تأمين حسب التصميم

هوية آمنة

تبدأ هويتك في Status بزوج مفاتيح تشفير تم إنشاؤه محليًا ، والذي يتم حمايته بعد ذلك عبر كلمة مرور. هذا كل ما هو مطلوب. لدى المستخدم بعد ذلك القدرة على إضافة معلومات إلى ملفه الشخصي لبناء من هم في Status. في جميع الأوقات ، يتمتع المستخدم بالتحكم الكامل في معلوماته ومن لديه حق الوصول إليها. يمكن أن يكون المستخدم النهائي عامًا أو خاصًا كما يريد.

مراسله بدون خادم نظير إلى نظير

تستخدم الحالة بروتوكول Waku للاتصال نظير إلى نظير (p2p). يعتمد واكو على شبكة من الأقران لتوجيه الرسائل إلى بعضهم البعض. يتم بث كل رسالة يتم إرسالها إلى الشبكة بأكملها، ويتم تشفيرها للمستلم المقصود فقط لفتحه. من خلال إزالة نقاط الاختناق المركزية ، يظل محتوى رسائلك والبيانات الوصفية الخاصة بك. ومع ذلك، الحالة وWaku ليست تماما ً نظير إلى نظير حتى الآن كما يتم استخدام ملقمات البريد لإدارة الرسائل عندما يكون النظير غير متصل. خادم البريد واكو هو ملحق واكو الذي يخزن الرسائل ويسلمها عندما يعود النظير عبر الإنترنت.

تعلم المزيد عن الهمس

التشفير من النهاية إلى النهاية بشكل افتراضي

يتم تشفير جميع الرسائل الخاصة المرسلة عبر Status من طرف إلى طرف افتراضيًا. عند إنشاء حساب Status ، يتم إنشاء زوج مفاتيح تشفير لتشفير رسائلك وتخزينها محليًا على جهازك. عند إضافة جهة اتصال جديدة في Status ، تقوم بتبادل المفاتيح العامة بحيث يمكن لهذا الشخص فك تشفير رسائلك عند تلقيها عبر الشبكة.

السرية إلى الامام

PFS هي سمة من سمات بروتوكولات اتفاق المفتاح المحددة التي توفر ضمانات بأن مفاتيح الجلسة الخاصة بك لن يتم اختراقها حتى لو تم اختراق المفاتيح الخاصة للمشاركين. على وجه التحديد ، لا يمكن فك تشفير الرسائل السابقة من قِبل جهة خارجية تمكن من الحصول على مفتاح خاص. تعتمد على مواصفات X3DH و Double Ratchet من Open Whisper Systems ، مع بعض التعديلات لتعمل في بيئة لا مركزية. تُعد Perfect Forward Secrecy طبقة إضافية من الأمان لجميع الدردشات الخاصة 1: 1.

تعرف علي المزيد حول PFS

إنشاء حساب مجهول الهوية

عند إنشاء حساب جديد على Status ، لن يُطلب منك أبدًا التحقق من جهة خارجية مثل البريد الإلكتروني أو رقم الهاتف. هذا يعني أنه يمكنك التسجيل وإنشاء حساب Status بشكل مجهول الهوية بالكامل. عندما تنشئ حسابًا ، فهذا يعني أنك أنت ومفاتيحك ببساطة. هذا يعني أيضًا أن المصادقة الثنائية واستعادة كلمة المرور ليستا من الميزات الموجودة في Status - لذلك تأكد من تذكر كلمة المرور والعبارة وتذكيرك وتخزينها في وضع عدم الاتصال في مكان آمن للغاية.

كيف يتم تخزين مفاتيحي؟

لن تستخدم Status مطلقًا خدمات الطرف الثالث لإدارة وتخزين المفاتيح العامة والخاصة. بمجرد الإنشاء ، يتم حفظ أول مفتاح BIP44 في ملف jeystore json محليًا على جهازك. يتم تشفير هذا الملف بكلمة المرور التي تختارها لحساب Status الخاص بك ويمكن الوصول إليها فقط من خلال تطبيق Status. نعطي الأولوية لتخزين المعلومات الحساسة في أجهزة آمنة عندما تكون متوفرة على جهازك.

للحصول على طبقة إضافية من الأمان ، قدمنا Keycard التي تعمل بمثابة التخزين البارد دون اتصال بالإنترنت لإدارة المفاتيح الخاصة وعملياتها.

لمزيد من المعلومات حول Keycard ، تفضل بزيارة keycard.tech .

التصفح الآمن

تم تصميم متصفح Status لإبقاء المستخدم النهائي على اطلاع وأمواله آمنة. يتم تمكين وضع خصوصية المتصفح بشكل افتراضي. هذا يعني أنه ستتم مطالبة DApps بطلب إذن قبل الاتصال بالمحفظة الخاصة بك ، وقد يتسبب ذلك في كسر بعض DApps (إذا كانت غير متوافقة مع هذا الإجراء الأمني). أخيرًا ، يقوم متصفح Status بتنفيذ EIP712 الذي يهدف إلى تحسين قابلية استخدام توقيع الرسائل خارج السلسلة للاستخدام على السلسلة. إننا نشهد اعتمادًا متزايدًا لتوقيع الرسائل خارج السلسلة حيث أنه يوفر الغاز ويقلل من عدد المعاملات على blockchain. الرسائل الموقعة حاليًا عبارة عن سلسلة سداسية غير شفافة معروضة للمستخدم مع القليل من السياق حول العناصر التي تشكل الرسالة.

تعلم أكثر عن EIP

كيف تحمي Status العملة المشفرة الخاصة بي؟

تم بناء Status بمحفظة غير حضانة ، مما يمنحك السيطرة الكاملة على أموالك دون استخدام خادم. يتم تخزين المفاتيح الخاصة بطريقة مشفرة على جهازك. أموالك تحت سيطرتك ، ولا يمكن لأي شخص الوصول إليها دون المفتاح الخاص. لذلك ، إذا فقدت عبارة ذاكري ، فلن تتمكن أبدًا من استعادة الوصول إلى أموالك. لذا احتفظ بالمفاتيح الخاصة في مكان ما بأمان دون اتصال.

توقيع العبارة للحماية من هجمات التصيد الاحتيالي

تطبق Status عبارة توقيع مطلوبة لتأكيد و "توقيع" جميع المعاملات. عبارة التوقيع هي عبارة مكونة من 3 كلمات تم إنشاؤها عشوائيًا لك وتخزينها محليًا على جهازك والتي يتم تقديمها في كل مرة تحاول فيها إرسال معاملة. سيتم تقديم عبارة توقيعك وسيُطلب منك قبولها قبل تأكيد المعاملة. إذا لم تتعرف على كلماتك الثلاث ، أو لم تقدم للكلمات الثلاث على الإطلاق ، فقم بإلغاء المعاملة وتسجيل الخروج من Status والإبلاغ عن المشكلة إلى security@status.im

تعلم المزيد عن التصيد

التدقيق الدقيق

مع وصولنا إلى المعالم الرئيسية في التطوير ، بعد جولات من المراجعة الداخلية والتدقيق ، نتواصل مع شركات التدقيق الرائدة من الأطراف الثالثة للتحقق من سلامتنا ، والتحقق من العمل المزدوج / الثلاثي في العمل الذي نقوم به. عمليات تدقيق الأمان هذه ليست ضمانات للأمان في المشاريع التي تتعلق بها. إنها عمليات فحص إضافية من جهات خارجية موضوعية للمساعدة في تعزيز الثقة في أمان الوظيفة المقصودة.

للحصول على معلومات وتفاصيل حول جميع عمليات التدقيق الخارجية ، يرجى الاطلاع على security repository .

إذا وجدت خللًا أو ثغرة أمنية في التعليمات البرمجية الخاصة بنا ، فيرجى الإبلاغ عنها إلى security@status.im .

ثقف نفسك للبقاء في أمان

تزيل المنتجات اللامركزية والخوادم ، مثل Status ، عددًا من الوسطاء غير الضروريين ، مما يتيح لك الدردشة والتعامل والتصفح دون خوف من المراقبة والرقابة وتسرب البيانات. هذا لأنك تتحكم في بياناتك وسلامتك الرقمية. لذلك ، من المهم أن تفهم كيف تحمي نفسك. تعرّف على المزيد حول كيفية المحافظة على الأمان من خلال دليل أفضل الممارسات لأمان Status.

أفضل ممارسات Status

الدعم الأمني ،

نحن هنا للمساعدة. إذا كانت لديك أي أسئلة أو مخاوف بشأن الأمان ، فأرسل رسالة بريد إلكتروني إلى security@status.im أو تواصل معنا في القناة العامة لأمن Status #status-security .

برنامج مكافأة الاخطاء البرمجية

إذا كنت باحثًا أو مطورًا أمنيًا وتريد الإبلاغ عن مشكلة امنية، فيرجى الاتصال بـ security@status.im فيما يتعلق ببرنامج Bug Bounty. لدينا أيضًا حملة مع HackerOne ، وهو برنامج مكافأة الأخطاء الذي يحفز المتسللين للنظر في المشاريع. نحن نعمل بنشاط على تكثيف حملتنا الخاصة ، وسنفتحها أمام الإفصاحات العامة قريبًا! لمزيد من المعلومات حول برنامج Bug Bounty ، يرجى الاتصال بـ security@status.im .

• Join our bug bounty

• أكتوبر 2018 - عقد اسم المستخدم ENS - الالتزام التجزئة eaefa92

• تقرير

• الاختبارات

• منشور مدونة

Deja Vu بيتا التدقيق

• تقرير

• منشور مدونة