Andresen está de volta com um projeto de segurança individual inspirado em percalços do Bitcoin

Gavin Andresen, o antigo desenvolvedor líder do Bitcoin, está quebrando o silêncio.

Embora nos últimos meses ele tenha estado mais ativo no Twitter discutindo o debate sobre o tamanho do bloco (até mesmo carimbando seu nome em um novo escalonamento de Bitcoin'acordo'), Andresen temesteve em grande parte ausenteda comunidade de desenvolvedores de Bitcoin há cerca de um ano.

Mas isso T significa que o trabalhador prodigioso, que fez muito para ajudar a construir a equipe inicial de desenvolvedores e o mercado do bitcoin, T esteja ocupado.

No início de maio, Andresen tuitou:

Estou procurando testadores beta e colaboradores para meu Projeto Random Sanity:<a href="https://t.co/NEbpr1baqk">T</a>







-Gavin Andresen (@gavinandresen) 1 de maio de 2017

O projeto LOOKS proteger melhor a internet verificando fontes de aleatoriedade usadas por indivíduos e organizações.

De olho no Bitcoin

O Random Sanity Project não surgiu apenas do interesse de Andresen em aprender a linguagem de programação GO, mas também em ver os problemas que a falta de entropia pode ter em sistemas de software monetário como o Bitcoin.

"Eu certamente ainda KEEP o Bitcoin", disse Andresen ao CoinDesk, acrescentando que ele pode contribuir com a revisão do código para a nova proposta de dimensionamento do Bitcoin do DCG, mas que é improvável que ele escreva qualquer parte do código.

"Bitcoin é um projeto tão interessante porque é crítico em termos de segurança", ele disse. "Se a segurança falhar, é imediatamente óbvio, as pessoas perdem dinheiro e reagem imediatamente."

Isso é diferente, ele continuou, de uma conta de e-mail ser invadida ou atacada, pois as pessoas normalmente T percebem essas violações por algum tempo.

" O Bitcoin traz à tona muitas questões de segurança", disse Andresen.

Essa reação QUICK foi vista em vários contratempos baseados na geração incorreta de números aleatórios no ecossistema Bitcoin .

Em maio de 2015, uma vulnerabilidade na carteira de Bitcoin Android da Blockchain deixou vários usuários sem dinheiro. De acordo comSoftpedia, a vulnerabilidade permitiu que endereços Bitcoin duplicados fossem criados e fornecidos a diferentes usuários. No CORE, o problema era comGerador de números aleatórios do Blockchain, random.org, que forneceu entropia insuficiente em certas versões do sistema operacional Android.

E dois anos antes, em agosto de 2013,todos os aplicativos de carteira Bitcoinnos sistemas operacionais Android estavam potencialmente em risco quando várias vulnerabilidades foram encontradas em outro gerador de números aleatórios, o Java SecureRandom.

Manter distância

Embora o projeto seja definitivamente tangencial ao trabalho anterior de Andresen como principal mantenedor do bitcoin, ele também é muito diferente.

"Até agora, é um projeto de uma pessoa, do qual eu gosto", Andresen disse ao CoinDesk. "É legal e simples. Escolhi algo pequeno e intencionalmente chato."

Ele continuou:

"O Bitcoin era um projeto grande e complicado que envolvia muitas pessoas espalhadas pelo mundo todo; havia muito estresse e política e eu T queria isso de novo."

Andresen vem trabalhando no Random Sanity Project há cerca de seis meses. Segundo ele, o projeto não tem a intenção de ser um negócio lucrativo. Em vez disso, o ideal seria que o projeto fosse Patrocinado por uma entidade como a Linux Foundation para oferecer o serviço a qualquer pessoa gratuitamente.

Então, como o Random Sanity funciona? Cada sistema e cada linguagem de programação tem uma maneira de obter bytes aleatórios – por exemplo, o Linux tem uma pasta especial chamada '/dev/urandom' e o OpenSSL fornece vários geradores de números aleatórios (que o Bitcoin CORE usa).

Os usuários do Random Sanity Project podem pegar esses números aleatórios – de 16 a 64 bytes – e inseri-los no serviço, que retornará "true" se os bytes parecerem aleatórios, ou "false" se os números não T.

"O problema de detectar se seus números aleatórios são bons o suficiente é um problema complicado", Andresen disse ao CoinDesk. "Há várias maneiras de você estragar tudo."

Verificação de saúde digital

Embora os geradores de números aleatórios sejam criados especificamente para fornecer entropia (falta de ordem e, portanto, previsibilidade), há vários motivos pelos quais algo pode dar errado.

Downloads e atualizações de software podem mexer com a aleatoriedade. Ou pode ser tão simples quanto alguém tropeçando na máquina virtual utilizando um cabo gerador de números aleatórios e desconectando-o.

Mas uma falha típica, disse Andresen, ocorre quando uma organização usa computação em nuvem e inicia várias máquinas virtuais ao mesmo tempo.

Nesse caso, a organização pode salvar uma imagem do software e executar múltiplas cópias para os servidores web que manipulam o tráfego. Como as máquinas virtuais estão iniciando no mesmo estado, elas poderiam, de acordo com Andresen, chegar aos mesmos números "aleatórios".

"Normalmente, existem ferramentas para aumentar a entropia para que isso T aconteça", disse ele, "mas [o Random Sanity Project] pode ser uma boa verificação".

Embora ele T ache que uma empresa precise executar cada sequência de bytes que uma máquina fornece a ela por meio da ferramenta, seria benéfico enviar uma sequência de bytes quando a máquina inicia para garantir que ela esteja gerando aleatoriedade razoável. Então, ele disse, se falhar, o problema pode ser investigado.

"Isso foi criado como uma forma de garantir que desastres catastróficos T aconteçam ou que você os detecte QUICK o suficiente", disse Andresen.

Além disso, quanto mais pessoas e organizações usarem o sistema, mais valioso ele se tornará, porque poderá então basear a aleatoriedade em muito mais sequências de bytes.

Atualmente, porém, apenas alguns testaram a versão beta do serviço, às vezes contribuindo com código de volta para o projeto – incluindo pessoas das startups Blockchain e ShapeShift, de acordo com Andresen.

A tendência de não confiar

No Twitter, alguns elogiaram o serviço, enquanto outros se mostraram preocupados com a arquitetura do sistema.

Para ONE, o sistema inicial usava HTTP, o que permitia que qualquer um espionasse e visse os bytes aleatórios sendo enviados ao sistema. Andresen rapidamente relançou usando HTTPS para fornecer uma conexão segura para que ONE pudesse ver quais bytes são enviados.

Se o gerador de números aleatórios de uma entidade estiver quebrado, ver uma sequência de bytes supostamente aleatória pode expor essa entidade a ataques, disse outro reclamação de um usuário do Twitter. Uma chance que vale a pena correr,Andresen respondeu.

Quanto a Andresen ter conhecimento dos bytes enviados ao serviço, ele disse que não tem nenhum.

E, seguindo a tendência definida pelo Bitcoin, ele disse:

"Estou tentando organizar as coisas de forma que as pessoas T precisem confiar em mim."

Enquanto o serviço está atualmente em execução no App Engine da Google Cloud Platform, seu próximo projeto é abrir o projeto para permitir auditoria por terceiros. Atualmente, as pessoas só podem auditar o código-fonte aberto no GitHub, que Andresen garantiu à CoinDesk, é exatamente o que está em execução no App Engine. A etapa extra, no entanto, provará isso

Números aleatóriosimagem via Shutterstock