
<div dir="ltr"><div>Hi Pavol,</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 11, 2021 at 8:25 AM Dmitry Petukhov via bitcoin-dev <<a href="mailto:bitcoin-dev@lists.linuxfoundation.org">bitcoin-dev@lists.linuxfoundation.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">В Thu, 11 Feb 2021 05:45:33 -0800<br>

Hugo Nguyen via bitcoin-dev <<a href="mailto:bitcoin-dev@lists.linuxfoundation.org" target="_blank">bitcoin-dev@lists.linuxfoundation.org</a>><br>

wrote:<br>

<br>

> > > ENCRYPTION_KEY = SHA256(SHA256(TOKEN))  <br>

> ><br>

> > This scheme might be vulnerable to rainbow table attack.<br>

> >  <br>

> <br>

> Thank you for pointing this out! Incidentally, Dmitry Petukhov also<br>

> told me the same privately.<br>

<br>

My thought was that if TOKEN has the characteristics of a password<br>

(short ASCII string), then it would be better to use key derivation<br>

function designed for passwords, like PBKDF2.<br>

<br>

The counter-argument to this is that this adds another code dependency<br>

for vendors, if the device firmware does not already have the required<br>

key derivation function.<br>

<br>

Maybe this could be solved by going into opposite direction - make the<br>

"token" even longer, use the mnemoic.<br>

<br>

The issue is that entering long data of the shared key into the device<br>

manually is difficult UX-wise.<br>

<br>

Hww vendors that allow to enter custom keys into their device already<br>

have to face this issue, and those who allow to enter custom keys via<br>

mnemonic probably tackled this somehow.<br>

<br>

Maybe the shared key for multisig setup can be entered in the same way<br>

? (with maybe additional visual check via some fingerprint).<br></blockquote><div><br>You just gave me a great idea! We can reuse the BIP32 seed words list! Perhaps the encryption key can just be 6 words, but it'll be derived the same way. BIP39 also uses PBKDF2 as a key derivation function, so it matches with what you described here.<br><br>And all HWW should have this functionality already.<br><br>Best,<br>Hugo<br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>

Although we would then have another issue of potential confusion<br>

between two procedures (entering the main key and entering the shared<br>

key for multisig setup), and the measures has to be taken to prevent<br>

such confusion.<br>

<br>

The approaches can be combined - specify a key derivation function<br>

suitable for passwords; via secure channel, share a password and/or the<br>

derived key. If hww supports derivation function, it can derive the key<br>

from password. If hww supports only keys, the key can be entered raw or<br>

via mnemonic.<br>

_______________________________________________<br>

bitcoin-dev mailing list<br>

<a href="mailto:bitcoin-dev@lists.linuxfoundation.org" target="_blank">bitcoin-dev@lists.linuxfoundation.org</a><br>

<a href="https://lists.linuxfoundation.org/mailman/listinfo/bitcoin-dev" rel="noreferrer" target="_blank">https://lists.linuxfoundation.org/mailman/listinfo/bitcoin-dev</a><br>

</blockquote></div></div>