционные" отчеты с указанием "конкретных технологий отслеживания пользователей на сайте".
— 24 сентября - 🧪 Бета-тест Soroban от Samourai
Samourai Wallet опубликовал демонстрацию Soroban, "метод содействия слепой координации и коммуникации между несколькими клиентами", который будет использоваться в уже существующих функциях, таких как Stowaway и Stonewall.
— 26 сентября - 🤲 CoinJoin своими руками с Fully Noded
Fully Noded опубликовали видео о том, как вручную создать собственную сделку типа CoinJoin с частично подписанными биткоин-транзакциями (PSBT) на тестнете Биткоин, используя появившийся в июле инструмент подписания транзакций.
Как мы уже говорили в прошлом выпуске, проект получил грант от Фонда по правам человека (HRF) на то, чтобы "сделать сеть Биткоин более приватной, децентрализованной и устойчивой".
#приватность
_______
Источник: https://t.iss.one/bitcoin_translated/597
Перед вами резюме основных событий августа, связанных с приватностью в сети Биткоин, детально описанные в GitHub коммите шифропанка That One Privacy Girl.
— 14 сентября - 🚩 Доклад FATF о "Красных флажках-индикаторах подозрительной активности"
Группа разработки финансовых мер борьбы с отмыванием денег (FATF) опубликовала доклад о "показателях риска" в контексте виртуальных активов (VA), который, по их мнению, "поможет поставщикам услуг в области виртуальных активов, финансовым учреждениям и определенным нефинансовым бизнесам и профессиям, а также другим отчитывающимся субъектам выявлять подозрительные операции и сообщать о них".
— 15 сентября - 🎭 Конференция Fidelity, посвященная приватности
В Центре Фиделити по прикладным технологиям (FCAT) была проведена "двухдневная виртуальная конференция с основными докладами, посвященными следующим четырем темам: приватность в сети Биткоин, криптография, финансовая приватность и ориентированный на приватность бизнес". В случае, если вы пропустили мероприятие в прямом эфире, надеюсь, что видео и слайды будут опубликованы в ближайшее время.
— 16 сентября - 👾Митинг разработчиков кошелька WASABI
Команда Wasabi транслировала встречу разработчиков.
— 22 сентября - 🕸 Инспектор приватности сайтов Blacklight
Markup, некоммерческая организация СМИ во главе с Джулией Ангвин, которая специализируется на журналистских расследованиях на основе данных, выпустила новый инструмент под названием "Blacklight (Черный свет): Инспектор приватности сайтов". Blacklight сканирует любой указанный вами веб-адрес, а затем генерирует короткие "инспекционные" отчеты с указанием "конкретных технологий отслеживания пользователей на сайте".
— 24 сентября - 🧪 Бета-тест Soroban от Samourai
Samourai Wallet опубликовал демонстрацию Soroban, "метод содействия слепой координации и коммуникации между несколькими клиентами", который будет использоваться в уже существующих функциях, таких как Stowaway и Stonewall.
— 26 сентября - 🤲 CoinJoin своими руками с Fully Noded
Fully Noded опубликовали видео о том, как вручную создать собственную сделку типа CoinJoin с частично подписанными биткоин-транзакциями (PSBT) на тестнете Биткоин, используя появившийся в июле инструмент подписания транзакций.
Как мы уже говорили в прошлом выпуске, проект получил грант от Фонда по правам человека (HRF) на то, чтобы "сделать сеть Биткоин более приватной, децентрализованной и устойчивой".
#приватность
_______
Источник: https://t.iss.one/bitcoin_translated/597
