Безопасный дизайн

Безопасная идентификация

Ваша идентификация в Status начинается с локально сгенерированной пары криптографических ключей, защищенной паролем. Это все, что требуется. Пользователь имеет возможность добавлять информацию в свой профиль по желанию. Он всегда имеет полный контроль над своей информацией и разрешениями для доступа к ней. Конечный пользователь может быть настолько публичным или приватным, насколько он хочет.

Одноранговый обмен сообщениями

Status использует протокол Whisper для одно-ранговой (p2p) связи, что означает, что нет серверов, обрабатывающих или хранящих ваши сообщения. Вместо этого Whisper использует сеть одноранговых узлов для маршрутизации сообщений друг другу. Каждое отправленное сообщение передается по всей сети и зашифровывается для открытия только предполагаемому получателю. Эффект каждого сообщения, заполняющего сеть, известен как темная маршрутизация и защищает не только содержимое ваших сообщений, но также метаданные о том, откуда вы обращаетесь, с кем и т. Д. Это самый высокий стандарт безопасности и конфиденциальности в онлайн-сообщениях и команда Status исследует более масштабируемые и эффективные средства предоставления этого стандарта.

Узнайте больше о Whisper

Сквозное шифрование по умолчанию

Все личные сообщения, отправляемые через Whisper, по умолчанию зашифрованы сквозным шифрованием. Когда вы создаете учетную запись Status, создается криптографическая пара ключей для шифрования ваших сообщений, которая хранится локально на вашем устройстве. Когда вы добавляете новый контакт в Status, вы обмениваетесь открытыми ключами, чтобы этот человек мог расшифровать ваши сообщения при получении по сети.

Совершенная прямая секретность

PFS - это особенность определенных протоколов соглашения о ключах, которые гарантируют, что ваши сеансовые ключи не будут скомпрометированы, даже если скомпрометированы личные ключи участников. В частности, прошлые сообщения не могут быть расшифрованы третьей стороной, которой удается получить закрытый ключ. Он основан на спецификациях X3DH и Double Ratchet от Open Whisper Systems, с некоторыми адаптациями для работы в децентрализованной среде. Perfect Forward Secrecy - это дополнительный уровень безопасности для всех ваших личных чатов 1: 1.

Узнайте больше о PFS

Создание учетной записи без сервера

Когда вы создаете новую учетную запись в Status, у вас никогда не будет запрашиваться подтверждение третьей стороной, такое как адрес электронной почты или номер телефона. Это означает, что вы можете зарегистрироваться и создать учетную запись Status полностью анонимно. Когда вы создаете учетную запись, это просто вы и ваши ключи. Это также означает, что двух факторная аутентификация и восстановление пароля не являются функциями в Status, поэтому обязательно запомните свой пароль и мнемоническую фразу и храните их в автономном режиме где-нибудь в крайне безопасном месте.

Как хранятся мои ключи?

Status никогда не будет использовать сторонние сервисы для управления и хранения ваших открытых и закрытых ключей. После генерации первый ключ BIP44 сохраняется в файле json хранилища ключей локально на вашем устройстве. Этот файл зашифрован паролем, выбранным для вашей учетной записи Status, и доступен только для приложения Status. Мы отдаем приоритет хранению конфиденциальной информации на безопасном оборудовании, когда она доступна на вашем устройстве.

Для дополнительного уровня безопасности мы представили Keycard, которая служит автономным холодным хранилищем для управления личными ключами и их операций.

Для получения дополнительной информации о Keycard посетите keycard.tech .

