Bezpieczne z założenia

Status ma być prawdziwie zdecentralizowanym narzędziem komunikacji - ostatecznie usuwając wszystkie strony trzecie i minimalizując możliwości ataku ze strony złośliwych aktorów.

Prawdziwą zaletą Web3 jest możliwość dokonywania transakcji i komunikowania się na własnych warunkach - bez pośredników. Aby korzystać z tego rodzaju swobodnej komunikacji, musimy mieć pewność, że nasze wiadomości, transakcje, tożsamość i fundusze są bezpieczne. Poniżej dowiesz się więcej o podejściu Statusu do kwestii bezpieczeństwa.

Bezpieczna Komunikacja w Statusie

Bezpieczna
Komunikacja

Wiadomości nie są cenzurowane, blokowane i pozostają pseudoanonimowe, jeśli użytkownik tak zdecyduje. Tylko zamierzeni odbiorcy są w stanie zobaczyć wiadomości.

Bezpieczne Transakcje Finansowe

Wysyłanie, przechowywanie i odbieranie kryptowalut lub tokenów w ramach portfela Status jest bezpieczne od ataku. Klucze prywatne nigdy nie są ujawniane. Transakcje są przetwarzane tylko wtedy, gdy są zainicjowane i potwierdzone przez właściciela kluczy prywatnych.

Bezpieczne
Przeglądanie

Podczas przeglądania stron w przeglądarce Web3, dane użytkownika końcowego i informacje o przeglądaniu nie są dostępne dla osób trzecich bez jego zgody. Wszelkie transakcje dokonywane przy użyciu przeglądarki Status realizują te same standardy bezpieczeństwa i najlepsze praktyki stosowane w portfelu Status.

Bezpieczna Tożsamość

Twoja tożsamość w Statusie zaczyna się od lokalnie wygenerowanej pary kluczy kryptograficznych, która jest następnie chroniona hasłem. To wszystko, co jest wymagane. Następnie użytkownik ma możliwość dodawania informacji do swojego profilu, aby przedstawić siebie, kim jest w Statusie. Przez cały czas użytkownik ma pełną kontrolę nad swoimi informacjami i nad tym, kto ma do nich dostęp. Użytkownik końcowy może być tak publiczny lub prywatny, jak tylko chce.

Protokół komunikacji peer-to-peer

Status używa protokołu Waku do komunikacji peer-to-peer (p2p). Waku opiera się na sieci peerów, które kierują wiadomości do siebie nawzajem. Każda wysłana wiadomość jest rozgłaszana do całej sieci i szyfrowana, aby mógł ją otworzyć tylko odbiorca, dla którego jest przeznaczona. Dzięki usunięciu scentralizowanych punktów blokady, treść wiadomości i metadane pozostają własnością użytkownika. Status i Waku nie są jednak całkowicie peer-to-peer, ponieważ serwery mailowe są używane do zarządzania wiadomościami, gdy peer jest offline. Serwer mailowy Waku jest rozszerzeniem Waku, który przechowuje wiadomości i dostarcza je, gdy peer wraca do sieci.

Dowiedz się więcej o Waku

Domyślne szyfrowanie typu end-to-end

Wszystkie prywatne wiadomości wysyłane w aplikacji Status są domyślnie szyfrowane w trybie end-to-end. Podczas tworzenia konta w usłudze Status generowana jest para kluczy kryptograficznych służąca do szyfrowania wiadomości i przechowywana ich lokalnie w urządzeniu. Podczas dodawania nowego kontaktu w aplikacji Status następuje wymiana kluczy publicznych, aby osoba ta mogła odszyfrować wiadomości otrzymane przez sieć.

