Desain Dengan Aman

Identitas Aman

Identitas Anda di Status dimulai dengan pasangan kunci kriptografi yang dibuat secara lokal, yang kemudian dilindungi melalui kata sandi. Hanya itu yang dibutuhkan. Pengguna kemudian memiliki kemampuan untuk menambahkan informasi ke profil mereka untuk membangun siapa mereka di Status. Setiap saat, pengguna memiliki kendali penuh atas informasi mereka, dan siapa yang memiliki akses ke sana. Pengguna akhir dapat menjadi publik atau privat seperti yang mereka inginkan.

Protokol Perpesanan Peer-to-Peer

Status menggunakan protokol Waku untuk komunikasi peer-to-peer (p2p). Waku bergantung pada jaringan rekan untuk merutekan pesan satu sama lain. Setiap pesan yang dikirim disiarkan ke seluruh jaringan, dan dienkripsi hanya untuk penerima yang dimaksudkan untuk membuka. Dengan menghapus titik tersedak yang tersentralisasi, konten pesan dan metadata Anda tetap menjadi milik Anda. Namun, Status dan Waku belum sepenuhnya peer-to-peer karena mailservers digunakan untuk mengelola pesan ketika peer sedang offline. Server surat Waku adalah ekstensi Waku yang menyimpan pesan dan mengirimkannya ketika rekan kembali online.

Pelajari lebih lanjut tentang Waku

Enkripsi ujung ke ujung secara default

Semua pesan pribadi yang dikirim dalam Status dienkripsi secara end-to-end secara default. Saat Anda membuat akun Status, keypair kriptografis dibuat untuk mengenkripsi pesan Anda dan disimpan secara lokal di perangkat Anda. Ketika Anda menambahkan kontak baru di Status, Anda bertukar kunci publik sehingga orang itu dapat mendekripsi pesan Anda ketika diterima melalui jaringan.

Kerahasiaan Maju Sempurna

PFS adalah fitur protokol perjanjian kunci khusus yang memberikan jaminan bahwa kunci sesi Anda tidak akan dikompromikan bahkan jika kunci pribadi dari para peserta dikompromikan. Secara khusus, pesan sebelumnya tidak dapat didekripsi oleh pihak ketiga yang berhasil mendapatkan kunci pribadi. Ini didasarkan pada spesifikasi X3DH dan Double Ratchet dari Open Whisper Systems, dengan beberapa adaptasi untuk beroperasi di lingkungan yang terdesentralisasi. Perfect Forward Secrecy adalah lapisan keamanan tambahan untuk semua obrolan pribadi 1: 1 Anda.

Pelajari lebih lanjut tentang PFS

Pembuatan Akun Pseudo-Anonim

Ketika Anda membuat akun baru di Status, Anda tidak akan pernah diminta untuk verifikasi pihak ketiga seperti email atau nomor telepon. Ini berarti Anda dapat mendaftar dan membuat akun Status dan tetap pseudo-anonim. Ketika Anda membuat akun, itu hanya Anda dan kunci Anda. Ini juga berarti bahwa dua faktor otentikasi dan pemulihan kata sandi bukan fitur dalam Status - jadi pastikan untuk mengingat kata sandi dan frasa mnemonik Anda dan menyimpannya secara offline di tempat yang sangat aman.

Bagaimana kunci saya disimpan?

Status tidak akan pernah menggunakan layanan pihak ketiga untuk mengelola dan menyimpan kunci publik dan pribadi Anda. Setelah dibuat, kunci BIP44 pertama disimpan dalam file json keystore secara lokal pada perangkat Anda. File ini dienkripsi dengan kata sandi yang Anda pilih untuk akun Status Anda dan hanya dapat diakses oleh aplikasi Status. Kami memprioritaskan menyimpan informasi sensitif dalam perangkat keras yang aman ketika tersedia di perangkat Anda.

Untuk lapisan keamanan tambahan, kami telah memperkenalkan Kartu kunci yang berfungsi sebagai cold storage offline untuk manajemen kunci pribadi dan operasi mereka.

Untuk informasi lebih lanjut tentang Kertu kuci, kunjungi keycard.tech .

Penjelajahan Aman

Browser Status dirancang untuk menjaga agar pengguna akhir mendapat informasi dan dananya aman. Mode Privasi Browser diaktifkan secara default. Ini berarti bahwa DApps akan diminta untuk meminta izin sebelum menghubungkan ke dompet Anda, dan itu dapat menyebabkan beberapa DApps rusak (jika mereka tidak kompatibel dengan tindakan keamanan ini). Akhirnya, peramban Status mengimplementasikan EIP712 yang bertujuan untuk meningkatkan kegunaan penandatanganan pesan tidak langsung untuk digunakan secara on-chain. Kami melihat semakin banyak adopsi penandatanganan pesan off-chain karena menghemat dan mengurangi jumlah transaksi pada blockchain. Pesan yang ditandatangani saat ini adalah string hex buram yang ditampilkan kepada pengguna dengan sedikit konteks tentang item yang membentuk pesan.

Pelajari lebih lanjut tentang EIP

Bagaimana Status melindungi mata uang digital saya?

Status dibangun dengan dompet non-penahanan, memberi Anda kendali penuh atas dana Anda tanpa menggunakan server. Kunci pribadi disimpan dengan cara terenkripsi di perangkat Anda. Uang Anda berada di bawah kendali Anda, dan tidak dapat diakses oleh siapa pun tanpa kunci pribadi. Karena itu, jika Anda kehilangan frasa mnemonik Anda, Anda tidak akan pernah dapat mengembalikan akses ke dana Anda. Jadi simpan kunci pribadi Anda di tempat yang aman offline.

Menandatangani Frase untuk melindungi dari serangan phishing

Status menerapkan frase penandatanganan yang diperlukan untuk mengonfirmasi dan "menandatangani" semua transaksi. Frasa penandatanganan adalah frasa 3 kata yang dibuat secara acak untuk Anda dan disimpan secara lokal di perangkat Anda yang disajikan setiap kali Anda mencoba mengirim transaksi. Anda akan disajikan frasa penandatanganan dan diminta untuk menerimanya sebelum transaksi dikonfirmasi. Jika Anda tidak mengenali tiga kata Anda, atau tidak disajikan dengan tiga kata sama sekali, batalkan transaksi, keluar dari Status dan laporkan masalah tersebut ke security@status.im

Pelajari lebih lanjut tentang phishing

Audit yang Ketat

Ketika kami mencapai tonggak utama dalam pengembangan, setelah putaran tinjauan internal dan audit, kami menjangkau perusahaan audit pihak ketiga yang terkemuka di industri untuk memverifikasi kesehatan kami, dan memeriksa pekerjaan yang kami lakukan secara double / triple. Audit keamanan ini bukan jaminan keamanan dalam proyek yang berkaitan dengannya. Ini adalah pemeriksaan tambahan dari pihak ketiga yang objektif untuk membantu meningkatkan kepercayaan pada keamanan fungsionalitas yang dimaksud.

Untuk informasi dan perincian tentang semua audit eksternal, silakan lihat security repository .

Jika Anda menemukan bug atau kerentanan dalam kode kami, tolong laporkan ke security@status.im .

Mendidik diri sendiri untuk tetap aman

Produk desentralisasi, tanpa server seperti Status menghapus sejumlah perantara yang tidak perlu, memungkinkan Anda untuk mengobrol, bertransaksi, dan menjelajah tanpa takut pengawasan, penyensoran, dan kebocoran data. Ini karena Anda mengendalikan data dan keamanan digital Anda sendiri. Karena itu, penting Anda mengerti bagaimana melindungi diri sendiri. Pelajari lebih lanjut tentang cara tetap aman dengan Panduan Praktik Terbaik Keamanan Status ini.

Lihat Panduan Praktik Terbaik

Dukungan Keamanan

Kami di sini untuk membantu. Jika Anda memiliki pertanyaan atau masalah tentang keamanan, kirim email ke security@status.im atau hubungi kami di Saluran Publik Keamanan Status #status-security .

Program Bounty Bug

Jika Anda seorang peneliti atau pengembang keamanan dan ingin melaporkan kerentanan, harap hubungi security@status.im terkait Program Bounty Bug Status. Kami juga mengadakan kampanye dengan HackerOne, program bug bounty yang memberi insentif kepada peretas untuk melihat proyek. Kami secara aktif meningkatkan kampanye pribadi kami, dan akan segera membukanya untuk pengungkapan publik! Untuk informasi lebih lanjut tentang Bug Bounty Program, silakan hubungi security@status.im .

• Join our bug bounty

• Oktober 2018 - Kontrak ENS Username - melakukan hash eaefa92

• melaporkan

• tes

• posting blog

Deja Vu Beta Audit

• melaporkan

• posting blog