Шифрование бумажник ошибка нашел (ВАЖНО!)

Серьезная ошибка была была найдена в "шифровать бумажник" функция Bitcoin версий 0.4 и 0.5: частные ключи могут быть оставлены в незашифрованном виде в файле wallet.dat после шифрования.

Если ваш зашифрованный файл 0,4 бумажника украден, злоумышленник может быть в состоянии восстановить все или некоторые из ваших личных ключей и украсть все или некоторые из вашего Bitcoins.

Команда разработчиков работает над исправлениями для Bitcoin версий 0.4 и 0.5, но это займет по крайней мере несколько дней, чтобы проверить их тщательно. Пока они не доступны, вы должны считать, что ваши «зашифрованными» бумажники же уязвимы, как незашифрованном бумажник, и следовать всем лучшим практикам для поддержания их в безопасности (см здесь для списка).

Это неудобно и удивительно, что эта критическая ошибка, не была поймана до выхода 0,4; конструктивные предложения о том, как улучшить процессы тестирования и освобождения, которые не предполагают доступ к сотням тысяч долларов средств, чтобы нанять консультантов безопасности или контроля качества команд приветствуются. Получение достаточного тестирования кода перед его выпуском было хронической проблемой для этого проекта.

Очень ценю уведомление, Гэвин. Спасибо!

Спасибо за хедз-апе. Мы ценим вашу напряженную работу.

Эта проблема может быть "работал вокруг" генерируя новый адрес и отправить все Bitcoin там.

Вы также должны помнить, чтобы изменить все существующие статические адреса, оставленные в Интернете

Цитата: Гэвин Андресен на 11 ноября 2011 года, 9:57:20 PM

конструктивные предложения о том, как улучшить процессы тестирования и высвобождения ... приветствуются.

Как было обнаружено, эта конкретная ошибка? Это могло бы помочь нам разработать стратегии для ловли подобных проблем в будущем.

Просто дикая идея; но Google и другие дают щедроты для ошибок безопасности, которые представляются. Возможно, мы могли бы создать небольшой фонд, и платить кто-то найдет критические ошибки в бета-версии?

Цитата: mndrix от 11 ноября 2011, 11:29:48 PM

Цитата: Гэвин Андресен на 11 ноября 2011 года, 9:57:20 PM

конструктивные предложения о том, как улучшить процессы тестирования и высвобождения ... приветствуются.

Цитата: graingert от 11 ноября 2011, 11:22:08 PM

Эта проблема может быть "работал вокруг" генерируя новый адрес и отправить все Bitcoin там.

Это не совсем right-- вы должны исчерпать все ключи в вашем «ключевом пуле», чтобы быть в безопасности, так что вам придется просить 101 новых ключей.

Часть исправления маркирует все ключи в keypool как используется.

Цитата: Гэвин Андресен 12 ноября 2011, 12:00:42 AM

Цитата: graingert от 11 ноября 2011, 11:22:08 PM

Эта проблема может быть "работал вокруг" генерируя новый адрес и отправить все Bitcoin там.

Это исправление должно быть обратно портированы до версии 0.4.0

Цитата: graingert 12 ноября 2011, 12:02:50 AM

Цитата: Гэвин Андресен 12 ноября 2011, 12:00:42 AM

Цитата: graingert от 11 ноября 2011, 11:22:08 PM

Эта проблема может быть "работал вокруг" генерируя новый адрес и отправить все Bitcoin там.

Это исправление должно быть обратно портированы до версии 0.4.0

Это будет, по bitcoind, по крайней мере. Если кто-то хочет, чтобы активизировать, чтобы сохранить wxBitcoin, свяжитесь со мной (или присоединиться # Bitcoin стабильной на FreeNode).

Особенности, кажется, считаются стабильным путем слишком быстро. Я хотел бы схему версий, как это:
- Добавление новых функций 0.5.
- В какой-то момент, прекратить добавление новых функций 0.5 и называем это "неустойчивый" выпуск. Начните добавлять новые функции 0.6.
- 0,4 остается "стабильный" релиз по крайней мере 6 месяцев, и это рекомендуется новичкам использовать эту версию. Нестабильная версия также доступна в виде двоичного кода, и может быть легко использована.
- После того, как 0,5 были неустойчивы 6+ месяцев, называют, что один стабильным.
- Как и многие релизы мимо 0.X как можно продолжать получать исправления для людей, которые хотели бы использовать очень стабильное программное обеспечение.

