Andresen torna con un progetto di sicurezza personale ispirato agli incidenti di Bitcoin

Gavin Andresen, l'ex sviluppatore principale di Bitcoin, rompe il silenzio.

Mentre negli ultimi mesi è stato più attivo su Twitter discutendo del dibattito sulla dimensione dei blocchi (anche stampando il suo nome su un nuovo ridimensionamento Bitcoin'accordo'), Andresen hain gran parte assentedalla comunità degli sviluppatori Bitcoin da circa un anno.

Ma questo T significa che il prodigioso lavoratore, che ha contribuito notevolmente a far crescere il primo team di sviluppatori e il mercato di Bitcoin, T sia stato impegnato.

All'inizio di maggio, Andresen ha twittato:

Cerco beta tester e collaboratori per il mio progetto Random Sanity:<a href="https://t.co/NEbpr1baqk">Italiano: T</a>







— Gavin Andresen (@gavinandresen) 1 maggio 2017

Il progetto LOOKS a proteggere meglio Internet verificando le fonti di casualità utilizzate da individui e organizzazioni.

Tenendo d'occhio il Bitcoin

Il Random Sanity Project non è nato solo dall'interesse di Andresen nell'apprendere il linguaggio di programmazione GO, ma anche dall'osservazione dei problemi che la mancanza di entropia può causare nei sistemi software monetari come Bitcoin.

"Certamente continuo a KEEP Bitcoin", ha detto Andresen a CoinDesk, aggiungendo che potrebbe contribuire alla revisione del codice per la nuova proposta di DCG per la scalabilità Bitcoin , ma che è improbabile che scriva il codice.

"Bitcoin è un progetto così interessante perché è fondamentale per la sicurezza", ha detto. "Se la sicurezza fallisce, è immediatamente ovvio, le persone perdono soldi e reagiscono immediatamente".

Questo è diverso, ha continuato, rispetto al furto o all'attacco di un account di posta elettronica, in quanto le persone solitamente T si accorgono di queste violazioni per un po' di tempo.

"Molti problemi di sicurezza sono stati portati alla luce Bitcoin ", ha affermato Andresen.

Questa QUICK reazione si è verificata in diversi incidenti dovuti alla generazione errata di numeri casuali nell'ecosistema Bitcoin .

Nel maggio 2015, una vulnerabilità nel portafoglio Bitcoin Android di Blockchain ha lasciato diversi utenti senza soldi. SecondoSoftpedia, la vulnerabilità ha permesso di creare indirizzi Bitcoin duplicati e di assegnarli a utenti diversi. In CORE, il problema era conGeneratore di numeri casuali di Blockchain, random.org, che forniva entropia insufficiente su alcune versioni del sistema operativo Android.

E due anni prima, nell'agosto del 2013,tutte le applicazioni del portafoglio Bitcoinsui sistemi operativi Android erano potenzialmente a rischio quando sono state trovate diverse vulnerabilità all'interno di un altro generatore di numeri casuali, Java SecureRandom.

Mantenere la distanza

Sebbene il progetto sia sicuramente tangenziale al precedente lavoro di Andresen come responsabile della manutenzione di Bitcoin, è anche molto diverso.

"Finora, è un progetto di una sola persona, cosa che mi piace", ha detto Andresen a CoinDesk. "È carino e semplice. Ho scelto qualcosa di piccolo e volutamente noioso".

Ha continuato:

"Bitcoin era un progetto grande e complicato che coinvolgeva molte persone sparse in tutto il mondo; c'era troppo stress e troppa politica e T volevo che si ripetesse."

Andresen lavora al Random Sanity Project da circa sei mesi. Secondo lui, il progetto non intende essere un'attività a scopo di lucro. Invece, idealmente, il progetto dovrebbe essere Sponsorizzato da un'entità come la Linux Foundation per offrire il servizio a chiunque gratuitamente.

