Новинки в сфере криптобезопасности

Bitcoin-securityВ последнее время  в области криптобезопасности произошло много нового. Завершены разработки двух аппаратных кошельков – Trezor и BTChip. Система  безопасности криптокошельков продолжает совершенствоваться.


Но несмотря на все эти факторы, биткойны продолжают красть, притом, у тех представителей сообщества, которые, казалось бы, должны быть осведомлены о подобной опасности, по той причине, что они не успели вовремя укрепить защиту  своих биткойн-вкладов.

Чтобы разобраться в уязвимых местах в системах защиты разных кошельков, важно понять, какие технологии  в сфере криптобезопасности в настоящее время существуют, и какие из них все еще нуждаются в доработке.

Мультиподписи

«2014-й — это год мультиподписей» — если верить словам Гэвина Андресена, произнесенным во время речи «Биткойн 2014». И действительно, в этом направлении было сделано немало. Функция мультиподписи позволяет владельцам кошельков усилить безопасность, так как для подтверждения любой транзакции требуется дополнительная подпись третьего  лица.  Однако эта технология открывает дорогу новому виду криптомошенничества, связанному с причинением вреда третьим лицам, как утверждает директор популярного биткойн-кошелька Multibit:

«Если вы собираетесь купить машину стоимостью £10,000 или нечто подобное за биткойны, кто-то другой вместо вас в письме может попросить третье лицо подтвердить транзакцию на эту сумму».

Multibit разработан на базе библиотеки Вitcoinj, являющейся  Java-реализацией Биткойна. В библиотеке Bitcoinj теперь есть встроенная функция мультиподписи с настраиваемым количеством  подписантов. Это означает, что некоторые  кошельки, созданные на базе этой библиотеки, такие как Hive, например, теперь также обладают этой функцией.

Однако не стоит возлагать все надежды на одни лишь мультиподпси.

«Далеко не все захотят пользоваться защитным механизмом мультиподписи, идущим несколько вразрез с децентрализованным, свободным духом Биткойна, поэтому нельзя полагаться на эту функцию как на единственное решение проблемы», — объяснил Роуи , добавив, что кошельки с функцией мультиподписи, к тому же, сложнее в использовании, чем детерминированные.

Детерминированные кошельки

Первые биткойн-кошельки генерировали адреса в случайном порядке. Биткойн-адреса не следует использовать повторно, что означает, что при надлежащем использовании у одного кошелька будет множество адресов  Из-за такого обилия адресов, восстановить их в случае утраты становится крайне проблематично.

Детерминированные кошельки генерируют все адреса, используя в качестве «затравки» простую фразу, которую задает пользователь. Заданная фраза позволяет воспроизвести секретные ключи к определенному набору адресов, даже если сам кошелек был утерян.

Этот прием, по словам Аарона Вуазина, создателя кошелька для iOS Breadwallet, помогает хорошо систематизировать восстановление данных:

«Если ваш кошелек – детерминированный, тогда все, что вам нужно помнить – это изначальную фразу. Эту фразу следует хранить в оффлайне — в сейфе под замком или на надежном устройстве с зашитым пин-кодом.»

Новые иерархически-детерминированные (HD) кошельки создают новые возможности для пользователей. Они генерируют «деревья» адресов с начальной фразой в основании каждого «дерева». Любой из ветвей такого дерева можно поделиться с другим пользователем, и использовать совместно, без необходимости открывать всю структуру «дерева». Благодаря такому принципу работы, НD-кошельки легко взаимодействуют с другими кошельками без риска потери данных, они легко реплицируются.

«Все эти новые технологии просто поразительны, но, пожалуй, главная инновация этого года – создание аппаратного биткойн-кошелька». Такой хвалебной речью лидер проекта Bitcoinj Майк Херн встретил появление на рынке кошелька Trezor:

«Я повторяюсь, но он того заслуживает, потому что во всем  мире, насколько мне известно, не существует столь же высокотехнологичного финансового аутентификатора, как Trezor. Стандартные аутентификаторы (CAP), которые  используют банки в пределах Евросоюза, да и в остальном мире, гораздо сложнее в эксплуатации, к тому же, в Trezor инкорпорирована система поддержки платежного протокола, так что его использование гораздо надежней и безопасней, чем CAP. Банкам такой уровень безопасности и не снился».

Различные разработчики биткойн-кошельков сейчас активно дорабатывают свои версии программного обеспечения для поддержки аппаратных кошельков. Программная версия Multibit для Trezor’а  появится через пару недель, сообщает Роуи.

trezor-

 

Хотелось бы, конечно, увидеть их поддержку и в «официальном» клиенте, но, откровенно говоря, надежды на это мало — процесс разработки Bitcoin Core весьма консервативен и давно уже отстает от конкурентов.

