Является ли безопасность доверенного корня серт слабое звено в BIP-70? В то время как BIP-70 предотвращает атаку MITM или заместительную атаку на стороне приемника он не работает, если система пользователя находится под угрозой. Если система пользователя скомпрометирован вредоносным (распространенный способ кражи биткойнов), то злоумышленник может кормить пользователя дезинформацию несколькими способами, включая предоставление ложной "доверенные корневые серт",
Казалось бы мне, что доверенный корневой сертификат должен был бы быть недоступны для злоумышленника, чтобы обеспечить любую реальную безопасность от самого очевидного вектора атаки. Я предполагаю, что неустановленное предположение о том, что пользователь будет использовать некоторый тип аппаратного устройства. Либо безопасный аппаратный Bitcoin кошелек, некоторые общего назначения ПКИ аппаратное устройство, т.е. TPM (доверенный платформенный модуль), или даже HSM. Я пропускаю что-нибудь?
|
|
||||||
14 января 2015, 4:58:22 PM
|
# 1 |
Сообщения: 1218
цитировать ответ |
Re: Является ли безопасность доверенного корня серт слабое звено в BIP-70?
Взлом Биткоин адресов.
500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru |
|
|
|
Как заработать Биткоины?
Без вложений. Не майнинг.
|
14 января 2015, 5:56:02 PM
|
# 2 |
Сообщения: 628
цитировать ответ |
Re: Является ли безопасность доверенного корня серт слабое звено в BIP-70?
Получил 1806 Биткоинов
Реальная история. Я согласен с этим, и это, к сожалению, общая проблема проверки PKI, учитывая отзывом не работает либо - также имеющие спецификацию внушая «отобразить "Распространенное имя" в первом сертификате Х.509», чтобы идентифицировать отправителя, вероятно, не поможет
Я в настоящее время тестирования такой схемы с нашим оборудованием бумажником, который может быть интересны в качестве ориентира при обсуждении этой темы, если он окажется успешным: https://ledgerhq.github.io/btchip-doc/bitcoin-technical-beta.html#_personal_bip_70_certificates_user_validation - Внешние пользователи могут выбрать доверять конкретные запросы, поступающие от оплаты известного безопасного корня, с их собственным определением безопасности. |
|
|
|
|
14 января 2015, 7:22:53 PM
|
# 3 |
|
Сообщения: 1652
цитировать ответ |
Re: Является ли безопасность доверенного корня серт слабое звено в BIP-70?
Если ваша система скомпрометирована, и вы используете одну подпись бумажник, то первый раз, когда вы разблокировать ваш кошелек все ваши монеты ушли.
корневые сертификаты не являются слабым звеном в этом случае; ключи находящиеся на одном устройстве является слабым звеном. |
|
|
|
|
16 января 2015, 1:00:01 AM
|
# 4 |
|
Сообщения: 137
цитировать ответ |
Re: Является ли безопасность доверенного корня серт слабое звено в BIP-70?
Если ваша система скомпрометирована, и вы используете одну подпись бумажник, то первый раз, когда вы разблокировать ваш кошелек все ваши монеты ушли. это котировка корневые сертификаты не являются слабым звеном в этом случае; ключи находящиеся на одном устройстве является слабым звеном. Правда, в этом случае корневые сертификаты не являются слабым звеном, но я могу думать о тех ситуациях, когда это будет. Доверяя корневой сертификат подразумевает доверие централизованного органа, выдавшего сертификат. Власть может быть поставлена под угрозу выдавать и подписывать фальшивые сертификаты для облегчения MITM атак. Правительства уже принуждают несколько центров сертификации в содействии MITM атаки на SSL / TLS в прошлом. Не говорю, что есть лучший способ обезопасить протокол оплаты, потому что я не знаю одного, только признавая тот факт, что в некоторых случаях доверяя корневой сертификат может быть ссылка недели в протоколе так же, как это может быть слабым звеном в SSL / TLS. |
|
|
|
|
16 января 2015, 3:42:42 PM
|
# 5 |
|
Сообщения: 1652
цитировать ответ |
Re: Является ли безопасность доверенного корня серт слабое звено в BIP-70?
Правда, в этом случае корневые сертификаты не являются слабым звеном, но я могу думать о тех ситуациях, когда это будет. Доверяя корневой сертификат подразумевает доверие централизованного органа, выдавшего сертификат. Власть может быть поставлена под угрозу выдавать и подписывать фальшивые сертификаты для облегчения MITM атак. Правительства уже принуждают несколько центров сертификации в содействии MITM атаки на SSL / TLS в прошлом. Даже в этом случае, сертификат "" слабое звено, не "" слабая связь. Подумайте, что бы не стащить нападение крадут-Bitcoins в случае multisig-кошелек: 1) Пользователь должен быть направлен на злоумышленник контролируемой оплаты веб-сайт. Это означает, что либо DNS-поиск скомпрометирован или соединение пользователя к сети Интернет скомпрометирован (слабая ссылка № 1). 2) Атакующий подает подписанный PaymentRequest с действительным сертификатом, подписанным органом скомпрометированы корневого сертификата (слабое звено № 2). Если злоумышленник может выполнить (1), то, скорее всего, они просто обслуживать до неподписанных платежных запросов от незащищенного сайта и пари, что пользователь не замечает отсутствие висячего замка в браузере пользовательского интерфейсе веба и соглашается платить неавторизованный Bitcoin адрес. В любом случае, я бы не сказал, что корневые сертификаты являются единственной точкой отказа. |
|
|
|
Как заработать Биткоины?
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Регистрация для новых участников, на данный момент не доступна. Просим извинения за временные неудобства.