Quindi, come funziona Random Sanity? Ogni sistema e ogni linguaggio di programmazione ha un modo per ottenere byte casuali: ad esempio, Linux ha una cartella speciale chiamata '/dev/urandom' e OpenSSL fornisce diversi generatori di numeri casuali (che Bitcoin CORE utilizza).

Gli utenti del Random Sanity Project possono prendere quei numeri casuali, da 16 a 64 byte, e inserirli nel servizio, che restituirà 'true' se i byte sembrano casuali, o 'false' se i numeri non T.

"Il problema di rilevare se i tuoi numeri casuali sono abbastanza buoni è un problema spinoso", ha detto Andresen a CoinDesk. "Ci sono un sacco di modi in cui puoi sbagliare".

Controllo sanitario digitale

Sebbene i generatori di numeri casuali siano stati creati appositamente per fornire entropia (mancanza di ordine e quindi prevedibilità), ci sono diverse ragioni per cui qualcosa potrebbe andare storto.

I download e gli aggiornamenti software possono creare confusione con la casualità. Oppure può essere semplice come qualcuno che inciampa nella macchina virtuale utilizzando un cavo di un generatore di numeri casuali e staccandolo.

Ma un fallimento tipico, ha affermato Andresen, si verifica quando un'organizzazione utilizza il cloud computing e avvia più macchine virtuali contemporaneamente.

In questo caso, l'organizzazione potrebbe salvare un'immagine del software ed eseguire più copie per i server Web che gestiscono il traffico. Poiché le macchine virtuali si avviano nello stesso stato, potrebbero, secondo Andresen, arrivare agli stessi numeri "casuali".

"Di solito ci sono strumenti per aumentare l'entropia affinché questo T accada", ha detto, "ma [il Random Sanity Project] potrebbe essere un buon modo per controllarlo".

Sebbene T creda che un'azienda debba far passare ogni stringa di byte che una macchina le fornisce attraverso lo strumento, sarebbe utile inviare ONE stringa di byte quando la macchina si avvia per assicurarsi che stia generando una ragionevole casualità. Quindi, ha detto, se fallisce, il problema può essere esaminato.

"Questo è stato concepito per garantire che T accadano disastri catastrofici o che vengano individuati abbastanza QUICK ", ha affermato Andresen.

Inoltre, più persone e organizzazioni utilizzano il sistema, più questo diventa prezioso, perché può quindi basare la casualità su molte più stringhe di byte.

Attualmente, tuttavia, solo pochi hanno testato la versione beta del servizio, a volte contribuendo con il codice al progetto, tra cui persone provenienti dalle startup Blockchain e ShapeShift, secondo Andresen.

La tendenza alla mancanza di fiducia

Su Twitter alcuni hanno elogiato il servizio, mentre altri si sono dichiarati preoccupati per l'architettura del sistema.

Per ONE, il sistema iniziale utilizzava HTTP, che consentiva a chiunque di origliare e vedere i byte casuali inviati al sistema. Andresen ha rapidamente rilanciato utilizzando HTTPS per fornire una connessione sicura in modo che ONE potesse vedere quali byte venivano inviati.

Se il generatore di numeri casuali di un'entità è danneggiato, vedere ONE stringa di byte apparentemente casuale potrebbe esporre quell'entità ad attacchi, ha affermato un altro reclamo di un utente TwitterUn'opportunità che vale la pena cogliere,Andresen ha risposto.

Per quanto riguarda la possibilità che Andresen abbia informazioni sui byte inviati al servizio, ha affermato di non averne.

E, seguendo la tendenza tracciata dal Bitcoin, ha affermato:

"Cerco di fare in modo che le persone T debbano fidarsi di me."

Mentre il servizio è attualmente in esecuzione su App Engine di Google Cloud Platform, il suo prossimo progetto è di aprirlo per consentire l'audit da parte di terze parti. Attualmente, le persone possono solo eseguire l'audit del codice open source su GitHub, che Andresen ha assicurato a CoinDesk, è esattamente ciò che è in esecuzione su App Engine. Il passaggio aggiuntivo, tuttavia, lo dimostrerà

Numeri casualiimmagine tramite Shutterstock