Я до сих пор использую 0.3.19, и она отлично работает только с некоторыми изменениями. Я избегал несколько ошибок, делая это.

После того, как эта проблема решена, было бы хорошая идея, чтобы выпустить предупреждение для пользователей уязвимых версий. Может быть, не многие пользователи страдают, но, кажется, безответственно не уведомит этих пользователей, когда они могут быть уведомлены.

Благодарю вас за эту информацию!

Нет намерения обидеть кого-то, но это FAIL. Как такая вещь возможна? Мое решение - изменить wallet.dat формат. Первые биты - бумажник! Строка идентификации, следующие биты - версии формата бумажника, следующий бит - зашифрована или нет. Каждый следующий бит шифруется, подобным тому TrueCrypt, и включал проверку на правильность поставленного пароля. Файл wallet.dat расшифровываются на лету, как это acessed от Bitcoin программного обеспечения. Единственное, что неудобства пароль бумажник должен подаваться каждый раз при запуске Bitcoin клиента, а не только при отправке монет.

Цитата: MysteryMiner от 12 ноября 2011 года, 2:12:05 AM

Единственное, что неудобства пароль бумажник должен подаваться каждый раз при запуске Bitcoin клиента, а не только при отправке монет.

Что полностью противоречит цели шифрования бумажника. Если вы собираетесь сделать это таким образом, вы можете также просто зашифровать на резервное копирование только (что было бы очень приятная особенность в любом случае ...)

В то же время, Архивирование с шифрованием все еще работает отлично .....

Цитата: Luke-Jr 12 ноября 2011 года, 2:14:45 AM

Цитата: MysteryMiner от 12 ноября 2011 года, 2:12:05 AM

Шифрование только закрытых ключи нет выхода. Просто ждать, пока жертва не посылает монеты к кому-то, а затем восстановить пароль с помощью кейлоггера. Он может защитить только от тривиальных атак, таких как захват файла wallet.dat сразу. Там нет реального способа обеспечения файла wallet.dat на зараженном компьютере. Но если я использую шифрование, я хотел бы все wallet.dat быть зашифрованы, так что даже если дерьмо попадает в вентилятор и мой wallet.dat утекает, все мои Адреса, телефоны не раскрываются атакующего.

Цитата: Гэвин Андресен на 11 ноября 2011 года, 9:57:20 PM

Это неудобно и удивительно, что эта критическая ошибка, не была поймана до выхода 0,4; конструктивные предложения о том, как улучшить процессы тестирования и освобождения, которые не предполагают доступ к сотням тысяч долларов средств, чтобы нанять консультантов безопасности или контроля качества команд приветствуются. Получение достаточного тестирования кода перед его выпуском было хронической проблемой для этого проекта.

Я предполагаю, что непрозрачности файла данных бумажника позволяет людям иметь копаться и читать.

Бинарные форматы являются эффективными для компьютера, но они не очень прозрачны и активно препятствовать случайным чтению любопытных пользователей. Если в бумажнике были в XML, JSON или какой-либо другой текстовый формат на основе, то я думаю, это было бы сразу очевидно для любого, с помощью текстового редактора и пары глаз.

"Спасибо за ваш тяжелый труд!" не достаточно хорошо. IMO, Вы, ребята, нужно выяснить, организованный способ финансировать работу Гэвина.

Когда он говорит, "Это неудобно и удивительно, что эта критическая ошибка, не был пойман до выхода 0,4 ... Получение достаточного тестирования кода перед его выпуском было хронической проблемой для этого проекта ..."

...То есть разработчик -говорить для, "Мне нужны лучшие волонтеры Q / A, или мне нужно финансирование, чтобы заплатить за них, и это стыдно, что я даже сказать, что это в первую очередь, когда я должен быть сфокусирован на мой код прямо сейчас."

Поддержка вашего парня.

"Есть ли на самом деле не делать то, что он должен" неловкая ошибка. Возможно, вы даже призвал людей не беспокоить положить их бумажник в какой-то шифрования.

