<div dir="ltr"><p>I On Jul 10, 2014 9:30 AM, "David Leon Gil" <<a href="mailto:coruus@gmail.com" target="_blank">coruus@gmail.com</a>> wrote:</p><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">




Does anyone have an estimate of the total cost of "mining" equipment<br>
in use? (An upper bound for computational effort would then be<br>
cost-per-hash * NSA's budget + Moore's law.)<br></blockquote><div> </div><div>I agree with the approach here to use Bitcoin as an estimate of the cost of brute force. We did this exercise in Section 2.1 of the paper here: <a href="http://www.jbonneau.com/doc/BS14-USENIX-towards_memorizing_random_passwords.pdf" target="_blank">http://www.jbonneau.com/doc/BS14-USENIX-towards_memorizing_random_passwords.pdf</a></div>



<div><br></div><div>Our argument is that you can estimate brute-force costs by looking at the total amount earned by miners over an extended period (all of 2013 in our example), based on the USD value at the time the Bitcoins were earned. That gets you about US$250M in mining rewards in 2013, for about 2^75 hashes for the year (based on difficulty of each block). That includes hardware (since most mining hardware has a lifecycle of less than one year), electricity, cooling, etc.</div>

<div><br></div><div>I just re-ran the test for the first 6 months of 2014 on aggregate and got and estimate of 2^79.4 hashes computed in a year for US$394.7M. This gives a baseline estimate of about US$600M to do a 2^80 attack in one year. An intelligence agency might be an order of magnitude more efficient as a centralized effort, so perhaps we're really looking at anywhere from US$10M to $100M 2^80 search in a year. I doubt its dramatically faster than that.</div>


<div><br></div><div>Code for this estimation method is here: <a href="https://github.com/pde/btcpow/blob/master/aggregate.py">https://github.com/pde/btcpow/blob/master/aggregate.py</a>, you can run over arbitrary different time windows in Bitcoin history. With a little work this could also be patched to look at Litecoin data, or another scrypt-based formula, but there's an unknown coefficient of how much less efficient the miners are in those currencies since the overall rewards are much lower.</div>



</div>
</div>