[ПРЕДЛОЖЕНИЕ] Защищенный протокол оплаты | Биткоин форум

		Биткоин Форум > Разработка и Техническое Обсуждение
[ПРЕДЛОЖЕНИЕ] Защищенный протокол оплаты

12 декабря 2012, 9:55:10 PM	# 1
thanke Сообщения: 104 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Мы хотели бы предложить протокол оплаты с большим количеством интересных особенностей: Гомоморфные Адреса оплаты и Протокол Pay к Договору Это может представлять интерес для текущего текущего развития аппаратных кошельков, а также для реализации детерминированных кошельков. [Править] нить: Адрес назначения Анонимизация в Bitcoin [/РЕДАКТИРОВАТЬ]

Как заработать Биткоины?
Без вложений. Не майнинг.

12 декабря 2012, 10:24:00 PM	# 2
jgarzik Сообщения: 1484 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Получил 1806 Биткоинов Реальная история. Протокол оплаты уже разрабатывается, при участии нескольких на Bitcoin-разработки SourceForge списка рассылки. Видеть https://github.com/gavinandresen/paymentrequest для программного обеспечения или архивы списков рассылки для обсуждения http://comments.gmane.org/gmane.comp.bitcoin.devel/1574

13 декабря 2012, 12:01:37 AM	# 3
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Спасибо за тщательную и высококачественную бумагу. Я только успел отсканировать читать (почти 1Am здесь) и, возможно, более внимательно посмотреть позже. Надеюсь, другие могут комментировать. Моя основная мысль имея Сканирующим это то, что ваша система является гораздо более сложной, чем тот, что мы развиваемся из-за предположениями, что торговцы веб-сервер не должен иметь ключей подписи: котировка Для М, однако, это означает, что подписание закона не может быть сделано на W Но это не нормальное предположение - веб-сервер уже нуждается в закрытые ключи для установки SSL-сессий. Только ключи назначения SSL есть в нашей текущей спецификацией является обеспечение 2-го факторов может отображать человек-значимой личность, чтобы избежать замен атак на скомпрометированных компьютерах конечных пользователей. Работа с скомпрометированными веб-серверами не в области видимости для текущей работы, потому что если сервер разбивается и его SSL ключи украдены, хакер может так же переключаться из (некоторых) адреса он вендинговый к своему собственному. Это проще, чем украденные ключи подписать поддельные счета и попытаться заставить пользователей платить их, видя, как пользователи будут только подтвердить платеж, если они были на самом деле намерены платить, что купец в любом случае. В нашей текущей спецификации, а "квитанция" (Подтверждение оплаты) просто подписали требование об оплате плюс операцию, которые заплатили требуемую сумму запрашиваемых ключей и Merkle ветвей, связывающих их с лучшей цепью. Быть способным "отрывать" части квитанции действительно полезно, я думал об этом на днях в другом контексте. Но структурирование запрос об оплате в виде Merkle дерева является чрезмерно сложным, на мой взгляд. Это проще для продавцов, чтобы просто обеспечить несколько различных подписей, которые охватывают различные части структуры, например, одной подписи для всего, другой подписи, которая покрывает только требуемые выходы.

13 декабря 2012, 3:28:02 AM	# 4
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Ничего себе, большая бумага! Мне нравится идея о "законопроект" (Так называемый контракт ака "Платежный запрос") Определения адреса оплаты и ключ частной Bitcoin-подпись торговца или ключи хранятся с их веб-сервер. Я буду добавлять некоторые новоиспеченные мысли ниже на объединяясь текущее предложение PaymentRequest с вашими идеями. Используя дерево Меркла, чтобы выявить (или нет) часть законопроекта отличной идея, но я думаю, что ортогонален платежного протокола, и может быть универсальным способом кодирования любого документа. Я склонен согласиться с Майком, он чувствует, как комплексное решение то, что на самом деле не является проблема прямо сейчас (может быть, если мы когда-либо CyberCourts для разрешения споров между анонимными клиентами и продавцами, это будет полезно). PS: Я был удивлен: Код: Реализация с Bitcoin потребует особых усилий. Написание кода должно быть достаточно простым; получать все, чтобы согласиться с десятками деталей, мы должны работать будет больше, чем немного усилий. Таким образом, в протоколе PaymentRequest, SignedPaymentRequest содержит PaymentRequest, что вы знаете, пришли с веб-сервера продавца (используя в SSL / TLS / PKI / система X.509 сертификат, мы все согласны с тем это худший система PKI Существует, кроме всего другие, которые были опробованы): Код: SignedPaymentRequest pki_type = "x509" pki_data = ... цепочка сертификатов ... подпись = ... serialized_payment_request = ... PaymentRequest содержащих выходов, где оплата будет идти ... и т.д Как бумага указывает, если взломщик компрометирует веб-сервер, то они могут перенаправить биткойны на их кошелек. Было бы хорошо, если бы это было невозможно, и ваша статья показывает, как сделать это. В схеме PaymentRequest, один из способов сделать это может быть: Код: SignedPaymentRequest pki_type = "x509_homomorphic" pki_data = ... цепочка сертификатов ... подпись = ... serialized_payment_request = ... PaymentRequest не содержащий выходов ... и т.д сертификат торговца в цепочке сертификатов должен содержать свою базу Bitcoin открытого ключа (или как вы отмечаете в статье обобщен к "базовый сценарий"). Я думаю, что можно было бы сделать с помощью расширенного атрибута X.509 (кто-нибудь знает, если сертификат власть будет подписывать сертификаты, содержащие нестандартные расширения?). Клиент будет хэширования serialized_payment_request, объединить его с базовым ключом / сценарий, и оплатить этот адрес / сценарий. Список TODO для реализации проще "x509" платежные требования довольно долго (оцененная помощь по пути, см https://github.com/gavinandresen/paymentrequest/blob/master/TODO.txt ); реализации "x509_homomorphic" сделает его еще больше. Я думаю, что нам нужно сначала реализовать простой протокол, потому что я думаю, что маленькие торговцы хотят, чтобы повторно использовать существующие сертификаты веб-сервера вместо того, чтобы платить за новый "x509_homomorphic" Сертификат, который содержит их "Bitcoin идентичность" открытый ключ.