Цитата: Гэвин Андресен на 11 ноября 2011 года, 9:57:20 PM

Можно ли использовать способность основных держателей сообщества кольев (Mt. GOX, бассейн операторы), чтобы стимулировать или поощрять деятельность на testnet для новых объектов?

11 ноября 2011, 9:57:20 PM	# 1
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Серьезная ошибка была была найдена в "шифровать бумажник" функция Bitcoin версий 0.4 и 0.5: частные ключи могут быть оставлены в незашифрованном виде в файле wallet.dat после шифрования. Если ваш зашифрованный файл 0,4 бумажника украден, злоумышленник может быть в состоянии восстановить все или некоторые из ваших личных ключей и украсть все или некоторые из вашего Bitcoins. Команда разработчиков работает над исправлениями для Bitcoin версий 0.4 и 0.5, но это займет по крайней мере несколько дней, чтобы проверить их тщательно. Пока они не доступны, вы должны считать, что ваши «зашифрованными» бумажники же уязвимы, как незашифрованном бумажник, и следовать всем лучшим практикам для поддержания их в безопасности (см здесь для списка). Это неудобно и удивительно, что эта критическая ошибка, не была поймана до выхода 0,4; конструктивные предложения о том, как улучшить процессы тестирования и освобождения, которые не предполагают доступ к сотням тысяч долларов средств, чтобы нанять консультантов безопасности или контроля качества команд приветствуются. Получение достаточного тестирования кода перед его выпуском было хронической проблемой для этого проекта.

11 ноября 2011, 10:09:43 PM	# 2
evoorhees Сообщения: 994 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Получил 1806 Биткоинов Реальная история. Очень ценю уведомление, Гэвин. Спасибо!

11 ноября 2011, 10:19:04 PM	# 3
coinjedi Сообщения: 184 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Спасибо за хедз-апе. Мы ценим вашу напряженную работу.

11 ноября 2011, 11:22:08 PM	# 4
graingert Сообщения: 227 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Эта проблема может быть "работал вокруг" генерируя новый адрес и отправить все Bitcoin там. Вы также должны помнить, чтобы изменить все существующие статические адреса, оставленные в Интернете

11 ноября 2011, 11:29:48 PM	# 5
mndrix Сообщения: 447 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Цитата: Гэвин Андресен на 11 ноября 2011 года, 9:57:20 PM конструктивные предложения о том, как улучшить процессы тестирования и высвобождения ... приветствуются. Как было обнаружено, эта конкретная ошибка? Это могло бы помочь нам разработать стратегии для ловли подобных проблем в будущем.

11 ноября 2011, 11:37:42 PM	# 6
P4man Сообщения: 518 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Просто дикая идея; но Google и другие дают щедроты для ошибок безопасности, которые представляются. Возможно, мы могли бы создать небольшой фонд, и платить кто-то найдет критические ошибки в бета-версии?

11 ноября 2011, 11:38:04 PM	# 7
graingert Сообщения: 227 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Цитата: mndrix от 11 ноября 2011, 11:29:48 PM Цитата: Гэвин Андресен на 11 ноября 2011 года, 9:57:20 PM конструктивные предложения о том, как улучшить процессы тестирования и высвобождения ... приветствуются. Как было обнаружено, эта конкретная ошибка? Это могло бы помочь нам разработать стратегии для ловли подобных проблем в будущем.

12 ноября 2011, 12:00:42 AM	# 8
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Цитата: graingert от 11 ноября 2011, 11:22:08 PM Эта проблема может быть "работал вокруг" генерируя новый адрес и отправить все Bitcoin там. Это не совсем right-- вы должны исчерпать все ключи в вашем «ключевом пуле», чтобы быть в безопасности, так что вам придется просить 101 новых ключей. Часть исправления маркирует все ключи в keypool как используется.

12 ноября 2011, 12:02:50 AM	# 9
graingert Сообщения: 227 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Цитата: Гэвин Андресен 12 ноября 2011, 12:00:42 AM Цитата: graingert от 11 ноября 2011, 11:22:08 PM Эта проблема может быть "работал вокруг" генерируя новый адрес и отправить все Bitcoin там. Это не совсем right-- вы должны исчерпать все ключи в вашем «ключевом пуле», чтобы быть в безопасности, так что вам придется просить 101 новых ключей. Часть исправления маркирует все ключи в keypool как используется. Это исправление должно быть обратно портированы до версии 0.4.0

12 ноября 2011, 12:06:42 AM	# 10
Luke-Jr Сообщения: 2282 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Цитата: graingert 12 ноября 2011, 12:02:50 AM Цитата: Гэвин Андресен 12 ноября 2011, 12:00:42 AM Цитата: graingert от 11 ноября 2011, 11:22:08 PM Эта проблема может быть "работал вокруг" генерируя новый адрес и отправить все Bitcoin там. Это не совсем right-- вы должны исчерпать все ключи в вашем «ключевом пуле», чтобы быть в безопасности, так что вам придется просить 101 новых ключей. Часть исправления маркирует все ключи в keypool как используется. Это исправление должно быть обратно портированы до версии 0.4.0 Это будет, по bitcoind, по крайней мере. Если кто-то хочет, чтобы активизировать, чтобы сохранить wxBitcoin, свяжитесь со мной (или присоединиться # Bitcoin стабильной на FreeNode).

12 ноября 2011, 12:08:40 AM	# 11
theymos Сообщения: 2870 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Особенности, кажется, считаются стабильным путем слишком быстро. Я хотел бы схему версий, как это: - Добавление новых функций 0.5. - В какой-то момент, прекратить добавление новых функций 0.5 и называем это "неустойчивый" выпуск. Начните добавлять новые функции 0.6. - 0,4 остается "стабильный" релиз по крайней мере 6 месяцев, и это рекомендуется новичкам использовать эту версию. Нестабильная версия также доступна в виде двоичного кода, и может быть легко использована. - После того, как 0,5 были неустойчивы 6+ месяцев, называют, что один стабильным. - Как и многие релизы мимо 0.X как можно продолжать получать исправления для людей, которые хотели бы использовать очень стабильное программное обеспечение. Я до сих пор использую 0.3.19, и она отлично работает только с некоторыми изменениями. Я избегал несколько ошибок, делая это. После того, как эта проблема решена, было бы хорошая идея, чтобы выпустить предупреждение для пользователей уязвимых версий. Может быть, не многие пользователи страдают, но, кажется, безответственно не уведомит этих пользователей, когда они могут быть уведомлены.

12 ноября 2011, 12:32:09 AM	# 12
bitstarter Сообщения: 300 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Благодарю вас за эту информацию!

12 ноября 2011, 2:12:05 AM	# 13
MysteryMiner Сообщения: 938 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Нет намерения обидеть кого-то, но это FAIL. Как такая вещь возможна? Мое решение - изменить wallet.dat формат. Первые биты - бумажник! Строка идентификации, следующие биты - версии формата бумажника, следующий бит - зашифрована или нет. Каждый следующий бит шифруется, подобным тому TrueCrypt, и включал проверку на правильность поставленного пароля. Файл wallet.dat расшифровываются на лету, как это acessed от Bitcoin программного обеспечения. Единственное, что неудобства пароль бумажник должен подаваться каждый раз при запуске Bitcoin клиента, а не только при отправке монет.

12 ноября 2011, 2:14:45 AM	# 14
Luke-Jr Сообщения: 2282 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Цитата: MysteryMiner от 12 ноября 2011 года, 2:12:05 AM Единственное, что неудобства пароль бумажник должен подаваться каждый раз при запуске Bitcoin клиента, а не только при отправке монет. Что полностью противоречит цели шифрования бумажника. Если вы собираетесь сделать это таким образом, вы можете также просто зашифровать на резервное копирование только (что было бы очень приятная особенность в любом случае ...)

12 ноября 2011, 2:24:02 AM	# 15
Xenland Сообщения: 980 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) В то же время, Архивирование с шифрованием все еще работает отлично .....

12 ноября 2011, 2:26:21 AM	# 16
MysteryMiner Сообщения: 938 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Цитата: Luke-Jr 12 ноября 2011 года, 2:14:45 AM Цитата: MysteryMiner от 12 ноября 2011 года, 2:12:05 AM Единственное, что неудобства пароль бумажник должен подаваться каждый раз при запуске Bitcoin клиента, а не только при отправке монет. Что полностью противоречит цели шифрования бумажника. Если вы собираетесь сделать это таким образом, вы можете также просто зашифровать на резервное копирование только (что было бы очень приятная особенность в любом случае ...) Шифрование только закрытых ключи нет выхода. Просто ждать, пока жертва не посылает монеты к кому-то, а затем восстановить пароль с помощью кейлоггера. Он может защитить только от тривиальных атак, таких как захват файла wallet.dat сразу. Там нет реального способа обеспечения файла wallet.dat на зараженном компьютере. Но если я использую шифрование, я хотел бы все wallet.dat быть зашифрованы, так что даже если дерьмо попадает в вентилятор и мой wallet.dat утекает, все мои Адреса, телефоны не раскрываются атакующего.

