乙太坊客戶端對路由器和 DNS 的信任程度如何?
另一種說法:對於具有潛在不受信任(或“擁有”)路由器+DNS的網路上的完整客戶端的信任根是什麼?
當我半隨機瀏覽乙太坊維基時,我遇到了這個,它說:
"
$$ … $$它允許僅給定最後一個塊的節點,並確保最後一個塊實際上是最近的塊,以$$ … $$”。
同樣,這說:
"
$$ … $$如果節點從可信來源接收到狀態根$$ … $$”。
我試圖了解這種保證來自哪裡,或者為什麼我應該相信這個來源。我試圖弄清楚如果一個知識淵博的攻擊者“擁有”我正在使用的 DNS 和/或路由器,他可以對我做多少。
對此的傳統保護是 PKI。是的,PKI 不完善,瀏覽器中的 CA 太多,缺乏信任敏捷性(我已經閱讀/觀看了 Moxie Marlinspike 的許多文章/演講),以及其他幾個問題,但值得一提的是,它就在那裡,並且在特定條件下,使用適當的 TLC,可以完成這項工作。
我只是不知道這裡有什麼等價物,或者即使有一個。
編輯添加:
我沒有足夠的代表發表評論,但對 Ethan:只有當你已經知道你在和誰說話時,經過身份驗證的加密才能防止 MITM;在這種情況下,我們不確定。(這就是為什麼我提到 PKI 作為比較對象,儘管它有缺陷)。
致 A. Frederick Dudley:謝謝!“確認帶外狀態根”是我的想法;感謝您的確認。
乙太坊客戶端連接到一些我認為由乙太坊基金會執行的受信任節點。p2p 層使用經過身份驗證的加密,因此無論攻擊者控制什麼,這些連接都是安全的。只要存在一個這樣的連接,您就應該能夠看到正確的鏈。此外,攻擊者將不得不花費大量的工作證明來向您發送錯誤的鏈。狀態根應該始終可以針對最近的區塊進行驗證,因此它們並不真正需要被信任。
請注意,在轉向權益證明的過程中,安全模型發生了一些變化。
是的,假設當節點嘗試連接到給定的 IP 地址時,事實確實如此。為了重述 Ethan 所說的稍有不同,如果您擔心自己可能會受到 MITM 的攻擊,則需要在帶外確認狀態根。一旦您手動確認您在正確的鏈上,您的安全性就會顯著提高。攻擊的最佳時間是在初始化階段。