最近,有很多关于私钥和密钥处理的讨论,因为它与 Arbor 钱包有关,我将在这里写一篇简短的文章来解决这个问题。
我认为人们目前还是过于关注狭义的安全和私钥处理,而忽略了 Chia 生态系统中的实际存在的大部分问题。首先,我不喜欢 Arbor 在设备外发送密钥。这是一种糟糕的不安全的做法,这使得它们更容易泄漏。但是你知道还有什么情况更糟糕吗?那就是将它们存储在磁盘上,并允许 shell 命令将它们调出而无需像 Chia 的软件那样进行身份验证。将它们放入由12 个助记词输入浏览器而生成的配置文件中,就像 FlexPool 一样。这都是糟糕的密钥处理,就像把它放在电线上一样。
事实上,根据OWASP 和行业标准密钥管理最佳实践,只要 Arbor 传输密钥的通道是 FIPS-102 安全,它实际上是可以的,而在没有权限的情况下以纯文本形式存储密钥是绝对不行的。这就是为什么这场辩论让我感到愤怒,因为它集中讨论一个“感觉”很糟糕的想法,但事实又并非如此。事实上,Arbor Wallet 密钥传输最糟糕的事情是它可能最终存储在不安全的地方,比如负载平衡器日志。
在许多生态系统中,不正确的密钥存储是由设计导致的,Chia在这方面做的很好。
想要了解更多Chia生态发展情况,可以进入https://chiahub.co/进行了解,Chiahub是目前Chia生态最全面的导航工具,为全球Chia爱好者提供最全最新的生态信息服务。
原创文章,作者:admin,如若转载,请注明出处:https://news.chiahub.co/20211125111027314.html
admin 