安全保護設計

Status旨在成為真正的去中心化通訊工具-最終移除所有第三方,並最大程度地減少惡意行為者的攻擊媒介。

Web3的真正好處是,可以按照我們自己的設定進行交易和交流-無需中間人。為了享受這種自由的交流,我們必須確信個人的訊息、交易、身份和資金都是安全可靠的。請至下方了解更多有關Status的安全性資訊。

以Status進行安全的訊息傳遞

安全的
訊息傳遞

訊息不會被審查、阻擋,且用戶可以選擇將它們保持模擬匿名狀態。只有指定的收件人才能查看訊息。

安全的金融
交易

在Status錢包內發送、儲存和接收加密貨幣或代幣十分安全,不會受到攻擊。私鑰永遠不會公開。只有在私鑰所有者啟動並確認交易後,交易才會被處理。

安全
瀏覽

瀏覽Web3時,任何第三方未經同意,均無法取得終端用戶數據和瀏覽訊息。使用Status瀏覽器進行的任何交易,也都實施與Status錢包相同的安全標準和最佳典範。

保護身分

您在Status中的身份,是用本地生成的加密金鑰對起始,然後通過密碼進行保護,僅此而已。接著,用戶可以將資訊添加到個人資料中,來建立自己在Status呈現的身分。使用者可以全程控制自己的訊息,以及有權訪問該資訊的人。用戶端也可以根據需求選擇顯示或隱藏這些資訊。

點對點訊息傳送協議

Status使用Waku協議進行點對點(p2p)通訊。Waku依靠對等網路來相互傳遞訊息。發送的每條訊息都會廣播到整個網路,並進行加密,但只有指定的收件人能開啟。通過去除中心化的處理節點,訊息內容和中繼數據都屬於您自己的。然而,Status和Waku並不是完全對等的,因為當對方離線時,仍需要郵件伺服器用於管理資訊。 Waku郵件伺服器是Waku的擴充功能,用於儲存訊息並在對方再次上線時發送。

了解更多有關Waku的訊息

預設為端到端加密

默認情況下,通過應用發送的所有私人訊息都是端到端加密。創建Status帳戶時,我們將生成一個加密密鑰對來加密您的訊息,並將其儲存在本地設備上。當您在Status中添加新聯絡人時,你們將交換公共密鑰,以便該人可以在接收到你的訊息時將其解密。

完美的轉寄保密

PFS是特定密鑰共識協定的一項功能,可以確保即使參與者的私鑰受到破壞,您的對話密鑰也不會受到影響。特別的是,傳送後訊息不能由獲得私鑰的第三方解密。這是建立在Open Whisper Systems的X3DH和Double Ratchet規格基礎上,並進行了一些修改以在分散的環境中運行。PFS為您所有一對一的私密聊天提供了額外的安全保護。

了解更多有關PFS的訊息

無伺服器帳戶創建

在Status上創建新帳號時,我們永遠不會要求您進行第三方驗證,例如電子郵件或電話號碼。這意味著您可以註冊並創建一個Status帳號,並保持模擬匿名狀態。創建帳號時,只需您和您的密鑰即可。這也意味著,Status不具備雙重身份驗證和密碼恢復功能-因此,請務必記住您的密碼和助記詞,並將其離線儲存在非常安全的地方。

Status如何儲存我的密鑰?

Status絕不會使用第三方服務,來管理和儲存您的公鑰和私鑰。生成後,第一個BIP44密鑰將保存在設備本地的密鑰庫json文件中。該文件會以您為Status帳號選擇的密碼加密,並只能由Status應用程式讀取。當您的設備上有敏感資訊時,我們會優先將其儲存在可以加密的設備中。

為了增加安全性,我們引入了金鑰卡,該金鑰卡用作離線冷儲存,用於私鑰管理及其操作。

有關金鑰卡的更多訊息,請訪問keycard.tech

安全瀏覽

Status瀏覽器旨在使終端用戶了解其資金安全。預設開啟瀏覽器的隱私模式。這意味著,在連接到您的錢包之前,DApp必須先徵得許可,這可能會導致某些DApp中斷(如果它們與此安全措施不兼容)。最後,Status瀏覽器能相容EIP712,該修補旨在提高鏈上使用鏈外訊息簽名的可用性。我們看到越來越多的人採用鏈下訊息簽名,因為它可以節省gas消耗並減少區塊鏈上的交易數量。目前顯示給用戶的簽名訊息,是難以理解的十六進位字串,幾乎沒有關於組成訊息項目的上下文。

了解有關EIP的更多資訊

Status如何保護我的加密貨幣?

Status是使用非託管錢包建構的,無需使用伺服器即可完全控制資金。私鑰以加密方式儲存在您的設備上。您的資金全由您掌控,只要沒有私鑰,任何人都無法動用。因此,如果您丟失了助記詞,則將永遠無法恢復對資金的權限。因此,請將私鑰安全地保存在離線位置。

簽名短語可防止網絡釣魚攻擊

Status使用一個簽名短語,以確認並“簽署”所有交易。簽名短語是為您隨機生成的3個單詞的短語,並儲存在本地設備上,每次您嘗試發送交易時都會顯示該短語。在確認交易之前,將為您顯示簽名短語並要求您接受。如果您看見不相符的三個字,或者根本沒有顯示三個字時,請取消交易,退出Status並向security@status.im報告問題。

了解更多有關網絡釣魚

嚴格審核

在達到開發的重大里程碑,並經過幾輪內部審查和審核之後,我們會與行業領先的第三方審核公司聯繫,以核實我們的完整性,且兩次甚至三次檢查我們所做的工作。這些安全審核不能完全保證與它們相關項目的安全。但這些客觀第三方的額外檢查,有助於加強我們對預期功能安全性的自信。

有關所有外部審核的資訊和詳細內容,請參閱security repository

如果您在我們的代碼中發現錯誤或漏洞,請向security@status.im報告。

教育自己以策安全

諸如Status之類的分散式應用,去除了許多不必要的中介程序,使您可以聊天、進行事務處理和瀏覽,而不必擔心監視、檢查和數據洩漏。這是因為您可以控制數據和自己的數位安全。因此,了解如何保護自己很重要。請通過Status《狀態安全最佳實踐指南》進一步了解保持安全的更多資訊。

請參閱最佳做法指南

安全性支援

我們提供問題協助。如果您對安全性有任何疑問或擔憂,請發送電子郵件至security@status.im,或利用Status安全性公共頻道#status-security與我們聯繫。

漏洞回報獎勵計畫

如果您是安全研究人員或開發人員,並且發現安全性漏洞,請加入Status漏洞回報獎勵計畫,與security@status.im聯繫。我們還與HackerOne共同展開一項獎勵計畫,目的在激勵駭客檢視專案。我們也正積極提升我們的個人協作內容,將很快向大家報告!有關漏洞回報獎勵計畫的更多訊息,請聯繫security@status.im

Deja Vu Beta審核

保護自己

Status採用最先進的技術構建,以確保產品盡可能安全。在Web3網路瀏覽時,一切盡在您的掌控之中。請參閱我們的安全性措施列表並確認控制選項。

下載Status

在iOS和Android系統上開始享受Status。

下載應用程式