Seguro por diseño

Identidad segura

Su identidad en Status comienza con un par de claves criptográficas generadas localmente, que luego se protege mediante una contraseña. Eso es todo lo que se requiere. Luego, el usuario tiene la capacidad de agregar información a su perfil para determinar quiénes son en estado. En todo momento el usuario tiene control total sobre su información y quién tiene acceso a ella. El usuario final puede ser tan público o privado como quiera.

Protocolo de mensajería par-a-par

Status utiliza el protocolo Waku para la comunicación par-a-par (p2p). Waku se sustenta de una red de pares para mover los mensajes de uno a otro. Cada mensaje enviado es transmitido a toda la red y encriptado únicamente para el recipiente que lo abrirá. Al remover los procesos de centralización, el contenido de tus mensajes y sus metadatos se mantienen tuyos. Sin embargo, Status y Waku no son enteramente par-a-par al ser los servidores usados para gestionar los mensajes cuando un par está desconectado. Un servidor de Waki es una extensión de Waki que almacena mensajes y los entrega cuando el par vuelve a estar en línea.

Aprende más sobre Waku

Cifrado de extremo a extremo de forma predeterminada

Todos los mensajes privados enviados en Status están encriptados de inicio a fin por defecto. Cuando creas una cuenta Status, se genera un par de llaves criptográficas para cifrar tus mensajes y almacenarlos localmente en tu dispositivo. Cuando añades un nuevo contacto en Status, intercambias tus llaves públicas, así la persona puede desencriptar tus mensajes al recibirlas a través de la red.

Perfect Forward Secrecy

PFS es una función de protocolos específicos de acuerdo de clave que proporcionan garantías de que tus claves de sesión no se verán comprometidas incluso si las claves privadas de los participantes se ven comprometidas. Específicamente, los mensajes pasados no pueden ser descifrados por un tercero que se las arregla para obtener una clave privada. Se basa en las especificaciones X3DH y Double Ratchet de Open Whisper Systems, con algunas adaptaciones para operar en un entorno descentralizado. Perfect Forward Secrecy es una capa adicional de seguridad para todos sus chats privados 1:1.

Aprende más sobre PFS

Creación de Cuenta Pseuso-Anónima

Cuando creas una nueva cuenta en Status, nunca se te pedirá una verificación de terceros, como correo electrónico o número de teléfono. Esto significa que puedes registrarte y crear una cuenta Status de forma pseudo-anónima. Cuando creas la cuenta, simplemente eres tú y tus claves. Esto también significa que la autenticación de dos factores y la recuperación de contraseñas no son características dentro de Status - así que asegúrate de recordar tú contraseña y frase mnemotécnica y almacenarlos offline en un lugar extremadamente seguro.

¿Cómo se almacenan mis claves?

Status nunca utilizará servicios de terceros para administrar y almacenar tus claves públicas y privadas. Una vez generada, la primera clave BIP44 se guarda en un archivo json del almacén de claves localmente en su dispositivo. Este archivo está encriptado con la contraseña que elijas para tu cuenta de Status y solo es accesible desde la app de Status. Priorizamos el almacenamiento de información confidencial en hardware seguro cuando está disponible en tu dispositivo.

Para una capa adicional de seguridad, hemos introducido Keycard que sirve como almacenamiento en frío fuera de línea para la administración de claves privadas y sus operaciones.

Para más información sobre Keycard, visita keycard.tech.

Navegación segura

El navegador de Status está diseñado para mantener informado al usuario final y sus fondos seguros. El modo de privacidad del navegador está habilitado de forma predeterminada. Esto significa que se requerirá que los DApps soliciten permiso antes de conectarse a tu billetera, y puede causar que algunos DApps se interrumpan (si no son compatibles con esta medida de seguridad). Finalmente, el navegador de Status implementa EIP712, que tiene como objetivo mejorar la usabilidad de la firma de mensajes fuera de la cadena para su uso en la cadena. Estamos viendo una creciente adopción de la firma de mensajes fuera de la cadena, ya que ahorra gas y reduce la cantidad de transacciones en la blockchain. Los mensajes firmados actualmente son una cadena hexadecimal opaca que se muestra al usuario con poco contexto sobre los elementos que componen el mensaje.

Aprende más sobre el EIP

¿Cómo protege Status mi criptomoneda?

Status esta construido con una billetera sin custodia, que te brinda control total sobre tus fondos sin el uso de un servidor. Las claves privadas se almacenan de forma cifrada en tu dispositivo. Tu dinero está bajo tu control y nadie puede acceder a él sin la clave privada. Por lo tanto, si pierdes tu frase mnemónica, nunca podrás restablecer el acceso a tus fondos. Así que mantén tus claves privadas en algún lugar seguro fuera de línea.

Frase de firma para protegerse de los ataques de phishing

Status implementa una frase de firma requerida para confirmar y "firmar" todas las transacciones. La frase de firma es una frase de 3 palabras generada aleatoriamente para ti y almacenada localmente en tu dispositivo que se presenta cada vez que intentas enviar una transacción. Se te presentará tu frase de firma y se te pedirá que la aceptes antes de que se confirme la transacción. Si no reconoces tus tres palabras, o no se te presentan las tres palabras en absoluto, cancela la transacción, cierra la sesión de Status e informa el problema a security@status.im

Aprende más sobre el phishing

Auditoria rigurosa

A medida que alcanzamos los principales hitos en el desarrollo, después de las rondas de revisión y auditoría interna, contactamos a firmas de auditoría líderes en la industria, para verificar nuestra cordura, y comprobar doble/triplemente el trabajo que hacemos. Estas auditorías de seguridad no son garantías de seguridad en los proyectos a los que pertenecen. Son comprobaciones adicionales de terceros objetivos para ayudar a reforzar la confianza en la seguridad de la funcionalidad prevista.

Para información y detalles sobre todas las auditorías externas, por favor ve los security repository.

Si encuentras un bug o vulnerabilidad en nuestro código, por favor repórtalo a security@status.im.

Edúcate para mantenerte seguro

Los productos descentralizados y sin servidor como Status eliminan una cantidad de intermediarios innecesarios, lo que te permite chatear, realizar transacciones y navegar sin temor a la vigilancia, la censura y la fuga de datos. Esto se debe a que tu controlas tus datos y tu propia seguridad digital. Por lo tanto, es importante que comprendas cómo protegerte. Obtén más información sobre cómo mantenerse seguro con esta guía de prácticas de seguridad recomendadas de Status.

Ve la guía de mejores prácticas

Soporte de seguridad

Estamos aquí para ayudar. Si tienes alguna pregunta o inquietud sobre la seguridad, envía un correo electrónico a security@status.im o comunícate con nosotros en el Canal Público de Seguridad de Status #status-security.

Programa Bug Bounty

Si es un investigador o desarrollador de seguridad y desea informar sobre una vulnerabilidad, comuníquese con security@status.im respecto al programa Status Bug Bounty. También tenemos una campaña con HackerOne, un programa de recompensas por errores que incentiva a los piratas informáticos a mirar proyectos. ¡Estamos intensificando activamente nuestra campaña privada y la abriremos a divulgaciones públicas pronto! Para obtener más información sobre el programa Bug Bounty, comuníquese con security@status.im.

• Join our bug bounty

• Octubre 2018 - Contrato de nombre de usuario de ENS - commit hash eaefa92

• reporte

• pruebas

• entrada en el blog

Auditoría Deja Vu Beta

• reporte

• entrada en el blog