Принцип четырех глаз: как устроена система безопасности на OKCoin

175 0 Время чтения: 5 мин. Сoinspot

В последнее время мы все чаще слышим о взломах криптовалютных бирж, обменников и прочих сервисов. По некоторым оценкам начиная с 2011 года более 18000 BTC крадется хакерами ежемесячно. В связи с этим вопрос безопасности становится одним из главных приоритетов для биткоин-сервисов. На прошлой неделе представители биржи OKCoin рассказали пользователям Reddit о том, как они обеспечивают защиту «холодных» кошельков, и об основных принципах, которые биржа применяет для надежного хранения биткоинов.

Принципы безопасности для холодных кошельков во многом заимствованы из концепции «правила двух человек», иначе известной как «принцип четырех глаз», который разработаны в нормативах ВВС США для достижения повышенного уровня безопасности при выполнении особо важных операций.

В разгар холодной войны в 1960-е годы в США имелось несколько ракет минутной готовности, пуск которых могли произвести только по правилу «двух человек». В случае команды на запуск, оба члена команды должны были использовать свои ключи одновременно с командой на отсчет. Два ключа располагались на таком расстоянии друг от друга, чтобы один человек не имел возможности использовать одновременно оба ключа и таким образом запустить ракеты.

В OKCoin стали внедрять новые меры безопасности для защиты клиентских холодных кошельков после нарушения системы безопасности биржи BTER, которое привело к краже более 7000 BTC. В посте на Reddit OKCoin сообщили, что поддерживают следующие принципы в соответствии с новой философией системы безопасности биржи:

  • Любое оборудование, подключённое к интернету, уже по сути уязвимо.
  • USB-накопители небезопасны, поскольку могут быть поражены вирусами. Такой вирус способен вносить изменения в сеть сразу после установки в порт и позволяет похитить содержимое системы.
  • Безопасность какой-либо системы не может зависеть от одного человека. Любой доступ к холодному кошельку должен быть подтвержден двумя уполномоченными лицами.
  • В случае непредвиденных ситуаций с одним из авторизованных лиц, должен быть кто-то с доступам к бекапам, не находящимся на сервере биржи.
  • Людей могут похитить, по этой причине данные должны храниться в максимально безопасных банковских сейфах только с личным доступом.

 

Компания также раскрыла принцип формирования закрытых ключей и резервных копий:

  • 10000 закрытых ключей и соответствующие адреса генерируются на не подключенном к сети компьютере.
  • На этом же компьютере эти данные проходят стадию AES шифрования.
  • После этого 10000 оригинальных ключей удаляются.
  • AES-пароль знают два сотрудниками OKCoin. Один из них находится в пекинском офисе биржи, другой в городе на Западном побережье США.
  • Эти два сотрудника не могут использовать одновременно один и тот же транспорт.
  • Адрес и зашифрованный закрытый ключ на автономном компьютере отображаются в формате QR-кода.
  • QR-код адреса сканируется с помощью другого компьютера для публикации адреса холодного кошелька для перевода депозита с оперативного кошелька. Каждый адрес «холодного» кошелька будет использован только один раз.
  • QR-код зашифрованного ключа печатается на бумаге и хранится в хорошо защищенном банковском сейфе. Даже если владелец зашифрованного ключа был похищен, документ будет находиться в безопасности, поскольку для получения кода нужно присутствовать в банке лично.
  • QR-код в зашифрованном виде хранится и в виде резервных копий. Одна в банковском сейфе в Китае, а другая на западном побережье США.
  • Доступ к этим двум банкам предоставлен двум отдельным людям.
  • Эти два человека не перемещаются совместно.
  • Доступ к банковским сейфам и контроль паролей AES предоставлен совершенно разным людям.

 

OKCoin является первой на сегодняшний день крупной биржей, которая публично озвучила меры, принимаемые для обеспечения безопасности средств клиентов. Команда также поделилась информацией о процессе перевода валюты из «холодного» хранения в операционный кошелек:

  • Персонал отправляется в банк рядом с офисом и получает из сейфа соответствующее количество неиспользованных зашифрованных ключей. QR-коды этих ключей сканируются на офлайн-компьютере.
  • QR-код сканируется на другой офлайн-компьютер.
  • Владелец мастер-пароля AES расшифровывает зашифрованные секретный ключ на офлайн-ПК.
  • Сканируется QR-код закрытого ключа и импортируется на другой офлайн-ПК.
  • Проходит процесс подписания транзакции на другом ПК в офлайн-режиме. После подписания транзакции проходит процесс синхронизации через компьютер с подключением к интернету с помощью USB-носителя.

 

CEO OKCoin Стар Сю говорит, что закрытые ключи для «холодного хранения» действительно надежно хранятся, и что использования «принципа четырех глаз» является лишь одной из мер безопасности, которые OKCoin взяли на вооружение.

Прозрачность OKCoin в вопросах безопасности является еще одним шагом вперед в направлении увеличения обмена информацией в криптовалютной индустрии, и команда OKCoin рассчитывает получить обратную связь по поводу озвученных принципов, как от пользователей, так и от представителей бизнеса.

Новости о цифровых валютах, финтех-трендах и финансовых инновациях

CoinSpot.io - крупнейший в рунете ресурс о цифровых валютах, финтех-трендах и финансовых инновациях. Мы рассказываем о технологиях, стартапах и предпринимателях, формирующих облик финансового мира. Венчурные инвестиции, p2p и цифровые технологии, криптовалюты, аналитика и обзоры - все, что нужно знать, чтобы быть в тренде и зарабатывать.

Полное или частичное использование материалов сайта разрешается только с письменного разрешения редакции, при этом ссылка на источник обязательна!

Подпишитесь на Email рассылку о новые статьях и важных новостях от Coinspot.io