Moneder web i mòbil i claus privades ...

Respon
themacboy
Entrades: 19
Membre des de: dj. ago. 16, 2018 8:36 am

dj. ago. 16, 2018 8:43 am

Voldria consultar-vos com funciona internament el moneder mòbil i el moneder web.

En concret voldria que m'aclaríssiu si els equip desenvolupador custodia les claus privades de despesa de tots els comptes que s'hi han registrat.

Em preocupa molt usar el moneder si algú, sigui qui sigui (fins i tot desenvolupadors del servei de moneder). tingues accés a fer transferències sense el meu consentiment.

Mercès !

CjiySJkWyt8ALNtTwTmBm5bpjZaYB6s6bBb4A78eiJypDTsknRKoGstLFTEKmi9xGxFxQ9DBi7ZH37pQNeFWyMAQV4ubLJx
n1c4
Entrades: 5
Membre des de: dj. ago. 16, 2018 8:32 am

dv. ago. 17, 2018 1:02 pm

Per poder fer una operació és necessari estar sincronitzat a la cadena de blocs. No sé com està implementat en el Croat però, en general, les alternatives "lleugeres" (moneder del mòbil o via web) el que fan és connectar-se a una màquina que sí està sincronitzada a la cadena de blocs de manera que el teu dispositiu no cal que ho estigui.

Abans de tocar temes d'anonimitat, cal distingir, però, entre l'anonimitat del moneder i la de la persona que fa la transacció. Com que per crear un moneder no cal identificar a la persona, la seva identitat queda protegida. Sempre. Tingues present, a més, que el disseny del Croat (CryptoNote) manté també l'anonimitat del moneder en fer una transacció des del CroatCore de l'ordinador (cosa que altres monedes com Bitcoin o Litecoin no fan, i confien només en l'anonimitat de la persona en crear-se el moneder).

En aquest sentit, cal doncs confiar en la implementació del "pont" a la cadena de blocs per que mantingui l'anonimitat del moneder... però ignoro com ho fa el moneder lleuger del Croat (tot i que no veig per què voldrien aquesta informació...). Sigui com sigui, si hom no confia tampoc en la implementació del "pont", el que cal fer és canviar sovint de moneder lleuger.

Un esquema encara menys segur és el que fan servir les pàgines d'intercanvi de moneda digital on cal fer un ingrés a un moneder de la pàgina (equivalent a un web wallet) i des d'allà s'opera. En aquest sentit, crec que és encara uns quants nivells per sota en quant a la seguretat perquè sovint l'usuari ni tan sols sap la clau privada!

Sigui com sigui, si algú ha fet una petita fortuna en Croats, sempre es recomana tenir-la en el moneder creat pel CroatCore de l'ordinador i passar de tant en tant alguns al moneder lleuger per l'ús quotidià.
Avatar de l’usuari
Croat
Entrades: 6
Membre des de: dc. ago. 15, 2018 1:53 pm

dv. ago. 17, 2018 7:16 pm

Malgrat que la infraestructura de seguretat interna no s'ha publicat mai completament per raons obvis de seguretat, és clar que l'arxiu contenidor no es guarda en el dispositiu mòbil. Per això, almenys part de la informació del compte es guarda en els servidors CROAT. Per aquest motiu hem insistit des del primer dia que la seguretat dels moneders mòbils, siguin d'Android, iOS o web no tenen el mateix grau de seguretat que el moneder “gran” de desktop, que es pot crear amb l'aplicació de desktop CROATCore.

Tothom hauria de seguir les recomanacions per tenir cura dels seus fons i guardar quantitats importants només en un moneder de desktop, utilitzant un moneder mòbil només per traspassar fons que es necessitin puntualment. Com ja ho hem fet, s'hauria de pensar en el moneder complet de desktop com si fos el compte bancari i en el moneder lleuger de mòbil o web com si fos la cartera que portem a la butxaca. És de sentit comú que no s'ha d'anar pel carrer amb tots els diners que es tenen, però només amb el que pensem que podem necessitar.

Si vols extremar les precaucions i necessites fer transferències importants, podries utilitzar una connexió remota des del teu mòbil amb el teu ordinador de desktop i, en el cas de necessitar fer una transferència important, com per exemple una compra gran, fora de casa, et podries connectar de forma remota al teu ordinador, transferir Croats al teu moneder mòbil, i com que la transferència és casi instantània, podries utilitzar-los immediatament (com en el exemple, fer la compra gran).

Si no ho saps ja, qualsevol wallet lleuger web de qualsevol moneda fa el mateix, guardant les claus privades. Per això, es pot assumir que els desenvolupadors de qualsevol moneda que disposa d'aquestes aplicacions podrien controlar tot el que es guarda als seus servidors. Per això, miris on miris, s'avisa que la seguretat d'un moneder lleuger no pot ser la mateixa que la seguretat d'un moneder de desktop. A la pàgina principal de croatwallet.com hi ha aquest recordatori de forma constant.

Molt bona i molt útil pregunta per recordar a la comunitat com protegir els seus Croats! Moltes gràcies!
themacboy
Entrades: 19
Membre des de: dj. ago. 16, 2018 8:36 am

dv. ago. 17, 2018 7:55 pm

I no es possible codificar un moneder mòbil que interactuï directament amb els nodes (p2p) i així no tenir que depositar les claus privades de despesa en el contenidor del "walletd" que feu servir per les version mòbil i web?
n1c4
Entrades: 5
Membre des de: dj. ago. 16, 2018 8:32 am

dl. ago. 20, 2018 7:13 pm

Crec que aquesta proposta encara seria pitjor!! Hauries d'enviar la teva clau privada a algun dels servidors p2p i la podrien fer servir de forma fraudulenta! :o

De fet, la configuració que tu dius és tècnicament possible i és la que tinc a casa, de manera que puc fer una transfer des de qualsevol màquina de la xarxa local mitjançant la cadena de blocs de la única màquina que fa anar "croatd" i que es manté sincronitzada (bé, reconec que ara porta un temps aturada). Ara bé, mai ho faria de forma remota contra un node que no fóra el meu, ja que aquest ha de manipular les meves claus!!

Per altra banda, si no recordo malament, el nivell de comunicació per activitats p2p és diferent al nivell de comunicació per efectuar transaccions. És a dir, una instància de croatd configurada com a node p2p no pot rebre instruccions per efectuar una transferència. El node ha d'estar especialment configurat per rebre comandes RPC (que crec recordar que van com a text pla).

Al capdavall, prefereixo confiar la seguretat del moneder lleuger a les desenvolupadores i prendre les mesures que ells mateixos recomanen abans de passar les claus a un node que no sé qui controla.

Espero que el moderador faci una bona revisió del que he escrit, pq tot això ho vaig remenar fa molt de temps i ho dic tot de memòria. També deixo a la seva discreció publicar aquest missatge o bé només extreure'n les parts que convingui si vol fer una explicació diferent.
themacboy
Entrades: 19
Membre des de: dj. ago. 16, 2018 8:36 am

dl. ago. 20, 2018 8:35 pm

n1c4 ha escrit:
dl. ago. 20, 2018 7:13 pm
Crec que aquesta proposta encara seria pitjor!! Hauries d'enviar la teva clau privada a algun dels servidors p2p i la podrien fer servir de forma fraudulenta! :o

De fet, la configuració que tu dius és tècnicament possible i és la que tinc a casa, de manera que puc fer una transfer des de qualsevol màquina de la xarxa local mitjançant la cadena de blocs de la única màquina que fa anar "croatd" i que es manté sincronitzada (bé, reconec que ara porta un temps aturada). Ara bé, mai ho faria de forma remota contra un node que no fóra el meu, ja que aquest ha de manipular les meves claus!!

Per altra banda, si no recordo malament, el nivell de comunicació per activitats p2p és diferent al nivell de comunicació per efectuar transaccions. És a dir, una instància de croatd configurada com a node p2p no pot rebre instruccions per efectuar una transferència. El node ha d'estar especialment configurat per rebre comandes RPC (que crec recordar que van com a text pla).

Al capdavall, prefereixo confiar la seguretat del moneder lleuger a les desenvolupadores i prendre les mesures que ells mateixos recomanen abans de passar les claus a un node que no sé qui controla.

Espero que el moderador faci una bona revisió del que he escrit, pq tot això ho vaig remenar fa molt de temps i ho dic tot de memòria. També deixo a la seva discreció publicar aquest missatge o bé només extreure'n les parts que convingui si vol fer una explicació diferent.
Haure de repassar-me els "white papers" de Cryptonight, però si no recordo malament per fer això no hauries de compartir la teva clau privada.
Respon