hackni_to21
Uchování privátního klíče (nejen ke kryptoměnám) má dva základní protichůdné požadavky:
1. Musíme ho mít uložen bezpečně tak, aby nás o něj někdo nemohl připravit.
2. Musíme mít ale možnost ho bez problémů obnovit.
Proto si ho v první fázi opisujeme elspoň na papír. To je základ!
Bezchybné zapsání privátního klíče nám velmi ulehčuje mnemonic phrase, nemusíme opisovat dlouhý řetězec, ale postačí několik slov (nejčastěji 12 nebo 24). Více a podrobně na samostatné stránce agamapoint.com/o-cem-to-je/.
Mnemonic phrase (seed) si NIKDY neukládáme do počítače, nefotíme si ho digitálním fotoapatátem ani mobilem… neměl by vůbec přijít do styku s počítačem (nedejbože zavirovaným a připojeným k internetu).
Sice se stále dokola opakuje: zapište si to tak, jak to je – nemíchejte slova a nedělejte s tím žádné jiné kejkle, pak to už sami nebudete umět obnovit! Pokud ale umíte svým blízkým vysvětlit, že 12 slov se dá uchovat i mírně zašifrováno a nejen vy, ale i všichni zasvěcení to budou umět „rozluštit“, je možné dobré se nad touto variantou zamyslet. Jasně, máme možnost použít i shamir secret, ale to lze brát jako jednu z profi možností, která je pro řadu běžných uživatel (babička, notář, sestřenice, zahradník..) stále poměrně složitá.
Pro trvalejší uchování seedu se využívá i celá řada „metal_cold_storage“ záloh. Zaznamená se pak „do kovu“ použitím gravírovacího pera, raznice nebo pomocí laseru vypálených znaků.
Seed pak uschováme na bezpečném místě. A podle jeho důležitosti je vhodné mít i plán B – další kopii někde jinde. Ale co když to někdo přece jen najde? Když by někdo objevil schránku, kde je 12 nebo 24 anglických slov? Někdy před rokem 2017 to nemuselo být zásadní hrozbou. Ale postupem času bude stále více lidí obeznámeno, o tom, co by to mohlo být. V naší bublině známých by pohled na předchozí obrázek takřka všichni okamžitě poznali, že to je asi nějaký seed a velká část by ho uměla nabouchat do nějaké peněženky a claimnout lákavý honey pot. Základní ochranou je použít passphrase – ale i tu je někdy dobré nějakým způsobem mít zálohovánu mimo vlastní hlavu.
Zadání bylo jasné
Seed máme bezchybně opsán a bezpečně uložen. Opravdu? Co když….. dojde k nějaké situaci, že primární záloha selže? Povodeň, požár, stěhování, zapomětlivost, …
A tak je tu plán B. Zastáváme názor, že je vhodné u některých duplicitních záloh (třeba venku) použít „alespoň“ nějaké triviální šifrování. Někteří možná znáte „skautské“ šifry, které zvládnou rozlousknout i děti (za základní škole) a které se dají luštit takřka z hlavy nebo s kouskem papíru. Není potřeba počítač, dokonce je nežádoucí aby i při dešifrování byl seed s výpočetní technikou jakkoli „konfrontován“ a tudíž by hrozila diskreditace. Proto slova do počítače zadáváme jen v případě, kdy víme co děláme.
Duplicitní zálohu zašifrujte jednoduchou šifrou tak, aby i vaše 12-ti letá sestra uměla seed po čase dešifrovat. Stejně tak váš 60 ti letý dědeček. Využijeme k tomu metody Security through obscurity (bezpečnost skrze neznalost). Ten, kdo se k zašifrovanému seedu dostane ví, o co jde a jaké (i velmi jednoduché) kroky má postupně provést, aby si mohl případný poklad vyzvednout.
Slibovaná hra začíná
Našli jste nějakou tabulku, na které je shluk zdánlivě nicneříkajících písmen.
Každý měsíc zveřejníme další doplňující indicii. První tři indicie budou veřejné, zde na webu, ale další už budou probíhat v prostředí internetové „hry“, kterou zcela odtajníme se v průběhu prázdnin.
Co když je to seed? Asi nějak zašifrovaný.
Ano je. Vede (krom jiného) na tuto Litecoinovou adresu: address/ltc1qfy55nevt0vqxca04ade3zz7sunvfj35j5xdp5d/
kde je nějaký nenulový zůstatek, takže vlastně odměna. Každý měsíc odměna vzroste. Zapojíme i samotné hráče, kteří za každé přihození dostanou novou indícii s měsíčním předstihem. Takže výsledná částka může být docela zajímavý obnos.
Nakonec to určitě někdo claimne!
Květnová indicie
Bezmyšlenkovité hledání seedu pro adresu s nenulovým zůstatkem nedává smysl, protože kombinací je 2256 = 1077 (což je jako hledat zrnko písku v kouli vyplňující celou naší sluneční soustavu vyplněnou pískem) twitter.com/AgamaPoint/status/photo Když se ale připojí "AI" a bude hledat hezké seedy se sníženou entropií: Například "quick brown fox jump over lazy dog…." má útočník o moho řádů větší šanci. Pořád to však může být docela velký oříšek (i pro zdatné programátory či hackery). Ano, použili jsme záměrně seed, se sníženou entropií. Takže takové skoro smysl-dávající seskupení slov. Navíc pro další zjednodušení - jedná se o slova, která mají pouze čtyři písmena. Čtyřpísmenných slov je 442. No a 44212 = 1030. Což odpovídá počtu zrnek písku o objemu planety Země. Ale vy navíc máte "nějak zašifrovaná" jednotlivá písmena. Pro zdatného hackera už nějaká cesta je, ale nepředpokládám, že to do třetí indiciie někdo rozlouskne, na to tam bude asi malá odměna. Za 21 BTC bych si ale už tak jistý nebyl.
Červnová indicie
Veškeré podklady už jsou nějakou "delší" dobu někde veřejně. Hodně se toho můžete dozvědět z webu nebo na sociálních sítích. https://www.instagram.com/p/CMZWZ1Ona2E/
Červencová indicie
p ř i p r a v u j e m e agamapoint.com/retro/
Odkazy: crackstation.net/ | CyberChef | onetimesecret.com |
Případné díky agamapoint.com/donation/