Безопасный дизайн

Status стремится быть действительно децентрализованным средством коммуникации - в конечном итоге удаляя всех третьих лиц и сводя к минимуму векторы атак для злоумышленников.

Истинным преимуществом Web3 является возможность совершать сделки и общаться на наших собственных условиях - без посредников. Чтобы пользоваться этим типом бесплатного общения, мы должны быть уверены, что наши сообщения, транзакции, личные данные и средства находятся в безопасности и надежны. Узнайте больше о подходе Status к безопасности ниже.

Безопасность в Status.

Безопасная
передача сообщений

Сообщения не подвергаются цензуре, блокируются и остаются анонимными, если пользователь того пожелает. Просмотр сообщений возможен только для тех получателей, для которых они предназначены, и утечки метаданных не происходит.

Безопасные финансовые
операции

Отправка, хранение и получение криптовалют или токенов в кошельке Status защищены. Закрытые ключи никогда не подвергаются атакам. Транзакции обрабатываются только тогда, когда они инициированы и подтверждены владельцем закрытых ключей.

Безопасный
просмотр

При просмотре Web3 данные конечного пользователя и информация о просмотре не доступны третьим лицам без согласия. Любые транзакции, совершаемые во время использования браузера состояния, реализуют те же стандарты безопасности и лучшие практики, которые используются в кошельке Status.

Безопасная идентификация

Ваша личность в Status начинается с локальной сгенерированной криптографической пары ключей, которая затем защищается паролем. Это все, что требуется. Затем пользователь имеет возможность добавлять информацию в свой профиль, чтобы определить, кто он в Status. Пользователь всегда имеет полный контроль над своей информацией, и кто имеет к ней доступ. Конечный пользователь может быть настолько общедоступным, насколько он пожелает.

Одноранговый обмен сообщениями

Status использует протокол Whisper для одно-ранговой (p2p) связи, что означает, что нет серверов, обрабатывающих или хранящих ваши сообщения. Вместо этого Whisper использует сеть одноранговых узлов для маршрутизации сообщений друг другу. Каждое отправленное сообщение передается по всей сети и зашифровывается для открытия только предполагаемому получателю. Эффект каждого сообщения, заполняющего сеть, известен как темная маршрутизация и защищает не только содержимое ваших сообщений, но также метаданные о том, откуда вы обращаетесь, с кем и т. Д. Это самый высокий стандарт безопасности и конфиденциальности в онлайн-сообщениях и команда Status исследует более масштабируемые и эффективные средства предоставления этого стандарта.

Узнайте больше о Whisper

Сквозное шифрование по умолчанию

Все личные сообщения, отправляемые через Whisper, по умолчанию зашифрованы сквозным шифрованием. Когда вы создаете учетную запись Status, создается криптографическая пара ключей для шифрования ваших сообщений, которая хранится локально на вашем устройстве. Когда вы добавляете новый контакт в Status, вы обмениваетесь открытыми ключами, чтобы этот человек мог расшифровать ваши сообщения при получении по сети.

Совершенная прямая секретность

PFS - это особенность определенных протоколов соглашения о ключах, которые гарантируют, что ваши сеансовые ключи не будут скомпрометированы, даже если скомпрометированы личные ключи участников. В частности, прошлые сообщения не могут быть расшифрованы третьей стороной, которой удается получить закрытый ключ. Он основан на спецификациях X3DH и Double Ratchet от Open Whisper Systems, с некоторыми адаптациями для работы в децентрализованной среде. Perfect Forward Secrecy - это дополнительный уровень безопасности для всех ваших личных чатов 1: 1.

Узнайте больше о PFS

Создание учетной записи без сервера

Когда вы создаете новую учетную запись в Status, у вас никогда не будет запрашиваться подтверждение третьей стороной, такое как адрес электронной почты или номер телефона. Это означает, что вы можете зарегистрироваться и создать учетную запись Status полностью анонимно. Когда вы создаете учетную запись, это просто вы и ваши ключи. Это также означает, что двух факторная аутентификация и восстановление пароля не являются функциями в Status, поэтому обязательно запомните свой пароль и мнемоническую фразу и храните их в автономном режиме где-нибудь в крайне безопасном месте.

Как хранятся мои ключи?

Status никогда не будет использовать сторонние сервисы для управления и хранения ваших открытых и закрытых ключей. После генерации первый ключ BIP44 сохраняется в файле json хранилища ключей локально на вашем устройстве. Этот файл зашифрован паролем, выбранным для вашей учетной записи Status, и доступен только для приложения Status. Мы отдаем приоритет хранению конфиденциальной информации на безопасном оборудовании, когда она доступна на вашем устройстве.

