Andresen trở lại với dự án an ninh một người kiểm soát lấy cảm hứng từ những rủi ro của Bitcoin

0
397

Gavin Andresen, nhà phát triển trước đây của bitcoin, đang phá vỡ sự im lặng của ông.

Trong mấy tháng gần đây, ông đã tích cực thảo luận hơn trên Twitter về quy mô của khối chuỗi (thậm chí để tên của ông trong một ‘thỏa thuận’ bitcoin mới), Andresen đã vắng mặt trong cộng đồng nhà phát triển bitcoin trong khoảng một năm.

Tuy nhiên, điều đó không có nghĩa là một người phi thường, người đã giúp đỡ xây dựng đội ngũ phát triển ban đầu và thị trường của hãng Bitcoin, đã không bận rộn.

Vào đầu tháng Năm, Andresen viết trên tweeter

Tôi đang tìm kiếm những người thử nghiệm thật trong môi trường thực tế và cộng tác viên cho dự án Random Sanity của tôi:

Dự án nhằm đảm bảo an toàn mạng internet bằng cách kiểm tra các nguồn ngẫu nhiên được sử dụng bởi các cá nhân và tổ chức.

Theo dõi Bitcoin

Dự án Random Sanity không chỉ bắt nguồn từ sự quan tâm của Andresen trong việc học ngôn ngữ lập trình GO, mà còn trong việc nhìn thấy các vấn đề thiếu mức đo mất độ mất trật tự entropy có thể có trong các hệ thống phần mềm tiền tệ như bitcoin.

Phát biểu trong cuộc phỏng vấn với Coindesk, ông nói:” tối chắc chắn sẽ bắt kịp bitcoin”. Ông còn nói thêm rằng ông có thể đóng góp ý kiến về đoạn ​​mã cho đề xuất mở rộng bitcoin mới của DCG, nhưng ông ta không muốn viết bất kỳ đoạn mã nào.

“Bitcoin là một dự án thú vị vì vấn đề an ninh đang bị chỉ trích của nó”, ông nói. “Nếu an ninh thất bại, hiển nhiên là mọi người sẽ mất tiền và phản ứng ngay lập tức.”

Điều này khác, ông tiếp tục, hơn là một tài khoản email đang được tiếp nhận hoặc bị tấn công, trong đó mọi người thường không nhận ra những vi phạm trong một thời gian.

Andresen cho biết: “Đối với nhiều vấn đề bảo mật, bitcoin sẽ khiến chúng trở nên sáng tỏ.

Phản ứng nhanh này đã được nhận thấy trong một số rủi ro dựa trên hệ số ngẫu nhiên bị lỗi trong hệ sinh thái bitcoin.

Vào tháng 5 năm 2015, một lỗ hổng trong ví điện tử Bitcoin của Blockchain đã khiến một số người dùng bị mất tiền. Theo Softpedia, lỗ hổng này cho phép tạo ra các địa chỉ bitcoin trùng lặp và cung cấp cho những người dùng khác nhau. Vấn đề cốt lõi ở đây là với bộ tạo số ngẫu nhiên của Blockchain, random.org, cung cấp không đầy đủ entropy trên một số phiên bản của hệ điều hành Android.

Và hai năm trước, vào tháng 8 năm 2013, tất cả các ứng dụng ví bitcoin trên hệ điều hành Android đều có nguy cơ bị rủi ro khi phát hiện một số lỗ hổng trong bộ tạo số ngẫu nhiên, Java SecureRandom.

Duy trì khoảng cách

Mặc dù dự án này chắc chắn liên quan đến công việc trước đây của Andresen trên cương vị là nhà bảo trì chính của bitcoin, nhưng nó cũng có sự khác biệt nhiều.

Andresen nói với CoinDesk: “Cho đến nay, đó là dự án một người mà tôi thích. “Thật tốt và đơn giản. Tôi đã chọn một thứ gì đó nhỏ và gây nhàm chán có chủ ý.”

Anh ấy tiếp tục:

“Bitcoin là một dự án lớn và phức tạp có liên quan đến nhiều người trải khắp trên thế giới, có quá nhiều sự căng thẳng và chính trị và tôi không muốn điều đó nữa.”

Andresen đã làm việc cho dự án Random Sanity khoảng sáu tháng. Theo ông, dự án không nhằm mục đích kinh doanh có lợi nhuận. Thay vào đó, ý tưởng là dự án sẽ được tài trợ bởi một tổ chức như Linux Foundation để cung cấp dịch vụ miễn phí.cho bất cứ ai

Vì vậy, Random Sanity hoạt động như thế nào? Mỗi hệ thống và mọi ngôn ngữ lập trình đều có cách nhận các byte ngẫu nhiên – ví dụ Linux có một thư mục đặc biệt gọi là ‘/ dev / urandom’ và OpenSSL cung cấp một số máy phát số ngẫu nhiên (mà Bitcoin Core sử dụng).

