Создание 2-3 MultiSig адреса от сервера сценария | Биткоин форум

		Биткоин Форум > Разработка и Техническое Обсуждение
Создание 2-3 MultiSig адреса от сервера сценария

22 июля 2014, 8:00:34 AM	# 1
antonimasso Сообщений: 73 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Здравствуйте, Я хочу, чтобы создать адрес MultiSig, где пользователь А отправляет открытый ключ его Bitcoin адрес (будет сохранен в базе данных). Пользователь B получает уведомление, что он должен отправить свой открытый ключ, чтобы создать 2-3 MultiSig адреса. Третий адрес предоставляется мною в качестве посредника. Меня беспокоит то, что если сервер взломан, хакер может изменить исходный код (PHP), так что 2 из 3 открытых ключей в его распоряжении. Любые идеи о том, как я могу добиться этого сценария создания 2-3 MultiSig адрес? благодаря

Как заработать Биткоины?
Без вложений. Не майнинг.

22 июля 2014, 9:43:57 AM	# 2
amaclin Сообщения: 1260 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Получил 1806 Биткоинов Реальная история. котировка Я хочу, чтобы создать адрес MultiSig, где пользователь А отправляет открытый ключ его Bitcoin адрес (будет сохранен в базе данных). Пользователь B получает уведомление, что он должен отправить свой открытый ключ, чтобы создать 2-3 MultiSig адреса. Третий адрес предоставляется мною в качестве посредника. Меня беспокоит то, что если сервер взломали, хакер может изменить исходный код (PHP) так что 2 из 3 открытых ключей в его распоряжении. Любые идеи о том, как я могу добиться этого сценария создания 2-3 MultiSig адрес? Это не является проблемой для открытые ключи Если вы боитесь разъединяет взломать вы не должны держать частный ключ на сервере

22 июля 2014, 9:52:45 AM	# 3
antonimasso Сообщений: 73 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Мой секретный ключ никогда не хранится на сервере. Меня беспокоит то, что если сервер взломали, хакер может изменить сценарий так, что 2 из 3 открытых ключей являются его. Если пользователь посылает биткоен на этот MultiSig адрес, хакер имеет полный контроль над этим Bitcoins.

22 июля 2014, 10:04:29 AM	# 4
amaclin Сообщения: 1260 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Цитата: antonimasso 22 июля 2014 года, 9:52:45 AM Мой секретный ключ никогда не хранится на сервере. Меня беспокоит то, что если сервер взломали, хакер может изменить сценарий так, что 2 из 3 открытых ключей являются его. Если пользователь посылает биткоен на этот MultiSig адрес, хакер имеет полный контроль над этим Bitcoins. Нет, он должен иметь 2-из-3 подписи (частные ключи), чтобы тратить деньги. Не открытые ключи. Все три открытых ключей уже известны на стадии msig адреса поколения

22 июля 2014, 10:09:55 AM	# 5
antonimasso Сообщений: 73 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Я думаю, вы не понимаете мой вопрос. Есть 3 пользователей, которые будут использовать их открытые ключи для генерации адреса MultiSig. Пользователь A -> Посылает открытый ключ Пользователь B -> Посылает открытый ключ Я использую свой собственный открытый ключ Меня беспокоит то, что если мой сервер получает взломан, хакер может изменить сценарий так: Пользователь A -> Посылает открытый ключ Хакер вставляет его два открытых ключей и генерирует адрес MultiSig. Пользователь А не знает, что сервер был взломан и передает Bitcoins на этот адрес. Поскольку хакер имеет личные ключи двух открытых ключей он может передать эти биткойно на адрес он владеет.

22 июля 2014, 10:17:16 AM	# 6
amaclin Сообщения: 1260 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария котировка Я думаю, вы не понимаете мой вопрос. Есть 3 пользователей, которые будут использовать их открытые ключи для генерации адреса MultiSig. Пользователь A -> Посылает открытый ключ Пользователь B -> Посылает открытый ключ Я использую свой собственный открытый ключ Меня беспокоит то, что если мой сервер получает взломан, хакер может изменить сценарий так: Пользователь A -> Посылает открытый ключ Хакер вставляет его два открытых ключей и генерирует адрес MultiSig. Пользователь А не знает, что сервер был взломан и передает Bitcoins на этот адрес. Поскольку хакер имеет личные ключи двух открытых ключей он может передать эти биткойно на адрес он владеет. Кто финансирует адрес msig? Один из пользователей будут видеть, что этот адрес не был создан с его открытым ключом.

