Можно ли самому сгенерировать приватный ключ безопасно?

Краткий ответ

Технически да, но почти каждая самодельная схема проваливается на тесте "случайности". Человеческие мозги, дни рождения, телефонные номера, SHA-256 от "придуманной мной фразы" — ни один из этих источников не является валидной энтропией. Атакующие запускают скрипты сканирования, хеширующие каждую английскую фразу, популярный пароль, библейский отрывок, словарную запись Linux — ваш "придуманный" приватный ключ сметается за секунды. Если нужно генерировать вручную, используйте физический источник энтропии: подкиньте честную монету 256 раз или используйте криптографические кости 99 раз.

Почему мозги — плохие RNG

Безопасность приватного ключа зависит от 256 бит истинной случайности — каждый бит 50/50 независимый. Мозги этого не могут. Психологические исследования показали: люди, попросимые "сказать случайную последовательность чисел", бессознательно избегают повторений, предпочитают нечётные числа и избегают экстремальных значений. Эти искажения сжимают фактическое пространство поиска с 2^256 до возможно 2^30 — около миллиарда догадок, сканируемых за часы.

Резня brain-wallet, 2013-2017

Около 2013 года brainwallet.org позволял пользователям вводить запоминающуюся фразу, SHA-256 хешировать её и использовать вывод как приватный ключ. Атакующие построили сканирующие боты, хешировавшие заголовки статей Википедии, тексты популярных песен, библейские стихи, комментарии Reddit, распространённые пароли. Оценки общих потерь brain-wallet к 2017 году превысили $250 миллионов.

Критический инсайт: атакующему не нужно найти вашу фразу; нужна любая фраза, контролирующая непустой адрес. Из миллиардов пользователей многие использовали бы предсказуемые фразы. Атакующий сканирует все адреса и ждёт совпадений.

Метод физической энтропии

Если хотите сгенерировать 12-словную BIP-39 мнемонику вручную на offline-компьютере: бросьте кубик казино-класса 50 раз и запишите каждый результат, или подкиньте честную монету 128 раз. Введите двоичный или десятичный результат в инструмент iancoleman/bip39 (в offline-режиме), и он выведет соответствующую мнемонику. Функция "dice rolls" в Coldcard делает это нативно.

Более простой ответ

Просто позвольте аппаратному кошельку сгенерировать. Ledger, Trezor, Coldcard все используют сертифицированные истинно-случайные генераторы чисел на своих secure элементах.

Дополнительное чтение: Приватный ключ, Аппаратный кошелёк.