Андресен повернувся з одноосібним проектом безпеки, натхненним невдачами з Bitcoin

Гевін Андресен, колишній провідний розробник Bitcoin, порушує мовчання.

Хоча в останні місяці він був більш активним у Twitter, обговорюючи дебати щодо розміру блоку (навіть поставивши своє ім’я на новому масштабуванні Bitcoin'угода'), має Андресен здебільшого були відсутнівід спільноти розробників Bitcoin близько року.

Але це T означає, що чудовий працівник, який багато зробив для створення ранньої команди розробників і ринку біткойнів, T був зайнятий.

На початку травня Андресен написав у Twitter:

Я шукаю бета-тестерів і співавторів для свого проекту Random Sanity: <a href="https://t.co/NEbpr1baqk">https:// T.co/NEbpr1baqk</a>







— Гевін Андресен (@gavinandresen) 1 травня 2017 року

Проект LOOKS покращити захист Інтернету шляхом перевірки джерел випадковості, якими користуються окремі особи та організації.

Слідкуйте за Bitcoin

Проект Random Sanity виник не лише через зацікавленість Андресена у вивченні мови програмування GO, але й у тому, що він бачив проблеми, які брак ентропії може мати в монетарних програмних системах, таких як Bitcoin.

«Звичайно, я все ще не KEEP від Bitcoin», — сказав Андресен CoinDesk, додавши, що він може внести свій внесок у перегляд коду нової пропозиції DCG щодо масштабування Bitcoin , але навряд чи він напише будь-який код.

«Bitcoin — такий цікавий проект, тому що він критично важливий для безпеки», — сказав він. «Якщо безпека дає збій, це відразу стає очевидним, люди втрачають гроші і негайно реагують».

Це відрізняється, продовжив він, від захоплення або атаки на обліковий запис електронної пошти, оскільки люди зазвичай T помічають цих порушень протягом деякого часу.

«Щодо багатьох проблем безпеки, Bitcoin висвітлює їх», — сказав Андресен.

Така QUICK реакція була помічена в кількох нещасних випадках через неправильну генерацію випадкових чисел в екосистемі Bitcoin .

У травні 2015 року вразливість у Bitcoin гаманці Android Blockchain залишила кількох користувачів без грошей. Відповідно доСофтпедія, уразливість дозволяла створювати дублікати Bitcoin -адрес і надавати їх різним користувачам. По CORE, проблема полягала в томуГенератор випадкових чисел Blockchain, random.org, які забезпечили недостатню ентропію на певних версіях операційної системи Android.

А за два роки до цього, у серпні 2013 р. усі додатки гаманців для Bitcoin в операційних системах Android були потенційно під загрозою, коли в іншому генераторі випадкових чисел Java SecureRandom було виявлено декілька вразливостей.

Дотримання дистанції

Незважаючи на те, що проект, безумовно, дотичний до колишньої роботи Андресена як головного супроводжувача біткойнів, він також значно відрізняється.

«Поки що це проект для однієї людини, що мені подобається», — сказав Андресен CoinDesk. «Це гарно і просто. Я вибрав щось маленьке і навмисно нудне».

Він продовжив:

«Bitcoin був великим, складним проектом, у якому брали участь багато людей, розкиданих по всьому світу; було занадто багато стресу та політики, і я T хотів цього знову».

Андресен працював над проектом Random Sanity близько шести місяців. За його словами, проект не має на меті отримання прибутку. Замість цього, в ідеалі, проект буде Спонсорський матеріал такою організацією, як Linux Foundation, щоб пропонувати послугу будь-кому безкоштовно.

Отже, як працює Random Sanity? Кожна система та кожна мова програмування має спосіб отримання випадкових байтів – наприклад, Linux має спеціальну папку під назвою «/dev/urandom», а OpenSSL надає кілька генераторів випадкових чисел (які використовує Bitcoin CORE ).

Користувачі Random Sanity Project можуть взяти ці випадкові числа – від 16 до 64 байтів – і ввести їх у службу, яка поверне «true», якщо байти виглядають випадковими, або «false», якщо числа T.

«Проблема визначення того, чи достатньо хороші ваші випадкові числа, є складною проблемою», — сказав Андресен CoinDesk. «Є купа способів, якими можна зіпсуватися».

Цифрова перевірка здоров'я

Хоча генератори випадкових чисел створені спеціально для забезпечення ентропії (відсутність порядку, а отже, передбачуваності), є кілька причин, чому щось може піти не так.

Завантаження та оновлення програмного забезпечення можуть бути випадковими. Або це може бути так просто, як хтось спіткнувся об віртуальну машину, використовуючи шнур генератора випадкових чисел і від’єднавши його.

Але типова невдача, за словами Андресен, полягає в тому, що організація використовує хмарні обчислення та запускає кілька віртуальних машин одночасно.

У цьому випадку організація може зберегти образ програмного забезпечення та запустити кілька копій для веб-серверів, які обробляють трафік. Оскільки віртуальні машини запускаються в однаковому стані, вони, за словами Андресена, можуть отримати однакові «випадкові» числа.

«Зазвичай існують інструменти для збільшення ентропії, щоб цього T сталося, — сказав він, — але [Проект Random Sanity] може стати хорошою перевіркою».

Хоча він T вважає, що компанії потрібно запускати кожен рядок байтів, який машина надає їм через інструмент, було б корисно надсилати ONE рядок байтів під час запуску машини, щоб переконатися, що він генерує розумну випадковість. Потім, за його словами, якщо це не вдасться, проблему можна буде дослідити.

«Це розроблено як спосіб переконатися, що катастрофічні катастрофи T трапляються, або ви досить QUICK їх ловите», — сказав Андресен.

Крім того, чим більше людей і організацій використовують систему, тим ціннішою вона стає, оскільки тоді вона може базувати випадковість на багатьох рядках байтів.

Однак наразі лише деякі з них провели бета-тестування служби, інколи додаючи код до проекту – за словами Андресена, включаючи людей із стартапів Blockchain і ShapeShift.

Недовірливий тренд

У Twitter одні хвалили сервіс, а інші хвилювалися архітектурою системи.

По ONE, початкова система використовувала HTTP, який дозволяв будь-кому підслуховувати та бачити випадкові байти, які надсилаються в систему. Андресен швидко перезапустив використання HTTPS для забезпечення безпечного з’єднання, щоб ONE не міг бачити, які байти надсилаються.

Інший сказав, що якщо генератор випадкових чисел сутності зламаний, побачивши ONE нібито випадковий рядок байтів, це може стати причиною атаки на сутність. скарга від користувача Twitter. Шанс, який варто використати, Андресен відповів.

Що стосується того, що Андресен має уявлення про байти, які надсилаються до служби, він сказав, що у нього немає.

І, дотримуючись тенденції, встановленої Bitcoin, він сказав:

«Я намагаюся влаштувати так, щоб людям T довіряли мені».

Хоча служба наразі працює на App Engine Google Cloud Platform, його наступний проект відкриває проект, щоб дозволити перевірку третіми сторонами. Наразі люди можуть перевіряти лише відкритий код на GitHub, який, як запевнив Андресен, CoinDesk, є саме тим, що працює на App Engine. Проте додатковий крок підтвердить це

Випадкові числа зображення через Shutterstock