home iconホーム / tezos / --require-authenticationと互換性のあるリモート署名者でベイクしますか?

--require-authenticationと互換性のあるリモート署名者でベイクしますか?

    • vote up icon 10 vote down icon
    • translation icon
    • view icon128 calendar icon2019-02-16

    クライアント操作の場合、--require-authenticationでリモート署名者を使用するには、クライアントキーの復号化パスワードを手動で入力する必要があります.

    どこにも文書化されていません-これはベーキングと互換性がありませんか?ベイク処理を設定するときにクライアントキーを復号化する方法はありません.ベイク処理のために認証がバイパスされていないと思います.

    ありがとう

    baking
    • alphanetでは認証キーのパスワードを入力しなくても機能しますが、mainnetでは端末でパスワードを要求しますが、パスワードを入力する端末がないために失敗します.私もこれに対する答えを探しています.
    • ただし、tezos-signerコマンドで--require-authenticationフラグを使用しないことで、認証方法をバイパスできます.ただし、認証方法をバイパスする場合は、ファイアウォールを使用してサーバーとポートへのアクセスを制限してください.

3  回答

  • 投票
    • accept answer icon
    • translation icon
    • calendar icon 2019-02-26

    コメントで触れたように、これに対する最も正しい答えは次のとおりです.

    いいえ、ベーキング用の署名者で--require-authenticationを使用することはできません.TTYが存在せず、承認/ベイク操作を実行する必要があるときに認証キーを復号化することはできません.

    ここでのベストプラクティスは、署名者とパン屋の間で暗号化されたトンネルを使用し、署名者がネットワークに直接アクセスできないようにすることです.

    • translation icon
    • calendar icon 2019-02-25

    tezosメインネットでは、暗号化されていない形式でキーを生成することはできません.したがって、キーを復号化するにはパスワードを入力する必要があります.

    解決策は、暗号化されていないキーをインポートしてから、リモート署名者との通信を認証することです. tezboxウォレットを使用して暗号化されていないキーを生成し、秘密キーをコピーして、以下のコマンドを使用してサーバーにインポートしました.

    > 
     ./mainnet.sh client import secret key auth-alias unencrypted:edskxxxxxxxxxxxxxTnZR
    • 暗号化されていない暗号化されていない秘密鍵を生成し、これを別のサーバーにコピーすることは本質的に*安全ではありません*?
    • はい、このキーをベーキングキーとして使用している場合は安全ではありません.ただし、ここでの唯一の目的は認証キーとして使用することですが、秘密キーをサーバーにコピーする際には、明らかに予防策を講じる必要があります.秘密鍵をコピーせず、サーバー上でのみ秘密鍵を生成したい場合は、https://github.com/TezTech/eztzを使用できます.
    • 単純に元帳を使用するのはどうですか?
    • はい、元帳を使用するのが最も安全な方法ですが、私は元帳の経験がありません.このためのドキュメントは本当に役に立ちます.
    • TSEでここを検索して、始めるための答えがあります.例:https://tezos.stackexchange.com/q/395/118およびhttps://tezos.stackexchange.com/q/477/118.これが十分でない場合は、新しい質問をしてください!
    • 間違いなく、彼は暗号化されていないキーを使用すべきではありません-それは本当にひどい考えです.
    • ネットワークにアクセス可能なマシンに暗号化されていないキーを配置することは、おそらく悪い考えです.
    • translation icon
    • calendar icon 2019-12-04

    両方の回答よりもセキュリティを強化する方法があります(今日現在) https://tezos.stackexchange.com/a/607/29 (回答A)および https://tezos.stackexchange.com/a/598/29 (回答B)提案します.

    署名者の場合

    • マジックバイト0x01,0x02のみを受け入れます
    • 署名者はファイアウォールで保護されており、パン屋のIPからのリクエストのみを受け入れます
    • トンネルは暗号化されています(できれば)

    暗号化されていない署名者認証キーをパン屋に残しておいてもかまいません.回答Bの利便性が得られますが、署名者認証キー(回答A)を使用するというセキュリティが追加されています.すべての可能性からユーザーを保護するわけではありません(現時点では、これらの方法の1つ)ですが、暗号化されていない署名者認証キーを使用することで、依然として回避できますいくつかの潜在的なリスク.たとえば、不正なマシンがIPを取得した場合(たとえば、誤ってIPを解放した場合、またはホストがIPを誤ってルーティングした場合)、攻撃者は単純にダブルベイク/承認することさえできません.

    少しの利益のためにもっと仕事が必要だと言う人もいるかもしれませんが、私は少し妄想的で、もっと簡単なルートを取るのは好きではありません.

    結論として、--require-authenticationは他の予防策の代わりにはなりません.