13 декабря 2012, 10:47:39 AM	# 5
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: Гэвин Андресен 13 декабря 2012 года, 3:28:02 AM сертификат торговца в цепочке сертификатов должен содержать свою базу Bitcoin открытого ключа (или как вы отмечаете в статье обобщен к "базовый сценарий"). Я думаю, что можно было бы сделать с помощью расширенного атрибута X.509 (кто-нибудь знает, если сертификат власть будет подписывать сертификаты, содержащие нестандартные расширения?). Насколько я знаю, они не будут (вы бы подписать структуры данных, содержащие произвольные вещи, которые вы не понимаете?) Но одна из вещей, которые я думал о том, для спецификации протокола после 1,0 оплаты является приращением лучше ИПК. Мы могли бы определить свой собственный тип CERT (Protobuf сообщение), который может подключиться на законцовки X.509 цепи, которая поддерживает любые функции, нам нужно. Тогда мы могли бы действительно положить ключ базы ECDSA в новый тип CERT. Было бы также позволить торговцам использовать их SSL сертификат, чтобы получить сертификаты более низкой мощности, что они могут раздать агент фирмы - сертификаты, которые могут быть использованы только для подписания платежей Bitcoin, и срок действия которых истекают гораздо быстрее, чем SSL-сертификаты будут. Просто получения один выход, используя математику EC аккуратный, но имеет большой недостаток - потеря приватности. Причина оплаты спецификации позволяет указать несколько выходов (и оплатить с несколькими транзакциями) так торговцы могут избежать раскрытия личной или деловой финансовой информации через шарнирную цепь. Это большая часть продаж них 50 BTC и вдруг один приходит, что это 2000 BTC (возможно, у вас есть только один хороший в продаже, что стоит, что много), то утечка информации, чтобы иметь выход 2000 BTC в блок цепи. Когда вы в следующий раз использовать его, чтобы купить что-нибудь, если предприятие вы подкупая знает, кто вы есть, они могут сделать вывод, что вы продали! Но если человек, который купил 2000 BTC хорошие растягивает платежи на несколько 50 BTC выходов в нескольких транзакциях, что утечка информации уходит. Учитывая тот факт, что в действительности, ключи SSL удерживаются в веб-серверах все время, я не уверен, компромиссные решения, представленные в том смысле, бумага макияжем. Кажется, лучше просто расширить X.509 цепь с собственными типами сертификатов.

13 декабря 2012, 5:23:58 PM	# 6
thanke Сообщения: 104 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: Майк Херн на 13 декабря 2012, 12:01:37 AM Моя основная мысль имея Сканирующим это то, что ваша система является гораздо более сложной, чем тот, что мы развиваемся из-за предположениями, что торговцы веб-сервер не должен иметь ключей подписи: котировка Для М, однако, это означает, что подписание закона не может быть сделано на W Я надеюсь, что ваша основная мысль не так и оплата за контракт (назовем его P2C) просто "немного более сложным, несмотря на предположения о том, что торговцы веб-сервер не должен иметь ключей подписи", Поскольку ничто не подписывается коммерсантом во время заказа, таким образом, вы можете также рассмотреть его как "менее сложный потому как предположения о том, что торговцы веб-сервер не должен иметь ключей подписи", Цитата: Майк Херн на 13 декабря 2012, 12:01:37 AM Но это не нормальное предположение - веб-сервер уже нуждается в закрытые ключи для установки SSL-сессий. Суть в том, что p2c нет SSL соединения не нужно больше. Пример: я иду в местную пекарню и хочу заказать торт на завтра. Пекарня неожиданно закрывается. Существует бумажка возлагали на двери. Он говорит, что торт стоит 1BTC и торт B стоит 2BTC. Существует также таблица печатается на нем с колоннами "адрес", "", "В", Я заполнить одну строку с (моим домашним адресом, 1, 0). Я отсканировать QR-закодированный Публичных на бумаге с моим телефоном, и, так как я уже делал покупки с этой пекарней или иным образом получил свой Публичный, мой телефон распознает Публичный и показывает мне имя пекарни, которой он связан с Публичный. Тогда я типа (домашний адрес, 1, 0) в мой телефон и подтвердить. На следующее утро у меня есть один торт в мою дверь. Все коммуникации между пекарней и меня могут быть подделаны с другими. Но что же они получают? Ничего, кроме отказа в обслуживании моего заказа. Я не могу иметь пирог, но могу показать пекарню моей квитанцию и получить свои деньги обратно. Они даже не могут обмануть пекарню в делать торты, что никто не заказанные. Так что, возможно, это не было настолько неожиданным, что пекарня была закрыта, потому что все их клиенты платят с Bitcoin Для интернет-мире это означает, что нам не нужно SSL соединение, потому что мы даже не нужно интерактивный соединения. Если вы являетесь продавцом, просто разместить свои бланки заказов где-то и ждать входящих контрактов, которые клиенты хотят выкупить. Проверьте, если они оплачены, а затем приступить к обработке заказа. Цитата: Майк Херн на 13 декабря 2012, 12:01:37 AM Только ключи назначения SSL есть в нашей текущей спецификацией является обеспечение 2-го факторов может отображать человек-значимой личность, чтобы избежать замен атак на скомпрометированных компьютерах конечных пользователей. С p2c вы все еще нуждаются в вашей 2-й фактор на стороне клиента и купец нуждается в какой-то сертификат. Дело в том, продавец не использование свидетельство о его подписать что-нибудь время заказа. Возможно, он может хотеть подписать форму заказа, прежде чем отправлять их. Цитата: Майк Херн на 13 декабря 2012, 12:01:37 AM Работа с скомпрометированных веб-серверов не в области видимости для текущей работы Намерение p2c, чтобы сделать его область применения.

13 декабря 2012, 5:43:59 PM	# 7
thanke Сообщения: 104 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: Гэвин Андресен 13 декабря 2012 года, 3:28:02 AM Мне нравится идея о "законопроект" (Так называемый контракт ака "Платежный запрос") Определения адреса оплаты и ключ частной Bitcoin-подпись торговца или ключи хранятся с их веб-сервер. Чуть больше, чем клиент может создать свой собственный PaymentRequest. Цитата: Гэвин Андресен 13 декабря 2012 года, 3:28:02 AM Используя дерево Меркла, чтобы выявить (или нет) часть законопроекта отличной идея, но я думаю, что ортогонален платежного протокола, и может быть универсальным способом кодирования любого документа. Я склонен согласиться с Майком, он чувствует, как комплексное решение то, что на самом деле не является проблема прямо сейчас (может быть, если мы когда-либо CyberCourts для разрешения споров между анонимными клиентами и продавцами, это будет полезно). Да, это ортогонально, поэтому можно пренебречь сейчас. Цитата: Гэвин Андресен 13 декабря 2012 года, 3:28:02 AM PS: Я был удивлен: Код: Реализация с Bitcoin потребует особых усилий. Написание кода должно быть достаточно простым; получать все, чтобы согласиться с десятками деталей, мы должны работать будет больше, чем немного усилий. Да, но если мы договариваемся о стандарте для «меченого бумажника», то это уже годно к употреблению. Это единственное, что строго необходимо сделать внутри клиента Bitcoin. Конечно, было бы лучше, чтобы согласовать другие детали, а также, как и структура договоров. Но только меченые бумажники реализованы вы уже можете сделать это: подключение к интернет-магазина без SSL, обратитесь в интернет-магазин отображения неподписанных PaymentRequest, вырезать и вставить его в клиент Bitcoin как «ярлыком», подтвердить купеческий базовый ключ и платить. Вы действительно хотите, чтобы базировать протокол платежа на иерархическую X.509 и корневые центры сертификации? Лично я чувствую большой дискомфорт с этим.

13 декабря 2012, 5:58:28 PM	# 8
thanke Сообщения: 104 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: Майк Херн на 13 декабря 2012, 10:47:39 AM Тогда мы могли бы действительно положить ключ базы ECDSA в новый тип CERT. Не только ключ база ECDSA но база шаблон сценария для прямых платежей multisig выходов. Если бы мы были заинтересованы только в базовых ключей ECDSA, мы не могли просто добавить secp256k1 в дополнение к P-256 в OpenPGP и распространять базовые ключи через веб-оф-доверие? Должно быть тривиальным изменить некоторые параметры кривых. [EDIT] Кажется, что ECDSA в OpenPGP для будущего, просто RFC еще. [/РЕДАКТИРОВАТЬ] Цитата: Майк Херн на 13 декабря 2012, 10:47:39 AM Просто получения один выход, используя математику EC аккуратный, но имеет большой недостаток - потеря приватности. Причина оплаты спецификации позволяет указать несколько выходов (и оплатить с несколькими транзакциями) так торговцы могут избежать раскрытия личной или деловой финансовой информации через шарнирную цепь. Это большая часть продаж них 50 BTC и вдруг один приходит, что это 2000 BTC (возможно, у вас есть только один хороший в продаже, что стоит, что много), то утечка информации, чтобы иметь выход 2000 BTC в блок цепи. Когда вы в следующий раз использовать его, чтобы купить что-нибудь, если предприятие вы подкупая знает, кто вы есть, они могут сделать вывод, что вы продали! Но если человек, который купил 2000 BTC хорошие растягивает платежи на несколько 50 BTC выходов в нескольких транзакциях, что утечка информации уходит. Как имеющие несколько выходов конфликта с математикой ЕС? Просто итерация некоторого числа внутри контракта. Запомните контракты всегда должны быть соленые на частную жизнь.

13 декабря 2012, 7:15:42 PM	# 9
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Я смущен. Вы возражая против использования X.509 сертификатов или нет? Если да, то где же ваше программное обеспечение получить доказуемую идентичность от? В вашем примере хлебопекарных вы замалчивать, что вы просто предположите, пользователи покупали там раньше и назначить пользовательские метки для магазинов ключевых. Если у пользователя есть зараженный компьютер и магазины в новом купцу, ваша схема не поможет, если запрос формы заказа / оплаты не имеет какой-то автономной проверяемым идентичности, прикрепленной к ней, это смысл для пользователя первый раз .... как SSL сертификат. Если компания владеет SSL сертификат, то почему бы не использовать его, чтобы обеспечить их веб-сайт тоже? Действительно ли мы хотим, чтобы препятствовать шифрованные веб-соединение? Будучи в состоянии создавать и подписывать платежные требования полностью в автономном режиме потенциально полезно в условиях взломанного веба-сервере, если у вас нет какой-либо другой общепринятой формы идентичности на этом сервере, который может быть использован для подписания платежных требований. К сожалению, как два SSL сертификаты эквивалентны, это означает, что только случай не-обеспеченных сайтов. Есть много причин, сайт, возможно, захотите использовать SSL за Bitcoin. Я не говорю, что идеи на бумаге плохо. Просто указывая на то, что на данный момент, для большинства торговцев / сайтов, было бы не сделать с практической точки зрения, потому что они не имеют отдельную идентичность, которая может быть использована только для платежей Bitcoin и не веб-соединений. Если мы сможем найти способ сделать это (приковав два сертификатов от выпущенного серт ??) было бы иметь гораздо более непосредственное влияние. Несмотря на это, будущее расширение, которое позволяет платежное требование содержит базовые ключи (в запрошенных скриптах), которые модифицированы клиентом по-прежнему является хорошей идеей. Это то, что может быть добавлен в обратной совместимости. Как говорит Гэвин, вы бы просто добавить некоторые новые флаги в сообщении запроса платежа о том, что часть выходных сценариев, где ключи должны идти, должны иметь ключ, генерируемый клиентом. Re: объем. Что касается, написание статьи не то же самое, как ее реализации во всех крупных клиентах. Имейте в виду, некоторые из наиболее широко используемых кошельков не поддерживают иерархические детерминированных бумажники на все еще, так что писать функции, предполагающие их просто задержать реализацию значительно. котировка Вы действительно хотите, чтобы базировать протокол платежа на иерархическую X.509 и корневые центры сертификации? Лично я чувствую большой дискомфорт с этим. Никто не любит его, но нет широко принят эквивалента. Люди бросают вокруг "Сеть доверия" как если бы этот подход не был даже больше, чем неудача ИПК. Покажите мне другой механизм, чтобы получить сертификат, утверждающий свою личность таким образом, что интуитивно для всех конечных пользователей. Я не знаю одного. ИПК означает, что если кто-нибудь узнает о моем сайте от друга говорят "эй, проверить mikes-widget-shop.com" и они просматривают к нему, они будут видеть "mikes-widget-shop.com" на их второй фактор устройства, истории транзакций и т.д. Это смысл - это соответствует личности их друг дал им. Если они видят "Майкс Widget Shop, Ltd" и мои права на владение этой строки была проверена кем-то заслуживающим доверия (товарных знаков и т.д.), что еще лучше! EV сертификаты стоят дорого и трудно получить, но явно не вне досягаемости для сообщества Bitcoin, blockchain.info имеет один, например. Во всяком случае, SSL PKI является основой, на которой мы можем построить, а не конец игры.

