Даруємо!!!

Кріпто ринок. Безпека рахунку і гаманця


Програмні гаманці для Bitcoin і безпеку

Поговоримо трохи про гаманці в криптовалюта. Під “криптовалюта”, я, в першу чергу, буду мати на увазі Bitcoin. В інших криптовалюта справа йде схожим чином і якщо вас цікавлять деталі, то можете покопатися самостійно.

Незважаючи на триваючий хайп навколо криптовалюта і блокчейн як технології, на мій погляд, дуже мало хто говорить про безпеку цих рішень. Все концентруються на різних плюсах, які дає технологія блокчейн, обговорюють Майнінг і скачки курсів криптовалюта, в той час як саме безпека є критично важливою, особливо коли мова йде про гроші або про розподілених реєстрах власності. Вся інформація для статті взята з відкритих джерел, таких як https://bitcoin.org, https://en.bitcoin.it/wiki, https://bitcointalk.org, https://github.com та інших.

Нижче буде неглибокий огляд гаманців криптовалюта і їх безпеки. Чим більше я занурювався в цю тему під час написання статті, тим більше дивувався тому, що в світі відбувається так мало зломів і відведення коштів у користувачів того ж Bitcoin. Але про все по порядку.

Що таке гаманець в криптовалюта

Розберемося трохи з термінологією. Під гаманцями в криптовалюта розуміють одночасно:

  • набір ключів для доступу до грошей;
  • програми, які керують цими ключами і дозволяють вам проводити транзакції в мережі криптовалюта.

Щоб не плутатися, коли будемо говорити про набір ключів, я буду використовувати термін “закритий ключ”. Хоча всі ми розуміємо, що в ключовий парі є ще і відкритий, а також те, що самих пар може бути кілька.

Будемо говорити про гаманець саме як про засіб управління, зберігання і проведення транзакцій. Без гаманця ви не можете отримати, зберегти або витратити ваші біткоіни або кошти в інший криптовалюта. Гаманець – ваш персональний інтерфейс до мережі криптовалюта, схожий на банківський аккаунт для фіатной валюти.

Насправді безпеку зберігання ваших коштів в криптовалюта дуже сильно залежить від того гаманця, який ви використовуєте. А безпеку самого гаманця багато в чому заснована на безпеки операцій з закритими ключами.

Все гаманці поділяються на “гарячі” і “холодні”. «Гарячим» називають кріптовалютний гаманець, кошти з якого можна витратити в будь-який час. «Холодний» гаманець діє абсолютно протилежним чином. Він не призначений для регулярного відправлення криптовалюта, але тим не менш, кошти на нього можна отримати в будь-який час. Найпростішим “холодним” гаманцем є аркуш паперу, на якому записаний закритий ключ від вашого гаманця.

“Гарячий” гаманець Bitcoin – це додаток, веб-сайт або пристрій, який управляє вашими закритими ключами. Найпопулярніші – це, звичайно, додатки, як мобільні, так і десктопних, а також веб-сайти. Давайте трохи докладніше зупинимося на кожному з цих видів і подивимося, які загрози таїть використання того або іншого гаманця.

Так як гаманців існує дуже багато, я вирішив вивчати тільки ті, які представлені на сайті https://bitcoin.org/.Як програмних гаманців для персонального комп’ютера там представлені:

Вимоги до гаманців

Перше на що звернемо увагу – це на рекомендації самого сайту bitcoin.org щодо безпеки використання того чи іншого гаманця. При скачуванні вам покажуть 6 вимог і інформацію про те, які вимоги кожним з цих гаманців дотримуються, а які ні. Велика частина цих вимог прямо або побічно пов’язана з інформаційною безпекою, а значить і з безпекою ваших коштів.

Ось ці вимоги, а також рівні відповідності цим вимогам.

Контроль за вашими грошима

  • Повний контроль. Ніхто не зможе заморозити ваш рахунок або втратити ваші гроші. Однак ви повинні пам’ятати про те, що відповідальність за безпеку і резервне копіювання вашого закритого ключа повністю лежить на вас.
  • Спільний контроль. Гаманець вимагає, щоб кожна транзакція була авторизована як вами, так і третьою стороною. Зазвичай, ви можете відновити повний контроль над вашими засобами, використовуючи початкову резервну копію або попередньо підписану транзакцію, відправлену по електронній пошті.
  • Хостинг-контроль. Гаманець дає вам доступ до ваших коштів. Однак він зберігає зашифровану копію вашого закритого ключа. А значить ваші кошти можуть бути викрадені, якщо ви не будете використовувати надійний пароль або якщо сервіс буде скомпрометований.
  • Гроші під контролем третьої сторони. Це означає, що ви повинні довіряти цьому сервісу, і сподіватися, що він не втратить ваші кошти в результаті інциденту на своєму боці. На даний момент, більшість онлайн-гаманців не страхують депозити подібно банку, і багато сервісів в минулому мали проблеми з безпекою.

Ще раз зазначу, що ця інформація не приховується, а доступна для всіх. Навіть російський переклад є, хоча і не зовсім коректний в деяких місцях.

Так ось, не знаю, як вам, а мені зовсім не подобається останні два рівня контролю. Історія про надійний пароль звучить взагалі дуже погано. І справа тут навіть не в тому, що у користувачів великі проблеми зі створенням, введенням і запам’ятовуванням по-справжньому надійних паролів, а в тому, що key-логгер нікуди не поділися.

А вже якщо бути зовсім реалістами, то навряд чи ці попередження хтось читає. А якщо і читає, то далеко не кожен розуміє, наскільки тут багато проблем з безпекою.

Перевірка транзакцій

  • Повна. Гаманець є повноцінному вузлом (full node), який перевіряє дійсність і проводить операції в мережі. При перевірці платежів довіру до третьої особи не вимагається. Повноцінні вузли забезпечують найвищий рівень безпеки та важливі для захисту мережі. Однак їм потрібно більше дискового простору (понад 145 ГБ), пропускної спроможності і більше часу для початкової синхронізації.
  • Спрощена або децентралізована. Гаманець використовує випадковий сервер зі списку серверів. Це означає, що ви повинні довіряти цим серверам при перевірці платежів. Це не так безпечно, як використання гаманця, який є повноцінним вузлом.
  • Централізована. Гаманець за замовчуванням покладається на централізований сервер. А значить, Ви повинні на 100% довіряти цій третій стороні в питаннях приховування або підробки платежів.

Використання повноцінних вузлів усіма учасниками мережі, на мій погляд, є одночасно одним із стовпів і, одночасно, одним з основних мінусів технології блокчейн. Так як кількість транзакцій як у відносних, так і в абсолютних величинах постійно зростає, то розмір самого гаманця також буде постійно зростати. А зберігати кілька Тб даних для проведення пари транзакцій в день мало кому захочеться.

Альтернативні рішення мають явні проблеми з безпекою. Список серверів, в разі децентралізованої перевірки, треба добре захищати. А то як би черговий вірус не залишив в цьому списку тільки один заражений сервер.

А вже про стовідсоткову довіру третій стороні навіть говорити не хочеться.

До речі, прихильники криптовалюта люблять в цьому випадку звертати увагу на те, що банківська система влаштована схожим чином. Це звичайно так. Ось тільки банки регулюються численними стандартами, а вже якщо виникла нова проблема / вразливість, то ваші кошти захистить страховка. Тому кріптовалютним сервісів ще є куди рости.

Прозорість

  • Повна прозорість. Тексти програм гаманця відкриті, а процедура складання зафіксована. Будь-розробник в світі може провести аудит коду і переконатися, що виконуваний код не приховує ніяких секретів.
  • Базова прозорість. Розробники опублікували вихідні коди гаманця. Будь-розробник в світі може провести аудит коду. Однак, ви повинні довіряти розробникам, коли встановлюєте або оновлюєте ПО вашого гаманця.
  • Віддалене додаток. Гаманець завантажується з віддаленого сервісу. Значить, коли ви використовуєте гаманець, ви повинні довіряти розробникам в питаннях крадіжки або втрати ваших коштів в результаті інциденту. Використання розширення для браузера або мобільного застосування може знизити ці ризики.

