home iconInício / tezos / O uso de um signatário remoto ou um razão realmente melhora a segurança?

O uso de um signatário remoto ou um razão realmente melhora a segurança?

    • vote up icon 2 vote down icon
    • translation icon
    • view icon147 calendar icon2019-04-04

    tl; dr Usando um assinante remoto ou um razãofaz um ótimotrabalhoem proteger as chaves secretas. Masnãoprotege contra a retirada do XTZ de contas. Qualquerpessoa queganha acesso aopadeiropode retirarfundos dele usando um simples comando Tezos-Client. Issoestá correto?

    Eupensei quetinhatudoisso descobrindoe tinha uma sensação aconchegante demeuspequenos Tebzies dormindo com segurança ànoite. Mas agoraestou questionandotudo o quefizparaprendê-los. Euperguntei a um Pergunta sobre segurança com cozimento solo ummês ou dois atráse agora voltouparame assombrar.

    Resumo rápido:

    Eutenho umpadeiro com apenas ummínimo de XTZpara cobrir depósitos. Eutenho umendereço KT1 originado que criei apartir de umendereçoimplícito TZ1 Ledger. Amaioria domeu xtz é razoavelmente segura.

    Noentanto,paraproteger o XTZ domeupadeiro,decidi configurar um signatário remotoem uma caixa diferentee muitoisolada. Paratodos osfinspráticos,apenasmeunó de Tezospodefalar comele através de uma redeprivada.

    Como Luke apontounaminhapergunta anterior ligada a acima,e o queeunãoentendi completamentena épocaera:

    .

    Porque o signatárionãotem autenticação,qualquerpessoa quepossaentrar Seu sistema de cozimento de algumaformapode assinarmensagens com o assinante remoto, incluindo atransferência deequilíbrio do seu vínculo/depósito.

    Agoraeuentendo completamente o queele quis dizer. Então,qual é oponto deter um signatário remoto deuesseproblema?

    Mesmo queeuestivesse usando um livro,oproblema aindanão seria omesmo? Seeupudesseter acesso ao sistema de cozimento,eupoderia retirar dinheiro da conta.

    Nos cenários de diretos remotose razão,parece queprotegemos as chaves -elesficam seguros -mas o XTZ aindapode sertransferidoe não é seguro.

    Se quisermos automatizar o cozimento (assinante remoto ou razão),precisamos definir as coisas dessamaneira. Nãopodemosnos sentarem torno denossos computadores o diatodoe digite a senha quando solicitado.

    O queestouperdendo aqui?

    baking ledger remote-signer

1  responda

  • votos
    • accept answer icon
    • translation icon
    • calendar icon 2019-04-05

    O signatário de Tezos suporta - autenticação de reiquire,- Magic-bytese opções demarca d'água alta. Você deveentenderisso. 

      $ Tezos-signater Man -V 3
...
  - Uma autenticação: requer uma assinatura do chamadorpara assinar.
...
    -M - Magic-bytes & lt; 0xhh,0xhh,... > valorespermitidospara osbytesmágicos,padrões a qualquer
    -W -check-high-watermark: restrição demarca d'água alta
      Armazena onívelmais alto assinadoparablocose endossospara cada
 endereçoe proíbe assinar umnível que sejainferior ouigual
      depois,excetopara osmesmos dados deentrada.
...
  Adicionar chave autorizadae LT; PK & GT; [-Name & lt;name >]
    Autorize uma determinada chavepúblicaparaexecutar solicitações de assinatura.
    & lt; PK & GT; Teclapública completa (base58 codificada)
    -N -nome & lt;nome >: umnome opcionalpara a chave (padrõespara o hash)

    O aplicativo do ledgerpor obsidian valida obytemágico,permitindo apenas 0x01e 0x02,que são usados ​​parablocose endossos (respectivamente). Vocêpodeencontrarestesbytesmágicosem signer_messages.ml . Obytemágico "generic_operation" 0x03 é usadoparatodas as outras operações assinadas definidaspeloprotocolo:transferências,origens,delegação,votação,etc.