14 декабря 2012, 4:03:35 AM	# 10
etotheipi Сообщения: 1428 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа РЕДАКТИРОВАТЬ: удалил это сообщение, потому что он действительно принадлежал в своей теме:

14 декабря 2012, 10:13:58 AM	# 11
thanke Сообщения: 104 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: Майк Херн на 13 декабря 2012 года, 7:15:42 PM Я смущен. Вы возражая против использования X.509 сертификатов или нет? До сих пор ни. Как вы сказали, бумага, а также на примере хлебопекарни не обсуждает, как вы получите доказуемую идентичность от. Я вернусь к этому в конце. Некоторые комментарии в первую очередь. Цитата: Майк Херн на 13 декабря 2012 года, 7:15:42 PM Если компания владеет SSL сертификат, то почему бы не использовать его, чтобы обеспечить их веб-сайт тоже? Я полагаю, вы имеете в виду X.509 CERT со всеми Bitcoin определенными расширениями, которые в настоящее время обсуждаются, а не стандартный SSL Cert? Я спрашиваю, потому что я думаю о "Bitcoin CERT" как нечто более универсальное, чем "SSL сертификат", Да, Bitcoin сертификат может быть использован компанией также для обеспечения их веб-сайта, а также для обеспечения их вендинг / кассира / и т.д. машины, которые работают без SSL. Я не хочу, чтобы препятствовать SSL соединения, когда они возможны. Моя единственная точка является не подписывать платежные адреса во время заказа с SSL серт. Bitcoin сертификат может подписать слабый SSL сертификат, который затем крепит соединение. И PaymentRequest может быть частично подписан, даже во время заказа, с некоторыми слабыми (сертификатами сертифицировать что-то вроде "да, у нас есть этот пункт в наличии"). Просто адрес платежа не должен быть подписан (и, следовательно, могут быть удалены ALLtogether из PaymentRequest, потому что клиент получает адрес оплаты). Кстати, получение адреса платежа из сырого PaymentRequest (сырье = не содержащий адрес оплаты еще) может взаимодействовать с предыдущим протоколом, где продавец генерирует адрес оплаты. Так что да, как вы говорите, это может иметь обратную совместимость и клиент генерироваться платежные адреса будут просто продолжение. Цитата: Майк Херн на 13 декабря 2012 года, 7:15:42 PM Просто указывая на то, что на данный момент, для большинства торговцев / сайтов, было бы не сделать с практической точки зрения, потому что они не имеют отдельную идентичность, которая может быть использована только для платежей Bitcoin и не веб-соединений. Большинство торговцев не принимают Bitcoin. Разве мы достаточно рано в принятии используется при загрузке инфраструктуры для проверки подлинности "Bitcoin тождества"? Лучше сейчас, чем позже. Цитата: Майк Херн на 13 декабря 2012 года, 7:15:42 PM Имейте в виду, некоторые из наиболее широко используемых кошельков не поддерживают иерархические детерминированных бумажники на все еще, так что писать функции, предполагающие их просто задержать реализацию значительно. Нам не нужны иерархическая детерминированные бумажники. Тип 2 детерминированные бумажники, которые уже реализованы достаточно. Просто согласитесь, как кодировать строки с номерами 256bit, вот и все. Цитата: Майк Херн на 13 декабря 2012 года, 7:15:42 PM Люди бросают вокруг "Сеть доверия" как если бы этот подход не был даже больше, чем неудача ИПК. Что именно "Сеть доверия", Являются ли ключи распределения PGP в моем менеджере пакетов "Сеть доверия"? Цитата: Майк Херн на 13 декабря 2012 года, 7:15:42 PM Покажите мне другой механизм, чтобы получить сертификат, утверждающий свою личность таким образом, что интуитивно для всех конечных пользователей. Для все-Bitcoin интегрированного решения, мы можем распределить звенья строки в Публичный через blockchain. Строки могут быть окрашены монетами и адрес, который в настоящее время является владельцем, что цветная монета определяет Публичную, связанные с этой строкой. Оригинальный владелец ""Майкс Widget Shop, Ltd" является Публичным Г["Майкс Widget Shop, Ltd"]: = Hash256 ("Майкс Widget Shop, Ltd")*Г где G некоторая произвольная базовая точка, что мы все согласны и чей privkey является публичным. Поскольку адрес G ["Майкс Widget Shop, Ltd"] Не появляется на blockchain нет владельца. Если вы делаете сделку с G ["Майкс Widget Shop, Ltd"] В свой собственный адрес, то вы передали эту строку / цветные монеты вашего владения. Если вы хотите обновить ключ или продать строку, перейти на цветную монету.