Простор для развития

Невзирая на существенные успехи, достигнутые этим летом, современным кошелькам еще есть, куда расти.

Одна из важнейших опасностей для них – вирусы, нацеленные на хищение биткойнов, считает директор Breadwallet Вуазин. К тому же, риск «подхватить» какое-то вредоносное ПО будет увеличиваться для всех OC, а платформа Android в последнее время стала прямо-таки настоящим рассадником вирусов. Вуазин пояснил:

«Я ясно вижу, что вирусы, крадущие биткойны – это первейший наш враг на сегодня, в особенности он опасен для кошельков, постоянно используемых для повседневных расчетов. Немалая часть новинок среди вредоносного ПО – это именно программы, крадущие биткойны, а ведь сеть пока еще только в начале развития».

Это еще одна причина, чтобы перейти на аппаратные кошельки, но и они еще нуждаются в усовершенствовании.

Томас Воэтлин, создатель популярного биткойн-кошелька Electrum, заявил, что программная версия Electrum для Trezor уже разработана, разработки версии для  BTChip  — уже ведутся. Аппаратные кошельки готовы для очередного эволюционного скачка, полагает Воэтлин:

«Аппаратные кошельки – это шаг вперед, по сравнению с веб-сервисами и десктоп-кошельками, однако существующая их версия все-таки вынуждена взаимодействовать с внешними устройствами для получения данных из блокчейна и обмена платежными адресами. Если однажды аппаратные кошельки смогут самостоятельно верифицировать транзакции в режиме SPV и обновлять данные платежного протокола на отдельном, безопасном устройстве – это будет большой успех!».

Николас Бакка — учредитель BTChip, стартапа, создавшего смарт-карты, которые бесполезны для грабителей, поскольку они не могут воспользоваться ими, даже получив физический доступ к устройству.

По словам Бакка, в будущем следует ожидать, что виртуализация будет играть немалую роль в процессе совершения платежей:

«Аппаратные кошельки вскоре будут интегрировать в элементы безопасности смартфонов, а затем просто виртуализировать в искусственных безопасных  средах, вроде Доверенной среды исполнения программ TEE [Trusted Execution Environments], но эти перемены наступят не сразу, а где-нибудь через 2-3 года».

Однако использование TEE и доверенных платформенных модулей (TPM) – которые предоставляют возможности для безопасного функционирования сервисов в случае применения секретного кода, может свести на нет необходимость в аппаратных кошельках, — возражает ему Венделл Дэвис, учредитель кошелька Hive.

«Вполне могу представить себе, что в определенный момент в будущем наши мобильные телефоны будут включать чем-то вроде доверенных модулей, не позволяющих исполнять произвольный код. Тогда стопроцентно безопасный кошелек может быть встроен прямо в телефон. Этот момент может стать решающим в дальнейшей судьбе аппаратных кошельков».

Люди больше не хотят носить с собой много устройств,  полагает Дэвис, упомянув о том, что безопасным решениям, как правило, предпочитают удобные.

Биометрия

При разработках новых телефонов производители давно стараются сочетать безопасность и удобство в эксплуатации, например, с помощью биометрических данных. Кошелек Breadwallet, как сообщает Вуазин, вскоре будет поддерживать функцию TouchID на устройствах Apple.

Директор Multibit, напротив — совсем не фанат биометрии. Роуи выразил опасения, что в ближайшем будущем отпечатки пальцев, тембр голоса и даже рисунок радужной оболочки глаза можно будет скопировать. Как бы то ни было,  доля погрешностей в работе биометрических аутентификаторов по-прежнему довольно велика, что затрудняет повсеместное распространение подобных мер безопасности.

С другой стороны, Вуазин намерен интегрировать новый формат ввода пинкодов в телефоны, с целью предотвращения кражи отпечатков и хакерских атак. Херн рассматривает возможность внедрения NFC чипов (для ближней бесконтактной связи), которые будут контролировать местонахождение телефона.

Поскольку все эти меры безопасности, так или иначе, связаны с безопасностью криптокошельков, интересно узнать, что на этот счет намерены предпринять создатели Bitcoin Core, эталонного кошелька, созданного разработчиками основополагающего программного обеспечения. В прошлом ведущие разработчики Биткойна утверждали, что поворотным моментом в развитии сети станет разделение собственно кошелька и «биткойн-узла», инфраструктурного элемента — которые сейчас плотно слиты в коде Bitcoin Core.

Примечательно, что в последних версиях официального клиента «биткойн-демон», выполняющие базовый код биткойн-узла, уже могут функционировать и без создания локального биткойн-кошелька.

Однако, пока разработчики «официального» клиента заняты обсуждением эзотерических вопросов масштабирования и прочими далекими от практики материями, разница в уровне безопасности между и новыми кошельками уже не в пользу Bitcoin Core, и она постоянно увеличивается, считает Херн:

«Bitcoin Core пока не стал даже иерархически-детерминированным кошельком, а уж тем более архаичным он выглядит по сравнению с любым настраиваемым HD-кошельком с функцией мультиподписи… Bitcoin Core безнадежно отстал от времени».

Удобство в использовании

Помимо всего прочего, при разработке криптозащитных технологий, по-прежнему приходится считаться с таким параметром, как удобство в эксплуатации. Извечный компромисс между безопасностью и удобством как и прежде актуален при создании криптокошельков.

Херн по этому поводу высказался следующим образом:

«Например, Bitcoin Authenticator  — это одна из самых передовых систем безопасности, но для того, чтобы ей воспользоваться, необходимо отсканировать QR код, ввести порядка 12 ключевых слов и так далее, и тому подобное. Этот процесс можно упростить, но такие усовершенствования потребуют времени».

По словам основателя кошелька Hive Дэвиса, самой серьёзной проблемой является повсеместное нарушение правил безопасности пользователями кошельков:

«Нам известно о том, что абсолютное большинство пользователей просто-напросто игнорирует 2 основных предписания касательно хранения изначальной кодовой фразы. Они просто пролистывают этот пункт, не обращая внимания на выделенные красным цветом предостережения», — говорит Дэвис.

Сегодняшние биткойн–кошельки гораздо более надежны, чем когда-бы то ни было, и в определенных отношениях они уже безопаснее традиционных банковских пластиковых карт. Ведь каждая операция с картой подразумевает раскрытие персональных данных, имени держателя и даже секретного кода – зачастую в небезопасном пространстве глобальной сети.

Тем не менее, в плане биткойн-безопасности еще многое предстоит сделать. Аппаратным устройствам есть куда совершенствоваться. Однако на данный момент, когда уровень технического развития криптовалютных сервисов существенно превосходит традиционные финансовые схемы, понимание вопросов безопасности пользователями и их ответственность в плане применения лучших практик защиты собственных криптоденег – вот та сфера, которая в первую очередь нуждается в трансформации.

Источник: CoinDesk 

Автор: Дэнни Брэдбери 



Categories: Безопасность, Важное, Технологии

Tags: , ,

Leave a Reply

20 Комментарий на "Новинки в сфере криптобезопасности"

Notify of
avatar
trackback
Буддакойн — путь к криптографическому просветлению | Bit•Новости

[…] на чердаке в параноидальном стиле Андерса Брейвика, Trezor… и так далее), что автоматически сведет количество […]

trackback
Биткойн порождает новые виды бизнеса | Bit•Новости

[…] кошельков с акцентом на приложения для третьих лиц, иерархически-детерминированные кошельки BIPS32 и веб-кошельки для […]

trackback
Биткойн порождает новые виды бизнеса | Bit•Новости

[…] кошельков, с акцентом на приложения для третьих лиц, иерархически-детерминированные кошельки BIPS32 и веб-кошельки для […]

Evgen
Гость

Подскажите кошелек или веб-кошелек в котором реализованы мультиподписи. В Multibit и Hive не нашел.

trackback
Чем отличаются биткойн-банки от кошельков | Bit•Новости

[…] существуют решения этой проблемы, на базе технологии мульти-подписей. Об одной из них мы уже как то писали. Суть технологии […]

foks17
Гость

Я проста чёнибуть напишу

БитГраммарНази
Гость

«Биткойн-адреса не могут использоваться повторно»

что за чушь? дальше даже читать не стал. статью писал ламер, который в матчасти не шарит. Биткойн-адреса МОГУТ использоваться сколько угодно раз. Другое дело, что официальный клиент генерит новый адрес после использования старого, но это не обязаловка, в протоколе нет такого. Исправьте это, дабы не вводить людей в заблуждение. Кто-то однажды это прочитав, потом будет нести этот бред в массы, уже сталкивался с такими адептами.

Дракорекс
Гость

Вот уж действительно, граммар наци. «Не могут» можно смело заменить на «только полные дебилы могут…» поскольку повторное использование биткойн-адреса, как известно, раскрывает публичный ключ к нему, что в условиях скорого прихода квантовых компьютеров просто небезопасно.

http://bitnovosti.com/2014/08/01/bitcoin-nsas-quantum-computer/

ВсёТотЖеГраммар
Гость
Наверно все кто собирает пожертвования на один адрес — дибилы? Ты так считаешь? «поскольку повторное использование биткойн-адреса, как известно, раскрывает публичный ключ к нему» Чел, у тебя НАГЛУХО каша в башке! Ты явно нихера не шаришь ни что такое хэширование, ни что такое ассиметричное шифрование. Смотри нигде на людях не скажи эту фразу, что я процитировал твою, тебя поднимут насмех, если не заплюют. Хоть загугли чтоли для приличия, что такое «публичный ключ» и чем чревато его «раскрытие» :)))) Ты своим комментом удвоил бред, написанный в этой статье. Меня ещё удивляет, что тебя кто-то плюсанул. Если тут сборище таких бестолочей, которые… Read more »
Дракорекс
Гость

Ну, ты почитал бы, что ли, как работают пары открытый-секретный ключ в эллиптической криптографии, и откуда берется так называемый «биткойн-адрес»: http://bitnovosti.com/2014/07/17/tak-chto-zhe-takoe-bitcoin/

Может, хоть в следующий раз не будешь выглядеть таким идиотом с необоснованными претензиями на образованность.

arvicco
Администратор

Неее ссооорьтесь, горяччие биткоойнские парни… 😉

Граммар
Гость

Никаких ссор, я только против искажения фактов и появления мифов в новой отрасли финансов 🙂

Граммар
Гость

«поскольку повторное использование биткойн-адреса, как известно, раскрывает публичный ключ к нему»

так ты объяснишь или нет, что ужасного в раскрытии ПУБЛИЧНОГО КЛЮЧА? чем это чревато? про эллиптические криптографии я читал много времени назад.

Дракорекс
Гость
При известном публичном ключе, эллиптическая криптография взламывается модифицированным квантовым алгоритмом Шора. Причем самое паршивое, что для такого взлома нужно в три раза меньше кубитов, чем для взлома RSA — всего 1300 кубитов, в то время как для взлома 2048-bit RSA — 4 тысячи. http://en.wikipedia.org/wiki/Elliptic_curve_cryptography#Quantum_computing_attacks Поскольку работающие квантовые компы на десятки кубитов уже существуют (а что там есть у NSA — вообще бог весть), взлом эллиптики — уже совсем не за горами. А вот для взлома хэш-функции эффективного квантового алгоритма нет. Поэтому, если врагам известен лишь биткойн-адрес (который, как известно, является хэшем публичного ключа), и он не используется повторно (первый же… Read more »
Dik
Гость

Какая флешка, вы попробуте сначала на ней запустить и обновить этот блокчейн, он на винте сейчас тянет это часами а на флешке время растянется в бесконечность. Я это проходил, и остановился пока на внешнем ssd диске. В идеале лучше отдельный комп с ссд не меньше 128 гиг, 64 уже почти не хватает.

Я
Гость

Gargamel, вы вполне можете сами установить дистр. Linux на флешку и Bitcoin Core , получится официальная защищенная ситема, только вот флешка дороговатая выйдет — один только блокчейн 25Гб ну и линукс около 5

Gargamel
Гость

А если серьёзно, то, во-первых, вы понятия не имеете, что я могу, а что нет. Во-вторых, речь идёт не обо мне. В третьих, цены на 64 гиговые флешки начинаются от 20 долларов, что не очень, на мой взгляд, дорого (впрочем, всё относительно, конечно). Короче… не буду переходить на личности.

Анонимно
Гость

Дороговато? Это если пользоваться биткойном расчитываясь за семечки, тогда дорого флешку на 30 гиг покупать. Но, блин, навряд в таком случаи твои копейки и воровать понадобиться кому то. Другое дело если ты уже взрослый человек, и каждый месяц получаешь зарплату, ну, хотя бы от 500$, тогда и флешку не западло купить, потратиться. Безопасность своих финансов куда важнее, верно?

Анонимно
Гость

3 флешки для RAID, не?

Gargamel
Гость

Всё это замечательно, но, как мне кажется, самым простым и логичным шагом было бы создание официального (!) загрузочного образа системы для работы с Биткойном. Это решило бы львиную долю проблем безопасности.

Правда есть одно затруднение — размер блокчейна. С другой стороны, сейчас все пользуются флешками и их объёмы вполне позволяют это реализовать.

wpDiscuz