Doskonała poufność przekazywania informacji

PFS jest cechą określonych protokołów uzgadniania kluczy, które zapewniają, że klucze sesji nie zostaną naruszone, nawet jeśli klucze prywatne uczestników zostaną naruszone. W szczególności, przeszłe wiadomości nie mogą być odszyfrowane przez osobę trzecią, której uda się wejść w posiadanie klucza prywatnego. Opiera się na specyfikacjach X3DH i Double Ratchet z Open Whisper Systems, wraz z pewnymi dostosowaniami do działania w zdecentralizowanym środowisku. Perfect Forward Secrecy to dodatkowa warstwa bezpieczeństwa dla wszystkich twoich prywatnych, osobistych czatów z innymi użytkownikami.

Dowiedz się więcej o PFS

Generowanie konta pseudoanonimowego

Podczas tworzenia nowego konta w serwisie Status, nigdy nie zostaniesz poproszony o weryfikację poprzez adres e-mail lub numer telefonu. Oznacza to, że możesz zarejestrować się i utworzyć konto w serwisie Status i pozostać pseudoanonimowym. Podczas tworzenia konta jesteś po prostu Ty i twoje klucze. Oznacza to również, że uwierzytelnianie dwuskładnikowe i odzyskiwanie hasła nie są funkcjami Status - upewnij się, aby zapamiętać swoje hasło i frazę mnemoniczną (Seed) i przechowywać je w trybie offline w bardzo bezpiecznym miejscu.

Jak są przechowywane moje klucze?

Status nigdy nie będzie korzystać z usług zewnętrznych firm do zarządzania i przechowywania kluczy publicznych i prywatnych. Po wygenerowaniu pierwszy klucz BIP44 jest zapisywany w pliku keystore json lokalnie na twoim urządzeniu. Plik ten jest zaszyfrowany hasłem wybranym przez Ciebie dla konta Status i dostępny tylko przez aplikację Status. Priorytetowo traktujemy przechowywanie poufnych informacji w bezpiecznym sprzęcie, jeśli są one dostępne na twoim urządzeniu.

Dla dodatkowej warstwy bezpieczeństwa wprowadziliśmy Keycard, która służy jako magazyn kluczy offline do zarządzania kluczami prywatnymi i ich operacjami.

Aby uzyskać więcej informacji na temat karty Keycard, odwiedź keycard.tech.

Bezpieczne przeglądanie

Przeglądarka Status została zaprojektowana tak, aby użytkownik końcowy był poinformowany, a jego środki bezpieczne. Prywatny tryb przeglądarki jest domyślnie włączony. Oznacza to, że zdecentralizowane aplikacje (tzw. dAppsy) będą musiały zapytać o pozwolenie przed połączeniem się z twoim portfelem i może to spowodować, że niektóre dAppsy przestaną działać (jeśli nie są kompatybilne z tym środkiem bezpieczeństwa). Wreszcie, przeglądarka Status implementuje EIP712, który ma na celu poprawę użyteczności podpisywania wiadomości off-chain do użytku on-chain. Obserwujemy rosnącą adopcję podpisywania wiadomości off-chain (poza łańcuchem), ponieważ oszczędza to gas (czyli opłaty transakcyjne na Ethereum) i zmniejsza liczbę transakcji na blockchainie. Obecnie podpisane wiadomości są nieprzejrzystym ciągiem heksadecymalnym, wyświetlanym użytkownikowi w niewielkim kontekście dotyczącym elementów, które składają się na wiadomość.

Dowiedz się więcej na temat EIP

W jaki sposób Status chroni moją kryptowalutę?

Status jest zbudowany z portfela non-custodial, dając Ci pełną kontrolę nad swoimi funduszami bez użycia serwera. Klucze prywatne są przechowywane w sposób zaszyfrowany na twoim urządzeniu. Twoje pieniądze są pod twoją kontrolą i nie mogą być dostępne dla nikogo bez klucza prywatnego. Dlatego, jeśli zgubisz swoją frazę mnemoniczną (tzw. Seed), nigdy nie będziesz w stanie przywrócić dostępu do swoich środków. Dlatego trzymaj swoje klucze prywatne gdzieś w bezpiecznym miejscu offline.

Fraza Podpisująca w celu ochrony przed atakami phishingowymi

Status implementuje frazę podpisującą wymaganą do potwierdzenia i „podpisania” wszystkich transakcji. Fraza podpisu to 3-wyrazowa fraza losowo generowana dla Ciebie i przechowywana lokalnie na twoim urządzeniu, która jest prezentowana za każdym razem, gdy próbujesz dokonać transakcji. Otrzymasz swoją frazę podpisującą i będziesz musiał ją zaakceptować, zanim transakcja zostanie potwierdzona. Jeśli nie rozpoznajesz swoich trzech słów lub wcale nie są one prezentowane, anuluj transakcję, wyloguj się ze Statusu i zgłoś problem do [email protected]

Dowiedz się więcej o wyłudzaniu informacji tzw. phishingu

Rygorystyczne audytowanie

Gdy osiągamy główne etapy w rozwoju, po rundach wewnętrznych przeglądów i audytów, zwracamy się do przodujących w branży, zewnętrznych firm audytorskich, aby zweryfikowały nasz rozsądek i podwójnie/potrójnie sprawdziły naszą pracę. Te audyty bezpieczeństwa nie są gwarancją bezpieczeństwa w projektach, których dotyczą. Są to dodatkowe kontrole przeprowadzane przez obiektywne strony trzecie, które pomagają zwiększyć zaufanie do bezpieczeństwa zamierzonej funkcjonalności.

Informacje i szczegóły dotyczące wszystkich audytów zewnętrznych można znaleźć w security repository.

Jeśli znajdziesz błąd lub lukę w naszym kodzie, prosimy o zgłoszenie tego do [email protected].

Zdobywaj wiedzę, aby zachować bezpieczeństwo

Zdecentralizowane, bezserwerowe produkty, takie jak Status, usuwają szereg zbędnych pośredników, umożliwiając czatowanie, zawieranie transakcji i przeglądanie stron bez obaw o nadzór, cenzurę i wyciek danych. Dzieje się tak, ponieważ jako użytkownik masz kontrolę nad swoimi danymi i własnym cyfrowym bezpieczeństwem. Dlatego ważne jest, abyś wiedział, jak się chronić. Dowiedz się więcej o tym, jak pozostać bezpiecznym, korzystając z tego Przewodnika Po Najlepszych Praktykach Bezpieczeństwa Statusu.

Zobacz przewodnik po najlepszych praktykach

Wsparcie w zakresie bezpieczeństwa

Służymy pomocą. Jeśli masz jakiekolwiek pytania lub wątpliwości dotyczące bezpieczeństwa, wyślij wiadomość e-mail na adres [email protected] lub skontaktuj się z nami na publicznym kanale #status-security Status Security.

Program Bug Bounty

Jeśli jesteś badaczem zabezpieczeń lub programistą i chcesz zgłosić lukę w zabezpieczeniach, skontaktuj się z [email protected] w sprawie programu Status Bug Bounty. Prowadzimy również kampanię z HackerOne, programem nagród za błędy, który zachęca hakerów do przyglądania się projektom. Aktywnie wzmacniamy naszą prywatną kampanię i wkrótce udostępnimy ją publicznie! Aby uzyskać więcej informacji na temat programu Bug Bounty, skontaktuj się z [email protected].

Audyt beta Deja Vu

Chroń siebie

Status jest zbudowany przy użyciu najnowocześniejszych technologii, aby zapewnić, że produkt jest tak bezpieczny, jak to tylko możliwe. Jeśli chodzi o poruszanie się po Web3, to Ty masz kontrolę. Zapoznaj się z naszą listą najlepszych praktyk bezpieczeństwa i przejmij kontrolę.

Zainstaluj Status

Zacznij korzystać z aplikacji Status na iOS i Android.

Pobierz aplikacje