Seguro por Design

Identidade Segura

Sua identidade na Status começa com um par de chaves criptográficas gerado localmente, que é então protegido por uma senha. Isso é tudo o que é necessário. O usuário então tem a capacidade de adicionar informações ao seu perfil para definir quem ele é na Status. Em todos os momentos, o usuário tem controle total sobre suas informações e quem tem acesso a elas. O usuário final pode ser tão público ou privado quanto desejar.

Protocolo de Mensagens Peer-to-Peer

A Status usa o protocolo Waku para comunicação ponto a ponto (p2p). O Waku depende de uma rede de pares para rotear mensagens entre si. Cada mensagem enviada é transmitida para toda a rede e criptografada para ser aberta apenas pelo destinatário pretendido. Ao remover os pontos de estrangulamento centraliados, o conteúdo de suas mensagens e os metadados permanecem seus. No entanto, a Status e o Waku ainda não são totalmente ponto a ponto, pois os servidores de e-mail são usados para gerenciar mensagens quando um ponto está offline. Um servidor de e-mail Waku é uma extensão do Waku que armazena mensagens e as entrega quando o par volta a ficar online.

Saiba mais sobre Waku

Criptografia de ponta-a-ponta por padrão

Todas as mensagens privadas enviadas na Status são criptografadas de ponta a ponta por padrão. Quando você cria uma conta na Status, um par de chaves criptográficas é gerado para criptografar suas mensagens e é armazenado localmente em seu dispositivo. Ao adicionar um novo contato na Status, você troca chaves públicas para que essa pessoa possa descriptografar suas mensagens quando recebidas na rede.

Perfect Forward Secrecy

O PFS é um recurso de protocolos específicos de contrato-chave que fornecem garantias de que as chaves da sua sessão não serão comprometidas, mesmo que as chaves privadas dos participantes sejam comprometidas. Especificamente, as mensagens passadas não podem ser descriptografadas por terceiros que conseguem obter uma chave privada. Ele se baseia nas especificações X3DH e Double Ratchet da Open Whisper Systems, com algumas adaptações para operar em um ambiente descentralizado. O Perfect Forward Secrecy é uma camada adicional de segurança para todos os seus bate-papos particulares 1:1.

Saiba mais sobre o PFS

Criação de contas pseudoanônimas

Ao criar uma nova conta no Status, você nunca será solicitado a verificar por terceiros, como um email ou número de telefone. Isso significa que você pode se inscrever e criar uma conta Status e permanecer pseudo-anônimo. Quando você cria uma conta, é simplesmente você e suas chaves. Isso também significa que autenticação de dois fatores e recuperação de senha não são recursos do Status - certifique-se de lembrar sua senha e frase semente (mnemônica) e armazená-las offline em um local extremamente seguro.

Como minhas chaves são armazenadas?

A Status nunca usará serviços de terceiros para gerenciar e armazenar suas chaves públicas e privadas. Depois de gerada, a primeira chave BIP44 é salva em um chaveiro localmente no seu dispositivo. Este arquivo é criptografado com a senha que você escolhe para sua conta Status e acessível apenas pelo aplicativo da Status. Priorizamos o armazenamento de informações confidenciais em hardware seguro, quando disponível no seu dispositivo.

Para uma camada adicional de segurança, introduzimos o Keycard, que serve como armazenamento a frio offline para gerenciamento de chave privada e suas operações.

Para mais informações sobre o Keycard, visite keycard.tech.

Navegação segura

O navegador da Status foi projetado para manter o usuário final informado e seus fundos seguros. O modo Privacidade do Navegador está ativado por padrão. Isso significa que um DApp precisará solicitar permissão antes de conectar-se à sua carteira e pode causar a quebra de alguns DApps (se não forem compatíveis com esta medida de segurança). Finalmente, o navegador da Status implementa o EIP712, que visa melhorar a usabilidade da assinatura de mensagens fora da blockchain para uso na blockchain. Estamos vendo uma adoção crescente da assinatura de mensagens fora da blockchain, pois economiza gas e reduz o número de transações na blockchain. As mensagens assinadas atualmente são uma sequência hexadecimal opaca exibida ao usuário com pouco contexto sobre os itens que compõem a mensagem.

Saiba mais sobre a EIP

Como a Status protege minha criptomoeda?

A Status é construída de forma a ser uma carteira sem custódia, oferecendo controle total sobre seus fundos sem o uso de um servidor. As chaves privadas são armazenadas de maneira criptografada no seu dispositivo. Seu dinheiro está sob seu controle e não pode ser acessado por ninguém sem a chave privada. Entretanto, se você perder sua frase semente não poderá restaurar o acesso aos seus fundos. Mantenha suas chaves privadas em algum lugar off-line com segurança.

Frase de assinatura para proteção contra ataques de phishing

A Status implementa uma frase de assinatura necessária para confirmar e “assinar” todas as transações. A frase de assinatura é uma frase de 3 palavras gerada aleatoriamente para você e armazenada localmente em seu dispositivo que é apresentada cada vez que você tenta enviar uma transação. Você receberá sua frase de assinatura e será solicitado a aceitá-la antes que a transação seja confirmada. Se você não reconhecer suas três palavras, ou se as três palavras não aparecerem, cancele a transação, saia do Status e relate o problema para security@status.im

Saiba mais sobre phishing

Auditoria Rigorosa

À medida que alcançamos marcos importantes no desenvolvimento, após rodadas de revisão e auditoria interna, procuramos empresas de auditoria terceirizadas líderes do setor para verificar nossa sanidade e verificar duas / três vezes o trabalho que fazemos. Essas auditorias de segurança não são garantias de segurança nos projetos a que pertencem. Eles são verificações adicionais de terceiros objetivos para ajudar a aumentar a confiança na segurança da funcionalidade pretendida.

Para obter informações e detalhes sobre todas as auditorias externas, consulte o security repository .

Se você encontrar um erro ou uma vulnerabilidade no nosso código, por favor relate-o para security@status.im.

Eduque-se para ficar seguro

Produtos descentralizados e sem servidor, como a Status, removem vários intermediários desnecessários, permitindo que você converse, transacione e navegue sem medo de vigilância, censura e vazamento de dados. Isso ocorre porque você está no controle de seus dados e de sua própria segurança digital. Portanto, é importante que você entenda como se proteger. Saiba mais sobre como se manter seguro com este Guia de Melhores Práticas de Segurança da Status.

Veja o Guia de Melhores Práticas

Suporte de Segurança

Nós estamos aqui para ajudar. Se você tiver alguma dúvida ou preocupação com segurança, envie um email para security@status.im ou entre em contato conosco no Canal Público de Segurança do Status #status-security .

Programa de Recompensa de Bugs

Se você é um pesquisador ou desenvolvedor de segurança e deseja denunciar uma vulnerabilidade, entre em contato com security@status.im o Programa de Recompensa por Relatos de Bugs da Status. Também temos uma campanha com o HackerOne, um programa de recompensas por bugs que incentiva os hackers a olhar para os projetos. Estamos ativamente aumentando nossa campanha privada e a abriremos para divulgações públicas em breve! Para mais informações sobre o Programa de Recompensas de Bugs, entre em contato com security@status.im .

• Join our bug bounty

• Outubro de 2018 - Contrato de utilizador de ENS - cometeu hass eaefa92

• relatório

• testes

• publicação no blogue

Auditoria Beta Deja Vu

• relatório

• publicação no blogue