Premiers pas avec Signum : logiciel, comptes, mots de passe et sécurité
Comptes
De nouveaux comptes sont créés dans les portefeuilles logiciels. Le logiciel interagit avec le public ledger de Signum pour faciliter le mouvement en chaîne de Signa et d’autres informations d’un compte à un autre. Le logiciel est disponible pour les ordinateurs personnels et les appareils mobiles, et Windows, macOS, Linux, Docker, iOS et Android.
Les portefeuilles Signum ne contiennent pas de Signa. Signa n’existe que sur le public ledger distribué et est indépendant de toute installation de logiciel spécifique. Si l’équipement tombe en panne, l’accès à un compte peut être restauré avec uniquement la phrase de passe. Pour cette raison, enregistrez les phrases secrètes sous une forme externe à l’équipement sur lequel le logiciel est installé.
Logiciel
Le moyen le plus sûr et le plus privé d’interagir avec Signum est d’installer Signum Node sur un ordinateur local à l’abri des intrusions. Il télécharge et valide la blockchain complète, applique les protocoles réseau, contribue à la sécurité et à la décentralisation chaque fois qu’il est en cours d’exécution, et inclut les portefeuilles classiques et Phoenix.
BTDEX est un programme tout-en-un qui comprend des fonctions de portefeuille essentielles, le traçage, l’exploitation minière et un échange décentralisé. Il se connecte au réseau Signum à distance plutôt que de conserver une copie locale de la blockchain (fonctionne comme un client léger). Alternativement, il peut être connecté directement à une installation Signum Node locale.
N’utilisez que le logiciel officiel de Signum. Le logiciel de Signum est open source sous licence GPL, protégé par un processus de signature multi-signature et fréquemment mis à jour pour rendre les fonctionnalités du réseau Signum plus pleinement accessibles.
En général, n’utilisez pas de portefeuilles en ligne car ils sont centralisés (contrôlés par des tiers). Il n’y a aucun moyen de savoir qu’ils n’enregistrent pas les mots de passe saisis. Si vous accédez à un portefeuille en ligne pour plus de commodité, ne le faites que pour les comptes de faible valeur ou utilisez le mode lecture seule (entrez l’adresse plutôt que la phrase de passe).
Le réseau Signum fournit des portefeuilles en ligne pour la seule raison qu’ils sont possibles, et il est donc prudent de les rendre disponibles auprès d’une source fiable.
Réservation de compte
Suivez les invites de votre logiciel pour générer automatiquement un compte avec une phrase de passe sécurisée de 12 mots (clé privée). La phrase de passe est le seul détail qui contrôle l’accès à votre compte. S’il est perdu, le compte n’aura aucune valeur car il ne sera pas accessible. Il n’y a pas d’organisation centrale à contacter dans ce cas, il faut donc veiller à conserver un enregistrement de la phrase secrète de chaque compte dans plus d’un emplacement sécurisé, tel qu’un disque dur crypté, un gestionnaire de mots de passe ou imprimé. Pour un formulaire imprimé pratique, cliquez ici : Passphrase-Record
Toute chaîne de caractères peut servir de phrase de passe, mais une longue phrase de passe aléatoire est essentielle. Les caractères spéciaux sont inutiles et ne sont pas pris en charge. Le logiciel de Signum génère automatiquement des mots de passe qui offrent une protection suffisante contre Brute Force et Rainbow Table attaques. Ne changez pas cela sans une compréhension complète de l’entropie et de la cryptographie. Ne le changez pas sans une compréhension complète de l’entropie et de la cryptographie. L’ajout de mots ou de chiffres supplémentaires n’est pas problématique, mais il est inutile. Les caractères spéciaux, en particulier les caractères Unicode, doivent être évités car ils ne sont pas implémentés de manière uniforme sur les appareils et les logiciels.
Les phrases de passe ne peuvent pas être modifiées après avoir terminé le processus de configuration du compte. Cependant, les fonds peuvent toujours être transférés vers un nouveau compte avec une nouvelle phrase de passe.
Protection par phrase de passe
La connaissance de la phrase secrète d’un compte donne essentiellement la propriété du compte. Par conséquent, ne partagez pas votre phrase secrète avec une personne en qui vous ne pouvez pas avoir confiance. Ne stockez pas votre phrase de passe non chiffrée sur un nœud distant ou un poste de travail local. Faites preuve d’une attention particulière lorsque vous vous connectez à des nœuds distants. N’entrez pas de mots de passe dans les formulaires en ligne et n’utilisez pas de portefeuilles en ligne pour des comptes de grande valeur ou des comptes qui détiennent un solde important. Envisagez d’utiliser des comptes avec des soldes plus petits pour les opérations quotidiennes et des comptes avec des soldes plus élevés avec une attention particulière à la sécurité. Faites preuve de discrétion lorsque vous envisagez un logiciel de gestion des mots de passe.
Transactions
Les mêmes précautions doivent également être prises lors des transactions, car elles ne sont pas réversibles. Si un transfert est effectué vers un compte sans phrase secrète connue, il n’y a aucun moyen de le récupérer. Lors du transfert de Signum entre plusieurs comptes, assurez-vous que la phrase secrète de chacun est connue.
Transactions are signed by entering the account’s paLes transactions sont signées en saisissant la phrase secrète du compte sur un appareil local.ssphrase on a local device. The device should be secure from intrusion and uncompromised by malicious software or keystroke recorders. Il est possible de signer des transactions à l’aide d’un appareil non connecté à Internet (air gap) en utilisant Signum’s Signature de transaction hors ligne fonctionnalité pour une sécurité renforcée. Cependant, il s’agit d’une fonctionnalité avancée que les développeurs Signum utilisent généralement.
Les phrases de passe ne sont pas inclus lorsqu’une transaction est diffusée sur le réseau. Seule une signature numérique à usage unique est incluse. En utilisant la cryptographie, il peut être déduit de cette signature que la transaction a été autorisée par le titulaire du compte qui l’a créée. Cependant, la phrase de passe réelle ne peut pas être dérivée de la signature.
Signum n’est techniquement pas une pièce ou une plate-forme de confidentialité. Cependant, il n’y a aucun enregistrement concernant les adresses publiques des titulaires de compte ou la divulgation d’informations personnelles à moins que le titulaire du compte ne choisisse de le faire lors d’une transaction. Example: Ordering a product and providing shipping details. Privacy is enhanced when making transactions by using separate accounts for different purposes.
Niveau de sécurité des mots de passe générés automatiquement par Signum
Centralized organizations limit login attempts for online accounts. Sinon, les mots de passe courts qu’ils autorisent seraient rapidement compromis.
Étant donné que la nature open source de Signum permet des tentatives de connexion illimitées, le processus de réservation de compte génère automatiquement des mots de passe longs et complexes de douze mots tirés au hasard à partir d’une liste de 1,626 mots pour le portefeuille classique et 2,048 mots pour Phoenix et BTDEX.
341,543,870,028,173,427,817,970,975,906,355,941,376 ou 341 milliard milliard milliard milliard 12 mots combinaisons peut être généré à partir de une liste de 1,626 mots. Tenter de compromettre un compte en testant toutes les combinaisons serait un exercice futile car il faudrait des milliards de milliards of years on average with optimized equipment.
En 2017, douze comptes contenant 1 000 Signa ont été créés avec des mots de passe générés automatiquement. Le 1er compte était limité à une phrase secrète d’un seul mot, le 2ème, à deux mots, etc. Le 12e compte a utilisé les 12 mots entiers. Un défi public a été lancé pour découvrir les mots de passe.
Après six mois, les trois premières phrases de passe ont été découvertes, mais les comptes restants n’ont pas pu être compromis, même en utilisant un outil de craquage de mot de passe hautement optimisé qui a essayé 160 000 combinaisons par seconde. Il faudrait environ 515 jours pour découvrir la 4ème phrase secrète et plus de 2 000 ans pour la 5ème. Avec chaque mot supplémentaire augmentant la difficulté de 1 626, la découverte de la 12e phrase de passe ne serait pas possible.
| Mots | Combinaisons possibles | Morceaux d’entropie |
|---|---|---|
| 1 | 1,626 | 10.66 |
| 2 | 2,643,876 | 21.33 |
| 3 | 4,298,942,376 | 32 |
| 4 | 6,990,080,303,376 | 42.67 |
| 5 | 11,365,870,573,289,400 | 53.34 |
| 6 | 18,480,905,552,168,500,000 | 64 |
| 7 | 30,049,952,427,826,000,000,000 | 74.67 |
| 8 | 48,861,222,647,645,100,000,000,000 | 85.34 |
| 9 | 79,448,348,025,071,000,000,000,000,000 | 96 |
| 10 | 129,183,013,888,765,000,000,000,000,000,000 | 106.67 |
| 11 | 210,051,580,583,132,000,000,000,000,000,000,000 | 117.34 |
| 12 | 341,543,870,028,173,427,817,970,975,906,355,941,376 | 128 |
Informations techniques
L’ID de compte et l’adresse sont dérivés d’un hachage cryptographique permanent et immuable de la phrase de passe d’un compte.
La cryptographie à courbe elliptique (ECC) est utilisée pour générer une clé publique, une clé privée (pour signer des transactions) et une soi-disant clé d’accord (pour le cryptage des messages) à partir de la phrase de passe d’un compte. Il n’est pas nécessaire de comprendre précisément ces clés car elles ne sont utilisées que par programmation. C’est la phrase de passe d’un compte qui permet l’interaction avec la blockchain pour effectuer des transactions.
- Une phrase secrète peut être n’importe quelle chaîne de caractères. Signum utilise 12 sélections aléatoires à partir d’une collection de mots anglais.
- Une clé privée est un hachage cryptographique de la phrase de passe d’un compte.
- Une clé publique est un hachage cryptographique avec la clé privée comme graine. Il se décode comme deux adresses publiques interchangeables; un numéro presque unique (identifiant de compte) et l’adresse formatée Reed-Solomon la plus couramment utilisée.
- Bien que la clé publique, l’ID de compte numérique et l’adresse RS soient tous dérivés du hachage cryptographique de la phrase de passe d’un compte, la phrase de passe ne peut être dérivée d’aucun de ceux-ci.
La vision de Signum en matière de sécurité
La sécurité Signum implique plus que la sécurité des mots de passe et du portefeuille. Dès sa création, Signum a cherché à accélérer l’adoption de la technologie blockchain tout en garantissant une sécurité maximale dans tous les aspects de son fonctionnement. Il a été créé en 2014 lorsque les attaques contre les réseaux de crypto-monnaie étaient déjà monnaie courante. Pour assurer la sécurité du réseau, l’équipe de développement met en œuvre plusieurs stratégies.
- Pour assurer la sécurité du réseau, l’équipe de développement met en œuvre plusieurs stratégies.To prevent collusive node attacks where 51% of nodes conspire to harm the network, Byzantine fault-tolerance technology is employed to build dependable protocols. L’accent est mis sur l’identification des nœuds honnêtes en fixant une limite supérieure pour une tolérance maximale.
- Tous les nœuds doivent effectuer une validation de preuve de capacité pour empêcher les attaques par déni de service (DDOS). Une vérification régulière identifie et bloque les nœuds problématiques.
- Un cryptage avancé est utilisé pour garder les détails privés et les fonds protégés contre les attaques de tiers. Lors de l’envoi de fonds sur le réseau, les détails ne sont pas facilement révélés.
La nature des menaces pesant sur les réseaux de crypto-monnaie change rapidement. L’équipe de développement a adopté un système d’amélioration progressive qui implique des vérifications constantes pour identifier et traiter même les voies d’attaque théoriques.