Signum Sicherheit
Signum Sicherheit
Die automatisch generierte Passphrase von Signum
Zentralisierte Organisationen begrenzen normalerweise die Anzahl der Anmeldeversuche für die von ihnen bereitgestellten Online-Konten. Wenn sie dies nicht tun, werden die kurzen Passphrasen, die sie zulassen, schnell kompromittiert. Außerdem legen sie ihren Authentifizierungsalgorithmus normalerweise nicht öffentlich offen.
Der Open-Source-Charakter des Signum-Clients ermöglicht unbegrenzte Anmeldeversuche. Programme können Kombinationen so schnell wie Milliarden pro Sekunde testen und alle möglichen Kombinationen versuchen. Aus diesem Grund generiert der Signum-Kontoreservierungsprozess automatisch lange, komplexe Passphrasen – 12 Wörter, die zufällig aus einer Liste von 2,048 English words für die Geldbörsen Phoenix und BTDEX und 1.626 englische Wörter für die klassische Geldbörse.
Auf den ersten Blick mag eine Passphrase, die durch zufällige Auswahl von 12 Wörtern aus einer öffentlich verfügbaren Sammlung generiert wird, kontraintuitiv erscheinen. Bei weiterer Analyse ist jedoch die Stärke dieses Systems offensichtlich.
Die Anzahl der Passphrasen, die aus der Liste von 1.626 Wörtern von Signum (verwendet für das klassische Wallet von Signum) in 12-Wort-Kombinationen generiert werden können, ist wie folgt: 341.543.870.028.173.427.817.970.975.906.355.941.376.
Das sind mehr als 341 Milliarden oder 341 Milliarden Milliarden Milliarden. In der Mathematik wird dies euphemistisch als „große Zahl“ bezeichnet. Es ist so groß, dass es schwer vorstellbar ist. Der Versuch aller möglichen Kombinationen, ein Prozess, der als Brute-Forcing bezeichnet wird, würde Milliarden kosten von Milliarden von Jahren im Durchschnitt.
Die Anzahl der möglichen Kombinationen für Signum-Wallets, die 2.048 zufällig ausgewählte Wörter verwenden, ist viel größer. Der Unterschied wird jedoch als unwesentlich erachtet, wie aus der folgenden Analyse hervorgeht:
Der Versuch, ein Konto zu gefährden, das durch eine der automatisch generierten Passphrasen von Signum geschützt ist, ist eine Übung der Sinnlosigkeit. Es gibt auch keine Möglichkeit zu wissen, dass der Passphrase eines Kontos keine anderen Wörter hinzugefügt wurden.
| Anzahl der Wörter | Mögliche Passphrasenkombinationen | Bits of Entropy |
|---|---|---|
| 1 | 1,626 | 10.66 |
| 2 | 2,643,876 | 21.33 |
| 3 | 4,298,942,376 | 32 |
| 4 | 6,990,080,303,376 | 42.67 |
| 5 | 11,365,870,573,289,400 | 53.34 |
| 6 | 18,480,905,552,168,500,000 | 64 |
| 7 | 30,049,952,427,826,000,000,000 | 74.67 |
| 8 | 48,861,222,647,645,100,000,000,000 | 85.34 |
| 9 | 79,448,348,025,071,000,000,000,000,000 | 96 |
| 10 | 129,183,013,888,765,000,000,000,000,000,000 | 106.67 |
| 11 | 210,051,580,583,132,000,000,000,000,000,000,000 | 117.34 |
| 12 | 341,543,870,028,173,000,000,000,000,000,000,000,000 | 128 |
Ihr Konto ist mit der von der Signum-Software generierten 12-Wort-Passphrase sicher. Es könnte durch Hinzufügen zusätzlicher Wörter, Buchstaben oder Zahlen exponentiell komplexer gemacht werden, ist aber bereits mehr als ausreichend.
Im Jahr 2017 hat ein öffentliches Experiment die Sicherheit der Passphrasen von Signum demonstriert. Das Experiment umfasste 12 Konten mit jeweils 1.000 Signum. Die Passphrase für jedes Konto wurde automatisch generiert, aber der Veranstalter beschränkte die Anzahl der Wörter auf 1 für das 1. Konto, 2 für das 2. usw. Die Passphrase für den 12. Account hatte 12 Wörter. Es wurde eine öffentliche Ankündigung gemacht, in der jeder herausgefordert wurde, der an dem Versuch teilnehmen wollte, die Passphrasen zu knacken.
