Motherboard:“中本聪PGP密钥生成时间被改动，极有可能是骗局” ...

周二，连线杂志和Gizmodo双双发表重磅新闻：根据连线掌握的“泄密”文件和Gizmodo 掌握的“黑客”线人提供的文件，真正的中本聪是克雷格·史蒂芬·怀特。

呃，这人是谁？－ 有人可能会问。

很好的问题。

到现在为止，赖特还没有被纳入任何一个中本聪候选人名单。但他又的确是一名比特币专家，事实上，他在今年和一个被很多人认为是中本聪但尼克·萨博共同出席了一个比特币投资者大会。

除了对赖特的相关资历和成就做了介绍，连线和Gizmodo还提供了大量的电子邮件和其他文件，似乎怀特是举世无双的比特币之王中本聪已经是板上钉钉确凿无疑。

值得注意的是，有很多这方面的证据是没有经过认证的。但是有一个真正的大问题 － 至少关键的证据中的一个似乎是假的。两篇报道提及的PGP密钥们很可能是在2009年后生成并在2011年后上传。

之所以说“们”，是因为连线和Gizmodo提到的两个密钥完全不同。而且都没有验证过。

在我们继续论证之前，我们要记住，PGP密钥只是众多证据其中的一条。当被要求对此事发表评论，Gizmodo的编辑凯蒂·德拉蒙德说，键“都只是一个（相对较小）证据点，除此之外还有很多别点证据，包括面对面访谈和记录佐证。”

但这些密钥是很重要的，因为他们不只是可疑，有证据表明这些密钥可能是会故意被用于欺骗。 （对此连线的安迪·格林伯格他们的文章已经指出所有点这一切都有可能是赖特精心谋划的一个复杂长期的骗局）。

真正已知和中本聪相关联的PGP密钥只有一个。我们将这个成为初始密钥。

初始密钥很早就被证明和中本聪有关联。目前它托管在bitcoin.org的服务器，早在2009年它就在那儿了，当时中本聪还参与该网站。所以我们知道这个初始密钥在人们还无从了解比特币时已经属于聪了。

初始密钥应该是在2008年10月被生成，采用DSA-1024的加密，今天这种加密方式已经被认为是太弱而不被推荐使用。当时，DSA-1024是GnuPG所默认的加密方法，GnuPG一个免费的软件实现，具有当时被认为非常好的隐私保护措施，被很多人用来进行PGP加密。初始密码似乎是在一个当时已经过期的Windows版本的GnuPG被生成的。

有线和Gizmodo提到的两个密钥是用RSA-3072算法生成的，而这一算法在2008年还不常用 － 计算机安全专家艾黎.克拉克第一个提醒我们。 （DSA-1024是2008年的默认选择; 而RSA-2048是今天的默认选择。但先不要急着下结论）

在两篇文章中，密钥服务器被用来建立雷格·赖特和中本聪的联系。一个密钥服务器包含PGP密钥的目录和用户提交的条目。文章中所提到的一个是MIT维护的。有迹象表明，有其它密钥服务器被和MIT密钥服务器进行过同步。

连线文章提到的密钥和satoshin@vistomail.com相关联，没有迹象表明中本聪之前用过这个邮箱地址，但这个地址和他使用过的satoshi@vistomail.com相似。

Gizmodo的密钥和satoshin@gmx.com相关联，中本聪的确用过这个地址，但已经被黑客在2014年攻破：

MIT密钥服务器显示这两个密钥都是被在2008生成的，比比特币问世的时间要早，似乎只有一种可能，那就是它们是由中本聪本人所生成。

是这样吗？

其实不是的，因为PGP密钥的创建日期可以很容易被伪造。

PGP密钥的年龄是由创建这个密钥的电脑的日期和时间所决定的。如果你想要在2015年创建一个PGP密钥，并让它看上去就像是2008年的，你只需要更改本地计算机系统设置的日期选项。

本刊特约撰稿人约旦皮尔森只花了十分钟就创建一个创建日期显示为2008年的PGP密钥，并将其上传到MIT的公共密钥服务器。

你也可以使用一个非你控制的邮箱地址创造一个PGP密钥，同时伪造时间。我们的网络安全记者Lorenzo Franceschi-Bicchierai能够创建一个和satoshin@gmx.com关联的PGP密钥，而它看上去是在2004年创建的。它的真实创建日期是2015年12月8日，而Lorenzo在生成它的同时还在和记者聊天。

为了防止引起混乱，Lorenzo之后立即撤销了这个密钥。

比特币核心开发人员格雷格·麦克斯韦也在Reddit发帖讲述类似情况，并补充说，“根据我的纪录，这个密钥在2011年没有出现在密钥服务器上，虽然这并不能证明它的日期一定被修改提前了，但是基本上没有证据可以证明它没有被修改但确有相当强的证据证明它被修改过。”

我们联系了麦克斯韦，要求他解释下“我的纪录”指的是神秘。” 麦克斯韦说，他有一个2011年的聊天纪录，当时他和其他人就密钥服务器上的“假冒”中本聪密钥做了讨论（和中本聪电子邮件关联，但却不是中本聪的密钥）。当时他们提到了几个假冒中本聪密钥，但当时没有提到连线或Gizmodo引用的那两个。麦克斯韦认为，这是因为这两个密钥在2011年时还没有在那里。

我们已经提到了，在2008使用RSA-3072加密很奇怪，但这并不是唯一的蹊跷之处。

麦克斯韦发现连线和Gizmodo提到的两个密钥的preferred hash algorithm 为“8,2,9,10,11”而中本聪的初始密钥的preferred hash algorithm 是“2,8,3。”事实是 “8,2,9,10,11” 作为一个提交被添加到GnuPG的代码树是在2009年七月9日，而随着2.0.13版正式发布则是在2009年9月4日。

换句话说，两篇文章中提到的密钥生成所使用的技术，在它们声称被生成的时候并不存在。

麦克斯韦还告诉我们，如果这些是由同一人在同一天，即2008年10月30日，生成的，但是它们的metadata不匹配是一件非常奇怪的事。

连线和Gizmodo所提到的两个密钥的密钥服务器条目看起来像有人拼命制造一种假象。而两个密钥被公开的具体场景也非常可疑。

连线的那个被张贴在克雷格·赖特的现在已被删除的博客上，日期为2008年11月1日。但这篇文章的两个作者 － 安迪·格林伯格和Gwern Branwen说它是在2013年后的某个时间被插入的。Branwen使用谷歌阅读器的缓存发现在2013年时，密钥还没有出现在这篇博文里。这正好和我们之前谈论的密钥的生成时间问题相吻合。

连线提供的密钥是直接从MIT密钥服务器上，而不是从某人的计算机上的密钥文件，被复制粘贴到2008年11月的博文上。当您从密钥服务器上进行粘贴操作，被复制的密钥将会包含一个关于密钥服务器版本的信息。而连线密钥的版本－ SKS 1.1.4是在2012年10月与2014年11月之间使用的，这远远在2008年11月之后。

Gizmodo的密钥来自该网站获得的文件之一，该文件一共列出一组四个密钥。 （每个密钥都以“指纹”的形式列出；这里所说的指纹是一种对更长的PGP密钥进行缩短的方式。）这个密钥出现在 “郁金香信托”的草稿合同上，而这个信托基金据说掌管了大约 4.6亿美元的比特币。

Gizmodo认为四个密钥中的两个属于中本聪，一个属于赖特，一个属于赖特的朋友大卫·克莱曼。密钥服务器的确把这些密钥和这几个人联系了起来。但只有一个是确凿的（即经过很多人验证过）：这就是最后一个，即在2009年生成的中本聪初始密钥。

在这四个密钥中，中本聪初始密钥显得非常突兀。和前三个相比，第四个采用较弱的加密方式。前三个犹如姊妹，都使用了RSA-3072和相同的哈希算法。只有最后是一个例外。

非常诡异的是第二个密钥，即Gizmodo文章提到的密钥，这个密钥在这个文件的稍后部分又被提及：戴夫·克莱曼承诺将永远不会泄露“ID C941FE6D 密钥[即Gizmodo密钥]以及satoshin@gmx.com电子邮件的来源。”不过，虽然GMX电子邮件帐户归中本聪所有是众所周知的，直到Gizmodo发表这篇的文章时，文章中提到的那个密钥从来没有被认为和中本聪有关系。

另外，看到名字旁边的小括号里里的文字了吗？ “In crypto we trust, in government we verify（我们相信加密，我们要验证政府）”？这不是我们加进去的，而是密钥服务器原来就有的。克雷格·赖特的钥匙服务器里也有一个类似的： “我们信任算法。”这些似乎显示这些密钥服务器条目都是由同一人创建的，对吗？

而戴夫·克莱曼也有一个如出一辙的文字，尽管有点像一个喝醉了的人所写：“有了比特币，所以我们永远不用wotty infaltion和（量化）宽松了。” （Bitcoin so we neer have to wotty about infaltion and easing 原文如此）

克莱曼的密钥还有别的蹊跷之处，其中的一个显然是在他去世后一年后生成的。

总结：

只有一个密钥，即初始密钥，是众所周知和中本聪相关联。

连线和Gizmodo获得的所谓的泄露的密钥，没有和中本聪关联的证据，而它们2008年的生成的日期是可以被伪造的。

这两个密钥的长度均比初始密钥长，而且它们的长度是不常见的。

这两个密钥使用的cipher-suites不仅和原始密钥使用的不一致，而且直到2009年才被加入到GPG。

连线的密钥是在2012年到2014年时间段的某个时间点被添加到那篇2008年发表到博文到，这一点连线已经表明。

一个几乎从头开始参与比特币到核心开发者，查了他2011年关于假冒中本聪密钥到聊天纪录，没有发现Gizmodo或连线的密钥。他认为，这些密钥在2011年还没有被上传到密钥服务器上。

我们问连线和Gizmodo的对此事发表评论。两个媒体的发言人均表示PGP密钥相关的信息不无疑改变他们的文章。

有线记者安迪·格林伯格回答说：

这（新的信息）当然是有趣的，但它只是佐证了我们在文章中已经陈述过的观点：证明赖特即中本聪最有力的三个博客文章被事后编辑过，并插入了证据。它们甚至可能是在其显示的时间之后上传的。而且我们也提醒读者，这可能是一个令人难以置信的精心设计的骗局的一部分，或者赖特对是否想被发现自己的真实身份也很矛盾。

Gizmodo的主编凯蒂·德拉蒙德说：

我们的文章的主旨是，克雷格·赖特，在多年的过程中，参与了比特币，并告诉很多人，他就是比特币的发明者中本聪。你提到的PGP密钥只是一个（相对较小）证据，其它还有很多证据包括面对面访谈和纪录在案的谈话。我们在提及密钥时只是说它和公开keybase里的信息相符。

确实，PGP密钥只是证据的一部分，但考虑到PGP是一个验证一个人在线身份的加密方法，这些密钥有这么多的不一致是耐人寻味的，甚至可能是存在故意欺骗的表征。

也许PGP太难里，以至于克雷格 -中本聪 - 赖特，像大多数普通老百姓，也丢了自己用过的PGP密钥，不得不上传新的密钥到密钥服务器。但是元数据（metadata），格雷格·麦克斯韦的聊天记录，以及在线线索却对不上。正如Fusion作者克什米尔.希尔指出的那样，“对于一个活跃在blockchain和网络安全领域的专家而言”，就像克雷格.赖特一样， “被认为是比特币背后的有才华的开发者是大有好处的。”

不管是怎么回事，这件事很可疑。

约旦皮尔逊对报道有贡献。