Чи можна самому згенерувати приватний ключ безпечно?

Коротка відповідь

Технічно так, але майже кожна саморобна схема провалюється на тесті "випадковості". Людські мозки, дні народження, телефонні номери, SHA-256 від "придуманої мною фрази" — жодне з цих джерел не є валідною ентропією. Атакуючі запускають скрипти сканування, що хешують кожну англійську фразу, популярний пароль, біблейський уривок, словникову запис Linux — ваш "придуманий" приватний ключ змітається за секунди. Якщо потрібно генерувати вручну, використовуйте фізичне джерело ентропії: підкиньте чесну монету 256 разів або використовуйте криптографічні кістки 99 разів.

Чому мозки — погані RNG

Безпека приватного ключа залежить від 256 біт справжньої випадковості — кожен біт 50/50 незалежний. Мозки цього не можуть. Психологічні дослідження показали: люди, попросимі "сказати випадкову послідовність чисел", несвідомо уникають повторень, віддають перевагу непарним числам і уникають екстремальних значень. Ці спотворення стискають фактичний простір пошуку з 2^256 до можливо 2^30 — близько мільярда здогадок, сканованих за години.

Різня brain-wallet, 2013-2017

Близько 2013 року brainwallet.org дозволяв користувачам вводити запам'ятовувану фразу, SHA-256 хешувати її і використовувати вивід як приватний ключ. Атакуючі побудували сканувальні боти, що хешували заголовки статей Вікіпедії, тексти популярних пісень, біблейські вірші, коментарі Reddit, поширені паролі. Оцінки загальних втрат brain-wallet до 2017 року перевищили $250 мільйонів.

Критичний інсайт: атакуючому не потрібно знайти вашу фразу; потрібна будь-яка фраза, що контролює непустий адрес. З мільярдів користувачів багато використовували б передбачувані фрази.

Метод фізичної ентропії

Якщо хочете згенерувати 12-слівну BIP-39 мнемоніку вручну на offline-комп'ютері: киньте кубик казино-класу 50 разів і запишіть кожен результат, або підкиньте чесну монету 128 разів. Введіть двійковий або десятковий результат в інструмент iancoleman/bip39 (в offline-режимі), і він виведе відповідну мнемоніку.

Простіша відповідь

Просто дозвольте апаратному гаманцю згенерувати. Ledger, Trezor, Coldcard всі використовують сертифіковані істинно-випадкові генератори чисел на своїх secure елементах.

Подальше читання: Приватний ключ, Апаратний гаманець.