密码随机数生成器正在危及你的比特币私钥安全
密码随机数生成器正在危及你的比特币私钥安全!比特币用户很喜欢讨论“非对称加密”、“椭圆曲线”、“量子计算机”这类高深莫测的话题,然后再以一种非常莫名其妙的方式把币弄丢,比如说:“随机”。
几天前,火星人 @Ryan_XxOo 在微博上爆出的 brainwallet.org 网站用户丢币事件,就是因为随机函数的问题。
随机很重要,对于比特币这种密码学电子货币来说,尤其重要。可惜社区内对于随机的讨论并不多,导致很多人缺乏正确的认识,因此,小太今天就和大家聊聊随机。
说到随机,有两个必须要搞清楚的概念:“真随机数生成器”(TRNG)和伪随机数生成器(PRNG)。
大部分计算机程序和语言中的随机函数,的确是伪随机数生成器,它们都是由确定的算法,通过一个“种子”(比如“时间”),来产生“看起来随机”的结果。
毫无疑问,任何人只要知道算法和种子,或者之前已经产生了的随机数,都可能获得接下来随机数序列的信息。因为它们的可预测性,在密码学上并不安全,所以我们称其为“伪随机”。这种随机数,用来让游戏里的小人跑跑路没多大问题,如果用来生成比特币私钥,那可就太不安全了。
再说说真随机数生成器,中文维基中将“硬件随机数生成器”(HRNG)等同于真随机数 生成器,这其实并不十分准确,严格意义上的真随机可能仅存在于量子力学之中,我们当前所想要的(或者所能要的),并不是这种随机。
我们其实想要一种不可预测的、统计意义上的、密码学安全的随机数,只要能做到这一点的随机数生成器,都可以称其为真随机数生成器。这种真随机,并不一定非得是特殊设计的硬件,Linux操作系统内核中的随机数生成器(/dev/random),维护了一个熵池(搜集硬件噪声,如:键盘、鼠标操作、网络信号强度变化等),使得它能够提供最大可能的随机数据熵,因此同样是高品质的真随机数生成器。
不过/dev/random是阻塞的,也就是说,如果熵池空了,对于/dev/random的读操作将被挂起,直到收集到足够的环境噪声为止。
因此,在开发程序时,我们应使用/dev/urandom,作为/dev/random的一个副本,它不会阻塞,但其输出的熵可能会小于/dev/random。
好了,在说了这么多之后,在我们开发比特币应用时,应该使用何种随机数生成器来生成私钥呢?
答案很简单:urandom。永远只用urandom。
不要使用任何第三方的随机数解决方案,哪怕是一些高级的安全库,所提供的声称“非常安全”的随机函数。因为它们都是用户态的密码学随机数生成器,而urandom是内核态的随机数生成器,内核有权访问裸设备的熵,内核可以确保,不在应用程序间,共享相同的状态。
历史上,无数次随机数失败案例,大多出现在用户态的随机数生成器,而且,用户态的随机数生成器几乎总是要依赖于,内核态的随机数生成器(如果不依赖,那风险则更大),除了没准儿能简化您的某些开发工作,丝毫看不出任何额外的好处,反而增加了因引入第三方代码,所可能导致的潜在安全风险。
因此,开发者在需要密码学安全的随机数时,应使用urandom。
最后再说说,如果在安卓手机上使用比太钱包,应如何安全的生成比特币私钥:
1、如果您使用比太冷钱包,应保证手机断网,而且永久断网;
2、您可以放心的使用比太钱包生成任意数量的比特币私钥;
3、如果您特别在意“真”随机,担心熵池不够,那么在手机开机后,随便干点儿事儿吧,打打游戏、看看视频、刷刷微博、聊聊微信,然后再去生成比特币私钥,您所能获得的随机性,没准儿比很多硬件随机数生成器还要“真”得多;
相关文章
-
今年3月12日数字货币集体暴跌,比特币价格更是直接腰斩,比特币价格一度跌至三万元,虽然目前已经回升到6万元,但也足以说明全球疫情对比特币的影响还是比较大的,包括最近的数字货币市场走势一直窄幅震荡03-20 -
比特币是不受政府控制的去中心化数字货币,它是通过大量的计算并且基于特定的算法产生的,自比特币诞生以来,其价格经历过多次涨跌起伏,持续上涨和持续下跌对于比特币来说已经不足为奇,但从历史走势图可以看出比特币价格始终呈现出上涨的趋势09-03 -
由于美国形势混乱,近期美股暴跌也是很多人意料之中。而在美股暴跌的同时,比特币也出现过几次同步下跌,据相关内容简介显示比特币与美股并没有关联点,但比特币的几次下跌都伴随着美股暴跌,不禁让07-05 -
在币圈中比特币的地位是很高的,目前比特币的流通市值是5806 67亿美元,它的市值稳居数字货币排行榜的第一位,比特币是一种去中心化的数字货币,它不受任何政府或机构所控制,只依靠网络中的矿工和用户来维持运行,从比特币价格的总体趋势来看12-08 -
2023年已经过去一半了,从年初开始爆发的疫情并没有彻底被控制,在全球范围内,不断的蔓延,很多投资者对于币圈的发展还是比较担心的,毕竟今年3月12日发生了数字货币集体暴跌,比特币价格甚至直接腰斩05-11 -
说起比特币,在币圈应该是无人不知,无人不晓,甚至很多不在币圈的朋友们也多多少少了解一些,随着近两周,币市的行情一直走强,比特币的价格可以说是一直在上涨,以太坊也节节高升,他们的市场交易量也开始逐渐恢复起来了07-31 -
如果要说2023年最重要的财经事件是什么,那么美联储加息可以说是当之无愧的C位。美联储是否加息以及它加息几次不仅仅会影响加密市场的涨跌以及牛牛市和熊市的变化,同时它也会深刻影响每一个人的工作和收入。2023年美02-21 -
比特币区块奖励减半一直是加密行业最重要的事件之一,鉴于当前萎靡不振的全球经济环境,最近这次「减半」尤其引人关注。新冠病毒疫情让我们发现,西方政治和经济在面临危机时无比脆弱,全球政策制定者无一不在面临巨大压力,他们都在竭尽所能地避免出现经济灾难11-21 -
从2013年开始,比特币的价格就从年初的13美元上涨到年底的超过1000美元,其涨幅可以说是达到了60倍以上。其实这都是受到了全球的比特币热潮的硬性,中国的大妈们甚至从黄金市场转向了比特币市场,所以中国人对于比特币的需求从2013年10月开始大幅上升06-17 -
随着疫情席卷全球,重灾区从中国变为美国,标普500指数的其余495只股票整体下跌了13%,而Coinmetrics特别指出比特币与标普关联性创新高。因此有的投资者认为美国疫情对于比特币还是有影响的?12-10 -
众所周知,现在比特币已经和我们的实体经济产生了一定的相关性,因为比特币的发展已经不得不让一些实体经济产业关注到它。现在有很多人都觉得比特币是非常优质的避险资产,不过在美国股市暴跌的时候,比特币的价值是否受到了07-25
