DeckWallet: ищет обратную безопасность и комментарии | Биткоин форум

		Биткоин Форум > Разработка и Техническое Обсуждение
DeckWallet: ищет обратную безопасность и комментарии

24 марта 2015, 11:07:51 PM	# 1
EcuaMobi Сообщения: 1274 Цитировать по имени цитировать ответ	Re: DeckWallet: ищу обратную безопасность и комментарии Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Я разработал приложение для Android, чтобы легко и безопасно хранить биткойны в колоде карт: Объявление \| Гугл игры Я хотел бы некоторую обратную связь от опытных пользователей, особенно в отношении безопасности. Вот как это работает: Введенные карты преобразуются в 2-символьных строк и конкатенации. К примеру 3 из очагов представлены как 3H. 10, Джек, Королева и король представлены как T, J, Q и K соответственно. Если пароль введен, он предварительно затрачиваемая на результирующую строку. Пример семян: myPasswordAH4CTS9D ... KHQS Первый адрес вычисляется как адрес головного мозга, используя SHA256 из полного генерируемого семени. Результат такой же, как вручную вводить полную строку в http://bitaddress.org или другой подобный инструмент. Второй адрес вычисляется из семени, за исключением первая карта перемещается в конец (пример: myPassword4CTS9D ... KHQSAH) Третий адрес вычисляется из семени, за исключением первых 2-х карт перемещаются к концу (пример: myPasswordTS9D ... KHQSAH4C) и так далее. Чтобы проверить сгенерированный кошелек, двойная SHA256 полного семени временно хранится в оперативной памяти. Ничто не хранится постоянно и ничего не отправлено или получено через Интернет (приложение не имеет разрешения, чтобы сделать это). Подробнее здесь: Пожалуйста, оставьте свои комментарии. Я буду рассматривать их обновить проект.

Как заработать Биткоины?
Без вложений. Не майнинг.

26 марта 2015, 1:40:16 AM	# 2
DeathAndTaxes Сообщения: 1218 Цитировать по имени цитировать ответ	Re: DeckWallet: ищу обратную безопасность и комментарии Получил 1806 Биткоинов Реальная история. Две идеи: 1) Вы можете использовать KDF с многораундовым хэшированием вместо одного хэша. 2) Вместо того чтобы генерировать адреса из семян используют семена, чтобы генерировать весь HD бумажник.

26 марта 2015, 3:22:08 AM	# 3
EcuaMobi Сообщения: 1274 Цитировать по имени цитировать ответ	Re: DeckWallet: ищу обратную безопасность и комментарии Цитата: DeathAndTaxes от 26 марта 2015 года, 1:40:16 AM Две идеи: 1) Вы можете использовать KDF с многораундовым хэшированием вместо одного хэша. 2) Вместо того чтобы генерировать адреса из семян используют семена, чтобы генерировать весь HD бумажник. Благодарю. Мне нравится идея генерации HD бумажник, чтобы сделать его совместимым с другими кошельками и генерировать неограниченное количество адресов. Скорее всего, я реализую его в ближайшее время. К сожалению, что новая версия не будет совместима с текущим, так что я должен справиться с этим правильно, чтобы нынешние пользователям восстановить свои монеты. Любые комментарии по поводу безопасности? Видите ли вы какие-либо проблемы Сберегательного большие суммы монет таким образом?

26 марта 2015, 3:42:10 AM	# 4
andytoshi Сообщения: 170 Цитировать по имени цитировать ответ	Re: DeckWallet: ищу обратную безопасность и комментарии Цитата: EcuaMobi от 26 марта 2015 года, 3:22:08 AM Любые комментарии по поводу безопасности? Видите ли вы какие-либо проблемы Сберегательного большие суммы монет таким образом? Шифропанк во мне любит стеганографию, но это, кажется, действительно хрупко в том смысле, что небольшие аварии могут привести к огромным потерям. (Я знаю, что это очевидно, но кто-то нужно сказать, что на первой странице этой темы)

26 марта 2015, 3:47:50 AM	# 5
EcuaMobi Сообщения: 1274 Цитировать по имени цитировать ответ	Re: DeckWallet: ищу обратную безопасность и комментарии Цитата: andytoshi 26 марта 2015, 03:42:10 AM Цитата: EcuaMobi от 26 марта 2015 года, 3:22:08 AM Любые комментарии по поводу безопасности? Видите ли вы какие-либо проблемы Сберегательного большие суммы монет таким образом? Шифропанк во мне любит стеганографию, но это, кажется, действительно хрупко в том смысле, что небольшие аварии могут привести к огромным потерям. (Я знаю, что это очевидно, но кто-то нужно сказать, что на первой странице этой темы) Что вы имеете в виду маленькие несчастные случаи? Как потерять карты или сжечь их? Именно поэтому рекомендуется по крайней мере, второй экземпляр. Проверьте апп. нить. Я прошу мнение безопасности, связанное с самим приложением.

26 марта 2015, 3:50:27 AM	# 6
andytoshi Сообщения: 170 Цитировать по имени цитировать ответ	Re: DeckWallet: ищу обратную безопасность и комментарии Не только их потерять, но перетасовки их (или заставляя их перемешаны, например, путем сбрасывания их). Или принимать их через службу безопасности аэропорта на следующий день после того, как кто-то в новостях скрывающей секретные сообщения в порядками карты. Но, конечно, я получить свою точку зрения. Я перестать жаловаться об этом.

26 марта 2015, 5:32:19 PM	# 7
Cryddit Сообщения: 840 Цитировать по имени цитировать ответ	Re: DeckWallet: ищу обратную безопасность и комментарии Цитата: EcuaMobi от 26 марта 2015 года, 3:47:50 AM Что вы имеете в виду маленькие несчастные случаи? Как потерять карты или сжечь их? Именно поэтому рекомендуется по крайней мере, второй экземпляр. Проверьте апп. нить. Я прошу мнение безопасности, связанное с самим приложением. Как участник гостя, который хочет играть Gin Rummy заметив колоду карт, сидя на книжной полке и блуждает в вашем кабинете или спальне или любой другой приватной зоне, чтобы получить их ...

26 марта 2015, 8:38:27 PM	# 8
Происходит вокруг Сообщения: 280 Цитировать по имени цитировать ответ	Re: DeckWallet: ищу обратную безопасность и комментарии Цитата: Cryddit от 26 марта 2015 года, 5:32:19 PM Цитата: EcuaMobi от 26 марта 2015 года, 3:47:50 AM Что вы имеете в виду маленькие несчастные случаи? Как потерять карты или сжечь их? Именно поэтому рекомендуется по крайней мере, второй экземпляр. Проверьте апп. нить. Я прошу мнение безопасности, связанное с самим приложением. Как участник гостя, который хочет играть Gin Rummy заметив колоду карт, сидя на книжной полке и блуждает в вашем кабинете или спальне или любой другой приватной зоне, чтобы получить их ... Вы можете запомнить порядок или записать порядок и зашифровать его с GPG просто для удовольствия.

26 марта 2015, 9:56:55 PM	# 9
DeathAndTaxes Сообщения: 1218 Цитировать по имени цитировать ответ	Re: DeckWallet: ищу обратную безопасность и комментарии Цитата: EcuaMobi от 26 марта 2015 года, 3:22:08 AM Цитата: DeathAndTaxes от 26 марта 2015 года, 1:40:16 AM Две идеи: 1) Вы можете использовать KDF с многораундовым хэшированием вместо одного хэша. 2) Вместо того чтобы генерировать адреса из семян используют семена, чтобы генерировать весь HD бумажник. Благодарю. Мне нравится идея генерации HD бумажник, чтобы сделать его совместимым с другими кошельками и генерировать неограниченное количество адресов. Скорее всего, я реализую его в ближайшее время. К сожалению, что новая версия не будет совместима с текущим, так что я должен справиться с этим правильно, чтобы нынешние пользователям восстановить свои монеты. Любые комментарии по поводу безопасности? Видите ли вы какие-либо проблемы Сберегательного большие суммы монет таким образом? Я не видел никаких прямых вопросов. Одно круглые хэшировании хорошо и нуждаясь в колоде рода делает это как система два фактора, но один раунд из функции быстрой, как SHA-256 не подходит для хэширования пароля. Brute принуждая пароли проще для злоумышленника, поскольку одна попытка так быстро. Именно поэтому я предложил KDF, такие как PBKDF как это обеспечит дополнительную защиту от умеренно слабых паролей (клавиша растяжения). Тем не менее это всего лишь предположение. В качестве опции пользователя вы можете рассмотреть возможность пользователю ввести колоду и выбрать для вывода ~~BIP32~~ BIP-39 Мнемоника семян. Это обеспечивает удобный способ генерации (без использования ПСЧА) и резервного копирования любого кошелька, который использует BIP-39 семена (например, Трезор). Не каждый доверяет PRNGs но генерируя семя от карты, костей или монет вручную может привести к путанице. Приложение, которое делает его легко взять колоду карт и производить безопасные семена высокой энтропии было бы полезно. Я бы рекомендовал его (если проверяемый).

