Safe Network новини 🇧🇬 4.11.2021

„Safe“ в Safe Network означава сигурен достъп за всички, разбира се, но Safe също е сейф, където можете да заключите вашите ценности. Съберете двете заедно и можем да си представим мрежа от сейфове, плуващи в морето от постоянно налична информация. Това е хубава картина.

Никой не може да спре достъпа на никого от публичната мрежа — в края на краищата има сигурен достъп за всички — но също така никой не може да достъпи личните ни данни, тайните ни и портфейла ни с монети, когато са прибрани в нашия сейф, защитен чрез нашата старателно запомнена парола и допълнителна фраза за достъп.

Но изчакайте малко… ами ако получим удар по главата? Ами ако нашите хартиени резервни копия за достъп до акаунта ни бъдат унищожени от пожар или наводнение? Ами ако остареем (случва се) и … просто забравим? Нашите ценни данни могат да бъдат загубени завинаги.

Трябва да има по-добър начин — и благодарение на чудото на криптографията той съществува! @JimColinson обяснява повече по-долу.

Новини за екипа

В момента сме в последните етапи за назначаване на нов финансов служител (слава Богу), който ще се фокусира върху финтех индустрията. Това ще добави към работата, която Шарън извършваше за нас, но ще бъдете малко по-насочена към стартирането, въвеждането на нови потребители и икономиката на токените.

ПОВИШЕНИЕ - @JimColinson прие позицията на главен стратегически директор. Всички познаваме Джим и всички знаем на какво е способен. Тази позиция ще му позволи да достигне до по-голяма публика с авторитет. Джим ще работи с други, включително финансовия ни отдел, към старта на мрежата и след това. Няма нужда да ви казваме колко добър ще бъде в това, ние вече знаем :wink:

ПОВИШЕНИЕ - @joshuef прие ролята на главен технологичен директор. Джош, както знаете, е готин като котка и се справя с конфликти, дебати и екипния дух по начин, който никога не сме виждали досега. Успокояващо въздействие, което е супер фокусирано върху напредъка. Имаме късмет, че го имаме и отново фокусът е върху старта на мрежата, където Джош ще има много взаимодействие с екипа за стартиране. Също като Джим, и той все още работи с програмния код, но с тази допълнителна власт се надяваме да върши работата още по-бързо.

И двете повишения бяха горещо приветствани от целия екип, което е супер яко да се види.

Всичко приближава своя завършек :+1:

Общ напредък

Миналата седмица казахме, че сме много близо до премахването на басейна за връзки от qp2p и прехвърлянето му в Safe мрежата и с радост може да обявим, че @chris.connelly приключи с работата по него. Звучи технически - и наистина е такова, но по начин, който опростява нещата много.

@yogesh работи върху внедряването на друго опростяване, което планирираме от известно време, но все още не сме въвели в тестовите мрежи. Когато възел иска да се присъедини към мрежата, той трябва да извърши работата по събирането на гласовете на старейшините и след това да ги подаде отново, ако има достатъчно.

Проектиране на сигурни, устойчиви и използваеми идентификационни данни

Действието за създаване на свой собствен Safe е действие за създаване на някои идентификационни данни. Те на практика са едно в едно. Създавате набор от ключове, които позволяват на вас и само на вас да достъпвате и да използвате вашите собствени данни; отваряне на вратата към вашето собствено концептуално защитено пространство, което започва от едно устройство, но завършва в Мрежата и се простира върху много други.

Така че първата задача за тези идентификационни данни е да бъдат напълно уникални. Те няма да се съхраняват в мрежата или на някакъв сървър някъде, като традиционен онлайн акаунт. Така че те трябва да имат достатъчно ентропия или случайност, за да не се доближат, да не се сблъскат с нечии други идентификационни данни или да страдат от атака в стил „мозъчен портфейл“.

Освен това има и друг набор от качества, които тези пълномощия трябва да притежават:

  1. Те трябва да могат да бъдат създадени офлайн.
  2. Да са надеждни за записване и съхранение на хартия.
  3. Да имат механизъм за възстановяване.
  4. Да могат да се променят, без да се губи достъпа.
  5. Не бива да разчитат на човек за създаване на случайност.
  6. Можат да се използват на всяко устройство. т.е. не изискват от вас да управлявате отделни идентификационни данни или пароли за всяко устройство, което използвате.
  7. Може да се използва по начин за дистанционно отнемане на достъпа до вашия Сейф на устройство, в което сте загубили доверие, без да нарушите достъпа на другите си устройства.
  8. Не трябва да се съхранява онлайн, в мрежата, нито трябва да се предава.
  9. Не трябва да съдържа никаква публично идентифицираща или различима информация за вас.

