La auditoría de Zcash no encuentra problemas serios en la seguridad de la ceremonia de lanzamiento | Concellodemelon.org

La auditoría de Zcash no encuentra problemas serios en la seguridad de la ceremonia de lanzamiento

La auditoría de Zcash no encuentra problemas serios en la seguridad de la ceremonia de lanzamiento

En preparación para el lanzamiento de la privacidad criptomoneda centradas, zcash, los desarrolladores del proyecto realizaron una ceremonia elaborada.

No es poca cosa, el procedimiento podría determinar no sólo la viabilidad y la seguridad de toda la red, sino que requieren la coordinación de los seis participantes en seis lugares de todo el mundo - todos los cuales necesitan estar en contacto directo para asegurar un resultado exitoso.

En la lista de chat, sin embargo, un nombre se destacó: "Moisés".

Cuando la ceremonia envuelto, se reveló el dueño de este seudónimo era, de hecho, Derek Hinch. Un consultor en Austin con la empresa de seguridad NCC, Hinch había sido contratado para realizar tanto la ceremonia como está previsto y atacar con todo lo que tenía.

Hoy en día, el NCC finalmente publisheda informe sobre los esfuerzos de Hinch - y sus resultados puede ser alentador zcash usuarios que albergaban sospechas sobre el nacimiento de la criptomoneda, ahora el valor de mercado-XVIII más grande en el mundo por.

En particular, los informes Hinch que tienen solamente un mínimo éxito con un ataque a la memoria del ordenador de prueba bajo su control, una réplica alterada de la realidad utilizados para la ceremonia. Y que confía en que el mismo ataque no pudo haber sido realizado en el equipo que fue en realidad la celebración de información sensible en el día de la ceremonia.

En resumen, de acuerdo con Hinch, la ceremonia fue un éxito:

"En cuanto a asegurar que los fragmentos de residuos tóxicos fueron firmemente generados, y se eliminan correctamente, lo que era el quid de la ceremonia, lo que puedo decir con certeza que pasó por nuestra parte."

Ataques fallidos

Retrocediendo, "residuos tóxicos" es un término que los desarrolladores zcash acuñado para referirse a los seis fragmentos de la clave privada única que tenía que ser combinado y horneados en el protocolo del criptomoneda.

Si alguien fuera a tener en sus manos una copia completa de todos los fragmentos, que les permitiría crear subrepticiamente las monedas falsas, un ataque que sería difícil de detectar dado el anonimato de las transacciones zcash. Por lo tanto, para asegurar que el producto final, la clave privada total se dividió en seis piezas, cada una genera en un lugar diferente. A continuación, se combinan a través de una serie de cálculos, ninguno de los cuales requieren la presentación de los fragmentos clave, que se mantuvo en ordenadores aislados sin capacidad de red.

En su estación, Hinch tenía dos configuraciones de ordenador: un albergaba el fragmento clave privada real utilizado en el acto, mientras que el otro siguió todas las mismas instrucciones, pero se utilizó para probar una serie de ataques. Zcash dio Hinch acceso root a la máquina, así como las contraseñas que le permitieron desactivar algunas de las protecciones de seguridad en una capa del software llamado grsec.

Incluso con estas credenciales, sin embargo, los ataques de Hinch se vieron frustrados y que no se puede obtener de forma remota los residuos tóxicos en el equipo.

Pero Hinch tenía un poco más de éxito con un ataque físico contra la memoria.

A través de una tarjeta FireWire insertado en la máquina de prueba antes del inicio de la ceremonia, que fue capaz de extraer 2,2 gigabytes de la 8GB total de la máquina, ninguno de los cuales contenía el fragmento clave privada.

Además, Hinch dice el mismo ataque no podría haberse llevado a cabo contra la computadora en realidad estaba utilizando en la ceremonia. Para llevarlo a cabo, alguien tendría que alterar físicamente el ordenador, que estaba en un lugar seguro bajo la observación constante de video.

NCC revisó imágenes de seguridad de la ceremonia y se verifica que no hay allanamientos tuvieron lugar.

"Ese equipo era tan segura como lo vas a conseguir", dice Hinch.

Intentando otra vez

Sin embargo, tenía Hinch recomendaciones en caso de una ceremonia similar se lleva a cabo en el futuro.

Para empezar, él cree que sería mejor para crear un inventario completo de los contenidos de cada equipo en el que se almacenan los residuos tóxicos para asegurarse de que no hay rutas físicas a la memoria, como la tarjeta firewire proporcionado.

La ceremonia de generación de claves zcash fue diseñado para ser seguro, siempre que una sola estación generó correctamente y eliminarse de su secreto antes de que un atacante podría robar. Ya que otros participantes han compartido sus métodos para proteger sus estaciones.

En un blog en respuesta al informe del NCC, los desarrolladores zcash señalan que, si bien sigue siendo imposible demostrar el proceso era seguro, el análisis proporciona una fuerte indicación de que la ceremonia se desarrolló sin contratiempos y que la seguridad fundamental de la coinbase está intacto.

Aún así, ya que esto no puede ser conocido con certeza, estos resultados son simplemente leen mejor como proporcionar garantías adicionales de cualquier peligro.

PrivacySecurityzcash

Noticias relacionadas


Post Característica

Bitcoin Bitcoin Hack: Lo que sabemos (y no sabemos)

Post Característica

21 Inc lanza la primera prueba de concepto para la red de computadoras Bitcoin

Post Característica

El Proyecto de Ley de Defensa de los Estados Unidos podría dar un gran impulso a Blockchain

Post Característica

MIT Expo destaca las preocupaciones de Bitcoin Tech

Post Característica

El mundo está mirando: ¿pueden los creadores de WannaCry retirar su rescate de Bitcoin?

Post Característica

En Londres, los investigadores miran a Blockchain más allá de los servicios financieros

Post Característica

Abogados de Relax, Nick Szabo dice que los contratos inteligentes no matarán empleos

Post Característica

Cómo Ascribe utiliza Bitcoin Tech para ayudar a los artistas marginados

Post Característica

Vladimir Putin y Vitalik Buterin hablan sobre las oportunidades de Ethereum

Post Característica

El hecho de que sea malo para su moneda no significa que sea FUD

Post Característica

¿Bitcoin está muerto? No es la parte que importa

Post Característica

Un marco para la identidad