Обменник

Гэвин Андресен, бывший ведущий разработчик биткойнов, нарушает свое молчание.

Хотя в последние месяцы он был более активен в Твиттере, обсуждая обсуждение размера блока (даже прошивая его имя на новом биткойн-масштабирование «соглашение «) , Андресен имеет в основном отсутствовали от сообщества разработчиков биткойнов около года.

Но это не значит, что огромный работник, который много сделал для того, чтобы помочь построить раннюю команду разработчиков и рынок биткойнов, не был занят.

В начале мая Андресен написал в твиттере:

Проект направлен на улучшение защиты Интернета путем проверки источников случайности, используемых отдельными лицами и организациями.

Следить за биткойном

Проект случайной злонамеренности не только вытекает из интереса Андресена к изучению языка программирования GO, но также и в том, что проблемы, которые может испытывать энтропия в денежных системах, таких как биткойн.

«Я, конечно, все еще не отстаю от биткойна», – сказал Андресен CoinDesk, добавив, что он может внести обзор кода в новое предложение по сокращению биткойнов DCG, но вряд ли он напишет какой-либо код.

«Биткойн – такой интересный проект, потому что это критически важная для безопасности», – сказал он. «Если безопасность не удалась, это сразу же очевидно, люди теряют деньги и немедленно реагируют».

Это по-другому, продолжал он, чем учетная запись электронной почты, которую перехватили или атаковали, поскольку люди обычно не замечают этих нарушений в течение некоторого времени.

«Для многих проблем безопасности биткойн выводит их на свет», – сказал Андресен.

Эта быстрая реакция наблюдалась в нескольких неудачах, основанных на генерации ошибочных чисел в экосистеме биткойнов.

В мае 2015 года уязвимость в бинокль-кошельке Blockchain Android оставила у нескольких пользователей деньги. В соответствии с Softpedia , уязвимость разрешала создавать дублированные адреса биткойнов и предоставляться различным пользователям. По своей сути проблема заключалась в Генератор случайных чисел Blockchain , random.org, который обеспечивал недостаточную энтропию в некоторых версиях операционной системы Android.

И два года назад, в августе 2013 года, все приложения для биткойн-кошельков на Android операционные системы были потенциально подвержены риску, когда несколько уязвимостей были обнаружены в другом генераторе случайных чисел, Java SecureRandom.

Поддержание расстояния

Несмотря на то, что проект определенно тангенциальен для прежней работы Андресена в качестве ведущего сопровождающего биткойна, это также сильно отличается.

«Пока это проект из одного человека, который мне нравится», – сказал Андресен CoinDesk. «Это красиво и просто. Я выбрал что-то маленькое и намеренно скучное».

Он продолжил:

«Биткойн был большим, сложным проектом, в котором участвовало множество людей, распространенных по всему миру, было слишком много стресса и политики, и я не хотел этого снова».

Andresen работает над проектом Random Sanity около шести месяцев. По его словам, проект не предназначен для получения прибыли. Вместо этого, в идеале, проект будет спонсироваться организацией, такой как Linux Foundation, для бесплатного предоставления услуги любому.

Как работает Random Sanity? Каждая система и каждый язык программирования имеют способ получить случайные байты – например, у Linux есть специальная папка с именем «/ dev / urandom», а OpenSSL предоставляет несколько генераторов случайных чисел (которые использует Bitcoin Core).

Пользователи проекта Random Sanity могут принимать эти случайные числа – от 16 до 64 байт – и вводить их в службу, которая вернет «истину», если байты выглядят случайными или «ложными», если числа не совпадают.

«Проблема определения того, достаточно ли ваши случайные числа, является сложной проблемой, – сказал Андресен Коиндесу. «Есть множество способов, которыми вы можете испортить».

Цифровая проверка здоровья

В то время как генераторы случайных чисел создаются специально для обеспечения энтропии (отсутствие порядка и, следовательно, предсказуемости), есть несколько причин, по которым что-то может пойти не так.

Загрузка программного обеспечения и обновления могут быть беспорядочными. Или это может быть так же просто, как кто-то отключиться через виртуальную машину, используя шнур генератора случайных чисел и отключить его.

Но типичный сбой, по словам Андресена, заключается в том, что организация использует облачные вычисления и одновременно запускает несколько виртуальных машин.

В этом случае организация может сохранить образ программного обеспечения и запустить несколько копий для веб-серверов, которые обрабатывают трафик. Поскольку виртуальные машины начинаются в одном и том же состоянии, они могут, по словам Андресена, придумать одни и те же «случайные» числа.

«Обычно есть средства для увеличения энтропии, поэтому этого не происходит, – сказал он, – но [Случайный проект санкций] может быть хорошей проверкой».

Хотя он не считает, что компания должна запускать каждую строку байтов, которую машина предоставляет через инструмент, было бы полезно отправить одну строку байтов при запуске машины, чтобы убедиться, что она создает разумную случайность. Затем он сказал, что если это не удастся, проблему можно исследовать.

«Это разработано как способ убедиться, что катастрофические катастрофы не происходят, или вы быстро их поймаете», – сказал Андресен.

Кроме того, чем больше людей и организаций используют систему, тем более ценной она становится, потому что тогда она может основывать случайность на многих других строках байтов.

В настоящее время, однако, лишь немногие из них протестировали бета-версию службы, иногда предоставляя код обратно в проект, включая людей из стартапов Blockchain и ShapeShift, по словам Андресена.

Неверная тенденция

На Twitter некоторые высоко оценили услугу, в то время как другие были обеспокоены архитектурой системы.

Во-первых, в исходной системе использовался HTTP, который позволял кому-либо подслушивать и видеть случайные байты, отправляемые в систему. Andresen быстро возобновил использование HTTPS для обеспечения безопасного соединения, чтобы никто не мог видеть, какие байты отправлены.

Если генератор случайных чисел сущности нарушен, то, предположив, что случайная строка байтов может открыть эту сущность до атаки, жалоба от пользователя Twitter , Шанс стоит взять, Андресен ответил ,

Что касается Андресена, который понимает, что байты отправляются на службу, он сказал, что у него их нет.

И, следуя тенденции, установленной биткойном, он сказал:

«Я пытаюсь устроить вещи, где люди не должны мне доверять».

Пока служба в настоящее время запущена на платформе App Cloud Cloud Platform, его следующий проект открывает проект, чтобы позволить аудиту третьим сторонам. В настоящее время люди могут только проверять открытый код на GitHub, который Андрэсс заверил CoinDesk, – это именно то, что работает в App Engine. Тем не менее, дополнительный шаг докажет это

Случайные числа изображение через Shutterstock

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here