22 июля 2014, 10:26:20 AM	# 7
antonimasso Сообщений: 73 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Средства пользователя этого ключ. Он может проверить redeemScript, чтобы увидеть его адрес по-прежнему есть, но не будет знать, что другие два адреса были изменены.

22 июля 2014, 12:13:05 PM	# 8
Envrin Сообщения: 327 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Вы не можете, на самом деле. Если вы хакер удается укоренить сервер, то любые / все меры безопасности вы, встроенные в программное обеспечение больше не имеет значения. Так, очевидно, первое, что нужно сделать, это убедиться, что ваш сервер заблокирован надлежащим образом, полностью обновлен, и т.д. Тогда есть различные другие меры предосторожности, которые вы можете предпринять. Например, это это PHP поместить код в Ioncube, посмотреть в использовании dnotify, который будет выполнять скрипт в любое время файл модифицируется, хэш файлов и они периодически сканируются с помощью кронтаба, чтобы увидеть, если они были изменены, добавить приманку & убить переключатели в системе с надеждами хакеров запускает один из тех, кто первым и т.д. Опять же, если им удается укоренить свой сервер и / все меры безопасности больше не имеют значения. Это не значит, что вы не должны добавить их в хотя, потому что каждый немного помогает.

22 июля 2014, 12:52:08 PM	# 9
Yoghurt114 Сообщений: 13 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Пользователь не должен посылать ничего такого адрес, если он не знает, что все участники имеют открытый ключ там. Другими словами, в идеале, пользователь А должен каким-то образом взаимодействовать с пользователем B и проверить ключи являются правильными. Если вы, как посредник, имеют исключительное знание о открытых ключей других участников сделки вы должны быть посредником, вы не посредник, а просто прокси, который требует доверия не ебать вверх.

22 июля 2014, 1:57:20 PM	# 10
antonimasso Сообщений: 73 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Спасибо за все ваши комментарии. Я предполагаю, что нет никакого способа, чтобы сделать этот сценарий Хакер доказательства. Я должен защитить свой сервер Linux и, надеюсь поймать вовремя нападавший.

22 июля 2014, 6:13:40 PM	# 11
etotheipi Сообщения: 1428 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Цитата: antonimasso 22 июля 2014 года, 1:57:20 PM Спасибо за все ваши комментарии. Я предполагаю, что нет никакого способа, чтобы сделать этот сценарий Хакер доказательства. Я должен защитить свой сервер Linux и, надеюсь поймать вовремя нападавший. Существует программное решение, но оно требует дополнительной инфраструктуры и сложности, чтобы сделать его работу. Суть ее в том, что вы всегда будете предоставлять адреса из бумажника цепи BIP32 / HD. Вы настроить все стороны, чтобы узнать корневой открытый ключ этой цепи и программное обеспечение распознает его (но не chaincode!). Затем, когда сценарий multisig получает программное обеспечение доступа пользователей, он может прийти с множителем, который может быть применен к открытому ключу корневого. Если включен ключ, который предположительно принадлежит вам соответствовать предварительно проверить корневой открытый ключ (EC-кратно) множитель, то пользователь знает, что открытый ключ действительно принадлежит вам. Из-за сложности задач дискретного логарифмирования, и злоумышленник не имеет возможностей производить действительный множитель, который, применительно к уже проверенному корневому открытому ключу, производит его вредоносный адрес. И без мультипликатора, программное обеспечение будет препятствовать пользователям доверять этот ключ. Это то, что мы надеялись построить (медленно) в Оружейный - пути для создания локализованных полотен доверия, так что вы можете предварительно проверить открытый ключ корневого, а затем партия может по желанию выбрать, чтобы показать множитель, что доказывает данным адрес является частью его кошелька. Это было бы строго обязательным, и ни одна из информации не раскрывает какие-либо другие ключи, который управляет партия.

22 июля 2014, 7:04:33 PM	# 12
antonimasso Сообщений: 73 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Может ли это быть сделано в JavaScript? Я хочу, чтобы генерировать всю приватную сторону ключей клиента. Я хочу, чтобы мои пользователям контролировать свои ключи и их биткоен. благодаря

22 июля 2014, 7:13:33 PM	# 13
etotheipi Сообщения: 1428 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Цитата: antonimasso 22 июля 2014 года, 7:04:33 PM Может ли это быть сделано в JavaScript? Я хочу, чтобы генерировать всю приватную сторону ключей клиента. Я хочу, чтобы мои пользователям контролировать свои ключи и их биткоен. благодаря То, что я писал в основном теоретический характер, если вы не будете иметь пользователь запустить программное обеспечение, или вы объединитесь с разработчиками бумажника и стандартизировать то, что я описал выше. Пользователи по-прежнему поддерживать полный контроль над своими собственными секретными ключами, но это дает им возможность (и себя), чтобы обеспечить дополнительную часть метаданных с адресами, что свидетельствует адрес контролируется вами. Более конкретно, вы публично связать открытый ключ корневого вашей личности, а затем вы можете предоставить уникальные адреса для пользователей для любых целей (в данном случае, для органа, выдавшего мульти-сига), и пользователи будут иметь возможность проверить, что уникальный адрес на самом деле принадлежит вам без их ведом любых других адресов в вашем бумажнике. Мы помогаем некоторым организациям получить установку с Оружейной как их позвоночник, и планировал демо это в локализованных средах, главным образом для того, чтобы пользователи в организации могут распознавать адреса других пользователей / филиалов организации. Мы надеемся, что мы можем сделать это поддерживаемый стандарт когда-нибудь, так как он имеет феноменальные безопасность и конфиденциальность свойства и полностью совместимы с BIP 32. Но на данный момент, должны быть разработаны и внедрены в изолированной среде, пока она не улавливает.

23 июля 2014, 12:40:44 AM	# 14
fbueller Сообщения: 412 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария antinomasso - вы должны смотреть в Bitcore или BitcoinJS. bitcoinJS вокруг больше, и сделал большой выпуск в последнее время .. Bitcore взлетает, и я использую его в данный момент. Если семена 12/24 слова в порядке, возможно, использовать для создания BIP39 семени в браузере? Или используйте подходящую протягивать функцию, а затем создать иерархический ключ и представить публичный ключ на сервер? Таким образом, вы можете создать multisig скрипт на стороне сервера, и делать то, что вы хотите с ним. https://github.com/bitpay/bitcore/blob/master/test/test.BIP39.js https://github.com/bitpay/bitcore/blob/master/examples/HierarchicalKey.js https://github.com/bitpay/bitcore/blob/master/examples/CreateAndSignTx-PayToScriptHash.js Если вы ищете PHP библиотеку для обработки BIP32 или сырые сделки или подписания, вы можете обнаружить мину некоторого использования: https://github.com/Bit-Wasp/bitcoin-lib-php Я на самом деле писать вверх BIP, похожий на BIP70 спариваться multisig бумажники к серверу во владении всех открытых ключей, что позволяет такие запросы должны быть сертифицированы (и запрашивать подписи, данные входы & выходы), но которые будут применяться только к приложениям, которые я предполагаю.

23 июля 2014, 3:44:37 PM	# 15
antonimasso Сообщений: 73 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария fbueller: Что произойдет, если ваш сервер взломан и эти открытые ключи были изменены с помощью клавиш, которые принадлежат ему? Скрипт сервер будет генерировать MultiSig адреса с 2 из 3 открытых ключей, принадлежащих к хакеру.

