安全的设计

Status致力于成为一款真正去中心化通信工具,最终的目标是删除所有第三方中间服务,最大限度减少恶意攻击者的攻击面。

Web3的真正好处是能够根据自己的要求进行交易和沟通 - 没有中间人。在享受这样的自由沟通方式时我们必须确信我们的信息,交易,身份和资金都是安全的。以下可以详细了解Status是如何确保安全的。

关于Status安全

安全
信息

如果用户选择匿名,消息不会被审查、屏蔽,并确保匿名。只有预期的收件人才能查看消息,并且不会泄露元数据。

安全金融
交易

在Status钱包中发送、存储和接收加密货币或代币是安全而不会被攻击的。私钥永远不会暴露。只有在私钥所有者发起和确认时才会处理交易事务。

安全
浏览

浏览Web3应用时,未经许可,任何第三方都无法访问终端用户数据和浏览信息。在Status浏览器中进行的任何交易事务都遵循Status钱包中使用的相同安全标准和最佳实践。

安全身份

您在Status中的身份信息是通过本地生成的加密密钥对建立的,并通过密码进行保护。然后,用户可以向他们的个人资料添加信息,完善他们在Status中的个人档案信息。用户在任何时候都可以完全控制他们的信息,以及谁有权访问它。终端用户可以根据需要选择为公开或私密。

P2P无服务器消息平台

Status使用Whisper协议进行点对点(p2p)通信,这意味着没有服务器处理或存储您的消息。相反,Whisper依靠网络中的节点将消息路由到彼此。发送的每条消息都会广播到整个网络,并且对预定的收件人进行加密,也只有预定的接收人才能打开。每条消息都充斥网络的这种效果称为黑暗路由,不仅可以保护您的消息内容,还可以保护您与之通信的位置,向谁发送的元数据等。这是在线消息传递中最高的安全和隐私标准,Status团队正在研究提供此标准的更具可扩展性和效率的方法。

了解有关Whisper的更多信息

默认情况下的端到端加密

通过Whisper发送的所有私人消息都默认采取端到端加密。当创建Status帐户时,会生成加密密钥对,用来加密您的消息并将其存储在您的设备上。在Status中添加新联系人时,您和新的联系人交换公钥,以便该人员可以通过网络接收并解密您的消息。

完美前向保密

PFS 是一种密钥交互管理协议,协议的一项功能是它保证即使参与者的私钥受到威胁,会话密钥也不会污染。具体来说,即使第三方获取到会话参与方的私钥也无法解密过去的消息。它基于开放的Whisper系统采用 X3DH 和 Double Ratchet 规范,并进行了一些调整,可在去中心化的环境中运行。完美前向保密是为您的所有 1对1 私人聊天增加的安全层。

了解更多有关PFS

无服务器账户创建

当您在 Status 上创建新帐户时,您永远不会被要求进行第三方验证,例如电子邮件或电话号码。这意味着您可以完全匿名注册并创建 Status 帐户。当您创建一个帐户时,它只是您和您的密钥。这也意味着双因子身份验证和密码恢复是不需要的 - 因此,请务必记住您的密码和助记词,并将它们离线存储在非常安全的地方。

我的私钥是如何存储的?

Status永远不会使用第三方服务来管理和存储您的公钥和私钥。一旦生成后,第一个BIP44密钥将以keystore json格式保存在设备本地。并且此文件使用您为Status帐户选用的密码进行加密,只能由Status应用访问。如果您的设备具备的话,我们优先考虑将敏感信息存储在安全硬件中。

为了增强安全,我们推出了keycard硬件钱包,可以用来对私钥进行离线冷存储、管理以及其他操作。

有关keycard 的详细信息, 请访问keycard.status.im

安全浏览

Status浏览器旨在让终端用户获取信息并确保其资金安全。默认情况下启用浏览器隐私模式。这意味着在连接到钱包之前,DApps将被要求获得许可,这可能会导致一些DApps中断(如果它们与此安全措施不兼容)。最后,Status浏览器实现了EIP712,旨在提高链下消息签名的可用性,并在链上使用。我们看到越来越多地采用链下消息签名,因为它可以节省燃料费并减少区块链上的交易数量。当前签名的消息向用户显示的是一串晦涩的十六进制字符串,其中小部分是关于构成消息的项目背景信息。

了解更多有关EIP

Status如何保护我的加密货币?

Status是非托管钱包,无需依赖服务器,即您可完全控制您的资金。私钥以加密方式存储在您的设备上。您的钱由您自己掌控,没有私钥的任何人都无法访问您的资金。因此,如果您丢失了助记词,您将永远无法恢复对资金的控制。因此,请将您的私钥安全地离线保存好。

用签名短语保护以免受网络钓鱼攻击

Status部署了要求确认并“签署”所有交易事务所需的签名短语。签名短语是为您随机生成的3个单词短语,并存储在您的设备上,每次您尝试发送交易时都会显示该短语,并在确认交易前被要求确认。如果您不认识三个单词,或者根本没有提供三个单词,请取消交易,退出Status并将问题报告给[email protected]

严谨的审计

随着我们的开发达到重要里程碑,经过多轮内部审查和审核,我们联系行业领先的第三方审计公司,以验证我们的成果,并对我们所做的工作进行双重/三重检查。这些安全审核不是其所属项目的安全保障。它们是来自客观第三方的额外检查,以帮助增强对预期功能安全性的信心。

如果您在我们的代码中发现了错误或漏洞,请将其报告给[email protected]

教育自己时刻关注安全

像Status这样去中心化、无服务端的产品删除了不必要的中间方,你可以自由地聊天、转账、浏览网页而不用担心被监视、审查、数据泄漏,这是因为数据掌握在你自己手上。因此懂得如何去保护自己,学习最佳安全实践指南是很重要的。

请参阅最佳实践指南

安全支持

我们在这里提供帮助。如果您对安全性有任何问题或疑虑,请发送电子邮件至[email protected]或通过Status Security 公共频道 #status-security 联系我们。

Bug赏金计划

如果您是安全研究人员或开发人员并且想要报告漏洞,请联系[email protected]了解Status Bug Bounty计划。我们还与HackerOne开展了一项活动,这是一个bug赏金计划,可以激励黑客查看项目。我们正在积极加强我们的隐私,并将很快会公开披露!有关Bug Bounty计划的更多信息,请联系[email protected]

自我保护

Status采用前沿的技术来确保产品安全,当你在web3网上冲浪的时候你可以自己控制安全,看看我们关于安全的最佳实践方法列表。

获取Status

开始使用iOS,Android,MacOS,Windows和Linux上的Status 。

下载应用