Nach 6 Monaten wurden nur die Passphrasen der ersten 3 Konten entdeckt. Die verbleibenden Konten konnten nicht kompromittiert werden, selbst nachdem sie von einem hochoptimierten Passwort-Cracking-Tool getestet wurden, das Kombinationen mit einer Geschwindigkeit von 160.000 pro Sekunde ausprobierte. Es würde geschätzte 515 Tage dauern, um den 4. zu knacken, und mehr als 2.000 Jahre, um den 5. zu knacken. Mit jedem zusätzlichen Wort, das die Schwierigkeit um 1.626 erhöht, wäre es nicht möglich, die 12. Passphrase zu knacken, obwohl die Liste von 1626 Wörtern öffentlich verfügbar ist.
Passphrasen
12 Wörter zufällig aus einer Liste von 1.626 englischen Wörtern gezogen. Mit anderen Worten – unknackbar.
Beste Übung
Geben Sie Ihre Passphrase nicht in ein Online-Formular ein und geben Sie sie nicht an Dritte weiter, denen Sie nicht vertrauen können.
Online-Geldbörsen
Verwenden Sie immer die offizielle Wallet-Software. Online-Geldbörsen sind keine offiziellen Geldbörsen und werden von Natur aus zentralisiert.
Sicherheitsimplikationen der Blockchain-basierten Kryptowährung
Signum ist eine Blockchain-basierte Kryptowährung. Eine einzelne Passphrase (privater Schlüssel) schützt jedes Konto. Wenn Sie die Passphrase für Ihr Konto nicht erstellen können, können Sie nicht auf das Konto zugreifen, und die damit verbundenen Münzen haben keinen Wert. Unter diesen Umständen gibt es keine zentrale Organisation, an die Sie sich wenden können. Daher muss beim Erstellen eines Kontos darauf geachtet werden, dass die Passphrase aufgezeichnet wird.
Konten, die durch eine einzelne Passphrase gesichert sind, werden umgangssprachlich als Gehirngeldbörsen bezeichnet, da die Passphrase möglicherweise nur im Speicher des Kontoinhabers gespeichert werden kann. Für die meisten Menschen wird nicht empfohlen, die Passphrase eines kritischen Kontos auf diese Weise aufzuzeichnen.
Der beste Weg, um eine Aufzeichnung von Passphrasen aufzubewahren, besteht darin, sie sicher an mehr als einem Ort zu speichern. Das Speichern auf einer Computerfestplatte, das Eingeben in eine Kennwortmanagerdatei oder das Drucken auf Papier sind gute Optionen, aber jede dieser Optionen kann fehlschlagen. Es ist wichtig, ein Backup zu haben.
Die gleiche Sorgfalt bei Passphrasen sollte auch bei Transaktionen angewendet werden. Signum-Transaktionen sind nicht umkehrbar. Wenn eine Übertragung auf ein Konto ohne bekannte Passphrase erfolgt, kann diese nicht abgerufen werden. Stellen Sie beim Übertragen von Signum zwischen mehreren Konten sicher, dass die Passphrase für jedes Konto bekannt ist.
Das Zuordnen des Werts eines Kontos zu seiner Passphrase ist eine hilfreiche Methode, um die angemessene Sicherheitsstufe zum Schutz der Passphrase zu ermitteln. Treffen Sie für Konten mit höheren Werten umfangreichere Sicherheitsmaßnahmen.
Alle Passphrasen müssen eventuell auf einem lokalen Gerät eingegeben werden, um Transaktionen zu signieren. Das Gerät sollte vor Eindringen geschützt und durch schädliche Software, die Tastenanschläge aufzeichnen kann, kompromisslos sein. Es ist möglich, Transaktionen mit einem Gerät zu signieren, das nicht mit dem Internet verbunden ist (mit Luftspalt), und die Offline-Transaktionssignaturfunktion von Signum zu verwenden, um die Sicherheit zu erhöhen.
Im Folgenden finden Sie einige bewährte Methoden:
- Geben Sie Ihre Passphrase nicht in ein Online-Formular ein.
- Verwenden Sie Online-Geldbörsen nicht für Konten mit einem signifikanten Guthaben oder einem Konto mit einem signifikanten Guthaben.
- Ändern Sie nicht die 12-Wort-Passphrase, die während der Kontoeinrichtung generiert wurde (das Hinzufügen ist nicht problematisch, aber nicht erforderlich). Die 12-Wörter-Passphrase schützt vor Rohe Gewalt Und Regenbogentisch Anschläge.
- Verwenden Sie keine Sonderzeichen. ASCII-Code-Darstellungen können verwendet werden, sind jedoch völlig unnötig. Unicode-Zeichen sind zwischen Programmen nicht immer konsistent. Hinweis: Microsoft Word verwendet Unicode-Zeichen. Daher ist es nicht ideal zum Erstellen oder Speichern von Passphrasen, die Sonderzeichen enthalten.
- Teilen Sie keine Passphrasen mit Personen, denen Sie nicht vertrauen können.
- Speichern Sie keine unverschlüsselten Passphrasen auf Remote-Knoten oder lokalen Arbeitsstationen.
- Lassen Sie keine gedruckte Passphrase neben einem Computer.
- Achten Sie beim Herstellen einer Verbindung mit Entferntknoten auf besondere Vorsicht.
- Verwenden Sie Konten mit kleineren Salden für tägliche Vorgänge. Greifen Sie nur bei Bedarf und unter besonderer Berücksichtigung der Sicherheit auf Konten mit höherem Guthaben zu.
- Seien Sie diskret, wenn Sie eine Passwortverwaltungssoftware in Betracht ziehen.
Signums Vision für Sicherheit
Die Sicherheit von Signum umfasst mehr als nur die Sicherheit von Passphrasen und Brieftaschen. Von Anfang an hat Signum versucht, die schnellere Einführung der Blockchain-Technologie zu verbessern und gleichzeitig maximale Sicherheit in allen Aspekten seines Betriebs zu gewährleisten. Es wurde 2014 erstellt, als Angriffe auf Kryptowährungsnetzwerke bereits an der Tagesordnung waren. Um das Netzwerk sicher zu halten, hat das Entwicklungsteam verschiedene Strategien implementiert.
Um kollusive Knotenangriffe zu verhindern, bei denen 51% der Knoten das Netzwerk schädigen, wurde die byzantinische Fehlertoleranztechnologie eingesetzt, um zuverlässige Protokolle zu erstellen. Der Fokus lag auf der Identifizierung ehrlicher Knoten durch Festlegen einer oberen Grenze für maximale Toleranz.
Um Denial-of-Service-Angriffe (DDOS) zu verhindern, mussten alle Knoten einen Kapazitätsnachweis validieren. Durch regelmäßige Überprüfung werden problematische Knoten identifiziert und auf die schwarze Liste gesetzt.
Um die Details privat und die Gelder frei von Entitäten und Angriffen Dritter zu halten, verwendet das Signum-Netzwerk eine erweiterte Verschlüsselung. Selbst beim Versenden von Geldern im Netz lassen sich Details nicht ohne weiteres bekannt.
Die Art der Bedrohungen für Kryptowährungsnetzwerke ändert sich schnell. Das Entwicklungsteam hat ein System der fortschreitenden Verbesserung eingeführt, das ständige Überprüfungen umfasst, um selbst theoretische Lücken zu identifizieren und zu schließen.
Anatomie einer Passphrase
Die Konto-ID und -Adresse werden aus einem permanenten und unveränderlichen kryptografischen Hash der Passphrase eines Kontos abgeleitet.
Die Elliptic-Curve-Kryptographie (ECC) wird verwendet, um einen öffentlichen Schlüssel, einen privaten Schlüssel (zum Signieren von Transaktionen) und einen sogenannten Übereinstimmungsschlüssel (zur Nachrichtenverschlüsselung) aus der Passphrase eines Kontos zu generieren. Es ist nicht erforderlich, diese Schlüssel genau zu verstehen, da sie nur programmgesteuert verwendet werden. Es ist die Passphrase eines Kontos, die die Interaktion mit der Blockchain für Transaktionen ermöglicht.
- Eine Passphrase kann eine beliebige Zeichenfolge sein. Signum verwendet 12 zufällige Auswahlen aus einer Sammlung englischer Wörter.
- Ein privater Schlüssel ist ein kryptografischer Hash der Passphrase eines Kontos.
- Ein öffentlicher Schlüssel ist ein kryptografischer Hash mit dem privaten Schlüssel als Startwert. Es dekodiert als zwei austauschbare öffentliche Adressen; eine fast eindeutige Nummer (Konto-ID) und die am häufigsten verwendete Reed-Solomon-formatierte Adresse.
- Obwohl der öffentliche Schlüssel, die numerische Konto-ID und die RS-Adresse alle aus dem kryptografischen Hash der Passphrase eines Kontos abgeleitet sind, kann die Passphrase von keiner dieser Passphrasen abgeleitet werden.