玩币族移动版

玩币族首页 > 币圈百科 >

搞清楚Blockchain的安全,只需要一点技术!

  搞清楚Blockchain的安全,只需要一点技术!

  技术是美丽的东西,本文中绝大多数内容都是技术,你可以不懂代码,只管欣赏。

  本文通过实际操作,向不懂代码的朋友们证明了,blockchain有能力实现:

  服务器不保存明文私钥、不保存密码、安全使用比特币

  blockchain号称

  “爱你就给你自由”“我们没有你可以偷的比特币”

  私钥模式(默认):你的私钥会被保存在加密了的钱包里。在需要解密钱包时,你需要使用设置的密码,由于该密码也从未在Blockchain的服务器上保存,在信息泄露的意外发生时,私钥仍然是完全安全的。

  所以,blockchain做到了这样的事情:

  如果我愿意,我可以花费自己存放在blockchain的比特币。

  我花费比特币时,blockchain不知道我的私钥。

  我为我的私钥解密时,blockchain不知道我的密码。

  真的可以吗

  可以。

  先说明一下过程。

  验证密码,登录。

  给私钥加密,将密文上传到服务器。

  确认比特币账户的余额。

  下载加密后的私钥。

  解密,得到明文私钥。

  构造交易,用明文私钥签名。

  将构造好的交易广播。

  这其中,保证第1步时服务器不知道我们的密码,第2、5、6步可以离线完成,就算是满足了上面的条件。

  通常情况下,blockchain会帮我们完成这一切,

  现在我们来模拟它的工作,证明blockchain有能力做到这些。

  至于它有没有做,怎么做,需要分析源代码。

  首先准备一些替代品:

  https://brainwallet.github.io/

  这是一款相当优秀的比特币网页工具,稍微改改代码还能用于处理山寨币

  本文我们用这个工具签名交易。

  http://tool.chinaz.com/Tools/TextEncrypt.aspx

  http://tool.chinaz.com/Tools/MD5.aspx

  可爱的站长工具,本文我们用它来做AES和MD5加密。

  访问这三个页面然后“文件-另存为”或者“保存页面”,总之把它们下载到硬盘上。

  打开brainwallet,进入选项卡Transactions

  把一个有余额的地址复制到Source Address里面

  因为是做实验,我们随便搞一个地址比如1FYMZEHnszCHKTBdFZ2DLrUuk3dGwYKQxh

  确定,我们可以看见右边出现余额了,单击Edit History,复制Transaction History里面的代码,这是你的“余额记录”,保存到硬盘上。

22

  1.验证密码、登录

  打开站长工具的MD5加密。

  在左边框里输入你的密码,单击“加密”,得到一串“密文”,就像E13322D800517EE7CA017B3FE2996E2B,服务器拿这玩意和自己的记录对比,若通过,登录成功。

  服务器不知道真正的密码是啥,md5加密是一种不可逆的加密算法。

  这与比特币地址是一个原理,你知道我的地址,但你不知道我的公钥,除非我把它公开。

  2.给私钥加密

  打开站长工具的AES加密,

  私钥放上面,密码写中间,单击“加密”,下面得到密文。

  3.确认比特币账户的余额

  打开brainwallet,进入选项卡Transactions

  把事先准备好的“余额记录”粘贴在Transaction History里面。

  4.下载加密后的私钥

  准备好刚刚的密文。

  5.解密,得到明文私钥

  打开站长工具的AES加密,

  密文放下面,密码写中间,单击“解密”,得到明文私钥。

  6.构造交易,用明文私钥签名

  在brainwallet填写更多的内容,

  收款地址和金额填写在Destination Address后面,单击加号可以增加收款地址。

  Fee填写手续费。

  私钥放在Private Key里面,

  我们拿这个私钥做实验

  5HpHagT65TZzG1PH3CSu63k8DbpvD8s5ip4nEB3kEsreAnchuDf

  警告,这个私钥与上文的地址都是坑,拿来玩玩可以,不要往里面打钱,有去无回。

  出现的对话框要取消。

  不要在连接网络时把真正的私钥放在里面,离线使用也尽量用浏览器的“隐私浏览”功能,注意清理痕迹。

  单击“Re-Sign”,签名,复制Raw Transaction里面的内容,这就是你的交易信息。

  7.将构造好的交易广播

  上线,将Raw Transaction里面的内容广播出去,例如用这个页面

  http://blockchain.info/pushtx

  或者比特币客户端。

  完成。

  其中第1步时服务器不知道我们的密码,第2、5、6步离线完成。

  blockchain能不能瞒着我们,把我们的密码、私钥都偷偷上传到服务器上呢

  不能。

  不用看服务器,只需要验证我们客户端上的源代码就行了,我们可以检查那些脚本,有没有上传我们的私钥、密码。

  谁爱查谁查。

  也许你已经注意到了,我们的操作过程中,私钥、密码都是明文的,也就是说,如果我们的电脑不够安全:系统带毒、剪贴板被监视、浏览器做了奇怪的事情,我们的私钥、密码有可能会泄露。同样,在不安全的环境下运行blockchain,就有丢币的风险,尽管那不是blockchain的错。

  blockchain有点像是“支持钱包文件云存储的比特币客户端”,它用技术保证自己不会卷款跑路,这比银行、名誉、警察、政府要可靠得多,但不帮你保管私钥。

  与之不同的是,很多其他在线钱包服务,例如币付宝、币加锁、wallet.la,只能用信誉、法律来保证自己不跑路,但在较差的环境下,它们仍然能够保证一定程度的安全,因为私钥是完全委托给它们保管的,就像钱存放在银行的金库里面。

  哪种更加安全

  很难说,安全是相对的。

  旧版比特币核心为了保护公钥的安全,让无数新手莫名丢失了私钥(找零机制),老手的公钥和新手的私钥,哪个更重要 很难说,所以新版客户端给了我们更多的选择。

  blockchain也给了我们更多的选择。

  也许多重签名技术的发展能更好的解决问题。

  题外话,

  AES安全吗

  不知道,https://bitcoin.org/zh_CN/choose-your-wallet

  我就知道这一页里面很多都在用AES。

知识: 安全 Blockchain