Для дополнительного уровня безопасности мы представили Keycard, которая служит автономным холодным хранилищем для управления личными ключами и их операций.

Для получения дополнительной информации о Keycard посетите keycard.tech .

Безопасный просмотр

Браузер Status предназначен для информирования конечного пользователя и обеспечения безопасности его средств. Режим конфиденциальности браузера включен по умолчанию. Это означает, что DApps должны будут запросить разрешение перед подключением к вашему кошельку, и это может привести к поломке некоторых DApps (если они не совместимы с этой мерой безопасности). Наконец, браузер состояния реализует EIP712, целью которого является повышение удобства использования подписи сообщений вне цепочки для использования в цепочке. Мы наблюдаем все более широкое внедрение подписывания сообщений вне цепочки, поскольку это экономит газ и уменьшает количество транзакций в блокчейне. В настоящее время подписанные сообщения представляют собой непрозрачную шестнадцатеричную строку, отображаемую пользователю с небольшим контекстом об элементах, составляющих сообщение.

Узнайте больше об EIP

Как Status защищает мою криптовалюту?

Status создается с помощью кошелька, что дает вам полный контроль над вашими средствами без использования сервера. Закрытые ключи хранятся в зашифрованном виде на вашем устройстве. Ваши деньги находятся под вашим контролем, и никто не может получить к ним доступ без закрытого ключа. Поэтому, если вы потеряете свою мнемоническую фразу, вы никогда не сможете восстановить доступ к своим средствам. Так что держите свои личные ключи где-нибудь в безопасности.

Подписание фразы для защиты от фишинговых атак

Status реализует подписывающую фразу, необходимую для подтверждения и «подписания» всех транзакций. Фраза подписи представляет собой фразу из трех слов, которая генерируется случайным образом для вас и хранится локально на вашем устройстве и отображается при каждой попытке отправить транзакцию. Вам будет представлена ваша подписывающая фраза, и вам будет необходимо принять ее до подтверждения транзакции. Если вы не распознаете свои три слова или вообще не видите этих трех слов, отмените транзакцию, выйдите из Status и сообщите о проблеме [email protected]

Строгий аудит

Когда мы достигаем основных этапов в развитии, после раундов внутреннего анализа и аудита, мы обращаемся к ведущим в отрасли сторонним аудиторским фирмам, чтобы проверить нашу работоспособность и дважды / трижды проверить работу, которую мы делаем. Эти проверки безопасности не являются гарантией безопасности в проектах, к которым они относятся. Это дополнительные проверки от объективных третьих сторон, помогающие укрепить уверенность в безопасности предполагаемой функциональности.

For information and details on all external audits, please see the security repository.

Если вы обнаружите ошибку или уязвимость в нашем коде, сообщите об этом [email protected] .

Учитесь быть в безопасности.

Децентрализованные серверные продукты, такие как Status, удаляют ряд ненужных посредников, позволяя вам общаться, совершать сделки и просматривать, не опасаясь слежки, цензуры и утечки данных. Это потому, что вы контролируете свои данные и собственную цифровую безопасность. Поэтому важно, чтобы вы понимали, как защитить себя. Узнайте больше о том, как оставаться в безопасности, с этим Руководством по лучшей практике безопасности состояния.

Смотрите руководство по лучшей практике

Поддержка безопасности

Мы здесь, чтобы помочь. Если у вас есть какие-либо вопросы или сомнения по поводу безопасности, отправьте электронное письмо [email protected] или свяжитесь с нами по общедоступному каналу Status Security #status-security .

Программа вознаграждения за ошибку

Если вы являетесь исследователем или разработчиком системы безопасности и хотите сообщить об уязвимости, пожалуйста, свяжитесь с [email protected] по поводу программы Bounty Status Bug. У нас также есть кампания с HackerOne, программой вознаграждения за ошибки, которая стимулирует хакеров смотреть на проекты. Мы активно наращиваем частную кампанию и скоро откроем ее для публичного раскрытия! Для получения дополнительной информации о программе Bug Bounty, пожалуйста, свяжитесь с [email protected] .

Защитить Себя

Status построен с использованием новейших технологий, чтобы гарантировать максимальную безопасность продукта. Когда дело доходит до навигации по Web3, вы находитесь под контролем. Посмотрите наш список рекомендаций по безопасности и возьмите под свой контроль.

Получить Status

Начните пользоваться Status на iOS, Android, MacOS, Windows и Linux.

Скачать приложения