14 декабря 2012, 11:13:23 AM	# 12
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: thanke 14 декабря 2012, 10:13:58 AM Я полагаю, вы имеете в виду X.509 CERT со всеми Bitcoin определенными расширениями, которые в настоящее время обсуждаются, а не стандартный SSL Cert? Нет, я имел в виду в SSL сертификат. Мы не specced из какой "Bitcoin CERT" будет означать или быть (до сих пор протокол оплаты в значительной степени сотрудничество между Гэвином и я с некоторым входом от остальных). Мы не имеем способ сделать более слабые сертификаты прямо сейчас. Может быть, есть какой-то способ, которым мы можем манипулировать PKIX протоколы / алгоритмы, чтобы получить то, что мы хотим, но, по крайней мере, с кодом, который мы написали, платежные требования подписываются используя обычный старый SSL сертификаты. Цитата: thanke 14 декабря 2012, 10:13:58 AM Большинство торговцев не принимают Bitcoin. Разве мы достаточно рано в принятии используется при загрузке инфраструктуры для проверки подлинности "Bitcoin тождества"? Лучше сейчас, чем позже. Мы приняли решение довольно рано, чтобы не решать это, по крайней мере, не в данный момент. Построение лучших ИКА много работы и Bitcoin всегда рабочая сила ограниченно. Просто применение простого сертификат SSL на основе протокола оплаты будет много работы. Поэтому мы хотим, чтобы попытаться думать о будущем, убедитесь, что мы не закрываем все двери, но получить что-то из двери и развернуты как можно быстрее. Идеальный враг хорошего, и все это. Гэвин прикладывая усилие в это, потому что одна из его главных приоритетов является 2-фактор монеты. Это не имеет большого смысла иметь 2-фактор монетку, если второй фактор не может проверить личность получателя о том, что он попросил подписать, следовательно, нам нужен протокол оплаты первым. Так что сейчас это просто средство для достижения цели. котировка Для все-Bitcoin интегрированного решения, мы можем распределить звенья строки в Публичный через blockchain. Это отличная идея, но я не вижу, как эффективно реализовать, что в SPV клиентов. Кроме того, дьявол кроется в деталях. Если "идентичность" любая произвольная непроверенная строка, то это можно играть все виды игр. Например, если я взломать торговец с помощью "Майк Виджет магазин" то я мог бы подписать платежные требования в рамках всех видов идентичностей, 99% пользователей будут слепо принимать: "Майк Widget Shop, Inc" "Майк Виджет магазин " "Майкс Widget Магазин" "Майк Виджеты Магазин" "mikes-widget-shop.com" "Майк виджет магазин" "Майк виджет магазин<Управляющие символы юникода>" и т.д. Есть только тонны различных способов, которыми я могу претендовать идентичности, сходные с существующими. Все эти возможные атаки должны быть продуманы и разработаны меры противодействия. Это просто тонна работы. DV сертификаты по крайней мере, требуют доказательства контроля над доменным именем, которое, вероятно, соответствует одному пользователю набранного и EV сертификаты требуют фактически доказать контроль над юридически зарегистрированным лицом, так что это труднее получить тот, который утверждает, вы призваны "Amaz0n Inc", Насколько сложнее, я думаю, что этот вопрос остается открытым, но бар, безусловно, выше, чем "просто зарегистрировать строку", По этим и другим причинам, которые мы уже приняли решение идти с SSL-сертификатов для v1, несмотря на многие проблемы. В дальнейшем, мы можем построить либо расширения для SSL PKI или совершенно новые параллельные из них.

14 декабря 2012, 2:37:04 PM	# 13
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: Майк Херн на 14 декабря 2012, 11:13:23 AM По этим и другим причинам, которые мы уже приняли решение идти с SSL-сертификатов для v1, несмотря на многие проблемы. В дальнейшем, мы можем построить либо расширения для SSL PKI или совершенно новые параллельные из них. Что сказал Майк. Построение новой инфраструктуры PKI является наиболее определенно выходит за рамки прямо сейчас. Но если кто-то хочет, чтобы возглавить усилия, чтобы получить УЦ, чтобы дополнительные открытые ключи в сертификатах, которые они выдают ... что может быть полезным. Опять же, может быть, не-- DNSSEC / МОНОПОРОДНЫЙ может сделать УЦ устаревшим.

14 декабря 2012, 5:23:02 PM	# 14
thanke Сообщения: 104 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Спасибо за обмен прозрения, как решения, принятые до сих пор о протоколе оплаты произошли. Цитата: Майк Херн на 14 декабря 2012, 11:13:23 AM котировка Для все-Bitcoin интегрированного решения, мы можем распределить звенья строки в Публичный через blockchain. Если "идентичность" любая произвольная непроверенная строка, то это можно играть все виды игр. Например, если я взломать торговец с помощью "Майк Виджет магазин" то я мог бы подписать платежные требования в рамках всех видов идентичностей, 99% пользователей будут слепо принимать: "Майк Widget Shop, Inc" "Майк Виджет магазин " "Майкс Widget Магазин" "Майк Виджеты Магазин" "mikes-widget-shop.com" "Майк виджет магазин" "Майк виджет магазин<Управляющие символы юникода>" и т.д. Есть только тонны различных способов, которыми я могу претендовать идентичности, сходные с существующими. Нет, я не имею в виду, что вы, как пользователь ака клиента, получить запрос на оплату для псевдонима первого и тогда начать смотреть вверх, что Публичный псевдоним. Другой путь, поэтому я имел в виду, что Bitcoin CERT (что когда-либо это, оплата CERT) является более высоким уровнем, чем сертификат SSL. Вместо этого: Цитата: Майк Херн на 14 декабря 2012, 11:23:36 AM Код: Root CA -> Intermediate CA -> сертификат foo.com (X) -> Свидетельство ребенка foo.com (Y) Root CA -> Intermediate CA -> сертификат foo.com (X) -> Bitcoin конкретного сертификата (Z) У нас есть это: Код: Root CA -> .. -> сертификат Foo платеж (X) Root CA -> .. -> сертификат Foo платеж (X) -> foo.com сертификат SSL Root CA -> .. -> сертификат Foo платеж (X) -> Сертификат SSL foo.eu Root CA -> .. -> сертификат Foo платеж (X) -> Foo другие вещи (например, DNS информация) ... Сначала LookUp псевдоним, например, «Амазонка». Это приводит к blockchain поиска и поиск, чтобы где-то еще для производных сертификатов, а затем открывает Bitcoin-клиент и браузер. Опечатки, как «amazonn» результат в одних и тех же проблем, как они это делают сейчас. Цитата: Майк Херн на 14 декабря 2012, 11:13:23 AM Это отличная идея, но я не вижу, как эффективно реализовать, что в SPV клиентов. Есть центры сертификации, которые копируют данные. Торговцы зарегистрировать псевдоним «амазонки» сначала в blockchain, затем с CA. CA принимает Публичный от blockchain и производит сертификат, т.е. подписывает пару (псевдоним, Публичный) со своим собственным ключом. Ключ CA может сам по себе быть псевдонимом в blockchain. Но SPV клиенты могут просто принять сертификат. Оба способа проверки могут сосуществовать. Для очень важных вещей, которые пользователь может захотеть выбрать для запроса blockchain сам. Это устраняет корневые центры сертификации. Преимущества: УЦ стать дешевым и бесплатным. Свободное в смысле выдачи любого рода расширенной серт они хотят. Я согласен с эмиссионного etothepi поднятым в другом потоке: мы не можем полностью полагаться на УЦ с Bitcoin. Повреждение скомпрометированной CA слишком велико. Это в отличие от электронной коммерции на основе традиционной банковской системы.

14 декабря 2012, 5:52:10 PM	# 15
justusranvier Сообщения: 1400 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: thanke от 14 декабря 2012 года, 5:23:02 PM Торговцы зарегистрировать псевдоним «амазонки» сначала в blockchain Это то, что делает namecoin?

16 декабря 2012, 8:56:08 AM	# 16
thanke Сообщения: 104 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: Гэвин Андресен 14 декабря 2012 года, 2:37:04 PM Опять же, может быть, не-- DNSSEC / МОНОПОРОДНЫЙ может сделать УЦ устаревшим. Что делать, если вы хотите вести без DNS-запросов? Certs работать в автономном режиме, тоже.

16 декабря 2012, 9:02:04 AM	# 17
thanke Сообщения: 104 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: justusranvier от 14 декабря 2012 года, 5:52:10 PM Цитата: thanke от 14 декабря 2012 года, 5:23:02 PM Торговцы зарегистрировать псевдоним «амазонки» сначала в blockchain Это то, что делает namecoin? В принципе, да. Отличия namecoin бы: * Нет альт-цепь * Нет ограничений на количество регистраций псевдонимов в блок * Псевдоним регистрация не узнаваема как таковые, выглядит сделка произвольном * Вы можете поиск в Публичном данном псевдониме (или см Thats это еще не зарегистрировано), но это было бы невозможно, чтобы получить список всех зарегистрированных псевдонимов

16 декабря 2012, 12:14:46 PM	# 18
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа подписи DNSSEC не концептуально не отличается от подписи SSL - они образуют иерархию, в корне доверия. В DNSSEC есть только один корень доверия, сервера корневого домена, в то время как в SSL есть много. Таким образом, вы можете взять DNSSEC ключей / подпись и вставлять их в других контекстах: http://www.imperialviolet.org/2011/06/16/dnssecchrome.html На самом деле эта поддержка была вынута из Chrome из-за отсутствия использования. Но принцип тот же. Вы могли бы еще платежи, которые могут быть верифицированы автономно. Основная проблема заключается в том, что DNSSEC подпись истекает довольно быстро. Но я полагаю, бумажник программного обеспечение может выбрать быть рыхлыми о истечении в некоторых случаях, если это необходимо.

