Security
標準比特幣軟體內置了哪些安全功能?
我已經閱讀了很多比特幣算法及其加密基礎,但是很少有人提到該軟體的固有安全性。
軟體中已經內置了哪些解決方案,以及計劃了什麼?
我看到的問題:
- 目前它使用 IRC 網路來定位其他人。(IRC 相當不安全,很容易通過簡單的 DDoS 刪除)
- 錢包預設沒有加密。(物理或遠端訪問硬碟驅動器為任何人提供錢包,甚至無需密碼。)
- 錢包是複雜的資料結構,沒有備份工具。(它們不能輕易地備份到物理硬拷貝或安全數字拷貝。至少在不使用 PGP 或 TrueCrypt 等第 3 方軟體的情況下是這樣。)
- 伺服器通信協議預設為純文字而不是 SSL 或其他一些加密流量。
基本上,幾乎沒有。但是所有的問題都不是特別嚴重,或者建議的解決方案無論如何也沒有真正的幫助。
最新版本的客戶端預設不使用 IRC,儘管它仍然支持幫助舊客戶端找到新客戶端。而是使用 DNS。但這些確實不是故障點,因為已知工作合法節點的列表被硬編碼到客戶端中。只要您找到一個節點,它就會向您發送目前的工作節點列表。
錢包預設情況下沒有加密,但如果加密了,我們就會被“我忘記錢包密碼”的投訴淹沒,人們無論如何都會失去他們的比特幣。此外,密碼保護錢包實際上無法對抗典型的威脅模型(具有特定比特幣知識的大規模分佈式惡意軟體)有復雜的技術原因。
客戶端支持“備份錢包”命令。但是錢包是 BerkeleyDB 格式的。我希望客戶有專門用於備份的本機錢包格式。有關於完全確定性錢包的工作,因此即使根本沒有備份文件,你也可以通過知道密碼來“備份”你的錢包。這是一個合法的問題,並且正在處理中。
伺服器預設為純文字,但也預設為僅本地主機通信,您必須配置密碼才能在伺服器模式下執行它。(在 GUI 模式下沒有問題。)
這些問題都在處理中。客戶現在很原始,當然。