Bitcoin Forum
December 12, 2024, 04:50:50 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1] 2 »  All
  Print  
Author Topic: Как защищать приватные ключи на сервере?  (Read 1150 times)
SolidBit (OP)
Newbie
*
Offline Offline

Activity: 11
Merit: 0


View Profile
September 29, 2017, 08:13:44 PM
 #1

Привет всем.

Интересует такой вопрос. Как надежно защищать приватные ключи на сервере некого сервиса, допустим web кошелек? С одной стороны нужно хорошо их зашифровать, а с другой стороны их нужно использовать часто и, что важнее, оперативно по запросу.

Какие технические решения можно и/или нужно использовать? Best practices?
fruit
Legendary
*
Offline Offline

Activity: 1064
Merit: 1023


habr


View Profile
September 29, 2017, 09:25:55 PM
 #2



Кто будет сторожить сторожей?

~DefaultTrust (Trust - is fraud.)
Доверие - это разновидность мошенничества.
Coin-1
Legendary
*
Offline Offline

Activity: 2660
Merit: 2332



View Profile
September 30, 2017, 10:16:41 PM
 #3

От кого защищать-то?
Tyrion.L
Member
**
Offline Offline

Activity: 134
Merit: 10


View Profile
October 04, 2017, 08:31:16 PM
 #4

Привет всем.

Интересует такой вопрос. Как надежно защищать приватные ключи на сервере некого сервиса, допустим web кошелек? С одной стороны нужно хорошо их зашифровать, а с другой стороны их нужно использовать часто и, что важнее, оперативно по запросу.

Какие технические решения можно и/или нужно использовать? Best practices?
winrar архив под паролемHuh










Uniex
Jr. Member
*
Offline Offline

Activity: 115
Merit: 2


View Profile
October 09, 2017, 04:14:57 PM
 #5

Приватные ключи смысла шифровать я не вижу - нужно построить грамотно веб-приложение без дыр и закрыть все ненужные порты,
сюда же закрыть порт на сервисы криптовалютных кошельков.
Следить за обновлениями софта.

Как вариант - можно вообще биткоин кошелек вынести на отдельный сервак и построить АПИ, которое будет контролировать
нетипичные запросы, например вывод всей суммы баланса на какой-то из криптоадресов.

Вести полный или максимальный аудит запросов, холдить вывод крипты на первых порах или в зависимости от сумм.
Jaga-Jaga
Sr. Member
****
Offline Offline

Activity: 613
Merit: 256



View Profile
October 09, 2017, 11:28:22 PM
 #6

Мне не понятно зачем вы хотите приватные ключи от кошельков держать на веб сервере?
Я бы для кошельков завел другой выделенный сервер во внутренней сети. Но и это надо лишь в том случае если вы делаете биржу или обменник, а для простого интернет магазина можно обойтись сторонним API, например с http://blockchain.info/ и через него узнавать о поступлении средств на ваш счет.

           ▀██▄ ▄██▀
            ▐█████▌
           ▄███▀███▄
         ▄████▄  ▀███▄
       ▄███▀ ▀██▄  ▀███▄
     ▄███▀  ▄█████▄  ▀███▄
   ▄███▀  ▄███▀ ▀███▄  ▀███▄
  ███▀  ▄████▌   ▐████▄  ▀███
 ███   ██▀  ██▄ ▄██  ▀██   ███
███   ███  ███   ███  ███   ███
███   ███   ███████   ███   ███
 ███   ███▄▄       ▄▄███   ███
  ███▄   ▀▀█████████▀▀   ▄███
   ▀████▄▄           ▄▄████▀
      ▀▀███████████████▀▀
DeepOnion
███
███
███
███
███
███
███
███
███
███
   Anonymity Guaranteed
   Anonymous and Untraceable
   Guard Your Privacy
      ▄▄██████████▄▄
    ▄███▀▀      ▀▀█▀   ▄▄
   ███▀              ▄███
  ███              ▄███▀   ▄▄
 ███▌  ▄▄▄▄      ▄███▀   ▄███
▐███  ██████   ▄███▀   ▄███▀
███▌ ███  ███▄███▀   ▄███▀
███▌ ███   ████▀   ▄███▀
███▌  ███   █▀   ▄███▀  ███
▐███   ███     ▄███▀   ███
 ███▌   ███  ▄███▀     ███
  ███    ██████▀      ███
   ███▄             ▄███
    ▀███▄▄       ▄▄███▀
      ▀▀███████████▀▀
kzv
Legendary
*
Offline Offline

Activity: 1722
Merit: 1287

OpenTrade - Open Source Cryptocurrency Exchange


View Profile WWW
October 10, 2017, 05:50:40 AM
 #7

Я худею над каментами... рар архив, блокчейниефо... Даж не знаю смеяться или плакать над такой бестпрактикс в ветке русских кодеров?

OpenTrade - Open Source Cryptocurrency Exchange
websalamander
Newbie
*
Offline Offline

Activity: 88
Merit: 0


View Profile
October 10, 2017, 08:24:10 AM
 #8

Я худею над каментами... рар архив, блокчейниефо... Даж не знаю смеяться или плакать над такой бестпрактикс в ветке русских кодеров?
Что скажите о таком https://bitcore.io/guides/wallet-service/
kzv
Legendary
*
Offline Offline

Activity: 1722
Merit: 1287

OpenTrade - Open Source Cryptocurrency Exchange


View Profile WWW
October 10, 2017, 08:53:03 AM
 #9

Я худею над каментами... рар архив, блокчейниефо... Даж не знаю смеяться или плакать над такой бестпрактикс в ветке русских кодеров?
Что скажите о таком https://bitcore.io/guides/wallet-service/

Не знаю. Меня стандартная кора устраивает.

OpenTrade - Open Source Cryptocurrency Exchange
TwinTURBO2
Newbie
*
Offline Offline

Activity: 56
Merit: 0


View Profile
November 17, 2017, 01:25:36 PM
 #10

Я худею над каментами... рар архив, блокчейниефо... Даж не знаю смеяться или плакать над такой бестпрактикс в ветке русских кодеров?
Просто из тех кто реально разбираются в вопросе - никто не счёл нужным зайти и отписаться здесь на этот вопрос. Вот потому и пишут те кто реально слабо представляю себе как решить проблему. Тут половина форума таких комментариев.
ToTheMoonClub
Full Member
***
Offline Offline

Activity: 231
Merit: 106


View Profile
November 17, 2017, 07:09:06 PM
 #11

да много разных способов есть - и мультиподписи и отдельная железяка с нестандартным апи и железом (допустим не tcp-ip) да и банальное разделение на очень холодные кошельки и очень горячие
olegvg
Newbie
*
Offline Offline

Activity: 14
Merit: 0


View Profile
November 19, 2017, 05:37:29 PM
 #12

Железные кошельки с API и подтверждением по PIN-коду, вставляются в raspberry pi, pi в vpn до сервера обработки транзакций на котором raw транзакции, рядом мальчик с дэшбордом запрошенных транзакций подтверждает вводом пин-кода каждую транзакцию. + (дневной) лимит на железные кошельки. Такой себе обменник из 90х Smiley Пары хмурых ребят со стволами на входе не хватает Smiley
amaclin1
Sr. Member
****
Offline Offline

Activity: 952
Merit: 382


View Profile
November 20, 2017, 08:26:55 AM
 #13

Никак вы не защитите.
Если вам надо подписывать транзакции автоматом - то приватный ключ
в какой-то момент есть в открытом виде.
Всякие разные варианты с аппаратными кошельками сводятся к тому,
что должен присутствовать живой оператор. А это, извините, уже не серверное решение.

Частичным решением может быть вариант с мультиподписью (это не обязательно
мультисигнатурный биткойн-адрес, я общий концепт рассказываю) - есть сервер
на котором ключи не хранятся. Есть еще два-три бэкенд сервера каждый из которых
не имеет полного доступа, но в сумме они могут подписать транзакцию.
Эти сервера физически разнесены и управляются разными людьми. Если
исключить возможность сговора - то может получиться. Но на мой взгляд это
излишнее усложнение.

Более-менее рабочим решением является просто холодный кошелек - бабки
у босса, а приватный ключ только у него (или лучше на мультисигнатурном кошельке
у трех учредителей). На сервере - только небольшая сумма, за которую отвечает админ
своей башкой. Если надо пополнить горячий кошелек сервера - учредители туда переводят.
Если на сервере скапливается много бабла - оно переводится в "холодный кошелек"
direktormira
Member
**
Offline Offline

Activity: 112
Merit: 10


View Profile
November 20, 2017, 06:01:55 PM
 #14

это бесполезно тут как бабка надвое гадала . все зависит от контроля компа .вирусы не хапайте и все будет нормик)))
poddubnuy
Full Member
***
Offline Offline

Activity: 154
Merit: 100

ICP forever and ever


View Profile
December 24, 2017, 06:08:33 PM
 #15

Мне не понятно зачем вы хотите приватные ключи от кошельков держать на веб сервере?
Я бы для кошельков завел другой выделенный сервер во внутренней сети. Но и это надо лишь в том случае если вы делаете биржу или обменник, а для простого интернет магазина можно обойтись сторонним API, например с http://blockchain.info/ и через него узнавать о поступлении средств на ваш счет.

Поддерживаю, для всего ценного, сервер на FreeBSD, а уже за ним на винде все развернуто , если под FreeBSD не написатьSmiley . Ибо сначала идут танки, а за ними пехота. (ну по крайней мере такая тактика была во времена ВОВ когда еще "Корнетов" не было) На FreeBSD  все серьезно, безопасность превыше всего, все порты по умолчанию закрыты.

honesty- guarantee stability!
Vtools
Full Member
***
Offline Offline

Activity: 411
Merit: 139


View Profile WWW
December 24, 2017, 07:49:47 PM
 #16

Мне не понятно зачем вы хотите приватные ключи от кошельков держать на веб сервере?
Я бы для кошельков завел другой выделенный сервер во внутренней сети. Но и это надо лишь в том случае если вы делаете биржу или обменник, а для простого интернет магазина можно обойтись сторонним API, например с http://blockchain.info/ и через него узнавать о поступлении средств на ваш счет.

Поддерживаю, механика такая:
1. Во внутренней сети добавить спец компьютер, имеющий доступ к приватным ключам
2. На нем запущена специальная программа, умеющая подписывать транзакции
3. Доступ к этому компьютеру только по специальному протоколу и одному открытому порту. Программа, которая имеет к нему доступ закрытая - т е написана вами и не имеет в свободном доступе исходников

Профит: если веб сервер будет взломан, хакеры получат только закрытую программу, а не приватные ключи

Restart of the TERA project in 2022
Web ܀ ANN ܀ Discord ܀ Telegram ܀ Twitter
virtus
Full Member
***
Offline Offline

Activity: 252
Merit: 101



View Profile
December 25, 2017, 07:20:53 AM
 #17

Поддерживаю, механика такая:
1. Во внутренней сети добавить спец компьютер, имеющий доступ к приватным ключам
2. На нем запущена специальная программа, умеющая подписывать транзакции
3. Доступ к этому компьютеру только по специальному протоколу и одному открытому порту. Программа, которая имеет к нему доступ закрытая - т е написана вами и не имеет в свободном доступе исходников

Профит: если веб сервер будет взломан, хакеры получат только закрытую программу, а не приватные ключи


разбиваю все ваши теории.
Если будет взломан веб-сервер, взломавшему ничто не будет мешать сделать кучу поддельных запросов на перевод/вывод и все... как таковые приватные ключи и не будут его интересовать.
Но направление верное - дерзайте, дерзайте )))
criptoguruBEST
Member
**
Offline Offline

Activity: 364
Merit: 10


View Profile
December 25, 2017, 09:06:21 AM
 #18

От кого зашищать и зачем, не хватает паролей, кодировки. Создавай отдельный сервер, может поможет на первое время. 
amaclin1
Sr. Member
****
Offline Offline

Activity: 952
Merit: 382


View Profile
December 25, 2017, 09:31:48 AM
 #19

разбиваю все ваши теории.
Если будет взломан веб-сервер, взломавшему ничто не будет мешать сделать кучу поддельных запросов на перевод/вывод и все... как таковые приватные ключи и не будут его интересовать.
+1
ferumflex
Full Member
***
Offline Offline

Activity: 256
Merit: 102


View Profile WWW
December 25, 2017, 09:58:40 AM
 #20

Даже если будет оператор, как оператору вычислить что этот запрос сформировал пользователь и у него есть эти деньги, либо же хакер себе накрутил в базе +1000000?
Pages: [1] 2 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!