home iconAccueil / tezos / L'utilisation d'un signataire distant ou d'un grand livre améliore-t-elle vraiment la sécurité?

L'utilisation d'un signataire distant ou d'un grand livre améliore-t-elle vraiment la sécurité?

    • vote up icon 2 vote down icon
    • translation icon
    • view icon147 calendar icon2019-04-04

    tl; dr L'utilisation d'un signataire distant ou d'ungrand-coureurfait unexcellenttravailpourprotéger les clés secrètes. Mais celane protègepas contre le retrait de XTZ des comptes. Toutepersonne quigagne l'accès au Bakerpeut retirer desfonds àpartir d'une simple commande Tezos-Client. Est-ce correct?

    Jepensais quej'avaistout compriset j'aieu une sensation confortable demespetitestextes qui dort soienten toute sécurité lanuit. Maismaintenantje interrogetout ce quej'aifaitpour les sécuriser. J'ai demandé à un Question sur la sécurité avec Solo Caking Il y a unmois ou deuxestmaintenant revenume hanter.

    Résumé rapide:

    J'ai unboulanger avec unminimum de XTZpour couvrir les dépôts. J'ai une adresse KT1 originée quej'ai créée àpartir d'une adresseimplicite de Ledger TZ1. Lamajorité demes XTZ sont raisonnablement sécurisés.

    Cependant,pourprotégermon XTZ de Baker,j'ai décidé de configurer un signataire distant sur uneboîte différenteet trèsisolée. Pourtoutes les raisonspratiques,monnœud Tezospeut luiparler via un réseauprivé.

    Comme Luke a souligné dansma questionprécédente liée au-dessus,et ce queje n'aipasbien compris à l'époque était:

    Parce que le signatairen'a aucune authentification,quiconquepouvant se connecter à Votre système de cuissonpeuten quelque sorte signer desmessages avec le signataire distant, y compris letransfert de solde de votre lien/dépôt.

    Maintenant,je comprendsparfaitement ce qu'il voulait dire. Alors,quelest lepoint d'avoir un signataire distant donné ceproblème?

    Même sij'utilisais ungrand livre,leproblèmene serait-ilpas lemême? Sije pouvais avoir accès au système de cuisson,je pourrais se retirer de l'argent du compte.

    Dans les scénarios à distanceet les scénarios degrand livre,il semble quenousprotégeons les clés -elles restenten sécurité -mais le XTZpeuttoujours êtretransféréet n'estpas sûr.

    Sinous voulons automatiser la cuisson (signataire distant ou ledger),nous devons définir des choses de cettefaçon. Nousne pouvonspas vous asseoir autour denos ordinateurstoute lajournéeet entrer lemot depasse lorsque vous y êtesinvité.

    Qu'est-ce queje manqueici?

    baking ledger remote-signer

1  réponses

  • votes
    • accept answer icon
    • translation icon
    • calendar icon 2019-04-05

    Tezos-Signerprenden charge la recherche-authentification,--Magic-octetset options -CHeck-high-filmark. Vous devriez comprendre ceux-ci. 

      $ Tezos-Signer Man -V 3
...
  -A -Require-authentification:nécessite une signature de l'appelantpour signer.
...
    -M --Magic-bytes & lt; 0xhh,0xhh,... > valeurs autoriséespour les octetsmagiques,par défaut de
    -W -Check-High-Watermark: restriction defiligrane élevée
      Stocke leniveau leplus élevé signépour desblocageset des recommandationspour chaque
      adresseet interdit de signer unniveauinférieur ou égal à
 ensuite,saufpour lesmêmes données d'entréeexactes.
...
  Ajouter une clé autorisée & lt;pk > [-N --Name & lt;nomet gt;]
    Autoriser une clépublique donnéepoureffectuer des demandes de signature.
    & lt;pk > Touchepublique complète (base58 codée)
    -N --Name & lt;nomet gt ;: unnomfacultatifpour la clé (par défaut du hachage)

    L'application de cuisson degrand livrepar Obsidian valide l'octetmagique,permettant uniquement de 0x01et de 0x02,qui sont utiliséspour lesblocset les appels de supports (respectivement). Vouspouveztrouver ces octetsmagiques dans Signer_Messages.ml . L'octetmagique "generic_operation" 0x03est utilisépourtoutes les autres opérations signées définiespar leprotocole:transferts,origines,délégation,vote,etc.

