Согласно разделу BIP32 «Генерация мастер-ключа», «рекомендуется 256 бит».
См. https://github.com/bitcoin/bips/blob/master/bip-0032.mediawiki#Master_key_generation
Почему BIP32 считает 256 бит рекомендуемым начальным размером и почему авторы многих реализаций биткойн-кошельков считают 256 бит ненужными?
Причины 3 числа:
Биткойн использует 256-битные подписи ECDSA. Для этого требуется порядка 2 128 шагов, чтобы найти закрытый ключ из известного открытого ключа. Это уровень безопасности Биткойна: мы стремимся всегда требовать от злоумышленника выполнения 2 128 шагов. Если начальное число имеет менее 128 бит энтропии, это неизбежно приводит к более быстрому алгоритму, в котором злоумышленник может просто перебрать все возможные начальные значения менее чем за 2 128 шагов. Из-за этого BIP32 требует не менее 128 бит энтропии .
Когда начальное число имеет менее 256 бит энтропии (но больше 128), результирующие ключи также будут иметь менее 256 бит энтропии. Поскольку криптография на основе эллиптических кривых использует ключи с полными 256 битами (несмотря на то, что атакующий быстрее взламывает ключ за 2128 шагов), BIP32 также рекомендует 256 бит энтропии .
Комбинация закрытого ключа и чейнкода («расширенный закрытый ключ») в BIP32 имеет размер 512 бит. Из-за этого использование начального числа с большей энтропией, чем 512 бит, не может повысить безопасность больше — это просто информация, которая выбрасывается. Из-за этого BIP32 ограничивает начальное значение максимум 512 битами энтропии .
Похоже, на вопрос лучше всего ответит автор(ы) BIP32.
Кроме того, это извечный вопрос «сколько энтропии» мне нужно?!
Это довольно интересное чтение: 128 бит в целом. https://crypto.stackexchange.com/questions/48256/сколько-энтропия-делаете-вам-нужно-для-безопасного-сертификата-генерации
Также как правило: когда вы вставляете 128 битов энтропии в систему, они также образуют верхнюю границу для энтропии всего, что из нее получается.
Если мне позволено предположить намерение автора, вероятно, рекомендуется 256 бит, потому что конечные ключи имеют именно такой размер, и таким образом энтропия соответствует размеру ключа.
кнакк
Питер Уилле