Gavin Andresen, der ehemalige Hauptentwickler von Bitcoin, bricht sein Schweigen.

Während er in den letzten Monaten bei Twitter aktiv war, um die Blockgrößen-Debatte zu diskutieren (er stempelte sogar seinen Namen auf eine neue Bitcoin-Scaling-Vereinbarung), war Andresen in der Bitcoin-Entwickler-Community seit etwa einem Jahr weitgehend abwesend.

Aber das heißt nicht, dass der erstaunliche Arbeiter, der viel dazu beigetragen hat, das frühe Entwicklerteam und den Markt von Bitcoin aufzubauen, nicht viel zu tun hatte.

Anfang Mai twitterte Andresen:

Ich suche nach Beta-Testern und Mitarbeitern für mein Random-Sanity-Projekt: // t. co / NEbpr1baqk

- Gavin Andresen (@gavinandresen) 1. Mai 2017

Das Projekt versucht, das Internet besser zu sichern, indem es die Zufälligkeit von Personen und Organisationen überprüft.

Bitcoin im Auge behalten

Das Random-Sanity-Projekt entstand nicht nur aus dem Interesse Andresens, die Programmiersprache GO zu lernen, sondern auch aus den Problemen, die ein Mangel an Entropie in monetären Softwaresystemen wie Bitcoin haben kann.

"Ich halte natürlich immer noch mit Bitcoin Schritt", sagte Andresen gegenüber CoinDesk. Er fügte hinzu, dass er Code Review zu DCGs neuem Bitcoin-Scaling-Vorschlag beisteuern könnte, aber wahrscheinlich keinen Code schreiben werde.

"Bitcoin ist ein so interessantes Projekt, weil es sicherheitskritisch ist", sagte er. "Wenn die Sicherheit fehlschlägt, ist es sofort offensichtlich, Menschen verlieren Geld und reagieren sofort."

Das ist anders, fuhr er fort, als ein E-Mail-Konto übernommen oder angegriffen wurde, in dem die Leute diese Verletzungen typischerweise nicht bemerken Zeit.

"Für viele Sicherheitsprobleme bringt Bitcoin sie ins Licht", sagte Andresen.

Diese schnelle Reaktion wurde in mehreren Missgeschicken beobachtet, die auf einer fehlerhaften Generierung von Zufallszahlen im Bitcoin-Ökosystem basierten.

Im Mai 2015 hat eine Sicherheitslücke in der Android-Bitcoin-Brieftasche von Blockchain mehrere Nutzer zu Geld gebracht. Laut Softpedia konnte die Sicherheitslücke doppelte Bitcoin-Adressen erstellen und an verschiedene Benutzer vergeben. Im Kern war das Problem mit dem zufälligen Zufallsgenerator von Blockchain. org, die bei bestimmten Versionen des Android-Betriebssystems eine unzureichende Entropie lieferte.

Und zwei Jahre zuvor, im August 2013, waren alle Bitcoin Wallet-Anwendungen auf Android-Betriebssystemen potenziell gefährdet, als mehrere Sicherheitslücken in einem anderen Zufallsgenerator, Java SecureRandom, gefunden wurden.

Abstand halten

Obwohl das Projekt definitiv an Andresens früherem Werk als Bitcoin-Lead-Maintainer grenzt, ist es auch anders.

"Bisher ist es ein Ein-Personen-Projekt, das ich mag", sagte Andresen CoinDesk."Es ist nett und einfach. Ich habe etwas Kleines und absichtlich Langweiliges gewählt."

Er fuhr fort:

"Bitcoin war ein großes, kompliziertes Projekt mit vielen Menschen auf der ganzen Welt verteilt; es gab zu viel Stress und Politik und das wollte ich nicht wieder. "

Andresen arbeitet seit etwa sechs Monaten am Random-Sanity-Projekt. Nach seinen Worten soll das Projekt kein gewinnbringendes Geschäft sein. Im Idealfall würde das Projekt von einer Organisation wie der Linux Foundation gesponsert werden, um den Service für jedermann kostenlos anzubieten.

Wie funktioniert Random Sanity? Jedes System und jede Programmiersprache hat eine Möglichkeit, zufällige Bytes zu erhalten - Linux hat zum Beispiel einen speziellen Ordner namens '/ dev / urandom' und OpenSSL bietet mehrere Zufallszahlengeneratoren (die Bitcoin Core verwendet).

Benutzer des Random Sanity Project können diese Zufallszahlen - von 16 bis 64 Bytes - nehmen und sie in den Dienst eingeben, was ein 'wahr' ergibt, wenn die Bytes zufällig aussehen, oder ein 'falsch', wenn die Zahlen nicht stimmen t.

"Das Problem zu erkennen, ob Ihre Zufallszahlen gut genug sind, ist ein kniffliges Problem", sagte Andresen CoinDesk. "Es gibt eine Menge Möglichkeiten, die Sie vermasseln können."

Digitaler Gesundheitscheck

Während Zufallszahl Generatoren werden speziell geschaffen, um Entropie zu liefern (ein Mangel an Ordnung und damit Vorhersehbarkeit). Es gibt verschiedene Gründe, warum etwas schief gehen könnte.

Software-Downloads und -Upgrades können mit Zufälligkeiten behaftet sein. Oder es kann so einfach sein, wie jemand über die virtuelle Maschine mit einem Zufallsgeneratorkabel stolpert und es ausstecken.

Aber ein typischer Fehler, so Andresen, ist, wenn eine Organisation Cloud Computing einsetzt und mehrere virtuelle Maschinen gleichzeitig startet.

In diesem Fall speichert die Organisation möglicherweise ein Abbild der Software und führt mehrere Kopien für die Webserver aus, die den Datenverkehr verwalten. Da die virtuellen Maschinen im gleichen Zustand starten, könnten sie laut Andresen mit den gleichen "zufälligen" Zahlen kommen.

"Es gibt normalerweise Werkzeuge, um die Entropie zu erhöhen, also passiert das nicht", sagte er, "aber [das Random Sanity Project] könnte ein guter Check sein."

Obwohl er nicht denkt, dass ein Unternehmen das muss Wenn Sie jede Zeichenkette ausführen, die eine Maschine ihnen über das Werkzeug gibt, wäre es vorteilhaft, eine Zeichenkette zu senden, wenn die Maschine startet, um sicherzustellen, dass sie eine vernünftige Zufälligkeit erzeugt. Dann, sagte er, wenn es scheitert, kann das Problem untersucht werden.

"Damit können Sie sicher sein, dass keine katastrophalen Katastrophen passieren, oder Sie fangen sie schnell genug ab", sagte Andresen.

Je mehr Personen und Organisationen das System verwenden, desto wertvoller wird es, weil es dann die Zufälligkeit auf viele weitere Bytesätze stützen kann.

Momentan haben jedoch nur wenige den Service getestet und manchmal Code zurück zum Projekt beigetragen - auch Leute von den Startups Blockchain und ShapeShift, so Andresen.

Der vertrauenslose Trend

Auf Twitter lobten einige den Service, während andere sich Sorgen um die Systemarchitektur machten.

Zum einen verwendete das ursprüngliche System HTTP, mit dem jeder die zufälligen Bytes, die an das System gesendet wurden, belauschen konnte. Andresen hat sich mit HTTPS schnell neu gestartet, um eine sichere Verbindung herzustellen, so dass niemand sehen kann, welche Bytes gesendet werden.

Wenn der Zufallszahlengenerator einer Entität defekt ist, könnte das Anzeigen einer vermeintlich zufälligen Bytekette diese Entität für den Angriff öffnen, sagte eine andere Beschwerde von einem Twitter-Benutzer. Eine Chance, die es wert ist, genommen zu werden, antwortete Andresen.

Soweit Andresen Einsicht in die Bytes hatte, die an den Dienst geschickt wurden, sagte er, er habe keine.

Und nach dem von Bitcoin gesetzten Trend sagte er:

"Ich versuche Dinge zu arrangieren, bei denen mir die Leute nicht vertrauen müssen."

Der Dienst läuft derzeit auf der App Engine der Google Cloud Platform wird das Projekt in seinem nächsten Projekt geöffnet, um Audits durch Dritte zu ermöglichen. Derzeit können die Leute nur den Open-Source-Code auf GitHub auditieren, den Andresen CoinDesk zugesichert hat, was genau auf der App Engine läuft. Der zusätzliche Schritt wird jedoch beweisen, dass es

Zufallszahlenbild über Shutterstock