Като отидем по-далеч ние трябва да направим система, която да е използваема за хората, т.е., че те също имат нужда от желани функции като:

  • Запомняща се
  • Многоезична
  • Ергономична и използваема на различни устройства
  • Разрешаване на използването на допълнителни фактори в бъдеще в зависимост специфичните нужди и хардуерни ресурси на всеки потребител. напр. позволява използването на хардуерен ключ или биометрични данни от телефоните.

Това е доста добър списък с желания, нали? Бихме могли да се потопим дълбоко във всеки от тях, но нека просто да се разходим из предложението ни и ще обясним по пътя.

Safe идентификационни данни, използващи прагова криптография

Това ще можем ли да го направим? Ами, ето предложението ни за това как можем да използваме подход с множество ключове към идентификационните данни, използвайки BLS. Позволете ни да обясним с помощта на нагледни примери.

Създаване на Сейф за първи път

Присъединяването, при създаването на Сейф за първи път, както споменахме, включва създаване на набор от идентификационни данни. За начало избираме парола и след това получаваме генерирана фраза, която да свалим или да разпечатаме:

Тази генерирана фраза ще бъде в стил BIP39 с контролна сума в края.

Така че с тези два елемента имаме нещо, което знаете, паролата и нещо, което имате фразата; и комбинирайки ги можем да генерираме подходящо количество ентропия.

Това е основната двойка идентификационни данни по подразбиране в Сейф мрежата. И двете са необходими за достъп, така че имаме силна и уникална защита, но нека направим нещата малко по-използваеми.

Следващата стъпка, която не е задължителна, ни позволява да създадем ключ на устройството ни, ако имаме доверие на устройството, което използваме. Това е трети ключ за достъп до нашия Сейф, който носи някои удобни функции.

Първо, то ни позволява да създадем схема с ключове 2 от 3 (Multisig FTW), което означава, че ако забравите паролата си, все още мога да получите достъп със своя телефон и фраза. Или може би не искате да въвеждате фразата си всеки път, когато отключвате своя сейф; на това надеждно устройство може просто да използвате паролата си и ключа на устройството, може би да използвате и някои вградени биометрични данни за елемент от нещо, което сте.

След това сте готови да завършите и да отворите Сейфа локално за първи път, като използвате този набор от три идентификационни данни, две от които винаги са необходими за отключване.

Повече ключове, повече опции

Но не е нужно да спираме дотук. Може да създадем допълнителни ключове за достъп, за да осигурим повече гъвкавост и устойчивост. От екрана с опции създаваме допълнителни фрази, може би резервно копие, може би такова за съхранение на различни физически места. И тук може да настроим допълнителни устройства (включително специални хардуерни ключове като YubiKey в бъдеще) или да отменим достъпа до всяко устройство или парола, в които сме загубили доверие или до които вече нямаме достъп.

От този набор от ключове имаме способността да създадем схема, която да отговаря на вашите конкретни обстоятелства и модел на заплаха.

Например може да имаме настройка 3-от-6 или да преминете към k-от-n по ваш избор. Освен това може да изберете винаги да изисквате парола или фраза за отключване на вашия Сейф, като отказвате достъп на всеки, който случайно е имал достъп до две или повече от вашите устройства.

Отключване от друго устройство

И така, създадохме Сейф, но искаме да го отворим на друго устройство, което не сме използвали преди. Нека да разгледаме как работи това.

Показва ни се екран за отключване, където да въведем ключ за достъп.

След това получаваме екран, който ни позволява да сканираме QR код (кодовете са разпечатани фрази за достъп или използваме ключ на устройство, което ще разгледаме по-късно) или може просто да започнем да въвеждаме парола си.

Ако започнем да пишем, влизаме в режим за въвеждане на фраза за достъп, в който използваме подсказващ текст и предложения от речника на фразите, за да ускорим процеса. Може също да пренаредим думите във фразата или да прекараме пръст, за да ги премахнем, ако направим грешка.

Така че тук можем да направим интерфейс, който макар и да не е супер бърз, все пак може да бъде гладък и да се чувства доста лесен за използване, когато става въпрос за въвеждане на дълга фраза за достъп.

Когато стигнем до края на фразата и сме я въвели правилно, можем да продължим.

Тук обърнете внимание, че едва след като въведем успешно този първи ключ (или фраза за достъп, или ключ на устройство), ще бъдете подканени да въведете парола.
Тук виждаме, че паролата е въведена успешно и Сейфът е отключен.

След успешно отключване получаваме подкана да създадем ключ на устройството на този телефон, ако му вярваме. Това ще ни позволи да отключваме, без да е необходимо да въвеждаме паролата си всеки път или да влизаме, ако забравим паролата си.

И в тази връзка продължаваме с…

Отключване без парола

…какво да правим, ако забравим паролата си? Това е често срещано явление и като цяло една от най-значимите заплахи за сигурността на нашите данни в децентрализирана мрежа. В края на краищата, няма централен орган, на който да се оплачем, няма сървър, до който да изпратим заявка за нулиране на паролата ни, няма списък с потребителски имена с хешове на пароли. Това зависи от нас и инструментите на наше разположение.

За щастие, можем да използваме множество подписи, за да си върнем достъп, ако забравим паролата си, на много от нас се е случвало.

Ако използваме ново устройство, на което няма съхранен ключ за достъп и просто не може да си спомним каква е била паролата ни. Започваме с въвеждане на фраза за достъп:

Върнахме се на екрана за отключване и можем да видим фразата за достъп, която току-що въведохме. Не може да въведем парола тук, защото сме я забравили, разбира се, така че ще трябва да използваме другото си устройство, за да влезем. Докосваме въвеждане на друг ключ за достъп и сме готови да сканираме QR код, който ще произведем чрез другото ни устройство.

Използвайки другото си устройство, което сме използвали преди и имаме запазен ключ на устройството, отваряме екрана за отключване:

Чрез докосване на ключа на устройството, посочен тук, или чрез менюто горе вдясно, или дори само чрез двойно докосване на иконата за заключване, може да изведем екран с ключ на устройството, който има QR код за сканиране на новото устройство (или ако искаме, бихме могли да го покажем като пропуск и да го въведем ръчно. Или по-долу бихме могли да разгледаме други опции като NFC, но разбирате идеята).

Трябва да се отбележи, че ключът за достъп (по-конкретно споделянето на ключове), представен от показания тук QR, се генерира при отваряне на екрана. Това се предава на новото устройство и, използвано в комбинация с втори ключ, позволява отключването на Сейфа. Това избягва излагането/препрехвърлянето на самия ключ на устройството, и по-скоро това е процес на създаване на ключ специално за целевото устройство чрез съществуващ такъв на настоящо устройство.

Затова сканираме QR кода на новото устройство…

…и сме вътре. В този момент може да добавим ключ на новото устройство и, разбира се, да отидем и да задамем и нова парола.

И в зависимост от конкретната настройка за ключове, бихме могли дори да си възвърнем достъпа до акаунта, използвайки само набор от устройства, ако ни се налага.

И така, как ви изглежда това предложение?

Какво мислите? Това ще свърши ли работа? Подход с множество подписи, който ни дава система от идентификационни данни, която:

:white_check_mark: Може да се създаде офлайн
:white_check_mark: Ергономични са
:white_check_mark: Позволява запомняемост
:white_check_mark: Четими и произносими са от човека, което позволява да бъдат записани и надеждно въведени
:white_check_mark: Устойчиви са на загуба на идентификационни данни
:white_check_mark: Може да се променя без прекъсване на достъпа
:white_check_mark: Не разчитат само на хората за случайност
:white_check_mark: Може да се използват на множество устройства
:white_check_mark: Може да бъдат достъпени на множество езици и лесно разширяеми
:white_check_mark: Позволява ни да отменяме достъпа на устройства, в които сме загубили доверие
:white_check_mark: Не е необходимо да се съхраняват в мрежата, онлайн или да се предават
:white_check_mark: И не изискват публично идентифицираща или различима информация.

Всичко това завършено ли е?

Несъмнено ще има проблеми, които трябва да се отстранят, като разпознаване и обработка на печатни грешки в паролата и синхронизиране на промените в идентификационните данни на множество устройства, които са онлайн и офлайн. Но тук имаме основата за силна система, която трябва да бъде печеливша за използваемостта и сигурността като цяло.

Вникнете във всички детайли

Ако искате да разгледате по-отблизо потребителските потоци на това предложение, можете да преминете към напълно документирания Figma файл по-долу. Има доста повече нюанси, отколкото можем да се спрем в седмичните новини, така че не се колебайте да се поинтересувате и както винаги, ние приветстваме вашите отзиви и коментари.


Преводи:

:uk: English :ru: Russian ; :de: German ; :es: Spanish ; :fr: French

  • Подробна информация може да намерите както винаги във форума на международната общност: Safe Network Forum
  • Ако имате въпроси може да ги зададете във Facebook групата на българската Safe общност: https://www.facebook.com/groups/SafeNetworkBulgaria/
  • Ако искате да следите последните новини заповядайте във Facebook страницата на Safe Network България: https://www.facebook.com/SafeNetworkBulgaria/