Cuisson avec un signataire distant compatible avec l'authentification -Require-authentification?

Question

Cuisson avec un signataire distant compatible avec l'authentification -Require-authentification?

- 10
- 128 2019-02-16
Pour les OPS client,à l'aide d'un signataire distant avec --require-authenticationnécessite de saisirmanuellement lemot depasse du déchiffrement de la clé client.

Cen'estpas documenténullepart -est-ceincompatible avec la cuisson?Iln'estpaspossible queje sois au courant de déchiffrer la clé du client lors de lamiseen place de la cuissonet queje suppose que l'authentificationn'estpas contournéepour la cuisson.

merci

For client ops, using a remote signer with --require-authentication requires manually entering the client key's decryption password.

It's not documented anywhere -- is this incompatible with baking? There's no way that I'm aware of to decrypt the client key when setting up baking and I assume authentication isn't bypassed for baking.

Thanks

baking

- Sur Alphanet,celafonctionne sansentrer lemot depasse de la clé d'authentification,maisen Mainnet,il demande lemot depasse sur leterminal,maisen raison de l'absence den'importe quelterminalpourentrer lemot depasse,il échoue.Je cherche également une réponse à cela.
  
  On alphanet it works without entering the password for the authentication key, but in mainnet it ask for password on terminal, but due to absence of any terminal to enter the password it fails. I am also looking out for an answer to this.
  - 0
  - 2019-02-22
  - Sachin Tomar
- Bien que vouspuissiez contourner laméthode d'authentificationen n'utilisantpas le drapeau de l'authentification -Require dans la commande Tezos-Signer.Assurez-vous de limiter l'accès à votre serveuret à votreport à l'aide depare-feu si vous contournez laméthode d'authentification.
  
  Although you can bypass the authentication method by not using --require-authentication flag in tezos-signer command. Make sure to restrict access to your server and port using firewall though if you bypass the authentication method.
  - 0
  - 2019-02-25
  - Sachin Tomar

3 réponses

votes

- 3
- 2019-02-25
sur Tezos Mainnet,vousne pouvezpasgénérer votre clé sousformenon cryptée.Vous devez doncentrer lemot depassepour déchiffrer la clé.

solution consiste àimporter une clénon cryptée,puis à utiliserest d'authentifiertoute communication avec un signataire distant. J'ai utilisé Portefeuille TezBox pourgénérer destouchesnon cryptées,puis copiez la cléprivéeet importée surmon serveuren utilisant la commande ci-dessous.

./mainnet.sh client import secret key auth-alias unencrypted:edskxxxxxxxxxxxxxTnZR
On tezos mainnet, you cannot generate your key in unencrypted form. So you have to enter the password to decrypt the key.

Solution is to import an unencrypted key and then use is to authenticate any communication with remote-signer. I used tezbox wallet to generate unencrypted keys and then copy the private key and imported to my server using below command.

./mainnet.sh client import secret key auth-alias unencrypted:edskxxxxxxxxxxxxxTnZR
- N'est-cepasintrinsèquement * dangereux * degénérer unetoucheprivéenon cryptéenon cryptéeet copiez-lapour un autre serveur?
  
  isn't it intrinsically *unsafe* to generate an unencrypted unencrypted private keys and copy this around for another server ?
  - 0
  - 2019-02-25
  - Ezy
- Oui,ilest dangereux si vous utilisez cette clé comme clé de cuisson.Maisici,le seulbutpour celaest d'être utilisé comme clé d'authentification,maisilest évident que lesprécautions doivent êtreprises lors de la copie de votre cléprivée sur le serveur.Si vousne voulezpas copier la cléprivéeet souhaitezgénérer la cléprivée sur le serveur que vouspouvez utiliser https://github.com/teztech/eztz
  
  Yes it is unsafe if you are using this key as baking key. But here the only purpose for this is to be used as authentication key, but obviously precautions need to be taken while copying your private key to the server. If you don't want to copy the private key and want to generate the private key on the server only you can use https://github.com/TezTech/eztz
  - 0
  - 2019-02-25
  - Sachin Tomar
- Que diriez-vous de simplement utiliser legrand livre?
  
  how abt simply using ledger ?
  - 1
  - 2019-02-25
  - Ezy
- Oui,en utilisant Ledger serait laplus sécurisée,maisje n'ai aucuneexpérience avec le livre.Toute documentationpour cela serait vraiment utile.
  
  Yes using ledger would be most secure way but i don't have any experience with ledger. Any documentation for this would be really helpful.
  - 0
  - 2019-02-25
  - Sachin Tomar
- Vouspouvez rechercherici sur TSEil y a des réponsespour vous aider à démarrer.Parexemple: https://tezos.stackexchange.com/q/395/118et https://tezos.stackexchange.com/q/477/118.Si celane suffitpas,n'hésitezpas àposer unenouvelle question!
  
  you can search here on TSE there are answers to get you started. Eg: https://tezos.stackexchange.com/q/395/118 and https://tezos.stackexchange.com/q/477/118 . If this is not sufficient then feel free to ask a new question!
  - 0
  - 2019-02-25
  - Ezy
- Certainement,ilne devraitpas utiliser les clésnon cryptées - c'est uneidée vraimentterrible.
  
  Definetly he shouldn't use unencrypted keys - that's a really terrible idea.
  - 1
  - 2019-02-25
  - moonrider_unchained
- C'estprobablement unemauvaiseidée d'avoir des clésnon cryptées sur unemachine accessible au réseau.
  
  It's probably a bad idea to have unencrypted keys on a network-accessible machine.
  - 0
  - 2019-02-26
  - latte_jed
- 1
- 2019-12-04
Il y a unmoyen d'avoirplus de sécurité que les deux réponses (àpartir d'aujourd'hui) https://tezos.stackexchange.com/A/607/29 (réponse A)et https://tezos.stackexchange.com/a/598/29 (réponseb) suggère.

si le signataire

accepte uniquement les octetsmagiques 0x01,0x02,

et le signataireestpare-bravopourn'accepter que la demande de lapropriétéintellectuelle de Baker

et letunnelest crypté (depréférence),

Ilest correct de quitter la clé d'autorisation de signatairenon cryptée dans leboulanger. Vous obtenez la commodité de réponse B,mais avec la sécurité supplémentaire d'utiliser une clé d'authentification de signataire (réponse a). Celane vousprotègepas contretoutes lespossibilités (iln'estpaspossiblepour lemoment depasser lemot depasse auboulanger/endorseur,afaikmêmeen utilisant une de cesméthodes ),maisen ayant une clé d'authentification de signatairenon cryptée,vous éviteztoujours quelques risquespotentiels. Parexemple,si unemachinemal voyous obtient votre IP (disons que vous relâchez lapropriétéintellectuellepar accident,ou votre hôte MISIME votre IP) L'attaquantne pourramêmepas simplement doubler le cuisson/l'endorçage.

Certainspourraient dire que c'estplus detravailpourpeu degain,maisje suis unpeuparanoïaqueet jen'aimepasprendre la routeplusfacile.

Bottom Line,--require-authenticationn'estpas un substitut à d'autresprécautions.
There is a way to have more security than both answers (as of today) https://tezos.stackexchange.com/a/607/29 (Answer A) and https://tezos.stackexchange.com/a/598/29 (Answer B) suggest.

If the signer

only accepts magic bytes 0x01,0x02,

and the signer is firewalled to only accept request from the baker's IP

and the tunnel is encrypted (preferably),

it is ok to leave the unencrypted signer auth key in the baker. You get the convenience of answer B, but with the added security of using a signer auth key (answer A). It doesn't protect you against every possibility (it is not possible at this time to pass the password to the baker/endorser, AFAIK even using one of these methods), but by having an unencrypted signer auth key you are still avoiding some potential risks . For example, if a rogue machine obtains your IP (say you release the IP by accident, or your host misroutes your IP) the attacker still won't be able to even simply double bake/endorse.

Some might say it is more work for little gain, but I am a bit paranoid and don't like to take the easier route.

Bottom line, --require-authentication is not a substitute for other precautions.

latte_jed · Accepted Answer · 2019-02-26

2

2019-02-26

Aussitouché dans les commentaires,la réponse laplus correcte à ceciest la suivante:

Non,vousne pouvezpas utiliser --require-authentication avec un signatairepour la cuisson.Iln'y apas deprésentprésentet vousne pouvezpas déchiffrer la clé d'authentification lorsqu'une opération d'endossement/de cuisson doit êtreexécutée.

Lesmeilleurespratiquesici sont d'utiliser untunnel cryptéentre le signataireet leboulangeret pour le signatairene pas être directement accessible au réseau.