Безпека середовища

  • Двухфакторная аутентифікація. Гаманець можна завантажувати в небезпечній середовищі. Однак, сервіс вимагає двофакторної аутентифікації. Значить, для крадіжки ваших коштів необхідний доступ до декількох пристроїв або акаунтів.
  • Безпечне середовище. Гаманець працює на мобільному пристрої, де додатки, як правило, ізольовані. Це забезпечує хороший захист від шкідливих програм, хоча мобільні пристрої мають більше шансів загубитися або бути вкраденими. Шифрування мобільного пристрою і резервне копіювання гаманця може зменшити цей ризик.
  • Вразлива середу. Гаманець може бути завантажений на комп’ютери, які потенційно вразливі для шкідливих програм. Якщо ви збільшите безпеку вашого комп’ютера, використовуючи складний пароль, перекладете велику частину своїх коштів в оффлайнові сховище або активуєте двухфакторную авторизацію, то ваші біткоіни буде складніше вкрасти.

Мені подобається, в яких термінах описані ці вимоги. Схоже розробники вирішили вам відразу натякнути, що ваші кошти точно вкрадуть. Питання тільки в тому, скільки зусиль і часу це зажадає =)

Давайте тут теж зупинимося трохи докладніше.

Використання надійної двофакторної аутентифікації дійсно може допомогти вирішити багато проблем з інформаційною безпекою.

Наступні два пункти не пов’язані безпосередньо з безпекою зберігання ваших коштів. Тому детально зупинятися на них я не буду, але наведу їх тут для повноти картини.

Конфіденційність

  • Покращена. Гаманець ускладнює стеження за вашими балансами і платежами за допомогою ротації використовуваних адрес. Вам слід використовувати новий біткойн-адресу щоразу, коли ви запитуєте оплату. Гаманець при отриманні або відправці платежів не передає інформацію про них іншим вузлам мережі. Гаманець дозволяє вам налаштувати і використовувати Tor в якості проксі для того, щоб не дозволити зловмисникам або інтернет-провайдерам зв’язати ваші платежі з вашим IP-адресою.
  • Базова. Гаманець ускладнює стеження за вашими балансами і платежами за допомогою ротації використовуваних адрес. Вам слід використовувати новий біткойн-адресу щоразу, коли ви запитуєте оплату. Гаманець використовує центральні сервери, які здатні зв’язати разом ваші платежі і запам’ятати ваш IP-адресу. Гаманець дозволяє вам налаштувати і використовувати Tor в якості проксі для того, щоб не дозволити зловмисникам або інтернет-провайдерам зв’язати ваші платежі з вашим IP-адресою.
  • Слабка. Гаманець дозволяє кому завгодно стежити за вашим балансом і платежами, тому що повторно використовує ті ж адреси. Розкриває обмежену інформацію іншим учасникам. Інші вузли мережі можуть запам’ятати ваш IP-адресу і згодом зв’язати всі платежі, які ви отримували або відправляли. Tor не підтримується.

Навіть якщо ви використовуєте криптовалюта повністю легально (хоча, що таке легально щодо криптовалюта – велике питання), то додаткова приватність вам не завадить. А вже розкривати свій баланс і витрати, так взагалі нікому не захочеться. Ваш КО.

Комісія

  • Повний контроль над комісією. Гаманець дозволить вам змінити комісію після відправки коштів з використання RBF або CPFP. Цей гаманець також дає рекомендації по комісії в залежності від поточного стану мережі для проведення транзакції вчасно і без переплат.
  • Динамічні комісії. Гаманець дає рекомендації по комісії в залежності від поточного стану мережі, які ви можете перевизначити. Це означає, що гаманець допоможе вам у виборі підходящої комісії для проведення транзакції вчасно без переплати, але в той же час дає повний контроль для установки комісії, якщо ви захочете.
  • Статичні комісії. Гаманець не дає ніяких пропозицій по комісії, враховуючи поточний стан мережі. Це означає, що ваші транзакції можуть займати більшу кількість часу, якщо обрана занадто низька комісія, або ви можете заплатити занадто високу комісію.

Підіб’ємо підсумки

Вимоги звучать дуже розумно. Більш того, цей список можна було б ще розширити, щоб підвищити рівень безпеки.
Уважно вивчивши всі ці вимоги, ви хочете знайти такий гаманець, який задовольняв би їм по максимум. І ось тут настає найцікавіше. На https://bitcoin.org немає жодного гаманця, який задовольняв би всім вимогам.