<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 19, 2016 at 6:07 PM, Jameson Lopp <span dir="ltr"><<a href="mailto:jameson.lopp@gmail.com" target="_blank">jameson.lopp@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Fri, Aug 19, 2016 at 12:05 PM, Phillip Hallam-Baker <span dir="ltr"><<a href="mailto:phill@hallambaker.com" target="_blank">phill@hallambaker.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div style="font-size:small"><br></div></div></blockquote></span><span class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div style="font-size:small">​Let us say for the sake of argument that in the near future there will be 100 OpenPGP KeyServers that operate in a manner similar to today's servers based on Brian LaMachias' MIT server ​with two changes:</div><div style="font-size:small"><br></div><div style="font-size:small">1) Every key server maintains a link timestamp of all data submitted (keys, signatures, etc.)</div><div style="font-size:small"><br></div><div style="font-size:small">2) Every hour, each server cross-timestamps their current timestamp value with at least ten other servers chosen at random</div><div style="font-size:small"><br></div><div style="font-size:small">Let us further assume that I can establish a userbase of a million users. Which I think is actually quite plausible if I can persuade the S/MIME folk to use the infrastructure as well as the OpenPGP folk.</div><div style="font-size:small"><br></div><div style="font-size:small">To verify a timestamp value, a verifier checks the timestamp chain of five or so randomly chosen servers.</div></div></div></div></div></blockquote><div><br></div></span><div>Sure; let's say for the sake of argument that I decide to run 10,000 OpenPGP KeyServers and sybil attack your network. It sounds like I'd be able to falsify data with a high rate of success. The numbers you choose are likely irrelevant; I suspect that any such system would inevitably turn into a form of "proof of work" as described by Paul Sztorc: <span style="font-weight:400"><a href="http://www.truthcoin.info/blog/pow-cheapest/" target="_blank">http://www.truthcoin.info/<wbr>blog/pow-cheapest/</a></span></div></div></div></div></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">​Explain the attack more fully. Assume that each server is signing each output value and has a trust relationship with the parties it exchanges values with.​</div><br></div><div><div class="gmail_default" style="font-size:small">The key servers are not anonymous entries or random bloggers.</div></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><span class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div style="font-size:small"><br></div><div style="font-size:small"><br></div></div></div><div style="font-size:small">​The ​metric I use for evaluating the security of a PKI is a time based work factor priced in dollars. Obtaining bogus Domain Validated certificates in quantity in the WebPKI has a certain cost, lets say $500, an EV certificate has a much higher cost, about $5000. The cost values here are not just the price of acquiring the cert, they are also the cost of covering their tracks. The out of pocket cost of obtaining a single bogus cert is much lower because it is very unlikely that is going to be detected. But obtaining large numbers without establishing a pattern is hard.</div><div style="font-size:small"><br></div><div style="font-size:small">So how does BitCoin fare? well the cost of mining 24 hours of bitcoins is large but its less than a million dollars. </div></div></div></blockquote><div><br></div></span><div>From one perspective, I suppose, though on the other hand you can't just take a million dollars and buy a day's worth of hashing power - most of the existing hashpower isn't for sale. <span style="font-weight:400">To purchase enough new hashing power to own 50% of the Bitcoin network (</span><span style="font-weight:400">1,487,398</span><span style="font-weight:400"> TH/S) would cost approximately </span><span style="font-weight:400">114,415 Antminer S9 (13 TH/S) units at $2,500, or </span><strong>$286m</strong><span style="font-weight:400"><strong> in hardware costs </strong>and </span><span style="font-weight:400">1.4 KW * 114,415 * $0.08 KW/H, or </span><b>$12,815</b><span style="font-weight:400"><span style="font-weight:400"><strong> an hour in electricity costs</strong>. Except for the small fact that there aren't that many S9 units available for purchase either...</span></span></div></div></div></div></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">You think Bitcoin miners are incorruptible? I rather doubt it.</div><br></div><div><br></div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>It's unclear if you're talking about a permissionless network where anyone can run a validator or a permissioned network with a predetermined trusted federation of validators. If it's the latter then we're talking about a completely different security model than Bitcoin.<br></div></div></div></div></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">​I regard BiTcOiN as a religion rather than a technical infrastructure.​</div><br></div><div><div class="gmail_default" style="font-size:small;display:inline">​>​</div> <span style="font-size:12.8px">Any attack against Bitcoin's PoW is useless unless it can be sustained.</span></div><div><span style="font-size:12.8px"><div class="gmail_default" style="font-size:small;display:inline">​>​</div> If you compromised a mining pool, you wouldn't own it for very long if you </span></div><div><span style="font-size:12.8px"><div class="gmail_default" style="font-size:small;display:inline">​>​</div>tried to use it to your advantage. People would notice and either the </span></div><div><span style="font-size:12.8px"><div class="gmail_default" style="font-size:small;display:inline">​>​</div>hashpower would be pointed to a different pool or the pool operator would <div class="gmail_default" style="font-size:small;display:inline">​>​</div>shut down the pool until they could re-secure it.</span></div></div><br></div><div class="gmail_extra"><div class="gmail_default" style="font-size:small">​Which is exactly the point I made at the start.​ The security of the blockchain is not secured through the proof of work mechanism at all. That is just an unnecessary distraction.</div><br></div></div>