Le DrugHub Market Canary expliqué
http://drugmainabcdefghijklmnopqrstuvwxyz234567abcdefghijklm6yd.onionLa confiance dans la sécurité opérationnelle ne doit pas seulement être accordée mais doit être fondée sur une preuve cryptographique. Pour pouvoir accéder à drughub drugs, tout le monde doit connaître et comprendre le canaire de mandat et comment lire, vérifier et surveiller ce signal de confiance.
Si vous cherchez simplement le critère principal vérifié pour commencer vos propres vérifications, utilisez
. Ignorez la vérification de signature PGP directement pour récupérer ce paramètre.Le commutateur de l'homme mort cryptographique
C'est une sentinelle, un garde au bord d'une mine de charbon. Si ça meurt, vous savez qu'il y a des problèmes et vous pouvez sortir tant que vous avez encore une chance. Le concept est simple – les opérateurs publient régulièrement* une déclaration précise selon laquelle ils n'ont pas fait l'objet d'un mandat. Si la déclaration n'est pas publiée sur le calendrier régulier, les utilisateurs pourraient logiquement supposer que l'exploitant a reçu un mandat et que la police leur a ordonné de ne pas alerter les utilisateurs. Ils devraient alors supposer que le système a été compromis. Il s'agit là d'un signal fort pour mettre fin aux opérations et renforcer votre OPSEC. Si l'administrateur a été signifié un mandat et piraté, ils auraient pu remplacer ce dernier événement pour le premier, donc cela ne devrait pas être un indicateur de quoi que ce soit. Il n'est pas nécessaire de donner des précisions en cas de conflit avec la sécurité nationale (en fait, ACNS préférerait que vous ne l'ayez pas fait ou que vous ne l'ayez pas fait) mais devrait généralement divulguer des données utilisateur pour toute raison non limitée à un mandat de service ou s'inquiéter des fuites.
Un canaire de mandat est un grand concept sur le papier et pour la plupart, juridiquement solide dans la pratique. Cependant, dans le monde réel, il y a des acteurs potentiellement menacés pour qui cela ne fonctionnerait pas aussi bien que sur le papier. Il est important de se demander si la loi protège un tel système ou non, selon l'endroit où vous exécutez votre service. Certains fournisseurs de services dans certains pays ont essayé d'utiliser des canaris de mandat, et dans de nombreux cas cela n'a pas fonctionné.
Le canari vous rassure. Le canari dit que je ne suis pas tombé. Il fait partie de notre procédure de sécurité et vous pouvez examiner le fichier canari signé ici.
Pourquoi l'échelle exige la vérification
DrugHub Market n'est pas une petite opération. La plateforme héberge actuellement les fournisseurs 1.2k. Il dessert plus de 60k+ utilisateurs actifs. Il a traité plus de 240k entrées. Cette échelle attire l'attention. Il attire des attaques ciblées de plates-formes rivales, et il attire une surveillance soutenue des adversaires de l'État (voir la couverture Tor de Wired).
Avec ce volume de commerce, la surface de l'attaque est massive. En fait, les administrateurs appliquent des règles strictes pour atténuer cette situation. Ils mandatent les messages requis par le PGP. Ils utilisent un séquestre multisig pour s'assurer que le marché lui-même ne détient pas les clés des fonds. Ils opèrent principalement sur les canaux de paiement préférés de Monero pour briser la liabilité des transactions. Mais aucune de ces protections n'a d'importance si le serveur servant le code front-end enregistre discrètement le texte clair avant qu'il ne soit chiffré.
Le canaire est un document contenant un bloc de texte, une liste d'une ou plusieurs clés PGP de signature de l'administrateur, et une signature horodatée du bloc de texte par les clés PGP qui agissent comme la signature numérique de l'administrateur. Le bloc de texte n'indique rien de plus que la date actuelle. Il s'agit de limiter la quantité d'information dans le bloc signé qui peut être altérée.
Anatomie du message
Un bon canari n'est pas seulement un fichier texte disant "nous allons bien." Il doit contenir des éléments spécifiques pour prévenir les attaques de replay. Rejouer l'attaque se produit lorsqu'un adversaire prend un vieux canari valide et le republie sur un serveur compromis pour agir comme si rien n'était mal.
C'est ce que fait fondamentalement la partie «canaire» d'une signature cryptographique. Mais il ne suffit pas de dépendre entièrement de la fraîcheur des données blockchain. L'infrastructure de signature elle-même aurait pu être compromise hier ou le mois dernier. Pour atténuer ce risque, l'infrastructure de signalisation est équipée d'un système de contrôle aérien et protégée physiquement. L'espace aérien garantit que la clé privée n'entre jamais en contact avec un hôte connecté à Internet. Ainsi, même si les hôtes sont compromis, la clé reste en sécurité. La protection physique garantit que même si vous compromettez les hôtes, la clé ne peut pas être volée.
La langue est terse. Ça donne la date. Ça donne du hash au bloc. Il indique expressément : " ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Episode dans la vie d'un artiste StaybyaJYn0V8TPNQrN85CweP0w9CYbwc71D0ggH6cN3QyjN7nF/HmQ0kHXUjlfEzgRI74= =ziRz ——END PGP SIGNATURE——". Il est donc possible de générer une signature valide et de publier le...
Exécution de la vérification
Ne faites pas confiance aux outils intégrés sur l'interface du marché. Un serveur compromis affichera heureusement un badge vert "Signature Valid" si le code front-end a été modifié (voir l'amorce Tor Guides de confidentialité). La vérification doit avoir lieu localement, sur votre propre matériel, en utilisant le logiciel que vous contrôlez.
Il vous faut une installation locale de GnuPG (voir GnuPG). Vous avez besoin de la clé publique du marché, que vous auriez dû sauver lors de votre première visite, bien avant que n'apparaissent des rumeurs de compromis. Si vous êtes en train de brouiller pour trouver la clé publique pendant une panne, vous avez déjà échoué à la sécurité opérationnelle.
-
Importer la clé
Assurez-vous que la clé publique de l'administrateur est dans votre porte-clés local. Utilisez la ligne de commande.
gpg --import drughub_pub.asc. Vérifier que l'empreinte correspond à l'historique. -
Sauvez les Canaries
Copier l'intégralité du texte canari, y compris le
-----BEGIN PGP SIGNED MESSAGE-----et-----END PGP SIGNATURE-----Des blocs. Enregistrer localement commecanary.txt. -
Vérifier la signature
Exécutez la commande de vérification.
gpg --verify canary.txt. Vous recherchez une sortie spécifique. "Une bonne signature de..." est le seul résultat acceptable. -
Vérifiez le Hash
Ne vous arrêtez pas à la signature. Vérifiez manuellement le hash de bloc inclus dans le texte contre un explorateur indépendant de blockchain. Assurez-vous que le hachage a été généré au cours des 48 dernières heures.
Modes de défaillance et États fautifs
Que se passe-t-il lorsque le canari échoue? Ce n'est pas comme le canari proverbial de la mine de charbon où, s'il meurt, tu fuis. Un échec n'est pas toujours une saisie d'État. Les administrateurs Sytem peuvent être ceux qui sont hors ligne. Les serveurs se brisent. Un des porte-clés pourrait devenir inaccessible en raison d'une maladie ou d'un accident. En réalité, ce sont les scénarios pour lesquels nous concevons.
Si le canari est en retard de 24 heures, vous arrêtez toute activité. Pas d'inscription finale. Pas de collatéral Monero. Attendez. Si le canari est mis à jour mais que la signature échoue, le serveur est compromis. La signature échouée signifie que le texte a été falsifié (par exemple, le message Monero a été modifié pour inclure une autre adresse) ou signé avec une fausse clé par un attaquant. C'est une alerte rouge.
Le système séquestre multisig agit également comme un mécanisme secondaire de défaillance-morte ici. Si le marché s'obscurcit en permanence, les 240k entrées traitées montrent une histoire de finalisation réussie. Avec multisig un opérateur de marché manquant signifie simplement que l'utilisateur et le vendeur doivent coordonner pour libérer les fonds. L'absence de marchés ne piège pas le capital. Mais le canari est le système d'alerte rapide qui vous dit de cesser d'envoyer des fonds en premier lieu.
Le contexte plus large de la confiance
Le canari n'est qu'une des nombreuses garanties. Il fonctionne en combinaison avec le chiffrement par défaut dans Tor (voir l'entrée du glossaire des adresses d'oignon) et la sécurité opérationnelle des utilisateurs eux-mêmes. Un canari valide ne vous aide pas contre un lien d'hameçonnage. Il ne vous aide pas contre un vendeur malveillant. Elle ne fait que contribuer à garantir que l'infrastructure centrale n'a pas été secrètement cooptée par un adversaire du genre qui peut légalement contraindre la subversion secrète.
Des répertoires de vérification indépendants n'existeraient pas si la centralisation de la confiance n'était pas aussi dangereuse. Ils font leur part pour nous tenir honnêtes. Mais faites-nous confiance pour ne pas être dignes de confiance et vérifier tout vous-même.
Réduction des méfaits et références externes
Mais ce que la taille et la portée de ces marchés révèlent, c'est à quel point la communication sécurisée est essentielle pour le monde moderne. La communication est surveillée, recueillie et analysée dans toutes les régions du monde par pratiquement tous les gouvernements modernes. Vous voulez être un citoyen numérique et exercer votre liberté d'expression dans cet environnement? Alors vous doit sécuriser votre voix.
La compréhension de ces outils est essentielle à la réduction des méfaits. Que vous effectuiez des recherches, que vous assuriez la vie privée ou que vous étudiiez la mécanique du commerce décentralisé (voir CARTES), les mathématiques de la vérification restent constantes. Apprenez la ligne de commande. Comprendre la cryptographie. Faites confiance aux maths.