    L'application de cuisson conserve également unniveau defiligrane élevépourprévenir les doubles. Vousne devriez être capable que de vousgâcher avec SET LEDGER High Watermark (avec confirmation de l'appareil),lors de lamise àniveau de l'application de cuisson (quiessuyez le HWM) ouen utilisantplusieurs rebordspour lamême clé.

    Si le Signer Tezosest sécuriséet fonctionne commeprévu,et que vous utilisez aumoins -magic-bytes et - check-high-filark correctement,puis Il devraitfonctionner àpeuprès à l'application dugrand livre: unepersonnegagnant un accèsnormalne doit être capable que de signer desblocset des recommandations sans causer de double.

    Celapourraittoujours êtremauvaispour vous,car vous risquez demanquer deblocs/d'endossementset deperdre des récompenses. Ilpourraitpeut-être êtremauvaispour d'autres raisons aussi ...mais cen'estpas la signature detransferts!

    Utiliser - Exiger-authentification estprobablement unebonneidée,maisnous aurons lemêmeproblème ànouveau. Le client (parexemple Baker) à l'aide d'un signataire distant avec authentification doitpouvoir signertoutes les demandes au signataire avec une clé autoriséeet nous aurons lesmêmes questions sur la sécurité de cette clé autorisée quenous l'avonsfaitpour la signature de la clé desblocs./endossements/etc.

    Notez qu'il doit êtrepossible d'utiliser un autre signataire (local ou distant) Tezos-Signerpour la clé d'authentification. Jen'aipasessayé cela.

    • Ah,c'est unebonneinformation.Mercibeaucoup.En ce qui concerne l'utilisation de --Magic-octetset une authentification -Require-authentificationensemble spécifiquement,cela ressemble à la solutionparfaite.Sij'utilise ces deux drapeaux,cela signifie que les demandes avec 0x01et 0x02passeront sansnécessiter de validation,mais letransfertet d'autres demandesnécessiteronttoujours une authentification?Si oui,c'estexactement ce queje veux.Maispeut-être que celane fonctionnepas de cettefaçon,comme vous lementionnez à lafin de votremessage "L'utilisation de l'authentification --Require-authentificationestprobablement unebonneidée,mais vous aurez lemêmeproblèmepour la clé d'authentification."
    • edit:passera sansnécessiter * authentification *
    • Un vieuxticket,mais selon ceci: https://gitlab.com/tezos/tezos/issues/185 On dirait que,oui,le signataire de départ avec les drapeaux -Magic-octetset les drapeaux d'authentification -Require-authentification devraitfonctionner.0x02 Lesmessagespasseront sans avoirbesoin d'une authentification/mots depasse supplémentaire,etc. 0x03 (Transactions)nécessitera la signature (ou comme vous l'avezmentionnéet lié à,peut-être que lanouvelle valeurest 0x04?)
    • Non,la validationet l'authentification des octetsmagiques sont orthogonales.Si l'authentificationest requise,elleesttoujours requise.Si des octetsmagiques sont validés,ils sonttoujours validés (aucune donnée avec un octet demagie différentne sera signée,authentification ounon.) Je vaismettre àjour la réponse à être unpeuplus claire sur les octetsmagiques.
    • J'aijoué avec des chosespluset j'aifrappé cebloc-route.Ca a du sens.Les deuxidées doivent être orthogonales.D'autrepart,cela semble être un cas d'utilisationtrès valide.Laissez le signataire signe desblocs deboulangerieet signe des recommandations sans authentification supplémentaire.Toutefois,si unbloc de 0x03 ou 0x04et etcestentré dans,exigez qu'il ait une authentification supplémentaire.Cela seraittrès utile -bien qu'il resteencore leproblème depaiement automatisé (parexemple: Backerei)et laissant celafonctionner sans avoir à vous authentifiertout letemps.
    • Ignorer ce quej'ai dit àpropos de 0x04.J'aiessayé de clarifier.Vous vous souciezpeut-être d'environ 0x04 si vousessayez d'utiliser un Signer Tezospour signer des demandes authentifiées à un autre Tezos-Signer;C'est là que c'est utilisé.