16 декабря 2012, 8:25:10 PM	# 19
abacabadabacaba Сообщений: 13 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: jgarzik 12 декабря 2012, 10:24:00 PM Протокол оплаты уже разрабатывается, при участии нескольких на Bitcoin-разработки SourceForge списка рассылки. Видеть https://github.com/gavinandresen/paymentrequest для программного обеспечения или архивы списков рассылки для обсуждения http://comments.gmane.org/gmane.comp.bitcoin.devel/1574 Предлагаемый протокол там имеет ряд недостатков. Во-первых, он предполагает, что веб-сервер торговца не будет нарушена. Майк Херн сказал, что сервер должен иметь доступ к закрытому ключу SSL, поэтому, если она скомпрометирована, игра окончена. Однако, это не так: терминации SSL может быть выполнена на машине, отличной от той, под управлением веб-сервера. Даже если это делается на ту же машину, веб-приложение, как правило, работает с ограниченными правами, поэтому они не могут получить доступ к SSL закрытого ключа. Однако в предлагаемом платежном протоколе, приложение, запущенное на сервере требуется доступ к секретному ключу, чтобы иметь возможность подписать PaymentRequests. Если это приложение взломано, является ключевым. Во-вторых, этот протокол не может быть надежно использоваться в автономном бумажнике, потому что структура оплаты не подписан, поэтому он может быть изменен онлайн компьютер скомпрометирован клиента. Изменения refund_to атрибута кажутся наиболее опасными. Кроме того, продавец может отказаться от оплаты, но до сих пор транслируются транзакции (возможно, после некоторой задержки). Насколько я понимаю, предложение thanke не имеет ни одного из этих недостатков. Кроме того, он не зависит от традиционных ИПК. Продавцы могут подписывать свои главные ключи с SSL сертификаты, сертификаты GPG или даже обоих. Таким образом, нормальный клиент может проверить ключ с использованием сертификата SSL торговца, но параноидальный клиент, который не доверяет правительству и ЦУ, но доверяет GPG WOT, может проверить ключ с помощью GPG торговца.

17 декабря 2012, 9:30:08 AM	# 20
Майк Хирн Сообщения: 1526 Цитировать по имени цитировать ответ	Re: [предложение] Secure протокола платежа Цитата: abacabadabacaba от 16 декабря 2012 года, 8:25:10 PM терминации SSL может быть выполнена на машине, отличной от той, под управлением веб-сервера. Даже если это делается на ту же машину, веб-приложение, как правило, работает с ограниченными правами, поэтому они не могут получить доступ к SSL закрытого ключа. Это очевидно. Если у вас есть отдельные машины, вы можете, конечно, запрос запуска оплаты подписания на них, а также, и есть, что машина сделать некоторые основные здравомыслие проверки, чтобы избежать подписания явно фиктивные запросы (т.е. адресов, которые не принадлежат торговцу). То же самое для compartmentalizing использования отдельных учетных записей пользователей, SELinux, доверенных вычислений и т.д. "скомпрометированы веб-сервер" сценарий применяется для мелких торговцев, где все делается на одной машине, по соображениям стоимости, которая сегодня описывает большинство Bitcoin прием продавцов. котировка Во-вторых, этот протокол не может быть надежно использоваться в автономном бумажнике, потому что структура оплаты не подписан, поэтому он может быть изменен онлайн компьютер скомпрометирован клиента. Сами транзакции не могут быть изменены. Я полагаю, один из ключей ТХ может использоваться для подписи атрибута refund_to, как хорошо, но я сомневаюсь, что любой вирус, чтобы получить прибыль от злонамеренно изменений адреса возврата. Возврат деньги не должны быть общими. Это простое расширение, чтобы подписать остальную часть оплаты с помощью ключа, используемого в сделках, хотя. Гэвин может сделать вызов. котировка Кроме того, он не зависит от традиционных ИПК. Продавцы могут подписывать свои главные ключи с SSL сертификаты, сертификаты GPG или даже обоих. Таким образом, нормальный клиент может проверить ключ с использованием сертификата SSL торговца, но параноидальный клиент, который не доверяет правительству и ЦУ, но доверяет GPG WOT, может проверить ключ с помощью GPG торговца. Как только закодировать сертификаты открытых ключей в любом случае, ничто не мешает вам напрямую импортировать сертификаты в местный магазин доверия и решении вы доверяете им из-за WoT вместо цепи до корневого центра сертификации На практике в основном никто не использует сеть доверия. Поэтому этот режим работы не имеет большого значения, но это может быть сделано, если вы хотите.

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW