Андресен вернулся с проектом по обеспечению безопасности, вдохновленным неудачами Bitcoin

Гэвин Андресен, бывший ведущий разработчик Bitcoin, нарушает свое молчание.

Хотя в последние месяцы он был более активен в Twitter, обсуждая дебаты о размере блока (даже поставил свое имя на новом масштабируемом Bitcoin)'соглашение'), Андресен имеетв основном отсутствовализ сообщества разработчиков Bitcoin около года.

Но это T значит, что этот выдающийся работник, который внес большой вклад в формирование команды разработчиков и рынка биткоина, T был занят.

В начале мая Андресен написал в Твиттере:

Я ищу бета-тестеров и соавторов для моего проекта Random Sanity:<a href="https://t.co/NEbpr1baqk">T</a>







— Гэвин Андресен (@gavinandresen) 1 мая 2017 г.

Проект LOOKS на повышение безопасности Интернета путем проверки источников случайности, используемых отдельными лицами и организациями.

Следим за Bitcoin

Проект Random Sanity возник не только из-за интереса Андресена к изучению языка программирования GO, но и из-за понимания проблем, которые может вызвать недостаток энтропии в денежных программных системах, таких как Bitcoin.

«Я, конечно, по-прежнему KEEP за Bitcoin», — сказал Андресен CoinDesk, добавив, что он, возможно, внесет свой вклад в проверку кода нового предложения DCG по масштабированию Bitcoin , но вряд ли он сам напишет какой-либо код.

«Bitcoin — такой интересный проект, потому что он критически важен с точки зрения безопасности», — сказал он. «Если безопасность дает сбой, это сразу становится очевидным, люди теряют деньги и немедленно реагируют».

По его словам, это отличается от взлома или атаки на учетную запись электронной почты, поскольку люди обычно T замечают таких нарушений в течение некоторого времени.

« Bitcoin выносит на свет множество проблем безопасности», — сказал Андресен.

Такая QUICK реакция была замечена в нескольких сбоях, связанных с неправильной генерацией случайных чисел в экосистеме Bitcoin .

В мае 2015 года уязвимость в Android-кошельке Bitcoin от Blockchain оставила нескольких пользователей без денег. По даннымСофтпедия, уязвимость позволяла создавать дубликаты Bitcoin адресов и выдавать их разным пользователям. По CORE, проблема была вГенератор случайных чисел блокчейна, random.org, который обеспечивал недостаточную энтропию на некоторых версиях операционной системы Android.

А два года назад, в августе 2013 года,все приложения Bitcoin -кошелькаОперационные системы Android оказались под угрозой, когда в другом генераторе случайных чисел Java SecureRandom было обнаружено несколько уязвимостей.

Соблюдение дистанции

Хотя этот проект, безусловно, имеет косвенное отношение к предыдущей работе Андресена в качестве ведущего специалиста по поддержке биткоина, он также сильно отличается.

«Пока что это проект одного человека, и мне он нравится», — сказал Андресен CoinDesk. «Он приятный и простой. Я выбрал что-то небольшое и намеренно скучное».

Он продолжил:

«Bitcoin был большим и сложным проектом, в котором участвовало множество людей по всему миру; было слишком много стресса и политики, и я T хотел этого снова».

Андресен работает над проектом Random Sanity Project уже около полугода. По его словам, проект не предназначен для получения прибыли. Вместо этого, в идеале, проект должен Партнерский материал организацией вроде Linux Foundation, которая будет предлагать услугу всем желающим бесплатно.

Так как же работает Random Sanity? Каждая система и каждый язык программирования имеют способ получения случайных байтов — например, в Linux есть специальная папка под названием '/dev/urandom', а OpenSSL предоставляет несколько генераторов случайных чисел (которые использует Bitcoin CORE ).

Пользователи проекта Random Sanity могут брать эти случайные числа — от 16 до 64 байт — и вводить их в сервис, который вернет «истина», если байты выглядят случайными, или «ложь», если числа T.

«Проблема определения того, достаточно ли хороши ваши случайные числа, — сложная проблема», — сказал Андресен CoinDesk. «Есть множество способов облажаться».

Цифровая проверка здоровья

Хотя генераторы случайных чисел созданы специально для обеспечения энтропии (отсутствия порядка и, следовательно, предсказуемости), существует несколько причин, по которым что-то может пойти не так.

Загрузка и обновление программного обеспечения могут нарушить случайность. Или это может быть так же просто, как если бы кто-то споткнулся о виртуальную машину, использующую шнур генератора случайных чисел, и отключил его.

Однако, по словам Андресена, типичная ошибка возникает, когда организация использует облачные вычисления и запускает несколько виртуальных машин одновременно.

В этом случае организация может сохранить образ программного обеспечения и запустить несколько копий для веб-серверов, которые обрабатывают трафик. Поскольку виртуальные машины запускаются в одном и том же состоянии, они могут, по словам Андресена, выдавать одни и те же «случайные» числа.

«Обычно существуют инструменты для увеличения энтропии, чтобы этого T произошло», — сказал он, — «но [проект Random Sanity] мог бы стать хорошей проверкой».

Хотя он T считает, что компании нужно пропускать через инструмент каждую строку байтов, которую им дает машина, было бы полезно отправить ONE строку байтов при запуске машины, чтобы убедиться, что она генерирует разумную случайность. Затем, сказал он, если это не удается, можно исследовать проблему.

«Это сделано для того, чтобы гарантировать, что катастрофические бедствия T произойдут или будут зафиксированы достаточно QUICK », — сказал Андресен.

Кроме того, чем больше людей и организаций используют систему, тем более ценной она становится, поскольку тогда она может основывать случайность на гораздо большем количестве строк байтов.

Однако в настоящее время лишь немногие провели бета-тестирование сервиса, иногда возвращая код в проект, в том числе люди из стартапов Blockchain и ShapeShift, по словам Андресена.

Тенденция к недоверию

В Twitter некоторые хвалили сервис, в то время как другие выражали беспокойство по поводу архитектуры системы.

Во ONE, первоначальная система использовала HTTP, что позволяло любому человеку подслушивать и видеть случайные байты, отправляемые в систему. Андресен быстро перезапустился с использованием HTTPS, чтобы обеспечить безопасное соединение, чтобы ONE не мог видеть, какие байты отправляются.

Другой источник утверждает, что если генератор случайных чисел объекта сломан, то просмотр ONE предположительно случайной строки байтов может открыть объект для атаки. жалоба от пользователя Twitter. Шанс, который стоит использовать,Андресен ответил.

Что касается наличия у Андресена информации о байтах, отправляемых на сервис, то он заявил, что такой информации у него нет.

И, следуя тренду, заданному Bitcoin, он сказал:

«Я пытаюсь устроить так, чтобы людям T пришлось мне доверять».

В то время как сервис в настоящее время работает на App Engine платформы Google Cloud, его следующий проект открывает проект для аудита третьими лицами. В настоящее время люди могут только проверять открытый исходный код на GitHub, который, как Андресен заверил CoinDesk, это именно то, что работает на App Engine. Однако дополнительный шаг докажет это

Случайные числаизображение через Shutterstock