Безопасный просмотр

Браузер Status предназначен для информирования конечного пользователя и обеспечения безопасности его средств. Режим конфиденциальности браузера включен по умолчанию. Это означает, что DApps должны будут запросить разрешение перед подключением к вашему кошельку, и это может привести к поломке некоторых DApps (если они не совместимы с этой мерой безопасности). Наконец, браузер состояния реализует EIP712, целью которого является повышение удобства использования подписи сообщений вне цепочки для использования в цепочке. Мы наблюдаем все более широкое внедрение подписывания сообщений вне цепочки, поскольку это экономит газ и уменьшает количество транзакций в блокчейне. В настоящее время подписанные сообщения представляют собой непрозрачную шестнадцатеричную строку, отображаемую пользователю с небольшим контекстом об элементах, составляющих сообщение.

Узнайте больше об EIP

Как Status защищает мою криптовалюту?

Status создается с помощью кошелька, что дает вам полный контроль над вашими средствами без использования сервера. Закрытые ключи хранятся в зашифрованном виде на вашем устройстве. Ваши деньги находятся под вашим контролем, и никто не может получить к ним доступ без закрытого ключа. Поэтому, если вы потеряете свою мнемоническую фразу, вы никогда не сможете восстановить доступ к своим средствам. Так что держите свои личные ключи где-нибудь в безопасности.

Подписание фразы для защиты от фишинговых атак

Status реализует подписывающую фразу, необходимую для подтверждения и «подписания» всех транзакций. Фраза подписи представляет собой фразу из трех слов, которая генерируется случайным образом для вас и хранится локально на вашем устройстве и отображается при каждой попытке отправить транзакцию. Вам будет представлена ваша подписывающая фраза, и вам будет необходимо принять ее до подтверждения транзакции. Если вы не распознаете свои три слова или вообще не видите этих трех слов, отмените транзакцию, выйдите из Status и сообщите о проблеме security@status.im

Узнать больше о фишинге

Строгий аудит

Когда мы достигаем основных этапов в развитии, после раундов внутреннего анализа и аудита, мы обращаемся к ведущим в отрасли сторонним аудиторским фирмам, чтобы проверить нашу работоспособность и дважды / трижды проверить работу, которую мы делаем. Эти проверки безопасности не являются гарантией безопасности в проектах, к которым они относятся. Это дополнительные проверки от объективных третьих сторон, помогающие укрепить уверенность в безопасности предполагаемой функциональности.

Для получения подробной информации о всех внешних аудитах, пожалуйста, смотрите security repository.

Если вы обнаружили ошибку или уязвимость в нашем коде, пожалуйста, сообщите об этом security@status.im.

Учитесь быть в безопасности.

Децентрализованные серверные продукты, такие как Status, удаляют ряд ненужных посредников, позволяя вам общаться, совершать сделки и просматривать, не опасаясь слежки, цензуры и утечки данных. Это потому, что вы контролируете свои данные и собственную цифровую безопасность. Поэтому важно, чтобы вы понимали, как защитить себя. Узнайте больше о том, как оставаться в безопасности, с этим Руководством по лучшей практике безопасности состояния.

Смотрите руководство по лучшей практике

Поддержка безопасности

Мы здесь, чтобы помочь вам. Если у вас возникли вопросы или опасения по поводу безопасности, отправьте письмо на security@status.im или свяжитесь с нами на публичном канале по безопасности Status #status-security.

Программа вознаграждения за ошибку

Если вы являетесь исследователем или разработчиком в области безопасности и хотите сообщить об уязвимости, пожалуйста, свяжитесь с security@status.im по поводу программы вознаграждений за выявление ошибок. Также нами в сотрудничестве с HackerOne запущена программа вознаграждений за выявление ошибок, которая стимулирует хакеров к анализу проектов. Мы активно наращиваем нашу частную кампанию и в скором времени откроем ее для общественности! Для получения более подробной информации о программе вознаграждений за выявление ошибок, пожалуйста, свяжитесь с security@status.im.

• Join our bug bounty

• Октябрь 2018 - ENS контракт с именем пользователя - commit hash eaefa92

• отчёт

• тесты

• запись в блоге

Deja Vu Beta Audit

• отчёт

• запись в блоге