12 ноября 2011, 4:10:26 AM	# 17
битовая плоскость Сообщения: 321 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Цитата: Гэвин Андресен на 11 ноября 2011 года, 9:57:20 PM Это неудобно и удивительно, что эта критическая ошибка, не была поймана до выхода 0,4; конструктивные предложения о том, как улучшить процессы тестирования и освобождения, которые не предполагают доступ к сотням тысяч долларов средств, чтобы нанять консультантов безопасности или контроля качества команд приветствуются. Получение достаточного тестирования кода перед его выпуском было хронической проблемой для этого проекта. Я предполагаю, что непрозрачности файла данных бумажника позволяет людям иметь копаться и читать. Бинарные форматы являются эффективными для компьютера, но они не очень прозрачны и активно препятствовать случайным чтению любопытных пользователей. Если в бумажнике были в XML, JSON или какой-либо другой текстовый формат на основе, то я думаю, это было бы сразу очевидно для любого, с помощью текстового редактора и пары глаз.

12 ноября 2011, 4:16:30 AM	# 18
попутчик Сообщения: 440 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) "Спасибо за ваш тяжелый труд!" не достаточно хорошо. IMO, Вы, ребята, нужно выяснить, организованный способ финансировать работу Гэвина. Когда он говорит, "Это неудобно и удивительно, что эта критическая ошибка, не был пойман до выхода 0,4 ... Получение достаточного тестирования кода перед его выпуском было хронической проблемой для этого проекта ..." ...То есть разработчик -говорить для, "Мне нужны лучшие волонтеры Q / A, или мне нужно финансирование, чтобы заплатить за них, и это стыдно, что я даже сказать, что это в первую очередь, когда я должен быть сфокусирован на мой код прямо сейчас." Поддержка вашего парня.

12 ноября 2011, 6:08:57 AM	# 19
Флаттершай Сообщения: 283 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) "Есть ли на самом деле не делать то, что он должен" неловкая ошибка. Возможно, вы даже призвал людей не беспокоить положить их бумажник в какой-то шифрования.

12 ноября 2011, 6:27:09 AM	# 20
LightRider Сообщения: 1485 Цитировать по имени цитировать ответ	Re: Кошелек шифрование ошибка нашла (ВАЖНО!) Цитата: Гэвин Андресен на 11 ноября 2011 года, 9:57:20 PM Серьезная ошибка была была найдена в "шифровать бумажник" функция Bitcoin версий 0.4 и 0.5: частные ключи могут быть оставлены в незашифрованном виде в файле wallet.dat после шифрования. Если ваш зашифрованный файл 0,4 бумажника украден, злоумышленник может быть в состоянии восстановить все или некоторые из ваших личных ключей и украсть все или некоторые из вашего Bitcoins. Команда разработчиков работает над исправлениями для Bitcoin версий 0.4 и 0.5, но это займет по крайней мере несколько дней, чтобы проверить их тщательно. Пока они не доступны, вы должны считать, что ваши «зашифрованными» бумажники же уязвимы, как незашифрованном бумажник, и следовать всем лучшим практикам для поддержания их в безопасности (см здесь для списка). Это неудобно и удивительно, что эта критическая ошибка, не была поймана до выхода 0,4; конструктивные предложения о том, как улучшить процессы тестирования и освобождения, которые не предполагают доступ к сотням тысяч долларов средств, чтобы нанять консультантов безопасности или контроля качества команд приветствуются. Получение достаточного тестирования кода перед его выпуском было хронической проблемой для этого проекта. Можно ли использовать способность основных держателей сообщества кольев (Mt. GOX, бассейн операторы), чтобы стимулировать или поощрять деятельность на testnet для новых объектов?

Заголовок