27 марта 2015, 1:14:26 AM	# 10
EcuaMobi Сообщения: 1274 Цитировать по имени цитировать ответ	Re: DeckWallet: ищу обратную безопасность и комментарии Цитата: DeathAndTaxes от 26 марта 2015 года, 9:56:55 PM Я не видел никаких прямых вопросов. Одно круглые хэшировании хорошо и нуждаясь в колоде рода делает это как система два фактора, но один раунд из функции быстрой, как SHA-256 не подходит для хэширования пароля. Brute принуждая пароли проще для злоумышленника, поскольку одна попытка так быстро. Именно поэтому я предложил KDF, такие как PBKDF как это обеспечит дополнительную защиту от умеренно слабых паролей (клавиша растяжения). Тем не менее это всего лишь предположение. В качестве опции пользователя вы можете рассмотреть возможность пользователю ввести колоду и выбрать для вывода ~~BIP32~~ BIP-39 Мнемоника семян. Это обеспечивает удобный способ генерации (без использования ПСЧА) и резервного копирования любого кошелька, который использует BIP-39 семена (например, Трезор). Не каждый доверяет PRNGs но генерируя семя от карты, костей или монет вручную может привести к путанице. Приложение, которое делает его легко взять колоду карт и производить безопасные семена высокой энтропии было бы полезно. Я бы рекомендовал его (если проверяемый). Что касается одного раунда хеширования я выбрал этот метод, чтобы сделать его совместимым с кошельками мозга. Тот путь пользователи могут получить свои монеты, даже без приложения (хотя этот процесс является гораздо более сложным, конечно). Они могут просто написать свой пароль с последующим упорядочением карты (например: myPassword4CTS9D ... KHQSAH) И получить адрес Вот. До сих пор главная особенность безопасности является упорядочением карты, а не пароль, на самом деле позже не является обязательным. Злоумышленник должен иметь реальную колоду карт даже попробовать брут пароль, если установлен. Я считаю, что пароль в качестве 2fa, а не наоборот. Мне нравится идея мнемонические BIP-39 очень много. Я определенно буду реализовывать, что, когда у меня есть какое-то время. Я также как приложение, чтобы либо порождающее / экспорт открытого ключа мастер (для депозитов и проверки баланса), список первых X адресов, фактический мнемоника или индивидуальный секретный ключ для одного адреса. Таким образом, даже если один адрес погашается весь кошелек не должен быть отброшен, так как мнемонические и другие ключи никогда не были на сайте. Что касается вашей последней фразы (если проверяемый), я хочу, чтобы убедиться, что это 100% проверяемым. В настоящее время меры, которые я взял являются: - Код с открытым исходным кодом. - Опубликовано приложение не запутывается, поэтому он может быть де-компиляции. - Нет доступа к сети Интернет. Любые другие рекомендации, чтобы сделать его проверяемым? Скорее всего, я буду добавлять 2 режима в настройках: "Мозг кошелек" (Как это работает сейчас) и "BIP-39" (Который будет по умолчанию).

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW