Andresen est de retour avec un projet de sécurité personnel inspiré par les incidents liés au Bitcoin

Gavin Andresen, l'ancien développeur principal de Bitcoin, brise son silence.

Alors que ces derniers mois, il a été plus actif sur Twitter en discutant du débat sur la taille des blocs (il a même apposé son nom sur une nouvelle mise à l'échelle du Bitcoin) ,'accord'), Andresen alargement absentde la communauté des développeurs Bitcoin depuis environ un an.

Mais cela ne signifie T que le travailleur prodigieux, qui a beaucoup contribué à constituer l'équipe de développeurs et le marché du Bitcoin, n'a T été occupé.

Début mai, Andresen a tweeté :

Je recherche des bêta-testeurs et des collaborateurs pour mon projet Random Sanity :<a href="https://t.co/NEbpr1baqk">https:// T.co/NEbpr1baqk</a>







– Gavin Andresen (@gavinandresen) 1er mai 2017

Le projet LOOKS à mieux sécuriser Internet en vérifiant les sources d’aléatoire utilisées par les individus et les organisations.

Garder un œil sur le Bitcoin

Le projet Random Sanity n'est pas seulement né de l'intérêt d'Andresen pour l'apprentissage du langage de programmation GO, mais aussi de la volonté de voir les problèmes qu'un manque d'entropie peut poser dans les systèmes logiciels monétaires comme Bitcoin.

« Je continue certainement à KEEP Bitcoin», a déclaré Andresen à CoinDesk, ajoutant qu'il pourrait contribuer à la révision du code de la nouvelle proposition de mise à l'échelle Bitcoin de DCG, mais qu'il est peu probable qu'il écrive une partie du code.

«Bitcoin est un projet très intéressant car sa sécurité est cruciale », a-t-il déclaré. « Si la sécurité est compromise, c'est immédiatement visible, les gens perdent de l'argent et réagissent immédiatement. »

C'est différent, a-t-il poursuivi, d'un compte de messagerie pris en charge ou attaqué, dans la mesure où les gens ne remarquent généralement T ces violations pendant un certain temps.

« Pour de nombreux problèmes de sécurité, Bitcoin les met en lumière », a déclaré Andresen.

Cette réaction QUICK a été observée dans plusieurs incidents basés sur une génération de nombres aléatoires défectueuse dans l’écosystème Bitcoin .

En mai 2015, une vulnérabilité dans le portefeuille Bitcoin Android de Blockchain a privé plusieurs utilisateurs d'argent. SelonSoftpediaCette vulnérabilité permettait de créer des adresses Bitcoin dupliquées et de les attribuer à différents utilisateurs. Le problème résidait CORE dansGénérateur de nombres aléatoires de la blockchain, random.org, qui a fourni une entropie insuffisante sur certaines versions du système d'exploitation Android.

Et deux ans auparavant, en août 2013,toutes les applications de portefeuille BitcoinLes systèmes d'exploitation Android étaient potentiellement en danger lorsque plusieurs vulnérabilités ont été découvertes dans un autre générateur de nombres aléatoires, Java SecureRandom.

Maintenir une distance

Bien que le projet soit certainement en marge de l’ancien travail d’Andresen en tant que principal mainteneur de Bitcoin, il est également très différent.

« Pour l'instant, c'est un projet personnel, ce qui me plaît », a déclaré Andresen à CoinDesk. « C'est simple et agréable. J'ai choisi quelque chose de petit et volontairement ennuyeux. »

Il a continué :

«Bitcoin était un projet vaste et complexe impliquant de nombreuses personnes réparties dans le monde entier ; il y avait trop de stress et de politique et je ne voulais T revivre cela. »

Andresen travaille sur le projet Random Sanity depuis environ six mois. Selon lui, le projet n'a pas vocation à générer des profits. Idéalement, il serait Sponsorisé par une entité comme la Fondation Linux, offrant ainsi le service gratuitement à tous.

Comment fonctionne Random Sanity ? Chaque système et chaque langage de programmation possède sa propre méthode pour obtenir des octets aléatoires. Par exemple, Linux possède un dossier spécial appelé « /dev/urandom » et OpenSSL propose plusieurs générateurs de nombres aléatoires (utilisés par Bitcoin CORE ).

Les utilisateurs du projet Random Sanity peuvent prendre ces nombres aléatoires – de 16 à 64 octets – et les saisir dans le service, qui renverra un « vrai » si les octets semblent aléatoires, ou un « faux » si les nombres ne le T.

« Déterminer si vos nombres aléatoires sont suffisamment fiables est un problème délicat », a déclaré Andresen à CoinDesk. « Il existe de nombreuses façons de se tromper. »

Bilan de santé numérique

Bien que les générateurs de nombres aléatoires soient créés spécifiquement pour fournir de l'entropie (un manque d'ordre et donc de prévisibilité), il existe plusieurs raisons pour lesquelles quelque chose peut mal se passer.

Les téléchargements et mises à jour de logiciels peuvent perturber le fonctionnement aléatoire. Il peut aussi s'agir simplement d'un utilisateur qui trébuche sur la machine virtuelle en utilisant le câble d'un générateur de nombres aléatoires et qui la débranche.

Mais un échec typique, a déclaré Andresen, se produit lorsqu'une organisation utilise le cloud computing et démarre plusieurs machines virtuelles en même temps.

Dans ce cas, l'organisation pourrait sauvegarder une image du logiciel et exécuter plusieurs copies pour les serveurs web qui gèrent le trafic. Comme les machines virtuelles démarrent dans le même état, elles pourraient, selon Andresen, générer les mêmes nombres « aléatoires ».

« Il existe généralement des outils permettant d'augmenter l'entropie afin que cela n'arrive T », a-t-il déclaré, « mais [le Random Sanity Project] pourrait être un bon moyen de vérifier. »

Bien qu'il ne pense T qu'une entreprise doive exécuter chaque chaîne d'octets transmise par une machine via l'outil, il serait utile d'envoyer une chaîne d'octets au démarrage de la machine pour s'assurer qu'elle génère un caractère aléatoire raisonnable. Ensuite, a-t-il ajouté, en cas de panne, le problème pourra être examiné.

« C'est un moyen de garantir que des catastrophes ne se produisent T ou que vous les attrapez assez QUICK », a déclaré Andresen.

De plus, plus les personnes et les organisations qui utilisent le système sont nombreuses, plus il devient précieux, car il peut alors baser le caractère aléatoire sur un plus grand nombre de chaînes d’octets.

Actuellement, cependant, seuls quelques-uns ont testé la version bêta du service, contribuant parfois au code du projet – y compris des personnes issues des startups Blockchain et ShapeShift, selon Andresen.

La tendance au manque de confiance

Sur Twitter, certains ont salué le service, tandis que d'autres s'inquiétaient de l'architecture du système.

D' une ONE, le système initial utilisait HTTP, ce qui permettait à quiconque d'écouter et de voir les octets aléatoires envoyés au système. Andresen a rapidement relancé le système en utilisant HTTPS pour fournir une connexion sécurisée, empêchant ainsi ONE visualisation des octets envoyés.

Si le générateur de nombres aléatoires d'une entité est cassé, voir une chaîne d'octets supposément aléatoire pourrait ouvrir cette entité à une attaque, a déclaré un autre. plainte d'un utilisateur de TwitterUne chance qui vaut la peine d'être prise,Andresen a répondu.

En ce qui concerne la possibilité pour Andresen d'avoir un aperçu des octets envoyés au service, il a déclaré qu'il n'en avait aucun.

Et, suivant la tendance établie par le Bitcoin, il a déclaré :

« J'essaie d'organiser des choses pour que les gens n'aient T à me faire confiance. »

Bien que le service soit actuellement exécuté sur App Engine de Google Cloud Platform, son prochain projet consiste à l'ouvrir pour permettre son audit par des tiers. Actuellement, seul le code open source disponible sur GitHub est auditable, ce qui, a assuré Andresen à CoinDesk, correspond exactement à celui exécuté sur App Engine. Cette étape supplémentaire le prouvera.

Nombres aléatoiresimage via Shutterstock