Brute force یک روش حمله امنیت سایبری است که با رویکرد آزمایش و خطای کامل و سیستماتیک برای تعیین رمزهای عبور، کلیدهای رمزگذاری یا اطلاعات حساس مشخص می شود.
اصل اساسی در پشت حملات brute force این است که تمام ترکیبات ممکن را امتحان کنید تا زمانی که ترکیب صحیح پیدا شود. این روش منابع فشرده زمانی می تواند موثر باشد که سیستم های مورد نظر از تدابیر امنیتی قوی برخوردار نباشند.
با این حال، عبارات دانه با استانداردهای مدرن بسیار امن در نظر گرفته می شوند. با یک عبارت اولیه 12 یا 24 کلمه ای از 2048 کلمه ممکن، تعیین کلمات مناسب در دنباله درست تقریبا غیرممکن است. علاوه بر این، رایانهها و قدرت محاسباتی هر سال پیشرفتهتر میشوند، بنابراین آیا میتواند روزی توسط یک هکر با دسترسی به رایانههای کوانتومی، عبارت اولیه شما به صورت بیرحمانه اعمال شود؟ بیایید دریابیم.
درک عبارات بذر
عبارت seed ، عبارت یادگاری یا بذر بازیابی در کیف پولهای ارزهای دیجیتال، به ویژه آنهایی که از استاندارد BIP-39 (پیشنهاد بهبود بیت کوین 39) پیروی میکنند، بسیار مهم است. این مجموعه ای از کلمات است که به عنوان یک مکانیسم پشتیبان و بازیابی برای کلیدهای رمزنگاری در کیف پول عمل می کند.
عبارت seed که معمولاً از 12، 18 یا 24 کلمه تشکیل شده است، به عنوان یک عبارت قابل خواندن برای انسان از کلید خصوصی کیف پول عمل می کند. در طول راه اندازی اولیه کیف پول ایجاد می شود و به کاربران دستور داده می شود که آن را به صورت ایمن، آفلاین و به دور از دسترسی غیرمجاز ذخیره کنند.
امنیت کیف پول رمزنگاری شما به شدت به محافظت از عبارت seed متکی است . هرکسی که به عبارت seed شما دسترسی داشته باشد می تواند بر سرمایه شما کنترل داشته باشد.
آیا حمله خشونت آمیز می تواند عبارت بذر شما را آشکار کند؟
عبارات seed در برابر هک بسیار مقاوم هستند. پیچیدگی آنها منجر به میلیاردها ترکیب می شود و حملات brute-force را غیرعملی می کند. در اینجا یک تجزیه و تحلیل توسط یک Redditor باهوش matejcik (u/matejcik) است که ریاضیات را انجام داده است:
در حال حاضر حدود 500 میلیون کاربر ارز دیجیتال وجود دارد. بیایید فرض کنیم هر کاربر یک دانه 12 کلمه ای دارد.
این بدان معناست که تلاش برای اعمال زور از طریق تمام دانههای ۱۲ کلمهای ممکن به شما این فرصت را میدهد که پس از تقریباً ۳۴۰ ۲۸۲ ۳۶۶ ۹۲۰ ۹۳۸ ۴۶۳ ۴۶۳ ۳۷۴ ۶۰۷ ۴۳۱ (معادل ۳.۴ * ۱) یک کیف پول غیر خالی پیدا کنید.
به گفته mempool ، استخر ماینینگ Foundry USA دارای هش 162 EH/s است که به معنی هش 162*10^18 در ثانیه است. این امر آنها را بهعنوان مهمترین ابررایانههای تک منظوره در سطح جهان قرار میدهد. در حالی که تنها بر استخراج بیت کوین تمرکز می کنند، آنها در این کار خاص از ابررایانه های سنتی بهتر عمل می کنند.
در 24 ساعت، آنها 40 بلاک استخراج می کنند و در نتیجه روزانه 252 بیت کوین درآمد ثابت دارند.
بذرهای Brute-forcing به سخت افزار متفاوتی نیاز دارند، با بیش از 2000 برابر عملیات بیشتر در هر دانه. با این حال، به خاطر این آزمایش، سخت افزار را یکسان فرض کنیم. با تقسیم 162 EH/s بر 2000، هش ریت حاصل 81 Pseeds/s، معادل 81 * 10^15 دانه در ثانیه است.
اگر 3.4*10^29 تلاش برای هر دانه را بر 81*10^15 دانه در ثانیه تقسیم کنیم، به ازای هر دانه 4 میلیارد ثانیه به دست می آید. به عبارت دیگر، یافتن یک بذر با سرمایه 133 سال طول می کشد.
بیایید یک فرد فوق العاده ثروتمند را تصور کنیم که روی سخت افزار سفارشی سرمایه گذاری می کند و 100 برابر بیشتر از Foundry USA خرید می کند. این سختافزار بهطور خاص برای دانههای brute-forcing طراحی شده است و به مدت یک سال کار میکند تا بذر خاصی را پیدا کند – فرض کنید، مال شما.
این عملیات مستلزم حذف حداقل 40 بلوک یا 250 BTC در روز است که بخش قابل توجهی از آن هزینههای برق این عملیات پر انرژی را پوشش میدهد.
در نتیجه، بذرهای 128 بیتی Brute-forcing قابل دوام نیستند و احتمالا هرگز این کار را نخواهند کرد.
تأثیر بالقوه محاسبات کوانتومی بر حملات brute force چیست؟
محاسبات کوانتومی می تواند منجر به پیشرفت قابل توجهی در رمزگذاری شود و به طور بالقوه استانداردهای فعلی را به راحتی قابل شکستن کند. حتی ادعاهایی وجود دارد مبنی بر اینکه داده های رمزگذاری شده با ارزش بالا در انتظار این توسعه ذخیره می شوند و برخی از پلتفرم های بزرگ در حال حاضر سرورهای مجهز به بیت های کوانتومی را ارائه می دهند.
بنابراین، چقدر طول میکشد تا محاسبات کوانتومی به ابزاری رایج در صحنه کریپتو تبدیل شود؟ در مورد کاربرد آن چه انتظاری می توانیم داشته باشیم و چه نگرانی های ایمنی ممکن است ایجاد شود؟
بی رحمی کردن یک عبارت seed مانند “شکستن رمزگذاری” نیست، زیرا کامپیوترهای کوانتومی در این کار برتر هستند. برخی از الگوریتم های کوانتومی می توانند دشواری را کاهش دهند، اما کافی نیست.
در اصل، دشواری را می توان از 128 بیت به 64 بیت کاهش داد. در حالی که این کاهش قابل توجهی است، به یک کامپیوتر کوانتومی بسیار بزرگتر از یک کامپیوتر کلاسیک نیاز دارد. ثانیاً، هر تلاش به میزان قابل توجهی با چندین مرتبه بزرگی کندتر خواهد بود. سوم، توانایی جبران با «خرید سخت افزار بیشتر» به دلیل در دسترس نبودن سخت افزار کافی محدود است.
علاوه بر این، سطح دشواری 64 بیتی در حال حاضر قابل شکستن است، اما در آستانه “معمولاً ارزش هزینه کردن” ندارد. چالشهای پیشآمده توسط محاسبات کوانتومی باعث میشود که «اساساً هرگز ارزشش را نداشته باشد» برای عبارات اولیه بیرحمانه.
نتیجه گیری
Brute-forcing یک نگرانی قابل توجه برای Seedphrase و امنیت کلید خصوصی نیست. بسیار غیرممکن است که یک فرد یا شرکتی منابع مالی و تکنولوژیکی برای بررسی دقیق و به کارگیری نیروی بی رحمانه برای به خطر انداختن کیف پول رمزنگاری بارگذاری شده در اختیار داشته باشد.
حتی با یک کامپیوتر کوانتومی، همان الگوریتمی که ممکن است برای محاسبات کوانتومی در آزمایش seed مفید باشد، میتواند استخراج بیتکوین را با یک عامل مشابه تسریع بخشد، در حالی که به قدرت پردازش بسیار کمتری نسبت به تلاشهای brute-force نیاز دارد. به زبان ساده، استخراج بیت کوین و سایر رمزارزها بسیار سودآورتر از تلاش برای به کار بردن عبارات خام است.
ایمن نگه داشتن عبارت بذر خود
نگرانی شما نباید در آسیبپذیریها از نقطهنظر brute-force باشد، بلکه باید به این باشد که چگونه عبارات اولیه خود را ایمن و ذخیره میکنید. عبارت seed تنها مانع برای محافظت از دارایی های شما در برابر چشمان کنجکاو است. ما سناریوهای زیادی را دیدهایم که در آن افراد بهطور تصادفی عبارات اولیه خود را افشا میکنند یا آنها را در دستگاههای در معرض خطر ذخیره میکنند.
