home iconHome / tezos / Cottura con firmatario remoto compatibile con --require-authentication?

Cottura con firmatario remoto compatibile con --require-authentication?

    • vote up icon 10 vote down icon
    • translation icon
    • view icon128 calendar icon2019-02-16

    Per le operazioni client,l'utilizzo di unfirmatario remoto con --require-authentication richiede l'immissionemanuale dellapassword di decrittografia della chiave client.

    Non è documentato danessunaparte: èincompatibile con la cottura alforno?Non sono a conoscenza di alcunmodoper decrittografare la chiave del client durante l'impostazione della cotturae presumo che l'autenticazionenon vengaignorataper la cottura.

    Grazie

    baking
    • Su alphanetfunziona senzainserire lapasswordper la chiave di autenticazione,main mainnet chiede lapassword sulterminale,ma a causa dell'assenza di qualsiasiterminaleperinserire lapasswordfallisce.Sto anche cercando una risposta a questo.
    • Sebbene siapossibilebypassareilmetodo di autenticazionenon utilizzandoilflag --require-authenticationnel comandotezos-signer.Assicurati di limitare l'accesso al servere allaporta utilizzandoilfirewall seignoriilmetodo di autenticazione.

3  risposta

  • voti
    • accept answer icon
    • translation icon
    • calendar icon 2019-02-26

    Come accennatonei commenti,la rispostapiù corretta è:

    No,nonpuoi utilizzare --require-authentication con unfirmatarioper la cottura.Non sonopresenti TTYe non èpossibile decrittografare la chiave di autenticazione quando ènecessarioeseguire un'operazione di approvazione/cottura.

    Labestpracticein questo caso consistenell'utilizzare untunnel crittografatotrailfirmatarioe ilpanettieree cheilfirmatarionon sia direttamente accessibile alla rete.

    • translation icon
    • calendar icon 2019-02-25

    Sullamainnet ditezos,nonpuoigenerare latua chiavein formanon crittografata.Quindi deviinserire lapasswordper decrittografare la chiave.

    La soluzione èimportare una chiavenon crittografatae quindi utilizzarlaper autenticare qualsiasi comunicazione conilfirmatario remoto. Ho usato tezbox wallet pergenerare chiavinon crittografatee quindi copiare la chiaveprivatae importarla sulmio server utilizzandoil comando seguente. 

      ./mainnet.sh clientimport chiave segreta alias autenticazionenon crittografata:edskxxxxxxxxxxxxxTnZR
    • non èintrinsecamente *pericoloso *generare chiaviprivatenon crittografatee copiarleper un altro server?
    • Sì,non è sicuro se stai usando questa chiave come chiave di cottura.Ma qui l'unico scopo è quello diessere utilizzato come chiave di autenticazione,ma ovviamente ènecessarioprendereprecauzioni durante la copia della chiaveprivata sul server.Senon desideri copiare la chiaveprivatae desiderigenerare la chiaveprivata solo sul server,puoi utilizzare https://github.com/TezTech/eztz
    • come si usa semplicementeil libromastro?
    • Sì,l'utilizzo di ledger sarebbeilmodopiù sicuro,manon ho alcunaesperienza con ledger.Qualsiasi documentazioneper questo sarebbe davvero utile.
    • puoi cercare qui su TSE ci sono risposteperiniziare.Adesempio: https://tezos.stackexchange.com/q/395/118e https://tezos.stackexchange.com/q/477/118.Se questonon è sufficiente,sentiti libero difare unanuova domanda!
    • Sicuramentenon dovrebbe usare chiavinon crittografate: è un'idea davveroterribile.
    • Probabilmente è una cattivaidea avere chiavinon crittografate su unamacchina accessibile dalla rete.
    • translation icon
    • calendar icon 2019-12-04

    C'è unmodoper averepiù sicurezza dientrambe le risposte (ad oggi) https://tezos.stackexchange.com/a/607/29 (risposta A)e https://tezos.stackexchange.com/a/598/29 (Risposta B) suggerisce.

    Seilfirmatario

    • accetta solomagicbytes 0x01,0x02,
    • e ilfirmatario èprotetto dafirewallper accettare solo richieste dall'IP delfornaio
    • e iltunnel è crittografato (preferibilmente),

    è consentito lasciare la chiave di autenticazione delfirmatarionon crittografatanelbaker. Ottieni la comodità della risposta B,ma con la sicurezza aggiuntiva dell'utilizzo di una chiave di autenticazione delfirmatario (risposta A). Nonti protegge da ognipossibilità (almomentonon èpossibilepassare lapassword alpanettiere/endorser,AFAIK anche usando uno di questimetodi ),ma avendo una chiave di autenticazione delfirmatarionon crittografata stai ancoraevitando alcunipotenziali rischi. Adesempio,se unamacchina canaglia ottieneiltuo IP (supponiamo chetu rilasci l'IPpererrore o cheiltuo host stiaerroneamenteiltuo IP),l'attaccantenon sarà comunquein grado difare semplicemente doppiobake/endorse.

    Qualcunopotrebbe dire che èpiù lavoroperpocoguadagno,maio sono unpo 'paranoicoe nonmi piaceprendere la stradapiùfacile.

    In conclusione,--require-authenticationnon sostituisce altreprecauzioni.