<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 19, 2016 at 8:55 PM, Phillip Hallam-Baker <span dir="ltr"><<a href="mailto:phill@hallambaker.com" target="_blank">phill@hallambaker.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Fri, Aug 19, 2016 at 6:07 PM, Jameson Lopp <span dir="ltr"><<a href="mailto:jameson.lopp@gmail.com" target="_blank">jameson.lopp@gmail.com</a>></span> wrote:<br></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><span class=""><span>On Fri, Aug 19, 2016 at 12:05 PM, Phillip Hallam-Baker <span dir="ltr"><<a href="mailto:phill@hallambaker.com" target="_blank">phill@hallambaker.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div style="font-size:small"><br></div></div></blockquote></span></span><span class=""><span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div style="font-size:small">​Let us say for the sake of argument that in the near future there will be 100 OpenPGP KeyServers that operate in a manner similar to today's servers based on Brian LaMachias' MIT server ​with two changes:</div><div style="font-size:small"><br></div><div style="font-size:small">1) Every key server maintains a link timestamp of all data submitted (keys, signatures, etc.)</div><div style="font-size:small"><br></div><div style="font-size:small">2) Every hour, each server cross-timestamps their current timestamp value with at least ten other servers chosen at random</div><div style="font-size:small"><br></div><div style="font-size:small">Let us further assume that I can establish a userbase of a million users. Which I think is actually quite plausible if I can persuade the S/MIME folk to use the infrastructure as well as the OpenPGP folk.</div><div style="font-size:small"><br></div><div style="font-size:small">To verify a timestamp value, a verifier checks the timestamp chain of five or so randomly chosen servers.</div></div></div></div></div></blockquote><div><br></div></span><div>Sure; let's say for the sake of argument that I decide to run 10,000 OpenPGP KeyServers and sybil attack your network. It sounds like I'd be able to falsify data with a high rate of success. The numbers you choose are likely irrelevant; I suspect that any such system would inevitably turn into a form of "proof of work" as described by Paul Sztorc: <span style="font-weight:400"><a href="http://www.truthcoin.info/blog/pow-cheapest/" target="_blank">http://www.truthcoin.info/blog<wbr>/pow-cheapest/</a></span></div></span></div></div></div></blockquote><div><br></div><div><div style="font-size:small">​Explain the attack more fully. Assume that each server is signing each output value and has a trust relationship with the parties it exchanges values with.​</div><br></div><div><div style="font-size:small">The key servers are not anonymous entries or random bloggers.</div></div><span class=""><div><br></div></span></div></div></div></blockquote><div>OK, so you're describing a semi-trusted permissioned system as opposed to a trustless permissionless system. There's really not much point comparing apples to oranges. <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class=""><div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div style="font-size:small"><br></div><div style="font-size:small"><br></div></div></div><div style="font-size:small">​The ​metric I use for evaluating the security of a PKI is a time based work factor priced in dollars. Obtaining bogus Domain Validated certificates in quantity in the WebPKI has a certain cost, lets say $500, an EV certificate has a much higher cost, about $5000. The cost values here are not just the price of acquiring the cert, they are also the cost of covering their tracks. The out of pocket cost of obtaining a single bogus cert is much lower because it is very unlikely that is going to be detected. But obtaining large numbers without establishing a pattern is hard.</div><div style="font-size:small"><br></div><div style="font-size:small">So how does BitCoin fare? well the cost of mining 24 hours of bitcoins is large but its less than a million dollars. </div></div></div></blockquote><div><br></div></span><div>From one perspective, I suppose, though on the other hand you can't just take a million dollars and buy a day's worth of hashing power - most of the existing hashpower isn't for sale. <span style="font-weight:400">To purchase enough new hashing power to own 50% of the Bitcoin network (</span><span style="font-weight:400">1,487,398</span><span style="font-weight:400"> TH/S) would cost approximately </span><span style="font-weight:400">114,415 Antminer S9 (13 TH/S) units at $2,500, or </span><b>$286m</b><span style="font-weight:400"><b> in hardware costs </b>and </span><span style="font-weight:400">1.4 KW * 114,415 * $0.08 KW/H, or </span><b>$12,815</b><span style="font-weight:400"><span style="font-weight:400"><b> an hour in electricity costs</b>. Except for the small fact that there aren't that many S9 units available for purchase either...</span></span></div></div></div></div></blockquote><div><br></div></span><div><div style="font-size:small">You think Bitcoin miners are incorruptible? I rather doubt it.</div><br></div><span class=""><div><br></div></span></div></div></div></blockquote><div>No, I'm saying that you can't merely bribe miners with their current operational costs in order to take over the network. The big players have invested tens to hundreds of millions of dollars into their infrastructure and are making a long term speculative play - they aren't going to throw it all away for a relative pittance. <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class=""><div></div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>It's unclear if you're talking about a permissionless network where anyone can run a validator or a permissioned network with a predetermined trusted federation of validators. If it's the latter then we're talking about a completely different security model than Bitcoin.<br></div></div></div></div></blockquote><div><br></div></span><div><div style="font-size:small">​I regard BiTcOiN as a religion rather than a technical infrastructure.​</div><br></div></div></div></div></blockquote><div>That explains a lot. <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div></div><span class=""><div><div style="font-size:small;display:inline">​>​</div> <span style="font-size:12.8px">Any attack against Bitcoin's PoW is useless unless it can be sustained.</span></div><div><span style="font-size:12.8px"><div style="font-size:small;display:inline">​>​</div> If you compromised a mining pool, you wouldn't own it for very long if you </span></div><div><span style="font-size:12.8px"><div style="font-size:small;display:inline">​>​</div>tried to use it to your advantage. People would notice and either the </span></div><div><span style="font-size:12.8px"><div style="font-size:small;display:inline">​>​</div>hashpower would be pointed to a different pool or the pool operator would <div style="font-size:small;display:inline">​>​</div>shut down the pool until they could re-secure it.</span></div></span></div><br></div><div class="gmail_extra"><div style="font-size:small">​Which is exactly the point I made at the start.​ The security of the blockchain is not secured through the proof of work mechanism at all. That is just an unnecessary distraction.</div><br></div></div>
</blockquote></div><br></div></div>