criptovalute

Ti offriamo una guida alla sicurezza per le tue criptovalute

Se tutte le nostre criptovalute non raggiungono lo zero un giorno, vogliamo assicurarci di non perderle a causa di negligenza, entità dannose o una combinazione di entrambi. C’è un modo sbagliato per proteggere le tue criptovalute e c’è un modo corretto per proteggerle. Questo articolo è scritto per bitcoin, ma i principi si applicano ad altre criptovalute.

Prima di approfondire le minacce e i meccanismi di protezione, tratteremo i principi generali con cui dovresti avere familiarità. Non devi imparare i bit ei byte. Ma una comprensione generale è importante.

Crittografia a chiave pubblica nelle criptovalute

Come suggerisce il nome («asimmetrico»), sono coinvolte due chiavi diverse. Una chiave pubblica e una chiave privata. Queste chiavi vengono utilizzate per crittografare e decrittografare i dati in modo asimmetrico. Se si crittografano i dati con la chiave privata, possono essere decifrati solo con la chiave pubblica. Al contrario, se si crittografano i dati con la chiave pubblica, è possibile decrittografarli solo con la chiave privata. Questa è la spina dorsale di molti schemi crittografici, come SSL/TLS. Ci sono informazioni che puoi mettere nel mondo, la tua chiave pubblica e un pezzo che devi conservare fino alla tua morte, la chiave privata.

Hashing

Un hash di un messaggio, noto anche come digest. Viene calcolato in base al contenuto di un messaggio. Un hash è generato in modo deterministico da un algoritmo di hashing. L’input di un algoritmo hash sono dati di lunghezza arbitraria. L’output è un hash calcolato di una lunghezza predefinita. Poiché è «deterministico», lo stesso input darà lo stesso risultato ogni volta. Matematicamente è facile passare da un messaggio a un hash, ma è computazionalmente difficile determinare un messaggio originale da un determinato hash.

firme digitali

Mettiamo insieme queste due idee di hashing e crittografia asimmetrica per comprendere una firma digitale. Lo scopo di una firma digitale è confermare l’integrità di un messaggio e imporre il non ripudio. L’integrità consente di affermare che «il messaggio ricevuto è lo stesso del messaggio creato». Il non ripudio permette di dire che «il messaggio potrebbe essere stato creato solo da un’entità specifica». Le firme digitali non tengono segreti i messaggi! Senza più crittografia, il mondo può leggere i messaggi firmati digitalmente. Una firma digitale viene utilizzata per confermare l’integrità del messaggio e per confermare chi lo ha creato.

Una firma digitale è un hash crittografato di un messaggio. È crittografato con una chiave privata. Chiunque disponga della chiave pubblica corrispondente può decifrare la firma digitale. La decrittografia della firma digitale con la chiave pubblica è data dall’hash originale. Chiunque sia in grado di leggere il messaggio può calcolare autonomamente l’hash del messaggio.

Possono confrontare l’hash calcolato in modo indipendente con l’hash decifrato e assicurarsi che gli hash siano gli stessi. Se gli hash corrispondono, hanno confermato che il messaggio non è stato manomesso tra la creazione e la ricezione. Hanno anche confermato che solo un’entità con la chiave privata corrispondente avrebbe potuto firmare digitalmente il messaggio.

Aggiornamento cripto

Per chi non lo sapesse, un registro distribuito mantiene una copia di se stesso su più sistemi. Crea un record decentralizzato di tutte le transazioni che si verificano all’interno di un determinato sistema. Con le criptovalute, in realtà non possiedi o trasporti «monete». Invece, la blockchain tiene traccia del numero di criptovalute con cui puoi effettuare transazioni. Le transazioni sono confermate utilizzando i suddetti principi crittografici.

Ogni portafoglio di criptovaluta o portafoglio di criptovalute è in realtà una raccolta di uno o più «portafogli». Nella sua forma più pura, un «portafoglio» è una chiave privata. Dalla chiave privata puoi creare la chiave pubblica. Dalla chiave pubblica, puoi creare indirizzi di portafogli pubblici. Quindi un «cryptowallet» è una raccolta di chiavi private.

Gli indirizzi del tuo portafoglio vengono spesso convertiti in codici QR che puoi condividere facilmente con il mondo. Questo non deve essere tenuto segreto. In effetti, potresti pubblicarlo nel mondo (come sul tuo blog) e vedere se qualcuno ti ha appena inviato criptovalute. «Possiedi» qualsiasi criptovaluta inviata agli indirizzi del tuo portafoglio. Puoi quindi elaborare la tua criptovaluta con la tua chiave privata.

Transazioni di criptovaluta

Per effettuare transazioni con criptovalute, crea una transazione. Questa è un’informazione pubblica. Una transazione è semplicemente una raccolta di informazioni di cui la blockchain ha bisogno per spostare la criptovaluta. Le informazioni che ci interessano sono l’indirizzo di destinazione e la quantità.

Chiunque può creare una transazione, ma le transazioni sono accettate sulla blockchain solo se confermate da più membri della rete. Una transazione non è confermata se non è valida e non è valida se non è firmata digitalmente dalla chiave privata richiesta. Quindi, firmi una transazione con la tua chiave privata. Questa transazione firmata viene inviata alla blockchain. Una volta confermato con i dati della chiave pubblica, diventa parte della blockchain.

Quindi la tua chiave privata dovrebbe essere un segreto molto ben tenuto. Qualsiasi attacco contro la tua chiave privata è essenzialmente un attacco contro la tua criptovaluta. Un utente malintenzionato vuole firmare digitalmente le transazioni, dai suoi indirizzi ai tuoi indirizzi, utilizzando le tue chiavi private. Oppure un utente malintenzionato potrebbe volerti ferire distruggendo le tue chiavi private, cancellando l’accesso alla tua criptovaluta.

Da dove vengono i nostri rischi?

Sappiamo cosa stiamo proteggendo, le criptovalute. Prima di analizzare come proteggeremo la nostra criptovaluta, identifichiamo da cosa li proteggiamo. Chi sono i nostri attori specifici delle minacce? La prima minaccia è perdere l’accesso alle tue monete. Poiché i registri di criptovaluta non hanno un’autorità centrale, non c’è risarcimento se perdi l’accesso al tuo portafoglio. Il tuo portafoglio è una coppia di chiavi pubblica/privata. Se perdi questa chiave privata, perderai il tuo portafoglio. Se perdi il tuo portafoglio, perdi la tua criptovaluta. Sei la tua prima minaccia.

La prossima classe di minacce sono quelle a cui tendiamo a pensare e a sentire al telegiornale. Attaccanti opportunisti e stati nazione.

Un aggressore opportunista è colui che vede il tuo portafoglio aperto sul tuo laptop e avvia una transazione all’indirizzo del tuo portafoglio pubblico. Gli aggressori opportunisti non ti prendono di mira in modo specifico, ma se rendi loro le cose facili, non rifiuteranno una buona scorta di monete.

Gli aggressori dedicati vanno da singoli aggressori a gruppi di aggressori che lavorano insieme. Si concentreranno su un obiettivo individuale, come un proprietario di una quantità significativa di criptovaluta, un criptotrader o un piccolo ufficio commerciale. Indagheranno e spesso lanceranno il loro attacco con una campagna di spear phishing. Altri aggressori dedicati adottano un approccio più ampio e programmano malware che cercheranno di rubare le chiavi private dal tuo sistema se viene infettato.

Gli stati della nazione hanno gruppi di aggressori grandi, coordinati e ben sponsorizzati. La tua motivazione è finanziaria, spionistica o una combinazione. Proofpoint ha un eccellente rapporto sugli attacchi alla criptovaluta del Gruppo Lazarus. Una minaccia avanzata e persistente sponsorizzata dalla Corea del Nord.

A seconda di chi sono le tue minacce, a seconda di quante criptovalute controlli e quante transazioni effettui in un dato giorno, avrai bisogno di diversi passaggi di mitigazione del rischio.

Proteggiti

Quando configuri un nuovo portafoglio ospitato (ad esempio, un database di monete), segui il processo per dimenticare la password o perdere il token a più fattori. Assicurati di poterti riprendere quando la posta in gioco non è alta.

Se controlli le tue chiavi private, dovresti fare un backup cartaceo e conservarle in una cassaforte personale o in una banca. Quando si genera un backup cartaceo, si stampa direttamente sulla stampante con un cavo USB. Pulisce la memoria della stampante con un ciclo di alimentazione.

Alcuni esperti sconsigliano la stampa e si affidano esclusivamente a backup «paper wallet» scritti a mano. Le stampanti possono archiviare lavori di stampa, che potrebbero quindi essere violati.

Non archiviare il backup della chiave nella stessa posizione delle password di tutti i giorni. Rischio di perderli entrambi contemporaneamente a causa di incendio, furto, ecc.
Se stai utilizzando un portafoglio multi-firma (multisig), un portafoglio che richiede due o più coppie di chiavi private/pubbliche per autorizzare le transazioni. Prendere precauzioni di backup.

Se controlli entrambe le chiavi private in una configurazione «2 di 2» (due chiavi, entrambe sono sempre necessarie per firmare una transazione), assicurati che entrambi i backup siano conservati separatamente. In luoghi lontani dalle chiavi di uso quotidiano.

Se utilizzi una configurazione «2 di 2» ma le chiavi sono divise tra due persone. Considerare il passaggio a una configurazione «2 su 3» (sono necessarie due chiavi su tre). Quando una terza chiave è controllata da una terza parte fidata. Ciò ti consentirà di recuperare se la seconda persona non è disponibile o inabile.

Attaccanti opportunisti

Nel caso in cui tu sia un trader occasionale di criptovaluta, le tue minacce probabilmente non sono così sofisticate. Dovresti fare dei semplici passi per proteggerti.

Innanzitutto, considera l’account principale che devi proteggere. Probabilmente non è il tuo portafoglio di monete o altri account di portafoglio online. Probabilmente è la tua email. L’e-mail viene utilizzata per autorizzare nuovi dispositivi, reimpostare le password e confermare le transazioni. L’e-mail è il Santo Graal per un attaccante opportunista. Per questo motivo dovresti sempre proteggerlo con lucchetti.

Attaccanti dedicati

Se stai scambiando attivamente quantità considerevoli di criptovalute, dovresti essere consapevole degli aggressori dedicati. Gli aggressori dedicati ti indagheranno e lanceranno attacchi personalizzati. Cercheranno di violare e riutilizzare le credenziali trovate se i tuoi dati sono stati compromessi in precedenti violazioni. Devi praticare la difesa in profondità.

Fai tutto il necessario per evitare aggressori opportunistici e poi fai un passo avanti. Se possibile, evita di utilizzare client Web. Se hai intenzione di utilizzare un client web, considera l’utilizzo di uno che ti dia il pieno controllo sulle tue valute. Applicazioni come coinbase mantengono «portafogli ospitati». Ciò significa che in realtà non hai un credito da un portafoglio (ad esempio, una coppia di chiavi privata/pubblica trasferibile). Sei tu quello che mantiene un equilibrio all’interno della moneta base e questo ti permette di spendere i fondi che vengono inviati dai portafogli controllati dalla moneta base.

Considera seriamente l’utilizzo di un client desktop. Un client desktop ti consente di controllare le tue password.

Studia la possibilità di utilizzare un client hardware per conservare le tue chiavi private. Ciò impedirà ai dati della chiave privata di toccare un sistema connesso a Internet. Combina un client hardware con un client desktop connesso a Internet per bilanciare la sicurezza con la comodità. Il client desktop genera le transazioni, il client hardware firma le transazioni e il client desktop trasmette le transazioni alla rete.

Se ritieni che le tue minacce siano sofisticate, crea portafogli multigarrier che richiedono due o più coppie di chiavi private/pubbliche per autorizzare le transazioni. Il tuo client desktop può contenere una chiave e il client hardware può contenere l’altra. Ciò significa che se la tua chiave hardware viene rubata e sbloccata, un utente malintenzionato non può autorizzare transazioni di criptovaluta senza la chiave del client desktop.

Trovare un equilibrio

Gli attori delle minacce sfruttano la comprensione limitata del pubblico dei principi tecnici alla base della criptovaluta. Leggere questo è il primo passo per far pendere la bilancia nella tua direzione. Queste sono le migliori pratiche e i tuoi casi d’uso personali detteranno ciò che è veramente realistico.

Se sei un trader attivo, potresti non avere il tempo di fare lo storage completo. Ma probabilmente non vorrai conservare chiavi private in centinaia di migliaia di dollari di criptovalute su un laptop personale connesso a Internet. Devi trovare un equilibrio che funzioni per te.

La configurazione più probabile è una combinazione. Manterrai una piccola quantità operativa in un portafoglio web o desktop e sposterai un capitale maggiore in celle frigorifere. Devi pensare in modo critico alle tue minacce e assicurarti di non essere il motivo per cui le tue criptovalute scompaiono improvvisamente. Perché quando si sono persi non possono essere recuperati.

Post correlati

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba