Ipfs
我們可以在 dapp 的反應(前端)部分輸入我們的私鑰來解密消息嗎?
我們計劃製作一個 dapp,我們在其中接收儲存在 ipfs 上的文件的加密雜湊。我們需要使用儲存在本地電腦上的私鑰對其進行解密。在 dapp 的前端部分輸入我們的私鑰並將解密邏輯放入 react 中是否安全?
對於公鑰,我們可以使用乙太坊帳戶的公鑰並使用各自的私鑰解密嗎?
儲存私鑰的更安全方法也會有所幫助
在 dapp 中儲存私鑰會帶來很多安全挑戰和安全成本。您可能需要使用強密鑰加密方案來保護它免受可能的攻擊向量。此外,私鑰與被散列的文件沒有邏輯關係。
對於這個案例,使用零知識證明的概念以及證明密鑰和驗證密鑰的組合而不是私鑰和公鑰的組合可能是一個更好的主意。
您可以生成文件雜湊,然後使用 Zokrates 等零知識證明工俱生成文件雜湊的保管證明。將為保管證明生成證明密鑰和驗證密鑰。由此,當使用者試圖證明他們對雜湊的保管時,您可以在 Dapp 中使用證明者密鑰。
瀏覽器可能很可怕。MyCrypto曾經允許使用者通過輸入他們的私鑰來導入帳戶,但後來改變了方向。現在,您只能在他們的 Electron 桌面應用程序上執行此操作,該應用程序已經過強化和審核。
這是他們關於此內容非常豐富的文章的引述,我強烈推薦:
我們要求業界跟隨我們棄用對瀏覽器中直接私鑰訪問的支持
簡而言之,你的想法是正確的。理論上,由於一切都發生在客戶端,私鑰應該是安全的。但是將私鑰放在瀏覽器中會為攻擊打開新的載體。
我也不建議簡單地捆綁為一個 Electron 應用程序,除非你對強化 Electron 有相當的了解,儘管我不是安全專家。