23 июля 2014, 3:58:38 PM	# 16
etotheipi Сообщения: 1428 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Цитата: antonimasso от 23 июля 2014 года, 3:44:37 PM fbueller: Что произойдет, если ваш сервер взломан и эти открытые ключи были изменены с помощью клавиш, которые принадлежат ему? Скрипт сервер будет генерировать MultiSig адреса с 2 из 3 открытых ключей, принадлежащих к хакеру. До сих пор люди, кажется, не обращая внимания на этой конкретной вектор атаки расследуется antonimasso. Вы можете иметь самый хардкорные настройки безопасности в мире, с автономным ноутбуком похоронил 100 метров под Фортом-Нокс, но ни один из них не имеет значение, если деньги не суждено хранить там никогда не делает это потому, что злоумышленник сменил свой адрес депозита. Есть три основные проблемы, под рукой: Как получить деньги в безопасное хранение Как сохранить деньги в безопасности, как только это есть Как безопасно разрешить движение денег Второй один, где люди в основном сосредоточены. Первый и третий являются те, которые подлежат решению манипуляции, а также обеспечить канал для злоумышленника, чтобы полностью обойти ваше холодное хранение. Злоумышленник не может получить деньги, которые уже находятся в защищенном хранилище, но он попытаться отвлечь новые деньги на его пути, или отвлекают деньги оставляя безопасное хранение всех манипулируя сетевого трафика или ущерба для устройств, которые распределяют адреса. Протокол оплаты защищает от человека-в-середине атак, но он по-прежнему не защищает от вашего собственного сервера с часами только бумажник получать взломан. С протоколом оплаты, каждый адрес должен быть подписан серт X509 на том же сервере, распределяя адреса. Если злоумышленник получает контроль, что он также может подписывать свои собственные адреса, чтобы они выглядели нормально. Техника, которую я предложил позволяет обеспечить "отпечаток пальца" Ваш автономного кошелек с каждым адресом, так что другие стороны могут проверить свои адреса, если даже ваша собственная система адресного распределения скомпрометирована. К сожалению, инфраструктура не там, чтобы поддержать его, но я надеюсь, что мы можем в конечном итоге разработать такую систему.

24 июля 2014, 1:22:02 AM	# 17
Envrin Сообщения: 327 Цитировать по имени цитировать ответ	Re: Создание 2-3 MultiSig адрес от сервера сценария Цитата: etotheipi от 23 июля 2014 года, 3:58:38 PM Протокол оплаты защищает от человека-в-середине атак, но он по-прежнему не защищает от вашего собственного сервера с часами только бумажник получать взломан. С протоколом оплаты, каждый адрес должен быть подписан серт X509 на том же сервере, распределяя адреса. Если злоумышленник получает контроль, что он также может подписывать свои собственные адреса, чтобы они выглядели нормально. Хороший вопрос, и я не знаю, как решить, что с существующим протоколом / инфраструктурой. С вебом-кошельком проспективного несколько неподготовленного идей: 1.) требовать от пользователей ввода их BIP32 открытого ключа каждый раз, когда они хотят, чтобы сформировать адрес, но, очевидно, что не будет переходить хорошо. 2.) Шифрование открытого ключа с помощью AES256 с бумажником паролем пользователя, который не хранится в Интернете. Немного неудобно, потому что им нужно ввести их бумажник пароль каждый раз, когда они хотят, чтобы сформировать адрес, но будет работать достойно. Если хакер заменяет открытый ключ с чем-то, то это не будет дешифровать правильно, если они не знают, бумажник пароль пользователя. 3.) Есть отдельный сервер, который содержит значение контрольных сумм каждого BIP32 общественной отмычки, и рикошеты проверки от него. Довольно слабый, хотя, как если хакер на сервере, они могут легко увидеть и обводной этот. 4.) При генерации адресов, случайным образом проверить на нескольких ранее созданных адресов для обеспечения их соответствия открытого ключа используется. Кроме того, может быть, случайно вызвать несколько предыдущих сделок с blockchain и проверить сценарий выкупа на них, чтобы обеспечить открытый ключ совпадает. Едва ли дурак, но это делает его немного сложнее, как вместо того, чтобы просто изменение открытого ключа, они должны изменить все адреса и операции, связанные с учетной записью пользователя, а также. Я не знаю, надо будет думать об этом больше.

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW