Zcash e la cerimonia – Resoconto dettagliato di Peter Todd

Tempo di lettura:37 minuti

Continuano gli articoli riguardanti Zcash e la cerimonia con la traduzione completa di un articolo di Peter Tood rimosso con un trateggio sul testo(eliminando le immagini) dal suo blog.
In questo momento si può leggere:

Ora manderò questo  offline fino a che alcune domande riguardo a build deterministic non avranno trovato risposta; attualmente non credo che il trusted setup di zcash dovrebbe essere chiamato una computazione multi partitica, facendo divenire così il mio coinvolgimento inutile

Ciò nonostante sono rimasto affascianto dai suoi punti di vista e dal dettaglio maniacale nel quale ha esposto la sua partecipazione.
Buona lettura!


Cypherpunk Desert Bus: il mio ruolo nella cerimonia di setup Zcash 2016

14 novembre 2016

  1. Il protocollo Zcash richiede una speciale fase di configurazione affidabile per motivi tecnici.
  2. La chiave segreta (“rifiuto tossico crittografico”) generata durante questa fase può essere utilizzata per rubare denaro – attualmente sotto forma di creazione di monete contraffatte, rubando a tutti collettivamente.
  3. Affinché la chiave segreta possa fuoriuscire, tutti e sei i partecipanti devono colludere o essere compromessi. Enfasi su quest’ultimo: ci sono molti modi in cui i partecipanti potrebbero essere compromessi contro la loro volontà.

Come uno di quei partecipanti, ecco il mio resoconto di ciò che ho fatto per garantire che il segreto sia stato distrutto.

CONTENUTO

  1. Disclaimers
    1. Fiducia
    2. Punto singolo di errore
    3. Incentivi
    4. zk-SNARKs
    5. Scala e scalabilità
    6. Proof-of-Work Equihash
    7. Ricompensa dei fondatori
    8. Marchio Zcash
    9. Qualità del software
    10. Disclaimer Disclaimer
  2. Contatto iniziale
  3. Modellazione delle minacce
    1. Attacchi Software
    2. Attacchi Hardware
    3. Attacchi fisici
      1. Attacchi wireless
      2. Leak elettromagnetici ed acustici
  4. Sequenza temporale
    1. Giovedì 20 – Pre-cerimonia
  5. Venerdì 21 – Preparation Day
    1. Shopping
    2. Strategia di sorveglianza
    3. Speranza
    4. Preparazione Tecnica della Cerimonia
    5. Dormire
  6. Sabato 22
    1. Schermatura del nodo di calcolo
    2. Impostare l’auto
    3. Elaborazione
    4. Merritt
    5. Miniera di rame di Highland Valley
    6. Piano di gioco
    7. Ashcroft
    8. The Chasm
    9. 70 miglia Casa 93 miglia Casae 100 miglia Casa 150 miglia Casa
    10. Disco A
    11. Quesnel
  7. Domenica 23
    1. Disc C
    2. Industria
    3. Ultimo disco
  8. Lunedì 24
    1. Distruggere il Nodo
  9. Post-Cerimonia
  10. Le note
  1. Prima di tutto, voglio chiarire che non sto ricevendo alcun compenso per la mia partecipazione alla cerimonia; la Zcash Electric Coin Company paga le mie spese. Quando il peso della mia partecipazione sara’ finito, sarei disposto ad accettare donazioni per questo lavoro, ad ogni modo non lo sono ancora.In secondo luogo, voglio chiarire che la mia partecipazione alla cerimonia di messa in atto fidata di Zcash non dovrebbe essere presa come approvazione o pubblicita’ progresso di Zcash. Ma dal momento che molte persone l’hanno presa in questo modo, inizierò con un riassunto di alcune delle mie maggiori preoccupazioni su Zcash e sulla cerimonia di installazione attendibile.

    1. Nulla di ciò che leggerete qui di seguito cambia il fatto che ci si debba fidare di me e di altri cinque partecipanti e del fatto che non entriamo in collusione. Punto. Fine della storia. È IMPOSSIBILE per me e gli altri partecipanti dimostrare a una terza parte che non abbiamo colluso per mantenere la chiave segreta. Se pensi che non puoi fidarti di me, dovresti smettere di leggere ora.Lo scopo di questa scrittura è per informare, intrattenere e supervisionare alla pari. Se non stai leggendo questo articolo per uno di questi motivi, FERMATI ORA.

    2. Al momento della scrittura, non sono a conoscenza di alcuno sforzo per verificare in modo indipendente il processo di generazione deterministico utilizzato per creare i DVD del nodo di calcolo utilizzati da ogni partecipante nel  trusted setup usato. Ciò significa che c’è un enorme singolo punto di errore nell’intero processo che mina completamente il valore del calcolo multipartitico.Finché il software e le build deterministiche non vengono verificati, l’intera cerimonia è un mucchio di cripto-cripto che non significa nulla.

    3. Potresti aver sentito parlare della DNSSEC Root Signing Ceremony. È un raro esempio di cerimonia di firma delle chiavi in produzione; i suoi partecipanti sono fidati dell’integrità del sistema DNSSEC che (dovrebbe) proteggere l’integrità del sistema DNS.Probabilmente l’impostazione attendibile di Zcash rende la cerimonia di firma della radice DNSSEC simile a quella di un bambino. Con ciò, non intendo dire che la cerimonia di firma delle radici DNSSEC non sia fatta in modo professionale – lo è – ma piuttosto che i requisiti di sicurezza per l’impostazione fidata di Zcash sono molto più alti.Il motivo per cui sono incentivi: se avessi backdoor per DNSSEC, sarebbe difficile trasformare quel backdoor in profitto. Se avessi un backdoor DNSSEC cosa potrei fare con essa? Immagino di poter provare a fare un attacco Man-in-the-Middle-Attack (MITM) ad alcuni servizi bancari online … Ma non sono un criminale; Non ho i contatti necessari per farlo su una scala abbastanza grande; Non so come riciclare denaro; Non so come trovare partner fidati in un crimine.O forse proverei a vendere quella backdoor DNSSEC all’ambasciata cinese / russa / degli Stati Uniti più vicina. Ma come faccio a sapere che mi prenderebbero sul serio? Come faccio a sapere che non mi consegnerebbero alle forze dell’ordine locali?Anche se avessi una backdoor per DNSSEC, non ho alcun modo semplice per trasformare quella backdoor in qualcosa che mi avvantaggerà personalmente. D’altra parte, se avessi una backdoor Zcash, sarebbe andata così:Acquisisci le chiavi segrete di Zcash.Stampa denaro a volontà.Non c’è passaggio tre.Persino un trentenne in sovrappeso che viene dalla provincia come me può farcela!

    4. La crittografia di Zcash è al tempo stesso molto sperimentale e relativamente debole. Il fatto è che se zk-SNARKS si rivelasse totalmente bucato, a differenza di altre criptaggi tradizionali, non sarebbe poi così sorprendente:

      >... e ora puoi baciare il ...
      >RSA È ROTTA!
      >Mi dispiace Steve, torno tra mezz'ora! Tratteremo alcuni numeri primi.

      Nel frattempo, se la criptazione di accoppiamento dietro zk-SNARKS viene interrotta:

      Ti spiace revisionare questo? Penso di aver rotto gli accoppiamenti.
      > Sono impegnato questa settimana; che ne pensi di metterlo su arXiv?
      > Sai che Zcash li usa giusto?
      > Ripensandoci, chiudi la porta

      Inoltre, sembra esserci incertezza sulla forza dei parametri effettivi scelti per la crittografia di Zcash. La minaccia qui è che un hacker potrebbe essere in grado di creare prove di zk-SNARK contraffatte rompendo la crittografia direttamente, anche senza avere accesso alla backdoor di configurazione sicura.

      Alcuni esperti mi hanno detto che pensavano che il livello di sicurezza fosse di 2 ^ 80 operazioni (molto debole), mentre altri (incluso lo stesso Zooko) pensavano che fosse più simile a 2 ^ 96. Non sono sicuro di quale cifra sia giusta, ma il fatto che ci sia disaccordo è un brutto segno.

    5. L’attuale protocollo Zcash eredita lo stesso problema di scalabilità di O (n ^ 2) di Bitcoin, e quindi rende il problema significativamente peggiore. Prima di tutto, a differenza di Bitcoin, Zcash non può essere ridotto: ogni transazione Zcash privata ha come risultato uno o più rilevamentii che devono essere memorizzati indefinitamente da tutti i nodi Zcash.

      Ancora più importante, la verifica delle transazioni private Zcash è più lenta di ordini di grandezza rispetto alla verifica delle transazioni Bitcoin: decine di millisecondi rispetto a pochi microsecondi. Questo è talmente lento che se gli utenti di Zcash usavano spesso le transazioni private, anche senza gli attacchi, Zcash poteva diventare non redditizio per tutti tranne i più grandi bacini minerari, anche a causa della lenta propagazione dei blocchi; se i piccoli minatori non fossero costretti a cessare l’attività, la rete Zcash potrebbe persino avere difficoltà a mantenere il consenso.

      A mio parere, il team Zcash è stato irresponsabile, forse anche disonesto, nella scelta dei parametri di intervallo e dimensione dei blocchi.

    6. Zcash utilizza Equihash PoW nel tentativo di rendere l’hashing più decentralizzato. La speranza qui è che Equihash sarà “duro per la memoria”, con i costi per l’hash dominati dal costo per acquisire e gestire la DRAM di materie prime piuttosto che specializzare l’hardware. L’hashing Equihash comprende fondamentalmente due fasi principali:

      Riempi un buffer di memoria di dimensioni fisse con l’algoritmo di hashing BLAKE2b.
      Ordina ripetutamente quella memoria mentre esegui un computo banale.
      Dato che BLAKE2b è abbastanza efficiente, il costo dovrebbe essere dominato dall’ordinamento ripetuto; per Zcash ci si aspettava che il buffer di memoria a dimensione fissa fosse di circa 1GiB. Tuttavia, mentre sto scrivendo Tromp è riuscito a ridurre i requisiti di memoria a soli 144MiB! Il documento di Equihash prevedeva che quel tipo di ottimizzazione avrebbe comportato una penalità di ordini multipli di magnitudo … non un buon segno.

      Più in generale, la documentazione Equihash non ha mai analizzato correttamente il costo effettivo dell’implementazione di Equihash su hardware reale. Invece hanno presupposto che le implementazioni utilizzeranno la DRAM commodity e che il costo dell’hash sarà dominato dalle spese in conto capitale per l’acquisizione di tale DRAM.

      Questa è una grande supposizione. Ad esempio, Tromp ha riportato buone prestazioni equihash su GPU NVIDIA GTX980, che al momento della scrittura ha un costo di vendita di circa $ 500 USD e viene fornito con 4GiB di DRAM GDDR5; se Equihash funziona davvero come previsto, il costo di quella RAM dovrebbe dominare i costi di hashing.

      Quindi qual è il costo di quella RAM? $ 10- $ 20, a seconda di quanto dubbia sia l’integrita’ del fornitore che sei disposto a utilizzare. C’è molto spazio per migliorare con l’hardware personalizzato. Ad esempio, è facile immaginare un ASIC da $ 5 sviluppato per fungere da controller di memoria altamente specializzato; L’hardware di hashing Zcash sarebbe semplicemente ASIC circondato da chip RAM.

      La situazione peggiora anche se si tiene conto dei costi energetici. La DRAM GDDR5 completamente utilizzata ha bisogno di circa 100 mW / GiB / s di larghezza di banda; una GTX980 ha circa 225GiB / s di larghezza di banda, quindi ci aspettiamo che la DRAM GDDR5 consumi circa 22W. A $ 0,05 / kWh che è approssimativamente $ 10 / anno minimo – probabilmente più verso i $ 20 / anno una volta prese in considerazione le inefficienze. Vorresti fare un’analisi più approfondita rispetto al mio hand-waving, ma il punto è che questo suggerisce fortemente che nel corso della vita delle attrezzature di hashing Equihash, i costi energetici sono superiori ai costi di capitale per l’acquisizione della DRAM.

      Quindi possiamo ridurre quei costi energetici? Il documento Equihash afferma che:
      “Per quanto a nostra conoscenza, la larghezza di banda più elevata riportata nei prodotti commerciali non supera i 200 GB / s (Playstation 4 ha una larghezza di banda di 172 GB / s), mentre il desktop DDR3 può avere una larghezza di banda di 17 GB / s.”

      “Anche se fosse il caso, l’ampiezza di banda segnalata più alta si applica a chip di memoria grandi (pochi GB), per i quali non è così difficile posizionare abbastanza pin di lettura per ottenere la larghezza di banda. Per chip più piccoli (700 MB) riteniamo che sia molto più difficile.”

      Le loro informazioni sono molto obsolete. Lo stato attuale della tecnologia sia in termini di larghezza di banda che di consumo energetico è quello di impilare gli stampi di memoria direttamente sopra le matrici logiche e collegarli con microscopiche vie attraverso il silicio:

      1

      Questa tecnica è stata persino standardizzata da JEDEC come interfaccia per la memoria ad alta larghezza di banda (HBM); Xilinx utilizza questa tecnologia nella sua linea UltraScale + FPGA, offrendo 4GiB e 480GiB / s in un unico pacchetto. Una parte importante dell’energia utilizzata dalla DRAM viene consumata guidando lunghi cavi ad alta velocità per spostare i bit su unità di calcolo e viceversa; i fili più corti abilitati da HBM possono ridurre il consumo di energia IO di 10 volte o più1.

      Non abbiamo nemmeno discusso di possibilità più esotiche come i DRAM ASIC personalizzati, ma penso di aver fatto il mio punto: è abbastanza probabile che l’hardware Equihash personalizzato verrà sviluppato se Zcash prende piede e che l’hardware ridurrà i costi almeno uno o due ordini di grandezza.

      Questo di per sé non è peggiore del PoW di Bitcoin. Ma c’è un grosso problema potenziale: poiché questo hardware potrebbe essere molto più costoso da sviluppare rispetto agli ASIC SHA256, potremmo trovarci di fronte a una situazione vincente in cui la prima azienda a sviluppare un ASIC Equihash ha un enorme vantaggio sui suoi concorrenti . Esattamente ciò che Equihash stava cercando di evitare.

    7. Il 20% delle monete per i primi quattro anni viene assegnato a una “ricompensa fondatori”, intesa a compensare gli investitori e gli sviluppatori che hanno creato Zcash. Tuttavia il 20% è estremamente alto – innanzitutto dà al 51% degli attaccanti un vantaggio significativo. In secondo luogo, poiché l’implementazione della ricompensa invia quei fondi a un singolo indirizzo multisig che viene periodicamente cambiato, l’indirizzo stesso costituisce un importante errore per l’offerta monetaria delle valute: se tale indirizzo venisse compromesso potrebbe facilmente portare allo schianto di prezzo di Zcash, per esempio da un ladro che vende le loro monete. Allo stesso modo, i governi potrebbero costringere la Zcash Electric Coin Company a controllare quell’indirizzo per scaricare monete sul mercato nel tentativo di ferire Zcash. Questo dovrebbe essere una preoccupazione significativa per chiunque pensi di investire in Zcash.

      In secondo luogo, gran parte della comunicazione intorno alla ricompensa dei fondatori è stata al limite della disonesta’, affermando che la ricompensa dei fondatori è del 10%. Quella cifra è vera se si considera l’intera durata della fornitura di moneta, ma dato che questo è un investimento, credo che Zcash dovrebbe errare dalla parte della cautela e sottolineare la cifra del 20% che è rilevante per gli investitori oggi – Zcash potrebbe anche non essere in giro in quattro anni.

      Infine, il fatto che il team di Zcash abbia un legame molto ovvio e molto diretto tra il loro reddito e il prezzo di Zcash è legalmente rischioso, che a sua volta rappresenta un rischio per l’intera comunità Zcash grazie al modo altamente centralizzato di organizzare lo sviluppo del protocollo Zcash , in particolare con il marchio Zcash (discusso di seguito). Dopo tutto, ci sono ovvie somiglianze con Zcash e costrutti altamente regolamentati come le offerte di titoli.

    8. La Zcash Electric Coin Company ha sia registrato il marchio “Zcash”, e minacciato altri con cause legali per l’uso di quel termine. Questo è un rischio di centralizzazione: sarebbe facile per il controllo di quel marchio, utilizzarlo bullizzare i team di sviluppo alternativi dal migliorare il protocollo e / o le sue implementazioni. Ad esempio, il governo degli Stati Uniti potrebbe ordinare alla società Zcash di aggiungere funzionalità AML / KYC al protocollo Zcash – come è stato fatto con il protocollo Ripple – e quindi utilizzare il marchio per impedire ad altri team di promuovere direzioni alternative per lo sviluppo del protocollo, o anche semplicemente promuovendo che il protocollo rimanga invariato. Considera i rischi legali affrontati da uno scambio che semplicemente vuole ignorare i cambiamenti che la più ampia e decentralizzata comunità ha respinto, ma ora deve fare i conti con il fatto che continuare a chiamare Zcash, “Zcash”, li espone a cause legali da parte dei proprietari del marchio.

      Nota anche che Zcash è stato specificamente progettato in modo tale da rendere possibile l’aggiunta di AML / KYC perché è possibile provare l’origine dei fondi rivelando una chiave di visualizzazione.

    9. Personalmente, ho riscontrato un bug che causava il blocco del daemon Zcash con un errore di asserzione entro i primi 30 minuti dall’uso di Zcash; Non stavo cercando di fare qualcosa di intelligente, né cercavo bug. Insieme agli altri bug che dovevano essere corretti subito dopo il lancio della 1.0.0, penso che abbiamo forti motivi per chiederci se la qualità attuale del software sia al livello necessario in una criptovaluta.

      Inoltre, ci sono dei segnali riguardo al fatto che la squadra non ha ancora un solido background in criptovaluta, come ad esempio l’ issue 713 (ancora aperto); Zcash non ha personale o consulenti con una significativa progettazione architettonica e esperienza di implementazione su sistemi di successo, stabili, cripto-valuta utilizzati nella produzione (Ethereum non è utilizzato nella produzione per lo scopo previsto, né ha ancora dimostrato di essere stabile).

      Per gli investitori, una potenziale preoccupazione qui è che il marchio Zcash può rendere strutturalmente difficile per gli altri team di sviluppatori partecipare e migliorare il protocollo utilizzato dalla maggioranza economica. Al contrario nello spazio Bitcoin abbiamo diversi team in competizione con visioni del protocollo Bitcoin abbastanza diverse, ma tutti usano il termine “Bitcoin” e stanno tutti promuovendo i loro sforzi verso la più ampia comunità economica, che a sua volta ha la capacità di scegli tra di loro.

    10. Tieni presente che il mio lavoro qui non è quello di promuovere Zcash, quindi quanto sopra (e sotto) enfatizza i negativi e non parla di aspetti positivi; Sto sbagliando dalla parte della cautela nell’assicurarmi che i miei lettori se ne vadano con un’ampia comprensione di quali problemi esistono.

      Inoltre, tutti questi problemi possono essere risolti, alcuni più facilmente di altri.

    1. Zooko mi ha inizialmente chiesto il 26 settembre tramite messaggio privato su Twitter non crittografato se fossi interessato a partecipare alla cerimonia di generazione dei parametri Zcash 2016 come “Testimone umano”. Gli ho chiesto di spostare la conversazione su Signal, notando che:

      “anche se non mi interessa più di tanto … tanto per la cronaca, tieni presente che nel momento in cui chiedi a qualcuno di partecipare a questo, potresti esporli potenzialmente a minacce piuttosto grandi. Come minimo, se fossi nella tua posizione, avrei chiesto su Signal, non nel facilmente tracciabile e controllato messaggio privato su Twitter.”

      Più tardi, lo stesso giorno, Zooko mi contattò via Signal. Gli ho chiesto di firmare tramite PGP dei numeri di sicurezza di Signal in modo da poter essere sicuro che stavo effettivamente parlando con lui, cosa che lui non ha fatto.Due settimane dopo, il 14 ottobre, Zooko mi ha contattato di nuovo via Signal, dicendo che “Ancora non sono riuscito a far firmare via PGP il mio Signal.” e mi chiedeva se potevo partecipare alla cerimonia del 15-16 ottobre o  del 22-23. Ho ignorato il messaggio fino a quando, più tardi, Zooko mi ha finalmente inviato un’e-mail con firma PGP a conferma dei numeri di sicurezza di Signal(e fra l’altro, il suo numero di telefono!). tl; dr: Ho accettato di far parte della cerimonia del 22-23 ottobre.Zooko mi ha ricontattato il 18 ottobre delineando cosa sarebbe successo nel weekend del 22-23. All’epoca ero appena arrivato a San Francisco per il Rebooting della Web of Trust Conference. Abbiamo discusso di come potenzialmente avrei potuto collaborare con Michael Perklin, tuttavia aveva già acquistato l’hardware offline per la cerimonia, quindi ho respinto tale suggerimento in quanto non aggiungerei alcun valore come testimone – se l’hardware fosse compromesso a livello backdoor sarebbe gia’ game-over. Come ha detto Zooko:

      “Quindi per farti sentire come se stessi fornendo ridondanza completa, non vorresti che parte della tua spiegazione fosse “e poi ho fatto affidamento sulle affermazioni di Perklin su ciò che aveva fatto …”

      Ho anche chiesto a un esperto di sicurezza e sviluppatore che conoscevo in SF se fossero interessati ad aiutarmi con la configurazione affidabile. Ma non ho ricevuto risposta in tempo, quindi ho deciso di farlo da solo.

  2. All’epoca non sapevo molto su come funzionasse effettivamente il trusted setup; Non avevo nemmeno ricevuto una copia del foglio di istruzioni. Ma conoscevo l’architettura di base:

    2
    Sotto un certo aspetto il mio lavoro era molto semplice: eseguire il software sul nodo di elaborazione, mescolare i dati da / verso la macchina di rete tramite il sistema”vuoto d’aria” come richiesto, e assicurarsi che il segreto sia cancellato in modo sicuro a giochi fatti.

    Ma come potevo assicurarmi che il segreto non fosse trapelato? Diamo un’occhiata alle minacce che ho affrontato:

          1. Come accennato in precedenza, il software utilizzato da ogni nodo di calcolo era identico e quindi un singolo punto di errore poteva incorrere in backdoor; In realtà ho sollevato questo problema pubblicamente con Zooko alcune settimane prima della cerimonia su Twitter.
            C’è anche un secondo problema: cosa succede se il mio portatile è già stato compromesso? Sapevo che avrei avuto bisogno di masterizzare un DVD con il software del nodo di calcolo e dato che stavo viaggiando in quel momento avevo a disposizione solo il mio laptop da viaggio per farlo. Sarebbe stato possibile per un utente malintenzionato che aveva gia’ fatto backdoor sul mio portatile, causare la masterizzazione di un DVD contenente qualcosa di diverso dal corretto software di calcolo del nodo.

            Sapevo che non potevo effettivamente risolvere nessuno di questi problemi direttamente in quel momento. Così, invece, ho deciso di fare affidamento sul fatto che le istruzioni della cerimonia dovevano utilizzare un DVD di avvio write-once (si spera!), Che potrebbe essere successivamente verificato per garantire che il software corretto fosse effettivamente utilizzato.

            Ovviamente, questo solleva una domanda importante: è davvero impossibile modificare un DVD-R una volta scritto?

          2. Ovviamente, se l’hardware utilizzato ha una backdoor, tutte le scommesse sarebbero chiuse. Qui nella community Bitcoin abbiamo persino un sospetto esempio di questo in azione: è plausibile che il modo in cui Craig Wright ha ingannato Gavin Andresen nel pensare di essere Satoshi fosse tramite un laptop backdoor.

            I computer disponibili in commercio sono pieni di firmware che possono intaccare il sistema a livello backdoor. Ad esempio, gli accademici hanno dimostrato backdoor del firmware del disco rigido che rubano password2, Kaspersky ha segnalato3 questi exploit in natura e le leaks di Snowden hanno confermato4 che l’NSA ha capacità di exploit a livello di hardware. Mi è stato detto da un amico proprietario di una società di hardware legata alla sicurezza che un ex dipendente della NSA una volta ha fatto domanda per un posto di lavoro e, quando gli sono state chieste le qualifiche, ha alla fine ammesso che all’NSA avevano lavorato su “firmware consumer” ; il mio amico ha detto che quel ragazzo non è stato assunto.

            Come ogni altro partecipante alla cerimonia, la mia principale difesa contro i backdoor hardware era quella di acquistare hardware nella speranza fosse pulito, acquistandolo nuovo in un negozio scelto a caso e solo in contanti. Il presupposto è che non sarà possibile per un malintenzionato ostacolare attivamente gli acquisti di hardware a causa del gran numero di possibili fonti.

          3. Un aggressore presente fisicamente ha molte opzioni. È lecito supporre che se un utente malintenzionato avesse accesso diretto al nodo di calcolo, anche solo per il tempo necessario per collegare brevemente un cavo USB, sarebbe la fine dei giochi: è abbastanza plausibile che un avversario possa sfruttare un bug a livello di firmware in un controller USB e da questo prendere il controllo dell’intera macchina. Quindi, ovviamente, avrei bisogno di assicurarmi che ogni tale aggressore venisse rilevato, ad es. essendo ripreso in video.

            Gli attacchi fisici sono stati uno dei motivi per cui ero incline a limitare il numero di persone con cui ho celebrato la cerimonia. Come ho detto a Zooko:

            “Sospetto che avere più osservatori introduca solo modi in piu per usare exploit, piuttosto che rimuoverli. Puoi fare di tutto con la mano di un mago esperto.”

            1. È abbastanza plausibile che un utente malintenzionato possa compromettere una macchina tramite un attacco tramite WiFi o Bluetooth; alcuni computer hanno anche capacità di gestione remota a livello di chipset via wireless, ad es. Intel Active Management Technology (AMT). Allo stesso modo un utente malintenzionato potrebbe utilizzare un’interfaccia wireless come modo per ottenere dati non filtrabili dal nodo di elaborazione, ignorando la traccia di controllo del DVD.

              I computer hanno anche altre interfacce wireless: microfoni e accelerometri sono anche input di dati wireless. Fortunatamente penso sia altamente improbabile che esista un modo per compromettere un computer non precedentemente in backdoor tramite un microfono o un accelerometro, e lo dico come un ex progettista di elettronica analogica!

            2. I computer perdono interferenze elettromagnetiche che spesso corrispondono allo stato del calcolo eseguito. Questo è un attacco molto reale e molto plausibile: in effetti uno dei membri del team di Zcash, Eran Trommer, ha dimostrato gli attacchi in tempo reale5 contro GnuPG che rubano le chiavi segrete avvengono sia via elettromagnetica6 che, più recentemente, anche con leak acustici!7

              Esistono diversi modi in cui possono verificarsi questi attacchi:

                1. Larghezza di banda elevata – Lo stato del calcolo viene misurato direttamente dall’attaccante tramite onde radio trapelate. Fortunatamente i computer moderni sono così veloci – GHz – che le onde radio emesse sono difficili da registrare con apparecchiature diverse da quelle altamente specializzate e sono relativamente facili da schermare.
                2. Larghezza di banda ridotta: lo stato del calcolo viene misurato indirettamente dalle variazioni del consumo energetico. La frequenza più bassa rende molto meno probabile che il leak avvenga tramite le onde radio: un computer di solito non ha metallo a sufficienza da fungere come una buona antenna, tuttavia consente di far passare la perdita attraverso il campo elettrico, magnetico campi e suoni. In particolare, gli alimentatori switching che sono una parte onnipresente dell’elettronica moderna sono solitamente progettati con un magnete planare che emette un campo magnetico relativamente grande che può facilmente accoppiarsi con altre cose nelle vicinanze. In secondo luogo, il suono viene generato direttamente dagli alimentatori in modalità switch, sia a causa dei componenti magnetici che agiscono da altoparlanti, sia per il fatto che la maggior parte dei condensatori ceramici sono realizzati con materiali piezoelettrici che vibrano fisicamente al variare della tensione.

              Un grosso problema con gli attacchi a bassa larghezza di banda è che i segnali emessi possono essere sufficientemente bassi da essere rilevati tramite ingressi audio come microfoni, sia direttamente nel caso di perdite acustiche, sia indirettamente tramite campi magnetici accoppiati al circuito di ingresso analogico . Quest’ultimo è ovviamente un problema molto comune, ed è spesso visto nella forma di un ronzio 50 / 60Hz indesiderato nelle registrazioni audio.

              Ciò significa che un utente malintenzionato potrebbe utilizzare l’apparecchiatura “trovata” per eseguire l’attacco. Ad esempio, un telefono cellulare lasciato accanto al nodo di elaborazione potrebbe potenzialmente essere backdoor in un attacco aereo contro il firmware della banda base, usando il microfono in quel telefono cellulare per raccogliere una perdita acustica o magneticamente accoppiata. La squadra di Tromer ha perfino dimostrato questo esatto attacco contro GnuPG, rubando un segreto usando un semplice telefono cellulare posto accanto a un laptop.

              In secondo luogo, un attacco potrebbe accadere dopo il fatto. Qualsiasi registrazione audio, come un video di sorveglianza o un video preso da un giornalista, potrebbe potenzialmente contenere dati non divulgati che possono essere successivamente estratti da un utente malintenzionato.

              Fortunatamente gli attacchi a bassa larghezza di banda possono essere prevenuti nel software utilizzando algoritmi crittografici che utilizzano una potenza costante. Non ho idea se il software del nodo di calcolo abbia questa proprietà o meno; sarebbe un buon argomento di ricerca.

          4. Ora che abbiamo discusso di ciò che ho riscontrato, diamo un’occhiata a ciò che ho effettivamente fatto per tentare di sconfiggere queste minacce:

                1. Come accennato in precedenza, mi è capitato di essere a San Francisco prima della cerimonia. Avevo pensato tutta la settimana a un piano e alla fine avevo deciso: la mia postazione sarebbe stata mobile. Come ho detto a Zooko quella mattina:

            “Ho intenzione di stare un po’ in viaggio. La mia ipotesi è che, se c’è una minaccia, qualcuno dovrà seguirmi fisicamente per avvicinarsi abbastanza da manomettere il processo, quindi, cosi’ facendo ottimizzerò il rilevamento di tali minacce. Ho intenzione di dare del filo da torcere a questi “agenti” che dovranno quantomeno cercarmi, e io di conseguenza sapro’ che loro esistono, anche perche’ si spera che li catturi la telecamera.”

            Cosa intendo per postazione mobile? Al momento non lo avevo mai detto a Zooko, ma avevo deciso di noleggiare un’auto e fare li’ la computazione vera e propria, spendendo il tempo necessario (in tutta sicurezza) per guidare e usare una connessione dati del telefono cellulare per comunicare.

            Ora immagina di essere un agente assegnato a compromettere la mia postazione. Se non esistono attacchi remoti indipendenti dalla posizione, cosa ti rimane? Attacchi fisici. Ad esempio, se sapessi che Zooko è accampato in un hotel, potrei affittare la stanza accanto a lui e trascorrere l’intero weekend con un gruppo di apparecchiature radio che effettuano un attacco EMI. Ma come lo fai contro una postazione che sfreccia in autostrada? Avresti un sacco di problemi:

            1. Come li trovi?
            2. Una volta che li trovi, come ti avvicini abbastanza, abbastanza a lungo, perché il tuo equipaggiamento di fantasia funzioni?
            3. Come eviti di essere visto mentre fai cio’?

            Ovviamente, questo non vuol dire che sia impossibile, o che la mia soluzione fosse necessariamente meglio che nascondersi in una cabina remota in foresta per tutto il weekend, ma almeno sarebbe un modello di minaccia molto diverso rispetto alle altre stazioni.

            La mia seconda decisione era dove fare tutto questo. Sapevo a quel punto che almeno una o due postazioni sarebbero state negli Stati Uniti, quindi ho deciso che avrei fatto la cerimonia in Canada per fornire una certa diversità giurisdizionale. Essendo canadese, volevo anche essere soggetto al sistema legale canadese piuttosto che al sistema legale degli Stati Uniti nel caso in cui qualcosa fosse andato storto.

            Più specificamente, ho deciso di andare in British Columbia nella parte occidentale del Canada per alcuni motivi:

            1.  È molto più vicino a SF, e nello stesso fuso orario; se fossi tornato a casa a Toronto, avrei avuto molto meno tempo per prepararmi.
            2. Ho una famiglia che vive lì che potrebbe aiutare se necessario.
            3. Conosco meglio l’area. Mentre vivo a Toronto da quasi tutta la mia vita, ho trascorso molto più tempo “all’aria aperta” in British Columbia e conosco le autostrade e le città della zona molto meglio di quanto non sia in Ontario.

            E, naturalmente, chi non vuole fare un roadtrip nelle montagne rocciose !? Voglio dire, dagli uno sguardo!3
            Con questo in mente, ho prenotato un volo il giorno successivo alle 10:00 su CheapAir (con Bitcoin!) Da SFO a un aeroporto vicino alla mia famiglia a BC. A mio nome, ovviamente, è impossibile volare in Canada con voli commerciali senza mostrare ID alla compagnia aerea, e non ho intenzione di infrangere la legge usando un falso ID (e non so nemmeno dove trovarne uno !).

            Più tardi quel giorno lasciai la conferenza sul web un’ora prima e comprai due videocamere GoPro su Target, una macchina fotografica economica e tutte le schede SD che avevano (non molte!) E tornai al mio hotel . Prima di andare a letto ho fatto un’ultima telefonata a qualcuno di cui mi fidavo tramite Signal e ho detto loro il mio piano: dirigermi dove sono i miei genitori e fare il Trusted Setup lì. Dopo ciò, ho messo il mio telefono in modalità aereo.

          5. Aspetta, pensavi davvero che avrei comprato un biglietto aereo in chiaro? Cazzo no. Anche se l’eventuale aggressore non fosse un governo, dio solo sa quante persone hanno accesso legittimo e illegittimo alle liste dei passeggeri tenute dalle compagnie aeree.

            In realtà, dopo quella telefonata ho fatto un’ultima cosa: ho controllato gli orari dei voli per Vancouver per la mattina seguente su Tor. Il primo volo della giornata era alle 6:15 del mattino, quindi mi sono svegliato presto e ho preso l’autobus navetta dell’hotel per l’aeroporto di SFO. Ci sono arrivato circa un’ora prima della partenza e ho comprato il mio biglietto direttamente allo sportello.

            Il mio ragionamento per il biglietto fittizio era semplice: Vancouver si trova a poche centinaia di chilometri dalla destinazione del biglietto fittizio, quindi se qualcuno stava in realtà cercando di seguirmi, riuscirei ad ottenere almeno qualche ora mentre viaggiano verso la mia nuova posizione.

            Appena prima del mio volo ho comprato un nuovo telefono Android e una scheda SIM di backup da uno dei distributori automatici BestBuy; la carta SIM era una di quelle mezze fregature da $ 0.30 / MB imprecise e costosissime, ma ho pensato che sarebbe stato bello avere un backup.

            Sull’aereo ho scritto un piano – e una lista della spesa – sul mio taccuino (cartaceo!).

            All’arrivo a Vancouver mi sono reso conto di aver dimenticato di scaricare la mappa di OpenStreetmaps per BC, quindi ho attivato WiFi sul mio telefono un’ultima volta per farlo tramite il WiFi dell’aeroporto.

            Il prossimo compito era noleggiare una macchina. Simile al concetto di acquisto casuale con il computer, ho scelto una mezza dozzina di compagnie di noleggio a caso per massimizzare le mie possibilità di ottenere un’auto “pulita”.

            Auto in mano ho guidato fino al centro di Vancouver. Avevo bisogno di soldi, quindi sono andato alla prima banca che ho trovato e ho ritirato 3 mila dollari canadesi; è troppo facile essere rintracciati tramite carte di credito! Questa è stata la prima volta che ho usato le due GoPro: le ho posizionate sul cruscotto per avere una visione dell’interno e del retro della macchina e una che guarda in avanti. L’idea era che se mi avessero messo delle cimici nella macchina sarebbe stato difficile non venire catturati in video.

            1. Avevo una mappa, purtroppo tuttavia OpenStreetmaps non ha informazioni sui negozi; Non avevo avuto abbastanza tempo la sera prima per pianificare dove andare nel dettaglo. E, naturalmente, ho tenuto il mio telefono in modalità aereo per tutto il tempo. Quindi stavo guidando per lo più a caso e mi fermavo ogni volta che trovavo un negozio che vendeva qualcosa di cui avevo bisogno. In ordine:

                1. Home Depot(NdR Nota catena del luogo) – Set di cacciaviti
                2. Safeway(NdR Nota catena del luogo) – Cibo, bevande, fogli di alluminio, padelle di alluminio
                3. Staples(NdR Nota catena del luogo) – Il computer portatile di calcolo! Zooko mi aveva detto che avevo bisogno di un veloce Intel i7, quindi avrei comprato un nuovo gaming laptop MSI GE62; non ci sono molte scelte quando vuoi un laptop nuovo di zecca con un masterizzatore DVD. Ho comprato anche i supporti DVD-R che ho usato più tardi.
                4. Negozio di laptop usati – Ho comprato un secondo laptop da utilizzare come nodo di rete; l’immagine del disco aveva solo driver ethernet per il networking, quindi ho programmato di utilizzare tre laptop totali, con il mio laptop personale esistente che fungeva da ponte tra il telefono e Ethernet.

              Dopo ciò, mi diressi da Vancouver sulla Trans-Canada Highway, spegnendo completamente il mio telefono e avvolgendolo in un foglio di alluminio intorno a Langley. L’idea qui è che se la modalità aereo non funzionava, volevo mettere una certa distanza tra la mia ultima posizione nota e il punto in cui accendevo il telefono del bruciatore mai acceso.

              Certo, volevo anche avere una scheda SIM migliore rispetto a quella dubbia che avevo preso all’aeroporto … Si stava facendo tardi, così decisi di interrompere finalmente il silenzio radio e dare a Zooko e alla squadra un aggiornamento ad Abbotsford, non lontano da Vancouver come avrei voluto. Oltretutto ad Abbotsford sono finalmente riuscito a comprare un inverter da 120 W decente per alimentare i laptop e gli altri dispositivi in un Canadian Tire.

            2. Ora, se hai prestato attenzione, potresti chiedere cosa ho fatto con il laptop durante tutto questo shopping? Ho fatto affidamento sulle GoPros per osservarlo per me, impostandole per registrare video ogni volta che ho lasciato la macchina. Da un lato, ero l’unico operatore ad allontanarsi dalla stazione; Ricordo che Zooko (?) Menzionò come mise il suo nodo di calcolo nel letto mentre dormiva.

              La mia razionalità per questo era in parte pragmatica: portare con me tre laptop e un sacco di altre apparecchiature come DVD, cavi Ethernet, ecc. e’ scomodissimo e anche imbarazzante; Potrei finire per rompere qualcosa o attirare l’attenzione su tutta la strumentazione.

              C’è anche una ragione più subdola: volevo indurre gli avversari a tentare di manomettere l’equipaggiamento. Indipendentemente da ciò, avrebbero corso un grosso rischio per il semplice fatto che avrebbero dovuto introdursi in macchina per farlo.

              In ogni caso, non avevo scelta: una volta iniziata la cerimonia, i portatili dovevano essere lasciati costantemente in funzione, e non volevo di certo mandare a monte tutto. Probabilmente dovrei lasciarli soli in ogni caso, comunque, per fare cose come pagare per la benzina, devo quindi superare questa paura e fidarmi del sistema di sorveglianza.
              Naturalmente, il lato negativo è che ora ho una pila di filmati di sorveglianza che devono essere attentamente esaminati. Ho fatto un controllo preliminare su tutto, ma dare un’altra occhiata è una buona idea. Stavo anche assumendo un rischio molto grande: se una telecamera non funzionasse per qualche motivo, potrei finire con un buco nella catena di sorveglianza. Ad esempio, quando ho cenato più tardi quella notte, l’illuminazione era abbastanza scarsa, tanto che la telecamera interna non ha avuto una vista eccezionale. Ho visto chiaramente dove ho parcheggiato la macchina, ma non è così convincente come potrebbe essere.

            3. Avevo bisogno di un posto dove stare per la notte. Certo, avrei potuto provare a dormire in macchina, ma fare la cerimonia stanco non mi sembrava una buona idea, in particolare dato che stavo guidando. Inoltre, avevo bisogno di un tavolo per la preparazione tecnica comunque.

              Comunque non volevo dare la mia posizione. Così ho trovato un motel indipendente piuttosto strano in Hope e pagato in contanti. Ho fatto il check-in sotto il mio vero nome – provare a fare altrimenti avrebbe solo attirato  l’attenzione – ma essendo indipendente l’intero processo è stato fatto su carta, quindi non ci sono rischi!

              Speravo di poter parcheggiare l’auto in modo tale da poter prendere il filmato della sorveglianza dalla finestra della stanza, ma non ero in grado di farlo; Ho pensato di trovare un altro motel, ma alla fine ho deciso di non farlo perché stava ancora piovendo forte e stavo diventando piuttosto stanco.

            4. Quella notte al motel finalmente sono riuscito a masterizzare la rete e calcolare i DVD necessari per la cerimonia. L’ho fatto con Tails e ho creato (etichettato) DVD primari e di backup per tutto.

              Una parte delicata di questo era che non volevo accendere l’adattatore WiFi sul mio portatile personale; era un Thinkpad T520, quindi ho usato l’interruttore “modalità aereo” sul lato. La preoccupazione qui è che sarebbe facile carpire dove mi trovavo tramite l’indirizzo MAC di quel laptop; qui in Canada le fughe di Snowden hanno rivelato che il nostro equivalente dell’NSA, CSEC, utilizzava illegalmente gli indirizzi MAC per rintracciare le persone negli aeroporti. Così ho usato una copia di Tails che avevo già sul portatile, e ho fatto il vero download della rete e del nodo di calcolo iso sul T530 appena acquistato.

              L’attività successiva stava modificando il nodo di calcolo. Senza mai avviarlo, ho smontato e rimosso l’adattatore WiFi / Bluetooth, insieme allo storage SSD e HD. Probabilmente avrei dovuto rimuovere il microfono a questo punto, ma non ci ho pensato.

              Dopo averlo rimesso insieme, il nodo di calcolo è stato avviato per la prima volta. Da notare il fatto di averlo acceso per la prima volta solo dopo aver rimosso le interfacce wireless, per evitare che venisse compromesso in modalità wireless.
              Infine, ho avviato il DVD del nodo di calcolo e ho eseguito il test di masterizzazione del DVD, lasciando qui il nodo di calcolo; Non ho chiuso il nodo di calcolo dopo questo punto fino alla fine della cerimonia.

            5. Non mi sono preoccupato di trascinare tutta quell’attrezzatura nel letto con me per la notte, ma ho preso una precauzione contro qualsiasi ninja che cercava di intrufolarsi:

              4

              No, non sto cercando di tenere la porta chiusa; Sto cercando di assicurarmi che se la porta viene aperta, verrò svegliato.

            1. La mattina dopo ho fatto un ultimo pezzetto di preparazione e ho costruito una gabbia di faraday per il nodo di calcolo dalla scatola in cui è arrivata foderandola con un foglio di alluminio.

              Che ci crediate o no, questo è in realtà un modo totalmente legittimo di schermare l’elettronica dall’interferenza esterna e impedire che l’EMI carpisca dati; L’ho usato io stesso occasionalmente nella mia precedente linea di lavoro come progettista di elettronica.

              Prima di tutto, potresti chiederti come l’ho sistemato in una macchina con pneumatici? La risposta è semplice: non e’ necessario. Mi preoccupo solo dei segnali elettromagnetici ad alta frequenza che entrano ed escono dal nodo di calcolo; mettere a terra una gabbia di Faraday è rilevante solo se si sta tentando di proteggere qualcosa da un campo DC statico.

              In secondo luogo, il modo in cui una gabbia di Faraday funziona – e la schermatura RF in generale – è fondamentalmente che il metallo nello scudo “mette in cortocircuito” l’onda elettromagnetica. Specificamente, la componente magnetica dell’onda elettromagnetica fa muovere gli elettroni nel metallo, creando ciò che è noto come corrente parassita. Tuttavia, quella corrente crea anche un campo magnetico, e come succede, quel campo magnetico sarà opposto al primo campo, cancellandoli.

              Quanto migliore è la conduttività dello scudo, tanto più i due campi si annullano. Il problema è che ad alte frequenze come le onde radio, i conduttori non si comportano più come conduttori; se una corrente ad alta frequenza in un buon conduttore è costretta ad andare in un loop, la corrente agirà come se stesse passando attraverso un cattivo conduttore.

              Così ho fatto in modo di comprare il più ampio foglio di alluminio disponibile e ho coperto l’interno della scatola con un foglio in strisce grandi e continue che correvano dall’alto verso il basso in una volta sola. In secondo luogo, mi sono assicurato che ai bordi le due metà superiori e inferiori della scatola a conchiglia si sovrapponessero il più possibile con un adattamento aderente per dare il maggior numero possibile di percorsi per far scorrere corrente tra i bordi. Un rapido controllo con un cellulare ha confermato che la scatola ha almeno schermato con successo sia il cellulare che il WiFi.

            2. Successivamente ho spostato tutto sulla macchina. Questo è stato un po ‘complicato in quanto avevo bisogno di mantenere la sorveglianza sia della stanza che dell’auto, quindi ho lasciato una GoPro nella stanza mentre ho installato la seconda GoPro in macchina, poi ho fatto alcuni viaggi per spostare tutte le apparecchiature elettroniche con i portatili. Si noti che il nodo di calcolo è stato acceso a questo punto, in esecuzione fuori batteria.

              Ecco una foto della configurazione finale. Sedile anteriore:car-front-seatSedile posteriore:car-back-seat

            3. Mentre ero ancora nel parcheggio del motel, dato che avevo la connessione WiFi disponibile nel caso avessi avuto problemi di rete, ho deciso di fare la prima parte della cerimonia e premere invio. In questo modo è stato richiesto di aggiungere ulteriore entropia:

              Digitare una stringa casuale di testo e quindi premere [ENTER] per fornire un'ulteriore entropia.
              Questo è il punto in cui le cose cominano a diventare serie. Mentre non avevo visto il codice sorgente per il processo MPC a quel punto, era ovvio che probabilmente stavo per generare il segreto. E avevo ragione.

              Un potenziale rischio qui è il segreto che è trapelato attraverso le telecamere o qualche altro dispositivo con un microfono, così ho spento le telecamere, nascosto il cellulare e ho dato un’occhiata in giro per vedere se il parcheggio era vuoto. Soddisfatto, ho proceduto a riempire lo schermo con “digitazioni” casuali – per lo più semplicemente schiacciando la tastiera in modo casuale per rendere il suono diverso dalla normale digitazione e il più confuso possibile.

              Ciò ha generato un impegno, che ho poi inserito nel nodo di rete come indicato, “bloccando” il mio ruolo nel MPC.

              È interessante notare che mentre stavo uscendo dal motel notai che qualcun altro era entrato nel parcheggio con un camion e una roulotte ed ha parcheggiato di fronte a me; Tornai indietro per vedere chi fossero. Sembravano gente del posto, quindi me ne sono andato. Anche loro se ne andarono subito dopo e andarono nella direzione opposta.

            4. Avendo elaborato, in realtà avevo praticamente terminato il mio compito per parecchie ore; Avevo programmato di essere l’ultima persona a fare il prossimo passo nel processo, il disco ‘A’. Così ho iniziato a guidare verso nord sulla strada statale 97 in direzione di Merit e ho fatto un giro turistico. Ma prima, gas; è un 120 km senza fermate di servizio:filling-up-in-hopeLungo la strada ho fatto colazione: hope-to-merit-breakfast

              Non è una cattiva vista!hope-to-merit-breakfast-viewQuando sono arrivato, ho approfittato dell’occasione per acquistare alcune schede SD … Questo era in realtà un problema persistente: in realtà non avevo fatto calcoli matematici su quanto spazio avessi bisogno per tutto il filmato della GoPro, non avendoli mai usati. Risulta che è molto! Ho finito col comprare tutte le schede SD di questo negozio, qualcosa che avrei finito per ripetere un paio di volte:

              Ricevuta della scheda Micro SD:

              merritt-sd-cards-receipt

            5. Dopo Merritt mi diressi a nord verso Ashcroft via Logan Lake. Lungo la strada c’è la miniera di rame Highland Valley, attualmente la più grande miniera a cielo aperto in Canada, e una delle più grandi del mondo. Ho fatto una sosta sulla collina che domina la miniera:highland-valley-copper-rest-stopHa un sacco di pannelli carini che parlano dell’ambiente:highland-valley-copper-rest-stop-info-panelsA proposito di ambiente, a pochi minuti lungo la strada si ha una vista molto più interessante: lo stagno di depositi minerari.highland-valley-copper-tailings-pondNon lasciarti ingannare dal bel colore blu: è una ex valle lunga 10 km, larga 2 km e profonda 150 metri che ora è piena di 1,3 miliardi di tonnellate di roccia residua dalla miniera. La diga dietro di me è lunga 3 km, quindi ho pensato che un selfie di YEAH ENGINEERING FUCK fosse appropriato:highland-valley-copper-tailings-pond-selfieLa cosa divertente è che ho pensato che il posto fosse piuttosto familiare … e mi sono ricordato di aver visitato una grande miniera a cielo aperto da bambino. Così ho chiesto ai miei genitori, abbastanza sicuri che fosse la stessa.

            6. highland-valley-copper-cell-receptionNotate come sto ricevendo un segnale, anche se sono nel mezzo del nulla, vicino a uno stagno minerario?

              In realtà, ho mentito prima: questo non sarà un viaggio attraverso le splendide Montagne Rocciose. Questo sarà un viaggio attraverso l’interno della British Columbia. Mentre le montagne rocciose sono belle, hanno due grossi problemi: i turisti e la copertura dei cellulari.

              Quello che voglio veramente per questo viaggio è di essere il più vuoto possibile, di far risaltare qualsiasi aggressore che cerchi di seguirmi, pur avendo una buona copertura di segnale. Questo posto è perfetto per questo perché è un altopiano gigantesco che è francamente un po ‘noioso. Questo significa che c’è poco o nessun traffico turistico, specialmente a fine ottobre, a metà della bassa stagione, e non molte persone si trasferiscono volontariamente lì.

              Tuttavia, poiché non ci sono fastidiose montagne lungo la strada, c’è molta industria, disboscamento, estrazione mineraria, agricoltura, ecc. E poiché i camionisti – ei loro datori di lavoro – amano essere in grado di rimanere in contatto, la copertura è in realtà sorprendentemente buona.

            7. Entrando in Ashcroft, puoi vedere che le cose stanno diventando un po ‘più piatte di quanto normalmente pensi quando pensi alla British Columbiaashcroft Ma è ancora piuttosto carina, così mi sono fermato a un A & W per il pranzo. O per essere precisi, sono andato al loro drive-thru e ho mangiato nel parcheggio panoramico:ashcroft-lunch

            8. Ho proseguito verso nord sull’autostrada 97 e ho fatto un’ultima visita al famoso Chasm Provincial Park:chasm-selfieApparentemente nel momento in cui finalmente riuscii a far entrare me stesso e la valle nella cornice, mi stavo un po ‘annoiando …

            9. Dopo la voragine non ho davvero molte foto. Ecco perché:drive-to-150-mile-houseVedi, quella parte di BC è un posto così noioso che hanno chiamato tutte le città dopo i marcatori del miglio:x-mile-house-map

              È anche il luogo in cui ho inventato il nome “Cypherpunk Desert Bus”
              Guardo il lato positivo, il mio piano stava funzionando bene: ho avuto segnale sul cellulare durante tutto il tragitto!

            10. Finalmente arrivo’ anche il mio turno, ben dopo aver fatto buio. Così mi sono fermato al primo punto di sosta vicino all’, BC e ho scaricato il disco A, proprio di fronte a una dependance:

              disc-a-outhouse

              Una volta fatto cio’ ho aperto la scatola del nodo di calcolo, inserito il DVD, premuto enter per avviare il calcolo e chiuso di nuovo rapidamente il coperchio. Avevo circa 30 minuti prima che il calcolo venisse eseguito, quindi ho iniziato a guidare lungo l’autostrada con le telecamere in funzione.

              Ora, devo ammettere, è stato un po ‘strano sentire finalmente la cerimonia per davvero. Non so esattamente come funzioni la matematica, ma per quanto ne sapevo, nell’improbabile eventualità che qualcuno stesse effettivamente cercando di rubare le chiavi sarei stato nel bel mezzo del nulla, dopo il tramonto, e con l’eventualita’ di essere seguito.
              Così ho deciso di prendere la strada secondaria successiva che ho trovato … e sono entrato direttamente nella struttura australiana CS No. 5 di Spectra Energy Transmission. Non sono abbastanza sicuro di cosa faccia effettivamente questa struttura, qualcosa che riguarda un gasdotto naturale, ma a prescindere, emette continuamente un forte rumore simile a una turbina. Ora non so te, ma ho pensato che fare un giro in un impianto di gas naturale di notte con due GoPros e tre computer portatili potrebbe essere male interpretato, quindi ho trovato un’altra strada laterale vicino ad essa e ho guidato invece verso il basso.

              Anche questa non è stata la migliore idea. Non solo la mia strada laterale si è rivelata passare accanto alla struttura, ma inoltre non era stata utilizzata da anni e, a un certo punto, ho dovuto passare intorno ad un albero caduto:australian-fallen-tree

              Mentre la strada aveva la caratteristica tranquillizzante che probabilmente non stavo sconfinando in proprieta’ privata, ho deciso che la mia credibilita’ in quanto Non-terrorista non ne stesse giovando particolarmente, quindi sono tornato all’autostrada. Guardando il lato positivo, piu’ o meno in questo momento il calcolo è finito, il che significa che sono stato in grado di iniziare a masterizzare il disco B.

              Dopo un’altra gita in fondo a una strada secondaria, questa volta oltre alcune case residenziali, così ho parcheggiato nuovamente per caricare il disco B. E subito mi sono imbattuto in un problema: avrei esaurito il credito sulla mia scheda SIM.

              In realtà, sapevo che si trattava di un rischio e avevo provato a ricaricarla ore prima con Bitrefill[ndr recensione qui]. Il che avrebbe funzionato bene, tranne che quasi tutti i miei BTC erano sul mio laptop … che è stato temporaneamente avviato in Tails e che fungeva da ponte tra il telefono del masterizzatore e il nodo di rete solo Ethernet. Ci avevo messo un bel po’ di tempo per ottenere quella configurazione, quindi piuttosto che riavviarlo avevo cercato di convincere qualcun altro a prestarmi il BTC. E naturalmente, nessuno nel gruppo ne aveva sotto mano!

