<div dir="ltr"><p dir="ltr">On Jul 22, 2014 2:50 PM, "Brian Warner" <<a href="mailto:warner@lothar.com" target="_blank">warner@lothar.com</a>> wrote:</p><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



I've used a similar (but more hand-wavey) approach for estimating the<br>
cost of brute-forcing the PBKDF2 portion of the Firefox Account password<br>
stretch (which is supplemented with scrypt, since it turns out that<br>
PBKDF2 is insanely cheap)[1]. </blockquote><div><br></div><div>I prefer aggregating over time, just because the bitcoin exchange rate moves (or has moved) much more quickly than the network hash rate.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


I went with instantaneous numbers,<br>
pretending that miners are perfectly rational, don't look at expected<br>
future value, and immediately sell their rewards for dollars. I measured<br>
USD/hash as = reward * price / (difficultyfactor * 2^32). It's currently<br>
209 attodollars per hash, which comes out to US$250M for a 2^80 attack.<br>
(I'm probably off by a factor of two somewhere.. the double-SHA256 keeps<br>
winding up on the wrong side of my equation, but it's all<br>
order-of-magnitude guestimates anyways).<br></blockquote><div><br></div><div>I ignored the double SHA-256, so my estimate would be more accurate if divided in two for base SHA-256 operations.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


(note that Litecoin uses a somewhat-trivial scrypt, with parameters so<br>
low that GPU mining is actually a win)<br></blockquote><div><br></div><div>Yes, they are trivial memory-wise, but they still take more CPU than double SHA-256. They use scrypt with N=1024, so about 2*1024 basic crypto ops (Salsa8 instead of SHA256). When you take that factor of 1000 out, you end up back with about $1 billion for 2^80 basic crypto ops, and the difference there is plausible with the smaller scale/efficiency of Litecoin and the memory accesses which still aren't free.</div>

<div><br></div><div>It's never possible to precisely compare brute-force but we should try to steer it around basic symmetric-key crypto block operations as a standard. On which note, steering back to public key search, the cost of generating a new public key when trying to come up with colliding fingerprints is far more costly than the hash, so setting 80 bits is probably at least 1000x more expensive than doing 2^80 SHA-256 ops.</div>

</div>
</div>