derselbe R-Wert wird für zwei verschiedene Adressen verwendet? z1- und z2-Wert und privaten Schlüssel finden

Die Berechnung des privaten Schlüssels aus einer Signatur (r und s) erfordert, dass Sie die Nachricht kennen (um den „z“-Wert zu berechnen) und den „k“-Wert (der vom Unterzeichner verwendet wird, um den r-Wert über eine Falltürfunktion abzuleiten ) . .

Die Berechnung des "k"-Werts (oben benötigt) erfordert zwei Signaturen (Sie benötigen zwei s-Werte), die zwei verschiedene Nachrichten (Sie benötigen zwei z-Werte) mit demselben privaten Schlüssel und demselben r-Wert (daher demselben k)-Wert signieren.

In Ihrer Frage verweisen Sie auf zwei Transaktionen, die mit unterschiedlichen privaten Schlüsseln signiert sind (von denen Sie wissen, dass sich ihre öffentlichen Schlüssel unterscheiden), und haben daher nicht genügend Informationen, um den k-Wert korrekt zu berechnen.

In der anderen ähnlichen Frage, die Sie kürzlich gestellt haben , wurden die beiden Transaktionen mit demselben privaten Schlüssel signiert (und sie haben dasselbe r & k), sodass es in diesem Fall möglich ist, den privaten Schlüssel zu berechnen. (Der von Ihnen verlinkte Dienst scheint es korrekt zu berechnen, zeigt jedoch nicht die unkomprimierte Adresse an.)

Beantwortung Ihrer Frage: "Was ist los"?

Für jede Transaktion können Sie eine Gleichung aufschreiben:

x*r + m = s*k

wobei x der private Schlüssel ist, r und s die Signatur. m der Nachrichten-Hash, k das Signaturgeheimnis. Alle Berechnungen sind Modul der Gruppenordnung.

Sie sehen sich zwei Transaktionen mit dem gleichen 'r' an. Sie könnten Gleichungen für diese beiden wie folgt schreiben:

x1*R + M1 = S1*k
x2*R + M2 = S2*k

Hier verwende ich GROSSBUCHSTABEN, um die bekannten Werte anzugeben, und Kleinbuchstaben, um die Unbekannten anzugeben.

Das Problem ist, dass Sie am Ende zwei Gleichungen mit drei Unbekannten haben. Dies kann an dieser Stelle nicht gelöst werden.

Es gibt jedoch eine Lösung für diesen speziellen Fall:

Hier habe ich ein Diagramm erstellt, in dem jeder Knoten die ersten 8 Ziffern des r-Werts und der x-Koordinate des Pubkeys enthält.

Der rote Knoten zeigt den r-Wert an, an dem Sie interessiert sind. Quadratische Kästchen zeigen einen öffentlichen Schlüssel an, runde/ovale Knoten sind die r-Werte. Die Pfeile zeigen eine Signatur an, die diesen Pubkey verwendet.

Sie können sehen, dass die grünen Pfeile im Diagramm eine Schleife bilden.

Diese bilden die folgenden vier Transaktionen:

t1: r1, pub1
t2: r1, pub2
t3: r2, pub2
t4: r2, pub1

daraus können Sie vier Gleichungen in vier Unbekannten ableiten, die Sie lösen können:

x1*R1+M1=S1*k1
x2*R1+M2=S2*k1
x2*R2+M3=S3*k2
x1*R2+M4=S4*k2

Von dort aus können Sie dann allen Ketten folgen und alle anderen Schlüssel finden.

Beachten Sie, dass dies nur ein kleiner Teil dieses Netzwerks ist, insgesamt gibt es 1814 verwandte Transaktionen.

Eine Randnotiz, dass der 2coin.org-Link nicht mehr funktioniert, aber Sie können die gleichen Berechnungen auf dieser Seite (von mir) durchführen: https://rawcdn.githack.com/nlitsme/bitcoinexplainer/aa50e86e8c72c04a7986f5f7c43bc2f98df94107/ecdsacrack.html

Ich habe wie folgt gefunden:

p = 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141
r = 0x6bcc247f1259262b4035bfa84f0397a69f69baa01659daaf94fe1164b650c86a
s1 = 0xa044b38e8264a1c928ddd28b4657aa7109d1ea30e911208c7ce57abcb1451fe6
s2 = 0x75e41da2596619e837af69cdf80933e519abd736210677970a6ac23a3709ee2e
z1 = 0x9ffb92bc05a398e3177b12fcdac5308d316b6bd6cc00365177711dc4e3f10e64 z2
= 0x539bcbcddc3fff95aa262d01b8a909504958b371b813cb71a457efebb41c398e

K = GF(p)

K((z1 s2 - z2 s1)/(r*(s1-s2)))

Ergebnis dez.: 8921113496817264148701652880922087877926656286340189747525982520215619494205

Ergebnis hex: 13b92bda88a3f2dbac6032865bf56eed68eea22d4461c77404ad79c49697e13d