Người sử dụng của dự án Random Sanity có thể lấy những con số ngẫu nhiên này từ 16 đến 64 bytes và đưa chúng vào trong dịch vụ, nó sẽ trả về ‘true’ nếu các byte trông ngẫu nhiên, hoặc ‘false’ nếu các con số không ngẫu nhiên.

Andresen nói với CoinDesk: “Vấn đề phát hiện liệu số ngẫu nhiên của bạn có đủ tốt hay không là một vấn đề thuộc về sự khôn lanh. “Có rất nhiều cách bạn có thể xoay sở được.”

Kiểm tra sức khoẻ kỹ thuật số

Mặc dù các máy phát số ngẫu nhiên được tạo ra đặc biệt để cung cấp entropy (không có trật tự, và vì thế có thể dự đoán được), có một vài lý do dẫn đến sai sót.

Việc tải và nâng cấp phần mềm có thể gây rối với sự ngẫu nhiên. Hoặc nó có thể đơn giản giống như một ai đó vấp ngã trên máy ảo vì sử dụng một dây máy phát điện số ngẫu nhiên và tháo nó ra.

Nhưng một thất bại điển hình, Andresen nói, là khi một tổ chức đang sử dụng điện toán đám mây và khởi động nhiều máy ảo cùng một lúc.

Trong trường hợp này, tổ chức đó có thể lưu hình ảnh của phần mềm và chạy nhiều bản sao cho các máy chủ web xử lý lưu lượng truy cập. Bởi vì các máy ảo đang bắt đầu trong cùng một trạng thái, chúng có thể, theo Andresen, đưa ra cùng một số ‘ngẫu nhiên’.

Ông nói: “Thường có những công cụ để tăng entropy nên điều này sẽ không xảy ra”, ông nói, “nhưng dự án Random Sanity có thể là một sự kiểm tra tốt”.

Mặc dù ông không nghĩ rằng một công ty cần phải chạy từng chuỗi byte màvmáy tính đưa ra thông qua công cụ này, sẽ có lợi nếu gửi một chuỗi byte khi máy khởi động để đảm bảo rằng nó tạo ra sự ngẫu nhiên hợp lý. Sau đó, ông nói, nếu thất bại, vấn đề có thể được điều tra.

Andresen cho biết: “Đây là cách để đảm bảo thảm họa thảm khốc không xảy ra, hoặc là bạn phải nhanh chóng bắt kịp chúng.

Hơn nữa, càng có nhiều người và các tổ chức sử dụng hệ thống thì nó sẽ càng có giá trị, bởi vì nó có cơ sở tính ngẫu nhiên dựa trên nhiều chuỗi byte.

Theo Andresen, hiện nay, chỉ có một vài phiên bản beta đã thử nghiệm dịch vụ, một số người thỉnh thoảng đóng góp mã cho dự án – bao gồm cả những người đến từ các doanh nghiệp Blockchain và ShapeShift mới khởi nghiệp.

Xu hướng không được tin tưởng

Trên Twitter, một số người ca ngợi dịch vụ này, trong khi những người khác lo lắng về kết cấu của hệ thống.

Đối với hệ thống ban đầu đã sử dụng HTTP, cho phép bất cứ ai nghe trộm và xem các byte ngẫu nhiên được gửi đến hệ thống. Andresen nhanh chóng khởi chạy lại bằng cách sử dụng HTTPS để cung cấp kết nối an toàn để không ai có thể xem các byte nào được gửi đi.

Nếu một máy phát số ngẫu nhiên của một thực thể bị phá vỡ, một chuỗi các byte ngẫu nhiên được cho là có thể mở ra thực thể đủ khả năng tấn công, một lời phàn nàn khác từ một người dùng Twitter. Andresen đã trả lời rằng đó là một cơ hội đáng để giành lấy.

Theo như tầm nhìn của Andresen về các byte được gửi đến dịch vụ, ông nói rằng ông không có gì.

Và theo xu hướng của Bitcoin, ông nói:

“Tôi đang cố gắng sắp xếp những thứ mà mọi người không phải tin tưởng tôi.”

Mặc dù dịch vụ hiện đang chạy trên Máy ứng dụng của Google Cloud Platform, dự án tiếp theo của ông là mở dự án cho phép kiểm toán bởi bên thứ ba. Hiện nay, mọi người chỉ có thể kiểm tra mã nguồn mở trên GitHub, mà Andresen đã bảo đảm với CoinDesk, là chính xác những gì đang chạy trên App Engine. Bước tiếp theo, tuy nhiên, sẽ chứng minh điều đó

LEAVE A REPLY

Please enter your comment!
Please enter your name here