Чому мильтипідпис важливий для всіх, хто вірить у Біткоїн

Мультипідпис (multisig) пропонує інші гарантії безпеки, ніж рішення з єдиним підписом (singlesig). Хоча я вважаю, що єдиний підпис – чудова форма зберігання, коли ви тільки починаєте працювати з біткоїнами або розпоряджаєтесь невеликими сумами, на мій погляд, будь-хто, хто зберігає чималу кількість біткоїнів протягом тривалого часу, повинен спробувати варіант з мультипідписом.

Визначення мультипідпису

Дуже важливо зрозуміти, що мається на увазі під «гаманцем», перш ніж я викладу свої аргументи на користь одного типу пристрою в порівнянні з іншим. Гаманець з мультипідписом називається «сховищем» («vault») у Bitcoin Keeper та Blue Wallet, а ще його називають «координатором» або «координувальним програмним забезпеченням». По суті, це гаманець, який може взаємодіяти з кількома пристроями та координувати їх для підписання транзакцій (зазвичай із використанням формату PSBT). Для порівняння, гаманець з єдиним підписом призначений тільки для одного підписувача. Гаманець з одним підписом також часто є підписувачем, що означає, що ключі гарячі.

Таким чином, гаманець з одним підписом і сховище однаковою мірою піддаються атакам, оскільки вони обидва мають схожі ролі. Наявність пристрою для підпису в обох випадках підвищує безпеку та створює нові перепони для атак.

Мультипідпис часто називають m-of-n, коли вам потрібно m ключів з n, щоб підписати транзакцію. Вихідний дескриптор або BSMS – це формат, який використовується для визначення конфігурації мультипідпису. Це можна використовувати для відтворення налаштувань на інших координаторах або для реєстрації мультипідпису на пристроях для підпису.

Міркування щодо зберігання біткоїнів

Мінімізація довіри

Очевидні переваги наявності кількох підписів полягають у зменшенні кількості єдиних точок відмови та збільшенні надмірності у вашій конфігурації. За допомогою поширених прикладів атак на мультипідпис, наведених нижче, я поясню, чому ці атаки можливі при зберіганні з єдиним підписом. Однак за допомогою мультипідпису ви можете звести до мінімуму довіру до одного об'єкта, оскільки залучено кілька об'єктів.

Оперативні зусилля

Налаштування та використання мультипідпису може зайняти більше часу та містити більше підводних каменів, якщо все зроблено неправильно. Тому рекомендую користувачам розглядати мультипідпис тільки для довгострокового зберігання, коли регулярні транзакції не плануються.

Вартість

Надійний мультипідпис від кількох постачальників (наприклад, для зберігання три-із-п'яти) може варіюватися у ціні від 250 до 600 доларів. Отже, якщо у вас є близько 0,5 BTC (що становить близько 11 000 доларів на момент написання цієї статті), витратити менш як 10% на його захист – непогана ідея, тому що вартість біткоїна може дуже швидко зрости.

Вартість пристроїв для підпису також знижується, наприклад, як у випадку з Tapsigner від Coinkite. Крім того, використання неапаратних програмних ключів пропонує варіанти з нульовою вартістю, але не рекомендується використовувати більш ніж один такий ключ у зв'язці з кількома підписами.

Поширені атаки та як їм протидіяти

Тепер розглянемо деякі можливі атаки, якщо координатор ключів спробує діяти зловмисно. Потім я поясню, чому це нічим не відрізняється від погроз у конфігурації з одним підписом, і як мультипідписні гаманці можуть пом'якшити ці ризики. Остаточна відповідальність лежить на користувачеві, який повинен переконатися, що він робить належні кроки, як це пропонується нижче.

Неправильна адреса отримання

Найпряміша атака – це коли користувач намагається отримати кошти, а програма-координатор натомість показує адресу зловмисника. У таких сценаріях програмне забезпечення все ще може показати, що кошти були отримані там, де хотів користувач. Ця атака теоретично можлива з будь-яким гаманцем з одним підписом, тому що користувач покладається на гаманець, щоб згенерувати адресу. Неможливо отримати вручну адреси з фрази відновлення з 12 або 24 слів.

У випадку з гаманцем з мультипідписом можна перевірити адресу на пристроях для підпису, на яких було зареєстровано мультипідпис. Ви також можете використовувати інше програмне координувальне програмне забезпечення, імпортувати ту ж конфігурацію і перевірити адресу.

Заміна адреси, на яку проводиться надсилання

Як і в попередньому сценарії атаки, координатор мультипідпису може замінити адресу, на яку ви намагаєтеся надіслати кошти, під час створення PSBT. Ситуація буде такою ж у випадку зі звичайним гаманцем з єдиним підписом.

Щоб знизити цей ризик, користувачеві завжди рекомендується перевіряти адресу на пристроях для підпису. Оскільки ці пристрої підписують транзакцію, яка містить адресу одержувача (у форматі PSBT), вони відображатимуть адресу, що підписується. Якщо між програмою-координатором та пристроями для підпису немає будь-якої змови, це чудовий спосіб звести до мінімуму довіру до будь-якого з них.

Зміна адреси для отримання решти

Менш очевидна атака – це коли програма-координатор замінює адресу для отримання решти з вашої транзакції. Це означає, що решта піде на адресу зловмисника. На відміну від адреси для надсилання, користувач може не перевіряти адресу для отримання решти при надсиланні коштів, що робить цю атаку менш очевидною. Знову ж таки, немає жодної різниці з рішенням з одним підписом.

Тут дуже важливо вибрати пристрій для підпису з повною перевіркою. Більшість пристроїв, які підтримують стандарт, не підписуватимуть транзакцію, якщо вони не можуть ідентифікувати адреси для решти.

Зміна реєстрації

Оскільки координатор також координує етап реєстрації, може бути зареєстрований інший мультипідпис, щоб зловмисник контролював «n» або більше ключів. У цьому випадку пристрій для підпису не зможе правильно визначити адресу отримання або адресу для решти. Користувач також побачить ту саму адресу отримання (зловмисника) на пристрої для підпису, а адреса для решти буде передана пристроєм як правильна, оскільки у нього немає можливості підтвердити, чи була змінено інших підписувачів.

Тому рекомендується, щоб у конфігурації було n зареєстрованих пристроїв. Щобільше, ви підтверджуєте деталі конфігурації на всіх таких пристроях під час реєстрації. Інший спосіб перевірити правильність реєстрації – налаштувати той самий мультипідпис на іншому координувальному програмному забезпеченні та перевірити, чи він показує точні дані.

Таким чином, у вас може бути мультипідпис з одним пристроєм для підпису сховища регістрів та двома підписувачами. Повторіть той самий процес з іншим координатором. Тепер перевірте конфігурацію координаторів та пристрою з мультипідписом. Ви можете додати більше координаторів, щоб унеможливити змову.

Атака з вимогою

Цей тип атаки аналогічний до попереднього, але зловмисник контролює менше «n» ключів, тому він не може контролювати кошти. Але в ситуації, коли ви втратите частину ключів, зловмисник може вимагати у вас викуп, оскільки тепер у вас немає необхідного мінімального кворуму. Ця атака також може бути виконана шляхом вставки ключа, коли до конфігурації додаються додаткові підписанти. Це має той самий ефект, що й заміна деяких співпідписантів.

Знову ж таки, перевірка відомостей про спільний підпис кількох координаторів, які потребують реєстрації, знизить ймовірність таких атак.

Використання мультипідпису для ваших біткоїнів

Повторюся: наявність мінімального кворуму пристроїв з мультипідписом та перевірка деталей транзакції (коли вам її потрібно здійснити) – це хороше емпіричне правило під час використання мультипідпису.

Під час перевірки адрес або відомостей про конфігурацію сховища не перевіряйте лише початок і кінець рядка, оскільки у зловмисника може бути схожий на вигляд рядок.

Перевірка того, чи має додаток для зберігання відкритий вихідний код і перегляд його коду (якщо можливо) також є гарною ідеєю в деяких випадках. Підтримка загальних стандартів, таких як BSMS та PSBT, гарантує, що налаштування мультипідпису або транзакцію можна буде перенести до інших програм для перевірки.

Я також вважаю, що варто протестувати конфігурацію. Як тільки ви підготуєте мультипідпис, продублюйте налаштування на інших координаторах. Отримайте невелику суму на одному пристрої та надішліть її частину з іншого. Переконайтеся, що баланси належним чином відображаються всіма координаторами після кожного кроку.

Це гостьовий пост Ананта Тападії, комп'ютерного інженера та співробітника проєктів самостійного зберігання біткоїнів Bitcoin Keeper та Hexa Wallet. Висловлені погляди є його власними і не обов’язково збігаються з точкою зору BTC Inc. або Bitcoin Magazine.