Andresen ist zurück mit einem Ein-Mann-Sicherheitsprojekt Inspiriert von Bitcoin-Pannen

Gavin Andresen, der ehemalige Lead-Entwickler von Bitcoin, bricht sein Schweigen.

Während in den letzten Monaten war er mehr aktiv auf Twitter diskutiert die Blockgröße Debatte (sogar stampfen seinen Namen auf eine neue Bitcoin Skalierung 'Vereinbarung'), Andresen hat weitgehend fehlte aus der Bitcoin-Entwickler-Community für etwa ein Jahr.

Aber das bedeutet nicht der erstaunliche Arbeiter, der viel dazu beigetragen hat, Bitcoins frühe Entwicklerteam und Markt zu bauen, war nicht beschäftigt.

Anfang Mai hat Andresen das Tweeted:

Das Projekt schaut, um das Internet besser zu sichern, indem man Quellen der Zufälligkeit überprüft, die von Einzelpersonen und Organisationen benutzt wird.

Ein Blick auf Bitcoin

Das Random-Sanity-Projekt stammt nicht nur aus Andresen's Interesse am Lernen der Programmiersprache GO, sondern auch bei der Suche nach den Problemen, die ein Mangel an Entropie in monetären Software-Systemen wie Bitcoin haben kann.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> " Konto wird übernommen oder angegriffen, in denen Menschen in der Regel nicht bemerkt diese Verstöße für einige Zeit.

"Für viele Sicherheitsprobleme bringt Bitcoin sie ins Licht", sagte Andresen.

Diese schnelle Reaktion wurde in mehreren Pannen gesehen, die auf einer fehlerhaften Zufallszahlenerzeugung im Bitcoin-Ökosystem basierten.

Im Mai 2015 verließ eine Verwundbarkeit in Blockchains Android-Bitcoin-Brieftasche mehrere Benutzer aus Geld. Nach

Softpedia

erlaubt die Schwachstelle, dass doppelte Bitcoin-Adressen erstellt und an unterschiedliche Benutzer übergeben werden. In seinem Kern war das Problem mit Blockchains Zufallszahlengenerator, zufällig. org, die unzureichende Entropie auf bestimmte Versionen des Android-Betriebssystems zur Verfügung stellte.

Und zwei Jahre zuvor, im August 2013, waren alle Bitcoin-Brieftaschenanwendungen auf Android-Betriebssystemen potentiell gefährdet, wenn mehrere Schwachstellen in einem anderen Zufallszahlengenerator, Java SecureRandom, gefunden wurden. Die Distanz beibehalten Während das Projekt auf jeden Fall tangential zu Andresen's ehemaliger Arbeit als Bitcoin's Lead Maintainer ist, ist es auch viel anders.

"So weit, es ist ein Ein-Personen-Projekt, das ich mag", sagte Andresen zu CoinDesk, "es ist schön und einfach, ich wählte etwas Klein und absichtlich langweilig."

Er fuhr fort:

"Bitcoin war ein großes, kompliziertes Projekt mit vielen Menschen auf der ganzen Welt, es gab zu viel Stress und Politik und das wollte ich noch nicht."

Andresen arbeitet seit etwa sechs Monaten an dem Random Sanity Project. Ihm zufolge soll das Projekt kein Profit-Geschäft sein. Stattdessen würde das Projekt idealerweise von einem Unternehmen wie der Linux Foundation gefördert werden, um den Service für jedermann kostenlos anzubieten.

Wie funktioniert also Random Sanity? Jedes System und jede Programmiersprache hat eine Möglichkeit, zufällige Bytes zu bekommen - zum Beispiel hat Linux einen speziellen Ordner namens '/ dev / urandom' und OpenSSL bietet mehrere Zufallszahlengeneratoren (die Bitcoin Core verwendet).

Benutzer des Random-Sanity-Projekts können diese Zufallszahlen - von 16 auf 64 Bytes - eintragen und sie in den Dienst eintragen, der ein "wahres" zurückgibt, wenn die Bytes zufällig aussehen oder ein "falsch", wenn die Zahlen don t t

"Das Problem der Erkennung, ob deine zufälligen Zahlen gut genug sind, ist ein schwieriges Problem", sagte Andresen zu CoinDesk. "Es gibt eine Menge von Möglichkeiten, die du verkürzen kannst."

Digitale Gesundheitskontrolle

Während zufällige Nummer Generatoren werden speziell für die Entropie (ein Mangel an Ordnung und damit Vorhersagbarkeit) geschaffen, es gibt mehrere Gründe, warum etwas schief gehen könnte.

Software-Downloads und Upgrades können mit Zufälligkeit durcheinander bringen. Oder es kann so einfach sein wie jemand, der über die virtuelle Maschine auslöst, indem er eine zufällige Nummerngeneratorschnur verwendet und es auslöst.

Aber ein typischer Fehler, sagte Andresen, wenn eine Organisation Cloud Computing einsetzt und gleichzeitig mehrere virtuelle Maschinen startet.

In diesem Fall kann die Organisation ein Bild der Software speichern und mehrere Kopien für die Webserver ausführen, die den Verkehr verarbeiten. Weil die virtuellen Maschinen im selben Zustand anfangen, könnten sie nach Andresen die gleichen "zufälligen" Zahlen finden.

"Es gibt normalerweise Werkzeuge für die Erhöhung der Entropie, so dass dies nicht passiert", sagte er, "aber [das Random Sanity Project] könnte ein guter Check sein."

Während er nicht glaubt, dass ein Unternehmen braucht führen Sie jede Reihe von Bytes eine Maschine gibt sie durch das Werkzeug, wäre es vorteilhaft, eine Reihe von Bytes zu senden, wenn die Maschine startet, um sicherzustellen, dass es eine vernünftige Zufälligkeit generiert. Dann sagte er, wenn es scheitert, kann das Problem untersucht werden.

"Dies ist ein Weg, um sicherzustellen, dass katastrophale Katastrophen nicht passieren, oder Sie fangen sie schnell genug", sagte Andresen.

Weiter, je mehr Menschen und Organisationen, die das System verwenden, desto wertvoller wird es, weil es dann die Zufälligkeit auf viele weitere Strings von Bytes basieren kann.

Derzeit haben aber nur wenige Beta den Service getestet und manchmal einen Code zurück zum Projekt - einschließlich der Leute von Startups Blockchain und ShapeShift, nach Andresen.

Der vertrauenswürdige Trend

Auf Twitter lobten einige den Service, während andere sich um die Architektur des Systems kümmerten.

Zum einen benutzte das anfängliche System HTTP, das jedem erlaubte, zu lauschen und die zufälligen Bytes zu sehen, die an das System gesendet wurden. Andresen wurde mit HTTPS schnell neu gestartet, um eine sichere Verbindung zu bieten, damit niemand sehen kann, welche Bytes gesendet werden.

Wenn der Zufallsgenerator einer Entität gebrochen ist, kann man sehen, dass eine vermeintlich zufällige Folge von Bytes diese Entität bis zum Angriff öffnen könnte, sagte eine weitere Beschwerde von einem Twitter-Benutzer. Eine Chance lohnt sich, Andresen antwortete. <959> Soweit Andresen Einblick in die Bytes hat, die an den Dienst geschickt werden, sagte er, er habe keine.

Und nach dem Trend, der von Bitcoin gesetzt wurde, sagte er:

"Ich versuche, Dinge zu arrangieren, wo die Leute mir nicht vertrauen müssen."

Während der Service derzeit auf der App Engine läuft der Google Cloud Platform, sein nächstes Projekt eröffnet das Projekt, um die Auditierung durch Dritte zu ermöglichen. Gegenwärtig können die Leute nur den Open-Source-Code auf GitHub auditieren, was Andresen CoinDesk versichert hat, genau das, was auf der App Engine läuft. Der zusätzliche Schritt wird es aber beweisen

Random Zahlen Bild über Shutterstock

Der Führer in Blockchain News, CoinDesk ist eine unabhängige Medien-Steckdose, die für die höchsten journalistischen Standards strebt und hält durch eine strenge Reihe von redaktionellen Richtlinien. Sie interessieren sich für Ihr Know-how oder Einblick in unsere Berichterstattung? Kontaktieren Sie uns unter news