    O aplicativo de cozimentotambémmantém um altonível demarca d'águaparaevitar duplas. Você só deve ser capaz debagunçarisso com Set Ledger Alto Watermark (com Confirmaçãono Dispositivo),durante as atualizações do aplicativo (que limpar o hwm),ou usando vários LEDgerspara amesmatecla.

    Se o segmento Tezosestiver seguroe funcionar comopretendido,e você usarpelomenos -bytesmágicos e -marca demarca d'água de verificação corretamente,Devefuncionar aproximadamente como o aplicativo Ledger: alguémganhando acessonormal só deve ser capaz de assinarblocose endossos,sem causar duplas.

    Ainda assimpoderia ser ruimpara você,porque vocêpodeperderblocos/endossose perder recompensas. Poderá ser ruimpor outras razõestambém ...masnãoestá assinandotransferências!

    Usando - Require-Authentication éprovavelmente umaboaideia,masteremos omesmoproblemanovamente. O cliente (porexemplo,Baker) usando um assistente remoto com autenticação deve ser capaz de assinartodas as solicitaçõespara o signatário com uma chave autorizada,e teremos asmesmasperguntas sobre a segurança desta chave autorizada comofizemospara a chave assinando osblocos/endossos/etc.

    Observe que deve serpossível usar outro signatário (local ou remoto) Tezospara a chave de autenticação. Eunãotentei isso.

    • Ah,esta é uma ótimainformação.Muito obrigado.Em relação ao uso de - Magic-bytese - Autenticação --requirejuntosespecificamente,isso soa como a soluçãoperfeita.Seeu usar ambas asbandeiras,isso significa que as solicitações com 0x01e 0x02passarãopornãoexigir validação,mas atransferênciae outras solicitações aindaprecisarão de autenticação?Se sim,isso éexatamente o queeu quero.Mastalveznãofuncione dessamaneira como vocêmencionanofinal da suapostagem "Usando - Autenticação de require éprovavelmente umaboaideia,mas vocêterá omesmoproblemanovamentepara a chave de autenticação".
    • Edit: vaipassarpornãoexigir * autenticação *
    • Umbilhete velho,mas de acordo comisso: https://gitlab.com/tezos/tezos/issues/185 Parece,sim,o signatárioinicial com ambos os sinalizadores - Magic-bytese - de autenticação - de autenticação devemfuncionar.0x02 Mensagenspassarão comnenhumanecessidade demais autenticação/senhas,etc. 0x03 (transações)exigirão assinatura (ou como vocêmencionoue vinculada,talvez onovo valor seja 0x04?)
    • Não,a validaçãoe autenticação dobytemágico são ortogonais.Se a autenticaçãofornecessária,é semprenecessário.Se osbytesmágicosforem validados,eles são sempre validados (nenhum dado com umbytemágico diferente será assinado,autenticação ounão.) Vou atualizar a respostapara ser umpoucomais claro sobre osbytesmágicos.
    • Eujoguei com as coisasmaise bati aquelebloco deestrada.Faz sentido.As duasideias devem ser ortogonais.Por outro lado,issoparece um caso de usomuito válido.Deixe o assinante assinarbloqueiose assinarendossos sem autenticaçãoextra.Noentanto,se umbloco de 0x03 ou 0x04etcentrar,exigir queeletenha autenticaçãoextra.Isso seriamuito útil -embora ainda haja oproblema depagamentos automatizados (porexemplo:backerei)e deixe-se correr semter que autenticar otempotodo.
    • Ignore o queeu disse sobre 0x04.Eutentei esclarecer.Vocêpode seimportar com 0x04 setentar usar um assinante Tezospara assinar solicitações autenticadaspara outro assinante de Tezos;É aí que é usado.