home iconHome / tezos / l'utilizzo di un firmatario remoto o di un libro mastro migliora davvero la sicurezza?

l'utilizzo di un firmatario remoto o di un libro mastro migliora davvero la sicurezza?

    • vote up icon 2 vote down icon
    • translation icon
    • view icon147 calendar icon2019-04-04

    TL; DR L'utilizzo di unfirmatario remoto o di un libromastrofa un ottimo lavoronelproteggere le chiavi segrete. Manonprotegge dal ritiro di XTZ dagli account. Chiunque abbia accesso alpanettierepuòprelevarefondi daesso utilizzando un semplice comandotezos-client. È corretto?

    Pensavo di aver capitotuttoe avevo lapiacevole sensazione chei mieipiccolitezzies dormissero al sicuro lanotte. Ma ora stomettendoin dubbiotutto quello che hofattopermetterli al sicuro. Unmese o duefa hoposto una domanda sulla sicurezza con la cotturain solitaria e ora ètornato aperseguitarmi.

    Riepilogo rapido:

    Ho unpanettiere con solo unminimo di XTZper coprirei depositi. Ho unindirizzo KT1 originato che ho creato da unindirizzoimplicito di Ledger TZ1. Lamaggiorparte deimiei XTZ sono ragionevolmente sicuri.

    Tuttavia,perproteggere l'XTZ delmiofornaio,ho deciso diimpostare unfirmatario remoto su una scatola diversae moltoisolata. Pertuttigli scopipratici soloilmionodo Tezospuòparlarglitramite una reteprivata.

    Come ha sottolineato Lukenellamiaprecedente domanda collegata a sopra,e quello che all'epocanon avevo capito completamenteera:

    Poichéilfirmatarionon dispone di autenticazione,chiunquepuò accedere a iltuo sistema di cotturain qualchemodopuòfirmaremessaggi conilfirmatario remoto, compresoiltrasferimento del saldo dellatua obbligazione/deposito.

    Ora capiscoperfettamente cosaintendeva. Allora qual èilpunto di avere unfirmatario remoto dato questoproblema?

    Anche se stessi usando un libromastro,ilproblemanon sarebbe lo stesso? Sepotessi accedere al sistema di cottura,potreiprelevare denaro dal conto.

    Inentrambigli scenari difirma remotae registro,sembra cheproteggiamo le chiavi - rimangono al sicuro -ma l'XTZpuò ancoraesseretrasferitoe non è sicuro.

    Se vogliamo automatizzare la cottura (firmatario remoto o libromastro),dobbiamoimpostare le cosein questomodo. Nonpossiamo stare sedutiintorno ainostri computertuttoilgiornoe inserire lapassword quando richiesto.

    Cosami manca qui?

    baking ledger remote-signer

1  risposta

  • voti
    • accept answer icon
    • translation icon
    • calendar icon 2019-04-05

    tezos-signer supporta le opzioni --require-authentication,--magic-bytese --check-high-watermark. Dovresti capirli. 

     $ tezos-signer man -v 3
...
  -A --require-authentication: Require a signature from the caller to sign.
...
    -M --magic-bytes <0xHH,0xHH,...>: values allowed for the magic bytes, defaults to any
    -W --check-high-watermark: high watermark restriction
      Stores the highest level signed for blocks and endorsements for each
      address, and forbids to sign a level that is inferior or equal
      afterwards, except for the exact same input data.
...
  add authorized key <pk> [-N --name <name>]
    Authorize a given public key to perform signing requests.
    <pk>: full public key (Base58 encoded)
    -N --name <name>: an optional name for the key (defaults to the hash)

    L'app di cottura Ledger di Obsidian convalidailmagicbyte,consentendo solo 0x01e 0x02,che vengono utilizzatiperblocchie approvazioni (rispettivamente). Puoitrovare questimagicbytesin

    L'app di cotturamantiene anche un livello difiligrana altoperevitare doppioni. Dovrestiesserein grado di rovinaretutto con set ledger high watermark (con conferma sul dispositivo),durantegli aggiornamenti delle app di cottura (che cancellano l'HWM) o utilizzandopiù Ledgerper la stessa chiave.

    Seilfirmatario ditezos è sicuroe funziona comeprevistoe utilizzi almeno --magic-bytese --check-high-watermark correttamente,allora dovrebbefunzionarepiù omeno come l'app Ledger: qualcuno che ottiene un accessonormale dovrebbeesserein grado difirmare soloblocchie approvazioni,senza causare doppi.

    Potrebbe comunqueessere dannosoperte,perchépotrestiperdereblocchi/approvazionie perderepremi. Potrebbeessere unmale ancheper altrimotivi ... Manon sitratta difirmaretrasferimenti!

    L'uso di --require-authentication èprobabilmente unabuonaidea,ma avremo dinuovo lo stessoproblema. Il client (es. Panettiere) che utilizza unfirmatario remoto con autenticazione deveesserein grado difirmaretutte le richieste alfirmatario con una chiave autorizzatae avremo le stesse domande sulla sicurezza di questa chiave autorizzata come abbiamofattoper la chiave chefirmai blocchi/endorsements/ecc.

    Nota che dovrebbeesserepossibile usare un altrotezos-signer (locale o remoto)per la chiave di autenticazione. Non l'hoprovato.

    • Ah,questa è un'ottimainformazione.Graziemille.Per quanto riguarda l'utilizzo di --magic-bytese --require-authenticationinsiemein modo specifico,questa sembra la soluzioneperfetta.Se utilizzoentrambi questiflag,significa che le richieste con 0x01e 0x02passeranno senza richiedere la convalida,mailtrasferimentoe altre richieste richiederanno comunque l'autenticazione?Se è così,èesattamente quello che voglio.Maforsenonfunzionain questomodo come dici allafine deltuopost "L'uso di --require-authentication èprobabilmente unabuonaidea,ma avrai dinuovo lo stessoproblemaper la chiave di autenticazione".
    • modifica:passerà senza richiedere * autenticazione *
    • Un vecchioticket,main base a questo: https://gitlab.com/tezos/tezos/issues/185 sembra,sì,iniziareilfirmatario conentrambii flag --magic-bytese --require-authentication dovrebbefunzionare.Imessaggi 0x02passeranno senzabisogno di ulteriori autenticazioni/passwordecc. 0x03 (transazioni) richiederà lafirma (o come haimenzionatoe collegato,forseilnuovo valore è 0x04?)
    • No,la convalidae l'autenticazione delmagicbyte sono ortogonali.Se è richiesta l'autenticazione,è sempre richiesta.Sei magicbyte vengono convalidati,vengono sempre convalidati (nessun dato con unmagicbyte diverso verràfirmato,autenticazione omeno). Aggiornerò la rispostaperessere unpo 'più chiaro suimagicbytes.
    • Hogiocato dipiù con le cosee ho raggiunto quelposto diblocco.Ha senso.Le dueidee dovrebberoessere ortogonali.D'altraparte,questo sembra un caso d'usomolto valido.Consenti alfirmatario difirmareblocchiinfornatie firmare approvazioni senza autenticazione aggiuntiva.Tuttavia,se arriva unblocco 0x03 o 0x04ecc.,Richiedi che abbia un'autenticazioneextra.Questo sarebbemolto utile,anche se c'è ancorailproblema deipagamenti automatici (adesempio:backerei)e lasciarlofunzionare senza doverlo autenticaretuttoiltempo.
    • Ignora quello che ho detto su 0x04.Ho cercato di chiarire.Potrebbeinteressarti 0x04 seprovi a usare untezos-signerperfirmare richieste autenticate a un altrotezos-signer;è lì che viene utilizzato.