Tárcakódolási hiba a hivatalos kliensben
2011-11-15Szerző: Kit Dotson
Komoly hibát találtak a hivatalos Bitcoin-kliens 0.4-es és 0.5-ös verzióinak frissen bevezetett tárcakódolási funkciójában: mint kiderült, a titkos kulcsok kódolatlanul maradhatnak a wallet.dat fájlban, így azokhoz még mindig hozzáférhetnek a tolvajok és a vírusok/trójaiak, ami pedig végeredményben értelemszerűen annyit tesz, hogy a pénzünk még mindig nincs biztonságban a hivatalos klienssel.
Gavin Andersen pénteken este írta meg ezt a hírt a Bitcointalk fórumain, majd hozzátette a következőket:
A fejlesztőgárda természetesen már dolgozik a hiba javításán, de néhány napba mindenképp bele fog telni, mire kellő alapossággal le is tudjuk tesztelni majd a javítást. Amíg ezzel el nem készülünk, a kódolt tárcáitokat is vegyétek éppen olyan sebezhetőnek, mint a kódolatlanokat, és továbbra is tegyetek meg minden egyéb óvintézkedést a védelmükben.
Módfelett kínos és hihetetlen is, hogy ezt a kritikus hibát nem fedeztük fel még a 0.4-es verzió közreadása előtt; várunk minden arra vonatkozó konstruktív javaslatot, hogy hogyan javíthatnánk a tesztelési és közreadási eljárásainkon anélkül, hogy többszázezer dollárért kelljen felfogadnunk biztonsági tanácsadókat és konzultációs vállalatokat. A közreadást MEGELŐZŐ, kellően alapos tesztelés biztosítása – illetve annak a hiánya – mindig is kritikus hibája volt ennek a projektnek.
Tanulság tehát, hogy mindenki, aki úgy dönt, hogy valamilyen netes tárhelyen is biztonságba helyezi a wallet.dat fájlját, jól teszi, ha alkalmaz egy plusz, valóban megbízható kódolási réteget is. Az olyan nyílt forráskódú kriptográfiai alkalmazások, mint például a TrueCrypt hathatós védelmet biztosítanak a fájljaidnak, és még ha a kódolás nem is lenne elegendő, a TC-köteg backupja akkor is védeni fogja a bitcoinjaidat.
A hivatalos Bitcoin-kliens tárcakódoló funkciója még mindig gyermekcipőben jár; a közreadását bevallottan elsiették – az pedig, hogy egyszer lekódolsz valami értékeset, még nem jelenti azt, hogy utána már minden elővigyázatosságot sutba dobhatnál, és rábízhatnád egyedül arra a biztonságodat. Jó dolog a kliensbe beépített kódolás, de még ez sem válthatja ki a felhasználói körültekintést.
További fejlemény egyelőre nincs az ügyben, a fejlesztők még mindig dolgoznak a javításon.
Forrás: SiliconANGLE
A lap szövege Creative Commons Nevezd meg! – Ne add el! – Így add tovább! 3.0 licenc alatt áll, felhasználni csak forrásmegjelöléssel, és ide mutató linkkel szabad.
