Bitcoin Forum
November 13, 2024, 09:55:39 PM *
News: Check out the artwork 1Dq created to commemorate this forum's 15th anniversary
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: ¿ Se puede crear una cartera offline con multibit ?  (Read 1083 times)
eledefe (OP)
Newbie
*
Offline Offline

Activity: 8
Merit: 0


View Profile
November 07, 2013, 09:16:59 PM
 #1

Mi pregunta es:
Si yo creo una cartera en multibit en una PC online, luego copio el archivo .wallet en un dipositivo de almacenamiento offline (USB, DVD) y borro el archivo de la PC, ¿ La cartera está totalmente asegurada ?, es decir ¿Podria donar la computadora a la asociacion mundial de hackers de bitcoin sin ningun riesgo de robo?
Lo digo porque no entiendo hasta que punto el sitema de multibit es offline, ya que no carga toda la cadena de bloques.
Nubarius
Sr. Member
****
Offline Offline

Activity: 310
Merit: 253


View Profile
November 07, 2013, 11:18:57 PM
 #2

Mi pregunta es:
Si yo creo una cartera en multibit en una PC online, luego copio el archivo .wallet en un dipositivo de almacenamiento offline (USB, DVD) y borro el archivo de la PC, ¿ La cartera está totalmente asegurada ?, es decir ¿Podria donar la computadora a la asociacion mundial de hackers de bitcoin sin ningun riesgo de robo?
Lo digo porque no entiendo hasta que punto el sitema de multibit es offline, ya que no carga toda la cadena de bloques.

No es totalmente seguro. Hay al menos dos riesgos:

1. Cuando creaste la cartera estando en línea, podrías haber tenido un virus en tu ordenador que hubiera leído las claves privadas generadas por Multibit y las hubiera enviado por la red a un atacante.

2. Cuando borras un fichero en un sistema operativo, los bytes siguen estando físicamente en la memoria; solamente se borra la indexación de esos bytes, por lo que alguien que se hiciera con tu ordenador podría ser capaz de encontrar restos del archivo .wallet. Para evitar este riesgo, deberías borrar el fichero mediante herramientas de eliminación segura de archivos (que sobreescriben varias veces la memoria borrada). En Wikipedia tienes una lista de programas de este tipo: https://en.wikipedia.org/wiki/List_of_data_erasing_software

Debido al punto 1, nunca se puede garantizar la seguridad total de direcciones creadas en un ordenador conectado a Internet. La manera de tener direcciones frías (offline) seguras consiste en generarlas en un ordenador que ni esté ni vaya a estar nunca conectado a Internet. En ese caso, el único riesgo que correrías sería que hubiera vulnerabilidades en el generador de números aleatorios utilizado (esto pasó recientemente con las bibliotecas criptográficas de Java en Android).



eledefe (OP)
Newbie
*
Offline Offline

Activity: 8
Merit: 0


View Profile
November 08, 2013, 06:17:06 PM
 #3

Ok gracias por responder. Voy a suponer que (1) es poco probable al menos por ahora que no tengo mucho que perder. Posiblemente use armory con su opcion de cartera offline mas adelante.
haztecoin
Sr. Member
****
Offline Offline

Activity: 294
Merit: 250



View Profile
November 08, 2013, 06:38:13 PM
 #4

Mi pregunta es:
Si yo creo una cartera en multibit en una PC online, luego copio el archivo .wallet en un dipositivo de almacenamiento offline (USB, DVD) y borro el archivo de la PC, ¿ La cartera está totalmente asegurada ?, es decir ¿Podria donar la computadora a la asociacion mundial de hackers de bitcoin sin ningun riesgo de robo?
Lo digo porque no entiendo hasta que punto el sitema de multibit es offline, ya que no carga toda la cadena de bloques.

No es totalmente seguro. Hay al menos dos riesgos:

1. Cuando creaste la cartera estando en línea, podrías haber tenido un virus en tu ordenador que hubiera leído las claves privadas generadas por Multibit y las hubiera enviado por la red a un atacante.

2. Cuando borras un fichero en un sistema operativo, los bytes siguen estando físicamente en la memoria; solamente se borra la indexación de esos bytes, por lo que alguien que se hiciera con tu ordenador podría ser capaz de encontrar restos del archivo .wallet. Para evitar este riesgo, deberías borrar el fichero mediante herramientas de eliminación segura de archivos (que sobreescriben varias veces la memoria borrada). En Wikipedia tienes una lista de programas de este tipo: https://en.wikipedia.org/wiki/List_of_data_erasing_software

Debido al punto 1, nunca se puede garantizar la seguridad total de direcciones creadas en un ordenador conectado a Internet. La manera de tener direcciones frías (offline) seguras consiste en generarlas en un ordenador que ni esté ni vaya a estar nunca conectado a Internet. En ese caso, el único riesgo que correrías sería que hubiera vulnerabilidades en el generador de números aleatorios utilizado (esto pasó recientemente con las bibliotecas criptográficas de Java en Android).
Te olvidas de la memorias externas (SD, USB, etc..) que pueden estar infectadas. Así que ni siquiera teniéndolas en un equipo offline estaría 100% seguro. La única manera es copiando la clave privada en un papel y aun así te podrían robar dicho papel.

Hazte libre. hazte reivindicativo. hazte pensador. hazte como quieras. Y Piensa por ti mismo.
LTC Lgg1KqvxQX8sQJJAR9QHQsgmBA5WodSHR4 | SBC sYuubmDdpkpimKqrqSeYiaTU64LLXY31ue | BTC 1DmZLuCvNaDKcAZP77N8kddphULE4rBN2C
Nubarius
Sr. Member
****
Offline Offline

Activity: 310
Merit: 253


View Profile
November 09, 2013, 05:00:06 PM
 #5

Te olvidas de la memorias externas (SD, USB, etc..) que pueden estar infectadas. Así que ni siquiera teniéndolas en un equipo offline estaría 100% seguro. La única manera es copiando la clave privada en un papel y aun así te podrían robar dicho papel.

Cuando hablaba de un ordenador que "ni esté ni vaya a estar nunca conectado a Internet", incluía evidentemente cualquier dispositivo conectado a ese ordenador. Si no hay conexión a Internet, por muchos gusanos, virus y troyanos que haya ahí dentro o en las memorias externas, las claves privadas nunca podrán escapar de ahí.

El único vector de ataque que se me ocurre en este caso (aparte de fallos criptográficos en el software utilizado) sería que algo lograra suplantar a la herramienta utilizada para generar las direcciones. Por ejemplo, que cuando el usuario crea estar ejecutando "multibit.exe" se estuviera ejecutando, en su lugar, un "parezco_multibit_je_je.exe", que generara direcciones controladas por el atacante. Para evitar eso, habría que asegurarse de comprobar la firma digital del ejecutable y de que ni el programa que verifica la firma digital ni la referencia que utilizamos para comprobarla han sido suplantados, claro. Si nos ponemos paranoicos, al final no nos podemos fiar de nada. Grin
haztecoin
Sr. Member
****
Offline Offline

Activity: 294
Merit: 250



View Profile
November 10, 2013, 08:32:14 PM
 #6

Te olvidas de la memorias externas (SD, USB, etc..) que pueden estar infectadas. Así que ni siquiera teniéndolas en un equipo offline estaría 100% seguro. La única manera es copiando la clave privada en un papel y aun así te podrían robar dicho papel.

Cuando hablaba de un ordenador que "ni esté ni vaya a estar nunca conectado a Internet", incluía evidentemente cualquier dispositivo conectado a ese ordenador. Si no hay conexión a Internet, por muchos gusanos, virus y troyanos que haya ahí dentro o en las memorias externas, las claves privadas nunca podrán escapar de ahí.

El único vector de ataque que se me ocurre en este caso (aparte de fallos criptográficos en el software utilizado) sería que algo lograra suplantar a la herramienta utilizada para generar las direcciones. Por ejemplo, que cuando el usuario crea estar ejecutando "multibit.exe" se estuviera ejecutando, en su lugar, un "parezco_multibit_je_je.exe", que generara direcciones controladas por el atacante. Para evitar eso, habría que asegurarse de comprobar la firma digital del ejecutable y de que ni el programa que verifica la firma digital ni la referencia que utilizamos para comprobarla han sido suplantados, claro. Si nos ponemos paranoicos, al final no nos podemos fiar de nada. Grin

Recuerda que tienes que pasar las transacciones desde el ordenador desconectado al conectado, y usaras algún método para pasarla, puedes usar una impresora y pasar todo mediante papel pero me parece poco practico. Claro es que esto es para paranoicos. Grin

Hazte libre. hazte reivindicativo. hazte pensador. hazte como quieras. Y Piensa por ti mismo.
LTC Lgg1KqvxQX8sQJJAR9QHQsgmBA5WodSHR4 | SBC sYuubmDdpkpimKqrqSeYiaTU64LLXY31ue | BTC 1DmZLuCvNaDKcAZP77N8kddphULE4rBN2C
Pages: [1]
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!