Non firmate digitalmente cose ignote.

[gbianchi]

Siccome la prudenza non e' mai troppa, ho deciso di scrivere due righe su questo argomento.

Prima una piccola premessa tecnica: come e' noto,quando voi spedite dei bitcoin verso
qualche indirizzo, oppure quando un qualche utente  li spedisce ad un vostro indirizzo,
viene eseguita una "transazione".

Una transazione, in estrema sintesi, non e' altro che una piccola stringa di caratteri,
firmata digitalmente dal proprietario dell'indirizzo.

Quindi e' importante che se qualcuno vi sottopone un file, un testo, una stringa esadecimale,
insomma una qualsiasi forma di documento e vi chiede di firmarlo digitalmente (col vostro wallet),
EVITATE DI FARLO se non sapete ESATTAMENTE cosa state firmando, ne siete consapevoli,
e avete la VOLONTA' di farlo.

la firma digitale e' l'equivalente di una firma nella vita reale, e come nella vita
reale se qualcuno vi chiede di firmare qualcosa lo fate solo se siete ben consapevoli
di cosa state firmando (a parte chi vi prende per sfinimento tipo le banche )
allo stesso modo, anzi con ancora maggor attenzione dovreste comportarvi nel
mondo bitcoin, dove quando una cosa e' fatta NON SI TORNA INDIETRO.

Ovviamente questo vale anche per altre forme di firma digitale, ma essendo in un forum
Bitcoin, dove firma digitale = spedizione denaro, direi che sensibilizzare sull'argomento e' importantissimo !

(nota per HostFat: non so in che sezione mettere questa piccola nota, e non so
se era gia' stata scritta da qualcuno, io non ne ho mai viste, ma se c'e' gia' cancella pure)

[picchio]

Potresti collegare questa discussione dalla discussione di benvenuto.

[arulbero]

...
Quindi e' importante che se qualcuno vi sottopone un file, un testo, una stringa esadecimale,
insomma una qualsiasi forma di documento e vi chiede di firmarlo digitalmente (col vostro wallet),
EVITATE DI FARLO se non sapete ESATTAMENTE cosa state firmando, ne siete consapevoli,
e avete la VOLONTA' di farlo.

la firma digitale e' l'equivalente di una firma nella vita reale, e come nella vita
reale se qualcuno vi chiede di firmare qualcosa lo fate solo se siete ben consapevoli
di cosa state firmando (a parte chi vi prende per sfinimento tipo le banche )
allo stesso modo, anzi con ancora maggor attenzione dovreste comportarvi nel
mondo bitcoin, dove quando una cosa e' fatta NON SI TORNA INDIETRO.

Il punto da sottolineare più volte è proprio questo.

Se cercate "sign a message" qui nel forum troverete molte situazioni in cui si invita qualcuno a firmare un messaggio come metodo per dimostrare di essere il proprietario di un certo indirizzo (ad esempio, se non si è sicuri dell'identità di un account - sospetto di account rubato - si può chiedere alla persona in questione di firmare un messaggio con un suo indirizzo - un indirizzo riportato nel forum molto tempo fa e quindi ricollegabile a quell'account in tempi non sospetti)

Di solito in questi post l'attenzione è sul "sign" (come si fa a firmare?, cosa significa?) e quasi mai sul "message", che però è altrettanto importante!

Con la propria firma si dichiara di essere l'autore del messaggio che si sta firmando! Se nel messaggio c'è scritto (ovviamente nel linguaggio del protocollo bitcoin): "io possessore della chiave privata dell'indirizzo x autorizzo il trasferimento di tutti gli input non spesi dal mio indirizzo all'indirizzo y" e io lo firmo, ho appena creato una transazione (è così che funzionano tutti i client)!
A quel punto basta che questo messaggio sia trasmesso alla rete e io ho speso in maniera irrecuperabile i miei btc.

[acquafredda]

Potresti inserire queste info nel topic di benvenuto: sembrano tecnicismi ma non lo sono assolutamente, anzi.
Magari questo thread affonda e si perde nelle pagine precedenti: aggiungilo lì.

[picchio]

Potresti inserire queste info nel topic di benvenuto: sembrano tecnicismi ma non lo sono assolutamente, anzi.
Magari questo thread affonda e si perde nelle pagine precedenti: aggiungilo lì.

Ho come la sensazione di essere nell'ignore list di qualcuno -(

[gbianchi]

Ho come la sensazione di essere nell'ignore list di qualcuno -(

ma scherzi ? leggo sempre con attenzione quello che scrivi !

in questo caso:

1) non vorrei appesantire troppo il thread di benvenuto, ho il terrore di renderlo troppo pesante
e manca ancora tutta una sezioncina sull'acquisto/vendita di beni servizi

2) voglio aspettare cosa succede a questo thread. Non so se ne esiste un altro,
come chiedevo all'inizio ad HostFat, e se non ce ne sono altri, se rimane qui
o viene spostato in qualche altra sezione !

comunque scusa se ti ho dato l'impressione di ignorarti,
veramente ti leggo sempre con piacere

[bittaitaliana]

gbianchi , picchio non diceva a te per l'ignore, ma perchè ha scritto la stessa cosa due post prima di un altro utente, ma oggi è natale è voglio essere buono 

piuttosto, non so se hai letto, ho scritto quello che ho firmato nel wallet dove sono spariti
https://bitcointalk.org/index.php?topic=1300015.msg13355847#msg13355847

[picchio]

Ho come la sensazione di essere nell'ignore list di qualcuno -(

ma scherzi ? ..

Scherzo, scherzo ma lo smile mi e' rimasto nella tastiera ;-) 

[acquafredda]

Potresti inserire queste info nel topic di benvenuto: sembrano tecnicismi ma non lo sono assolutamente, anzi.
Magari questo thread affonda e si perde nelle pagine precedenti: aggiungilo lì.

Ho come la sensazione di essere nell'ignore list di qualcuno -(

Ti riferisci a me picchio! Scusa ma pensavo di averti messo in quote!!! Invece non l'ho fatto.

mea culpa

[diciamo pure che ieri quando sono entrato nel forum avevo in corpo qualche bicchiere extra.]

[picchio]

Potresti inserire queste info nel topic di benvenuto: sembrano tecnicismi ma non lo sono assolutamente, anzi.
Magari questo thread affonda e si perde nelle pagine precedenti: aggiungilo lì.

Ho come la sensazione di essere nell'ignore list di qualcuno -(

Ti riferisci a me picchio! Scusa ma pensavo di averti messo in quote!!! Invece non l'ho fatto.

mea culpa

[diciamo pure che ieri quando sono entrato nel forum avevo in corpo qualche bicchiere extra.]

Nessun problema. E' che avendolo scritto pochi post prima mi pareva passato inosservato :-)

[Zazzu]

Restando in tema ho notato che betcoin per il prelievo vuole che verifichi il wallet firmando una stringa alfanumerica, secondo voi è affidabile oppure c'è da preoccuparsi?

[picchio]

Spero di spiegarmi ...
Da quello che ho capito puoi firmare solo una transazione in ingresso e dirottarla su altro address. Se io svuoto le transazioni in ingresso non possono in alcun modo firmare transazioni che ancora non sono avvenute o sbaglio qualcosa?
Ossia: se ho BTC su un address rischio solo se non sposto le transizioni in ricezione. Se lo svuoto e lo riempio non dovrebbe esserci modo per prendere i BTC.

[arulbero]

Spero di spiegarmi ...
Da quello che ho capito puoi firmare solo una transazione in ingresso e dirottarla su altro address. Se io svuoto le transazioni in ingresso non possono in alcun modo firmare transazioni che ancora non sono avvenute o sbaglio qualcosa?
Ossia: se ho BTC su un address rischio solo se non sposto le transizioni in ricezione. Se lo svuoto e lo riempio non dovrebbe esserci modo per prendere i BTC.

Il rischio è il seguente:

- tu vuoi prelevare dei btc da A e metterli su un tuo indirizzo x
- A prepara una transazione da A e x, la firma ma non la trasmette
- A prepara una seconda transazione, dal tuo indirizzo x (ovvero dall'output della transazione del punto precedente, di cui adesso ha già pronto il txid) di nuovo ad A, fa l'hash di questa seconda transazione e ti invia questa transazione incompleta stringa di 64 caratteri
- tu firmi la stringa (in questo modo A completa l'"assemblaggio" della seconda transazione)
- A trasmette la prima transazione, tu ricevi i btc e quindi A può dire di averti pagato
- un'ora dopo A trasmette anche la seconda transazione e si riprende i btc che ti aveva inviato (a meno che tu non li abbia spostati subito; faccio notare per inciso che in realtà c'è un caso ancora peggiore, A potrebbe trasmettere alla rete le due transazioni contemporaneamente e queste potrebbero essere convalidate nello stesso blocco! -> http://bitcoin.stackexchange.com/questions/1726/can-multiple-transactions-transferring-the-same-bitcoin-be-done-in-one-block)

Ovviamente qualora nell'indirizzo su cui vuoi essere pagato ci fossero già altri output non spesi di altre transazioni, A sarebbe in grado con questo stratagemma non solo di riprendersi i propri btc ma anche di svuotare completamente il contenuto del tuo indirizzo (preparando una transazione ad hoc).

Tutti i dati necessari per fare una transazione (txid di transazioni che hanno portato i btc nel nostro indirizzo, l'indirizzo stesso) sono pubblici; ciò che distingue il legittimo proprietario di un indirizzo da tutti gli altri è solo la possibilità di firmare la transazione (operazione che tra l'altro comporta la comunicazione della chiave pubblica, altrimenti non avrebbe senso chiedere a qualcuno di firmare qualcosa se poi non si è in grado di verificare la firma).

Da notare infine che in tutto questo A non verrebbe nemmeno a conoscenza della chiave privata di x, ma visto che la funzione della chiave privata è solo quella di firmare (e di produrre la relativa chiave pubblica per la verifica) non cambierebbe nulla (se non che l'indirizzo x rimarrebbe sicuro dopo il furto, bella consolazione )

[picchio]

Spero di spiegarmi ...
Da quello che ho capito puoi firmare solo una transazione in ingresso e dirottarla su altro address. Se io svuoto le transazioni in ingresso non possono in alcun modo firmare transazioni che ancora non sono avvenute o sbaglio qualcosa?
Ossia: se ho BTC su un address rischio solo se non sposto le transizioni in ricezione. Se lo svuoto e lo riempio non dovrebbe esserci modo per prendere i BTC.

Il rischio è il seguente:

- tu vuoi prelevare dei btc da A e metterli su un tuo indirizzo x
- A prepara una transazione da A e x, la firma ma non la trasmette
- A prepara una seconda transazione, dal tuo indirizzo x (ovvero dall'output della transazione del punto precedente, di cui adesso ha già pronto il txid) di nuovo ad A, fa l'hash di questa seconda transazione e ti invia questa stringa di 64 caratteri
- tu firmi la stringa (in questo modo A completa l'"assemblaggio" della seconda transazione)
- A trasmette la prima transazione, tu ricevi i btc e quindi A può dire di averti pagato
- un'ora dopo A trasmette anche la seconda transazione e si riprende i btc che ti aveva inviato (a meno che tu non li abbia spostati subito; faccio notare per inciso che in realtà c'è un caso ancora peggiore, A potrebbe trasmettere alla rete le due transazioni contemporaneamente e queste potrebbero essere convalidate nello stesso blocco! -> http://bitcoin.stackexchange.com/questions/1726/can-multiple-transactions-transferring-the-same-bitcoin-be-done-in-one-block)

Ovviamente qualora nell'indirizzo su cui vuoi essere pagato ci fossero già altri output non spesi di altre transazioni, A sarebbe in grado con questo stratagemma non solo di riprendersi i propri btc ma anche di svuotare completamente il contenuto del tuo indirizzo (preparando una transazione ad hoc).

Tutti i dati necessari per fare una transazione (txid di transazioni che hanno portato i btc nel nostro indirizzo, l'indirizzo stesso) sono pubblici; ciò che distingue il legittimo proprietario di un indirizzo da tutti gli altri è solo la possibilità di firmare la transazione (operazione che tra l'altro comporta la comunicazione della chiave pubblica, altrimenti non avrebbe senso chiedere a qualcuno di firmare qualcosa se poi non si è in grado di verificare la firma).

Da notare infine che in tutto questo A non verrebbe nemmeno a conoscenza della chiave privata di x, ma visto che la funzione della chiave privata è solo quella di firmare (e di produrre la relativa chiave pubblica per la verifica) non cambierebbe nulla (se non che l'indirizzo x rimarrebbe sicuro dopo il furto, bella consolazione )

Non ho capito, firmare un file non significa criptare un hash del file con la propria chiave privata in modo che chi controlla possa risalire all'hash e quindi capire che sono stato io a firmare?
Se mi danno l'hash da firmare io dovrei fare l'hash dell'hash e crittare quello che non dovrebbe equivalere alla firma del file.
Se invece implementa https://it.wikipedia.org/wiki/Blind_signature allora è diverso ma mi perdo ...

[gbianchi]

Spero di spiegarmi ...
Da quello che ho capito puoi firmare solo una transazione in ingresso e dirottarla su altro address. Se io svuoto le transazioni in ingresso non possono in alcun modo firmare transazioni che ancora non sono avvenute o sbaglio qualcosa?
Ossia: se ho BTC su un address rischio solo se non sposto le transizioni in ricezione. Se lo svuoto e lo riempio non dovrebbe esserci modo per prendere i BTC.

Di solito non perdo molto tempo a studiare queste cose (purtroppo non ho l'anima da scammer )
pero' penso che ci siano esempi anche molto piu' semplici di social engineering:

individuo un tipo X che ha dei wallet pubblicati (ad esempio quelli delle donazioni) con un po' di grana dentro.

con l'ausilio di qualche strumento forgio una transazione con tutte le txid dall'address di X ad uno mio,
e gia' che ci sono metto anche una lauta fee cosi' sono certo che passa velocemente

Provo a contattare X e magari blandirlo un po': uh che figata che hai fatto e bla bla bla,
vorrei donarti qualcosa, e provo a sparare una supercazzola per farmi firmare qualcosa prima della fantomatica donazione
(mi firmi un "autografo"...  devo far vedere al mio capo che ti ho davvero fatto una donazione a questo indirizzo.... boh un po' di fantasia)
se non becca pazienza, ma se becca (perche' non sa di questi pericoli) ...

mi faccio firmare la transazione.

la sparo in rete

ciao ciao bitcoin di X

sara' perche' e' tardi e sono un po' addormentato... ma secondo me funziona

[arulbero]

Non ho capito, firmare un file non significa criptare un hash del file con la propria chiave privata in modo che chi controlla possa risalire all'hash e quindi capire che sono stato io a firmare?
Se mi danno l'hash da firmare io dovrei fare l'hash dell'hash e crittare quello che non dovrebbe equivalere alla firma del file.
Se invece implementa https://it.wikipedia.org/wiki/Blind_signature allora è diverso ma mi perdo ...

Hai ragione tu, mi sono confuso con la blind signature, firmare un file vuol dire ricevere il file "in chiaro", fare l'hash del file (1 sola volta) e quindi criptare l'hash con la propria chiave privata (anche perchè se fosse altrimenti non si sarebbe mai in grado di sapere che cosa si sta effettivamente firmando).

Il problema è che se ti inviano una stringa alfanumerica "in chiaro" non è immediato comunque riconoscere a occhio se si tratta di una transazione o no.

EDIT: nel caso particolare della firma di una transazione però, si firma in realtà l'hash di un hash (vedi i punti 13,14 e 15 della risposta articolata in 19 punti che si trova qui http://bitcoin.stackexchange.com/questions/3374/how-to-redeem-a-basic-tx).
Adesso mi è venuto il dubbio di come funzioni esattamente la firma  


EDIT2: allora, in generale l'algoritmo ECDSA prevede che la firma consista nel criptare l'hash di un messaggio, nel caso particolare però della firma di una transazione bitcoin si è deciso di fare 2 volte l'hash della transazione e poi criptare il risultato ottenuto (per una questione di sicurezza, in questo caso non c'entra nulla la blind signature) ->

Using one round of SHA-256 is subject to a length extension attack, which explains why double-hashing is used.

Fonte: http://www.righto.com/2014/02/bitcoins-hard-way-using-raw-bitcoin.html

[cicciobtc]

 

Restando in tema ho notato che betcoin per il prelievo vuole che verifichi il wallet firmando una stringa alfanumerica, secondo voi è affidabile oppure c'è da preoccuparsi?

anche io vorrei sapere se c'è qualche rischio... Per la richiesta di prelievo su betcoin.tm ho firmato una stringa alfanumerica...
ovviamente non avevo letto questo post

[picchio]

Restando in tema ho notato che betcoin per il prelievo vuole che verifichi il wallet firmando una stringa alfanumerica, secondo voi è affidabile oppure c'è da preoccuparsi?

anche io vorrei sapere se c'è qualche rischio... Per la richiesta di prelievo su betcoin.tm ho firmato una stringa alfanumerica...
ovviamente non avevo letto questo post

Io non sono sicuro di nulla ma nel dubbio trasferirei tutto in altro indirizzo ...

[gbianchi]

Restando in tema ho notato che betcoin per il prelievo vuole che verifichi il wallet firmando una stringa alfanumerica, secondo voi è affidabile oppure c'è da preoccuparsi?

anche io vorrei sapere se c'è qualche rischio... Per la richiesta di prelievo su betcoin.tm ho firmato una stringa alfanumerica...
ovviamente non avevo letto questo post

nella tua domanda c'e' gia' la risposta...

mi pare di capire che NON SAI cosa ti fanno firmare... e allora perche' dovresti firmarlo ?

a parte il rischio e' proprio il concetto... perche dovresti firmare un qualcosa di cui non sai il significato ?


queta e' l'ennesima pessima abitudine che ci hanno insegnato (in primis le banche, le assicurazioni ecc)
che andrebbe ERADICATA.

[arulbero]

Restando in tema ho notato che betcoin per il prelievo vuole che verifichi il wallet firmando una stringa alfanumerica, secondo voi è affidabile oppure c'è da preoccuparsi?

anche io vorrei sapere se c'è qualche rischio... Per la richiesta di prelievo su betcoin.tm ho firmato una stringa alfanumerica...
ovviamente non avevo letto questo post

Come ti ha detto anche gbianchi firmare qualcosa che non si capisce non ha senso (va proprio contro il principio della firma, che significa "io sottoscrivo - quindi comprendo e sono d"accordo/autorizzo - ciò che c'è scritto nel messaggio").

Ultimamente ho notato che, anche qui nel forum, la firma dei messaggi viene utilizzata soprattutto per verificare in modo indiretto un'identità (se sono in grado di firmare un qualsiasi messaggio allora io sono il proprietario di questo indirizzo), e spesso passa in secondo piano il messaggio vero e proprio, che deve essere sempre chiaro, anche se spesso inutile nel contenuto, a chi firma.

Come strumento minimo (ma non credo sufficiente) di salvaguardia, bisognerebbe almeno provare a incollare la stringa alfanumerica proposta qui-> https://blockchain.info/it/decode-tx o qui -> https://coinb.in/#verify per verificare che non si tratti di una transazione, ma comunque ripeto come principio generale proprio non capisco per quale motivo uno dovrebbe essere indotto a firmare qualcosa che non è in grado di capire.