Blockchain #7
-
|
Pessoal bom dia. Alguém poderia me responder umas dúvidas sobre segurança na geração de key-pairs de ECDSA? |
Beta Was this translation helpful? Give feedback.
Replies: 5 comments 1 reply
-
|
Ok hehehe... Estou na dúvida com relação a entropia usada pra gerar um par de chaves. Sempre é recomendado misturar diferentes técnicas de randomização e etc... porém estou estudando diferentes bibliotecas pra compartilhamento privado de documentos usando wallets Ethereum. Me ocorreu se seria possível usar como entropia pra geração das chaves uma mensagem longa assinada via eth.sign (que gera um hex de 132 bytes acho). Assim esse par de chaves gerado poderia ser usado pra encryptar/decryptar mensagens em um ambiente decentralizado. Minha dúvida é se essa entropia gerada através de uma mensagem assinada(sem compartilhar com ninguém) seria segura pra geração de um par de chaves sempre único. Ou melhor usar um Salt ou pass junto pra embaralhar essa entropia. |
Beta Was this translation helpful? Give feedback.
-
|
Se a mensagem pra ser assinada é randômica o suficiente, então tá tranquilo Se a geração da mensagem for previsível, qualquer um que convença o usuário a assinar a mesma mensagem vai ter acesso à chave privada gerada |
Beta Was this translation helpful? Give feedback.
-
|
Sim. A Idéia é que justamente a mensagem a ser assinada seja um Warning exatamente disso. "Esta mensagem só deve ser assinada no endereço X, não aceite em caso de etcetcetc..." |
Beta Was this translation helpful? Give feedback.
-
|
tem umas recomendações da OWASP ASVS sobre senhas. o problema de fazer dessew jeito é justamente a perfomance fora que a entropia tem que ser o mais pseudo aleatoria possivel. |
Beta Was this translation helpful? Give feedback.
-
|
so pra dar o nome do santo e nao trazer o milagre á sacanagem: mas uma boa fonte de codigo seguro, mesmo para Off-chains. https://github.com/OWASP/ASVS/raw/v4.0.2/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.2-en.pdf |
Beta Was this translation helpful? Give feedback.
-
|
so pra não dar um Spoiler. sim. alguem ja pensou em usar essa documentação com melhores praticas de Desenvolvimento seguro, para blockchain: |
Beta Was this translation helpful? Give feedback.
Ok hehehe... Estou na dúvida com relação a entropia usada pra gerar um par de chaves. Sempre é recomendado misturar diferentes técnicas de randomização e etc... porém estou estudando diferentes bibliotecas pra compartilhamento privado de documentos usando wallets Ethereum. Me ocorreu se seria possível usar como entropia pra geração das chaves uma mensagem longa assinada via eth.sign (que gera um hex de 132 bytes acho). Assim esse par de chaves gerado poderia ser usado pra encryptar/decryptar mensagens em um ambiente decentralizado. Minha dúvida é se essa entropia gerada através de uma mensagem assinada(sem compartilhar com ninguém) seria segura pra geração de um par de chaves sempre único…