Andresen regresa con un proyecto de seguridad unipersonal inspirado en los problemas de Bitcoin

Gavin Andresen, el ex desarrollador principal de Bitcoin, está rompiendo su silencio.

Si bien en los últimos meses ha estado más activo en Twitter discutiendo el debate sobre el tamaño de los bloques (incluso estampando su nombre en una nueva escalabilidad de Bitcoin) ,'acuerdo'), Andresen tieneen gran medida ha estado ausentede la comunidad de desarrolladores de Bitcoin durante aproximadamente un año.

Pero eso no significa que el prodigioso trabajador, que hizo mucho para ayudar a construir el equipo inicial de desarrolladores y el mercado de Bitcoin, no haya estado ocupado.

A principios de mayo, Andresen tuiteó:

Estoy buscando probadores beta y colaboradores para mi proyecto Random Sanity:<a href="https://t.co/NEbpr1baqk">T</a>







- Gavin Andresen (@gavinandresen) 1 de mayo de 2017

El proyecto LOOKS mejorar la seguridad de Internet verificando las fuentes de aleatoriedad utilizadas por individuos y organizaciones.

Vigilando Bitcoin

El Proyecto Random Sanity no sólo surgió del interés de Andresen en aprender el lenguaje de programación GO, sino también en ver los problemas que puede tener la falta de entropía en sistemas de software monetario como Bitcoin.

"Sin duda, todavía me mantengo KEEP con Bitcoin", dijo Andresen a CoinDesk, y agregó que podría contribuir con la revisión del código para la nueva propuesta de escalamiento de Bitcoin de DCG, pero que es poco probable que escriba parte del código.

«Bitcoin es un proyecto muy interesante porque su seguridad es crucial», dijo. «Si la seguridad falla, es evidente de inmediato: la gente pierde dinero y reacciona de inmediato».

Esto es diferente, continuó, a que una cuenta de correo electrónico sea tomada o atacada, en el sentido de que las personas generalmente no notan esas violaciones durante algún tiempo.

" Bitcoin saca a la luz muchos problemas de seguridad", afirmó Andresen.

Esta QUICK reacción se vio en varios accidentes basados ​​en la generación defectuosa de números aleatorios en el ecosistema de Bitcoin .

En mayo de 2015, una vulnerabilidad en la billetera Bitcoin de Blockchain para Android dejó a varios usuarios sin dinero. Según...SoftpediaLa vulnerabilidad permitía crear direcciones de Bitcoin duplicadas y asignarlas a diferentes usuarios. En CORE, el problema radicaba en...Generador de números aleatorios de Blockchain, random.org, que proporcionó entropía insuficiente en ciertas versiones del sistema operativo Android.

Y dos años antes, en agosto de 2013,todas las aplicaciones de billetera BitcoinLos sistemas operativos Android estaban potencialmente en riesgo cuando se encontraron varias vulnerabilidades dentro de otro generador de números aleatorios, Java SecureRandom.

Mantener la distancia

Si bien el proyecto es definitivamente tangencial al trabajo anterior de Andresen como mantenedor principal de Bitcoin, también es muy diferente.

"Hasta ahora, es un proyecto individual, lo cual me gusta", comentó Andresen a CoinDesk. "Es agradable y sencillo. Elegí algo pequeño y intencionadamente aburrido".

Continuó:

Bitcoin fue un proyecto grande y complicado que involucró a mucha gente de todo el mundo; había demasiado estrés y política, y no quería que eso volviera a ocurrir.

Andresen lleva unos seis meses trabajando en el Proyecto Random Sanity. Según él, el proyecto no busca ser un negocio lucrativo. Idealmente, estaría Patrocinado por una entidad como la Fundación Linux para ofrecer el servicio a cualquier persona de forma gratuita.

¿Cómo funciona Random Sanity? Cada sistema y lenguaje de programación tiene una forma de obtener bytes aleatorios; por ejemplo, Linux tiene una carpeta especial llamada '/dev/urandom' y OpenSSL proporciona varios generadores de números aleatorios (que utiliza Bitcoin CORE ).

Los usuarios del Proyecto Random Sanity pueden tomar esos números aleatorios (de 16 a 64 bytes) e ingresarlos en el servicio, que devolverá un "verdadero" si los bytes parecen aleatorios, o un "falso" si los números no lo parecen.

"Detectar si tus números aleatorios son lo suficientemente buenos es un problema complejo", dijo Andresen a CoinDesk. "Hay muchas maneras de meter la pata".

Control de salud digital

Si bien los generadores de números aleatorios se crean específicamente para proporcionar entropía (una falta de orden y, por lo tanto, de previsibilidad), hay varias razones por las que algo podría salir mal.

Las descargas y actualizaciones de software pueden interferir con la aleatoriedad. O puede ser tan simple como que alguien tropiece con la máquina virtual que utiliza un cable generador de números aleatorios y la desconecte.

Pero una falla típica, dijo Andresen, es cuando una organización utiliza la computación en la nube y pone en marcha varias máquinas virtuales al mismo tiempo.

En este caso, la organización podría guardar una imagen del software y ejecutar varias copias para los servidores web que gestionan el tráfico. Dado que las máquinas virtuales se inician en el mismo estado, podrían, según Andresen, generar los mismos números aleatorios.

"Normalmente existen herramientas para aumentar la entropía para que esto no suceda", dijo, "pero [el Proyecto Random Sanity] podría ser una buena prueba".

Si bien no cree que una empresa necesite ejecutar cada cadena de bytes que una máquina le proporciona a través de la herramienta, sería beneficioso enviar una cadena de bytes al iniciar la máquina para asegurar que genere una aleatoriedad razonable. Luego, dijo, si falla, se puede investigar el problema.

"Esto está diseñado como una forma de garantizar que no ocurran desastres catastróficos o que se detecten lo suficientemente QUICK ", dijo Andresen.

Además, cuantas más personas y organizaciones utilicen el sistema, más valioso será, porque podrá basar la aleatoriedad en muchas más cadenas de bytes.

Hasta el momento, sin embargo, solo unos pocos han probado la versión beta del servicio, a veces aportando código al proyecto, incluidas personas de las startups Blockchain y ShapeShift, según Andresen.

La tendencia a la desconfianza

En Twitter, algunos elogiaron el servicio, mientras que otros se mostraron preocupados por la arquitectura del sistema.

En ONE, el sistema inicial usaba HTTP, lo que permitía a cualquiera espiar y ver los bytes aleatorios que se enviaban al sistema. Andresen se relanzó rápidamente usando HTTPS para proporcionar una conexión segura, de modo que ONE pudiera ver qué bytes se enviaban.

Si el generador de números aleatorios de una entidad no funciona, ver una cadena de bytes supuestamente aleatoria podría exponer a esa entidad a un ataque, dijo otro. queja de un usuario de TwitterUna oportunidad que vale la pena tomar,Andresen respondió.

En cuanto a si Andresen tiene conocimiento de los bytes que se envían al servicio, dijo que no tiene ninguno.

Y, siguiendo la tendencia marcada por Bitcoin, dijo:

"Estoy tratando de organizar las cosas para que la gente no tenga que confiar en mí".

Si bien el servicio se ejecuta actualmente en App Engine de Google Cloud Platform, su próximo proyecto consiste en abrirlo para permitir la auditoría por parte de terceros. Actualmente, solo se puede auditar el código abierto en GitHub, que, según CoinDesk, es exactamente lo que se ejecuta en App Engine. Sin embargo, este paso adicional lo demostrará.

Números aleatoriosimagen vía Shutterstock