Validation / validation du portefeuille Bitcoin

obelia

Validation / validation du portefeuille Bitcoin


Existe-t-il un service de validation qui teste / valide / vérifie les implémentations du portefeuille?

J’utilise bitcoin-qt sur le bureau et je ne m’inquiète pas pour ce portefeuille, je suppose qu’il a été bien vérifié, mais si je devais obtenir un portefeuille pour mon téléphone (Android), y a-t-il un moyen de garantir la mise en œuvre est correct, sécurisé et non malveillant?

Élaboration supplémentaire: il semble possible pour un tiers de confiance de se consacrer à la validation des implémentations de portefeuille. Les implémenteurs de portefeuille soumettraient leur implémentation au service, le service exécuterait le portefeuille via une suite de tests, examinerait le code, etc. et si l’implémentation réussissait, le service publierait un hachage du portefeuille. Lorsque vous obtenez une copie de l’implémentation du portefeuille, vous pouvez vérifier son hachage et le hachage publié afin de savoir qu’il n’a pas été falsifié.

De même, un service de portefeuille en ligne (Mt. Gox) pourrait soumettre sa mise en œuvre pour validation par un tiers afin d’augmenter son facteur de confiance.

Réponses


 AMADANON Inc.

Il est pratiquement impossible de vérifier à 100% si une implémentation est correcte.

Voir par exemple https://backdoorhiding.appspot.com/ ou « The Underhanded C Contest » sur http://underhanded.xcott.com/ – dans ces deux cas, les gens s’affrontent pour écrire du code qui semble sécurisé, mais qui n’est pas .

De même, il existe des théories selon lesquelles la NSA a mis des portes dérobées dans divers générateurs de nombres aléatoires, même open-source. Il est cependant très difficile de tester cette théorie.

obelia

Merci. Je comprends la difficulté d’une vérification à 100%, mais il semble que les meilleurs efforts d’un groupe d’experts en matière de vérification valent quelque chose. Une combinaison d’analyse de code (code source, code d’octet et / ou de machine), plus une suite de tests d’exécution, contribuerait grandement à lutter contre les méfaits.

AMADANON Inc.

Les audits tiers coûtent beaucoup d’argent, surtout s’ils sont bien faits. Je suis sûr que si vous vouliez payer, bitcoind AIMERAIT un audit.


 Diego Basch

Réponse courte: non. Imaginez ce scénario: un développeur écrit un portefeuille Android à source fermée qui devient extrêmement populaire. À un moment donné, la valeur combinée des portefeuilles d’utilisateurs est de 100 millions de dollars. Le développeur aurait pu délibérément laisser une vulnérabilité ouverte et a prétendu qu’un pirate informatique l’avait exploitée. Il n’y aurait aucun moyen de savoir s’il disait la vérité.

Règle générale: conservez le gros de votre BTC en chambre froide. Les portefeuilles en ligne doivent être traités comme le portefeuille dans votre poche. Combien d’argent êtes-vous à l’aise de transporter, sachant que vous pourriez perdre votre portefeuille et qu’il est parti? Voilà combien vous devriez avoir dans un portefeuille en ligne.

obelia

Merci. Je n’utilise pas de portefeuilles en ligne, comme pour garder les choses locales. J’ai développé ma question initiale.

AMADANON Inc.

Je pense que, dans ce cas, « en ligne » signifie « sur un ordinateur avec une connexion Internet », pas « un site Web ».

Diego Basch

Oui, c’est ce que je voulais dire en ligne. Vraisemblablement, votre téléphone est en ligne la plupart du temps, et en tant que tel, il est vulnérable à un large éventail d’exploits.

AMADANON Inc.

obelia: google « air gap » pour un excellent moyen de garder votre bitcoin plus sûr. C’est un problème cependant.

obelia

@AMADANONInc. re: air gap – je me demande s’il y a un moyen facile de le faire, comme garder wallet.dat sur un lecteur flash et le brancher uniquement pour effectuer des transactions.

 

/, Bitcoin, du, portefeuille, validation

 

yahoo

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *