«Идеальное» бросание монеты: The NIST Randomness Beacon

[vibornoff]

Все хорошо, но пока они не реализовали схему с доказано неизвестными до определенного времени случайными числами, все это не очень надежно для целей определения, кто будет мыть посуду (особенно, если один из домочадцев работает в NIST) — т.к. проверить случайность вы не можете, а верят на слово только джентльмены.

Вместо маячков NIST лучше пользоваться Bitcoin Block Hash — он хоть и псевдослучаен, но очень сильно защищен от преждевременного раскрытия его значения, а инсайд тут невозможен в принципе.

[Scratch]

Здесь тоже цепочка значений и хэш от подписи как Output, не вижу сильной принципиальной разницы с биткоином. Даже если SHA-512 взломают, то все равно надо будет как то еще и цифровую подпись подбирать такую чтобы хэш получился какой надо. Короче очень дофига делов даже если ты можешь руками этот файлик сам писать

[Vestild]

В любом случае нужно доверять nist.
Представьте, что на самом деле случайные числа из генераторов не случайны, а генерируются по алгоритмы.
Тогда можно подобрать алгоритм/время сверки под заданный результат.
Bitcoin явно лучше. Скорее всего есть сайты удобно публикующие последние хеши.

[Scratch]

Как подобрать? Взломав 2 вызова SHA-512?

[vibornoff]

Подобрав такой seed, что ответ на вопрос «кто сегодня моет посуду?» будет всегда не про вас.
Насколько сложно? Примерно настолько, сколько вариантов ответа.

[Scratch]

Я ниже уже ответил на вопрос про посуду, но в общем случае у нас 512 бит хэша, которые вы не взломаете

[zvorygin]

А в чем проблема с SHA512? В случае с мытьем посуды — если я каким-то образом добыл NIST private key и умею менять SEED, то я просто перебираю SEED-ы пока не получится нужный мне результат(с вероятностью 50% он будет получаться на каждой итерации).

Если посуду выпало мыть мне — увеличиваем SEED на единицу и пропускаем через мясорубку. Если снова выпало мне — то продолжаем и.т.д.

[Scratch]

Если вам нужно мало бит из 512ти и вы не используете дополнительных, неизвестных потенциальному злоумышленнику шагов, то да, на единичные биты влиять таким образом можно.

[Scratch]

Маяк генерирует число точно раз в минуту, а криптовалюты абы как

[Scratch]

К тому же, хэши у блоков того же биткоина нифига не рандомные, а начинаются с кучи нулей. Вы так посуду до конца жизни мыть будете )

[Scratch]

немного видоизменить алгоритм

можно и в случае с маяком, я описал пару несложных способов. Дело не только в нулях в начале, а в том, что Proof of work не предполагает генерацию случайных хешей, а лишь подходящих под определенные условия ( меньше такого то числа, етц). Это нельзя считать случайной величиной. Ну и когда из N бит можно использовать только n-x это тоже не дело.

Но вам, конечно же, никто не запрещает придумывать свои схемы Чем их разных больше тем лучше (опять повторяюсь)