              A quel punto mi stavo stancando – ed ero potenzialmente sul punto di ritardare tutti gli altri a fare il boot – così ho deciso di ridurre le perdite e usare il mio normale telefono. Il che, naturalmente, avrebbe immediatamente dato la mia posizione a qualsiasi utente malintenzionato con accesso alle celle telefoniche.

              Una sfumatura qui era che non volevo ancora rivelare la mia identità a tutti gli altri membri del team. Stavamo usando la chat di gruppo di Signal per coordinarci e avevo usato la mia SIM Burner per registrarmi. Quindi, per poter continuare a utilizzarlo, ho dovuto anche abilitare l’hotspot WiFi sul mio normale telefono; di solito Signal continua a funzionare con il numero originale se si cambiano le carte SIM, ma non volevo rischiare di incasinare le cose.

            11. In ogni caso, una volta completato il caricamento, ho detto a Zooko che sarei andato in silenzio radio fino al mattino e ho spento entrambi i telefoni per andare a cercare un motel senza essere rintracciato.

              Sfortunatamente non avevo davvero buone opzioni. Potrei stare vicino a Quesnel, a pochi minuti di distanza, o guidare per circa 120 km a nord fino a Prince George, o alla stessa distanza a sud di Williams Lake. E quando ci pensi, tutte le opzioni sono sostanzialmente uguali: ci sono solo una dozzina di posti in cui stare in un raggio di 300 km da Quesnel, quindi qualsiasi attaccante che sapeva quale macchina stavo guidando poteva controllare ogni posto possibile in poche ore .

              Così decisi di andare a Quesnel e di trovare un motel sul lato dell’autostrada a pochi chilometri dal centro. Come la notte precedente, il processo di check-in era basato su metodo cartaceo al 100%; non avevano nemmeno configurato il loro registratore di cassa per stampare il loro nome sulla ricevuta: quesnel-motel-receipt

              Ho portato con cura tutta l’attrezzatura per la notte, lasciandola sul letto. Curiosamente, la stanza era enorme, probabilmente la camera più grande in cui sia mai stato, e la più economica:quesnel-motel-insideHo anche impostato il mio allarme anti-ninja:quesnel-motel-anti-ninja-alarm

              A differenza della notte precedente, sono stato in grado di appartarmi nella finestra lato frontale della stanza, permettendomi di impostare una GoPro in modalità timelapse con una vista della macchina:quesnel-motel-car-camSono andato a letto alle 21:30; abbastanza presto, quindi non mi sono preoccupato di impostare la mia sveglia.

          6. … e abbastanza sicuro, ho dormito per quasi 12 ore; Mi sarei dovuto aspettare che sarebbe successo dato che nelle ultime tre notti non avevo quasi dormito. In ogni caso, ho spostato rapidamente tutto in macchina, restituito le chiavi della camera e ho iniziato a guidare.

              1. Una volta arrivato a Quesnel, ho trovato una strada residenziale e finalmente ho acceso il mio cellulare, e ho scoperto che non solo era il mio turno, tutti si erano chiesti dove fossi stato nell’ultima ora e mezza. Così ho ricollegato tutto mentre ero nascosto vicino a una chiesa con un cavallo davanti:quesnel-church-horse

                Una volta terminato il download, e il DVD stava scrivendo, ho ricominciato a guidare. Mi sono fermato in quella che sembrava una specie di stazione di rifornimento di camion d’acqua accanto a uno svincolo autostradale:water-refill-stationNon era un brutto posto in realtà: ero praticamente nel bel mezzo di un grande campo, e sicuramente nessuno era vicino al nodo di calcolo. È qui che ho effettivamente spostato il disco C sul nodo di calcolo e ho iniziato.

                Ci si aspettava che il disco C impiegasse 90 minuti per il completamento – il più lungo dei tre – quindi una volta ottenuto il nodo di calcolo su di esso ho iniziato a guidare verso Prince George. Anche se ho fatto una breve deviazione alla Cariboo Pulp & Paper Mill nelle vicinanze prima: cariboo-pulp-and-paper

                Ho fatto anche alcuni grandi giri attraverso le strade rurali a nord di Quesnel, compreso un viaggio fino alla fine della strada vicino a Ten Mile Lake (sì, ancora un altro nome X Mile …). Una volta terminato il calcolo, mi sono fermato in un posto di ristoro nel bel mezzo del nulla da Hush Lake per caricare il DVD … e sono stato rinfrancato da quanto velocemente è andato. Ecco la vista seduta di Hush Lake: hush-lakeCompletamente vuoto tranne le rocce, gli alberi … e un grande ripetitore per cellulari a un chilometro a nord da me. Presumibilmente, è stato così veloce perché ero l’unica persona che lo usava!

              2. Con il disco D caricato ho avuto alcune ore prima del prossimo e ultimo round. Così mi sono diretto verso il Prince George e ho fatto la mia cosa preferita: visite turistiche industriali. Dietro di me ci sono tre cartiere, una raffineria di petrolio, un impianto chimico e un grande scalo ferroviario, tra le altre cose. prince-george-selfie

                Ho avuto un paio d’ore da sfruttare, quindi ho deciso di capire come fare delle belle foto aa tutto quanto. Non sono riuscito a trovare un buon angolo che mostrasse in realtà le enormi dimensioni degli impianti industriali della città. Ma ho capito una cosa, è molto più facile se non sei in mezzo alla foto:

              3. Alla fine il mio turno finalmente si avvicinò. Quindi mi diressi leggermente a nord di Prince George, nella zona rurale appena fuori dal centro della città. Ho masterizzato i DVD accanto a un grande deposito di cassette postali: prince-george-disc-e-mailboxesCome al solito, una volta iniziato il calcolo, sono partito. Il disco avrebbe dovuto impiegare solo 15 minuti, quindi mi sono fermato di nuovo vicino casa di qualcuno per masterizzare il disco finale, il disco F, e caricarlo … e poi la mia connessione Internet ha smesso di funzionare. Il che era particolarmente strano, dal momento che il mio telefono non mostrava alcun problema di segnale, e funzionava perfettamente fino al momento in cui ha smesso.

                Così sono tornato alle caselle di posta in cui ero appena stato, un posto dove stavo usando la connessione internet, e ho provato di nuovo … e ha funzionato brevemente, solo per smettere di funzionare di nuovo un minuto o due dopo.

                Ora, tieni presente che stavo caricando l’ultimo disco per l’intera cerimonia; una volta finito, sarebbe stata fatta. Come ha detto Zooko mentre stavo cercando di connettermi

                Dove diavolo sei e che tipo di precauzioni di sicurezza hai preso?

                Alla fine mi arresi e tornai al centro di Prince George – nel peggiore dei casi usavo il WiFi al Tim Horton. Alla fine sono entrato nel parcheggio del centro visitatori, Internet ha ricominciato a funzionare e il caricamento è terminato:

                SUCCESSO! CERIMONIA COMPLETA!

                Dopo aver confermato tutto un’ultima volta ho finalmente spento il nodo di calcolo, (si spera!) Distruggendo per sempre il “rifiuto tossico crittografico”.

                Certo, non ero ancora finito; la cerimonia non valeva molto se avessi perso il filmato della sorveglianza seduto su una grande pila di schede micro SD. Così ho trovato lo Staples più vicino e ho comprato due hard disk esterni per iniziare a fare copie.

                Avevo anche bisogno di tornare a Vancouver, ed ero stufo di altipiani. Con il sole che tramonta ho trascorso il resto della giornata guidando verso McBride attraverso la molto più panoramica autostrada 16:drive-to-mcbride

          7. Quindi una domanda interessante è che cosa dovresti fare con l’hardware del nodo di calcolo dopo che la cerimonia è finita?

            Se tutto ha funzionato come pianificato, spegnere il nodo di calcolo avrebbe dovuto distruggere per sempre i segreti; i segreti avrebbero dovuto essere conservati solo nella RAM e mai scritti in nessun tipo di memoria non volatile.

            D’altra parte, se le cose non funzionassero come previsto, potrebbe esserci un segreto ancora archiviato in una sorta di memoria non volatile. È possibile, anche se improbabile, che un utente malintenzionato sia in grado di fare un backdoor nel sistema in qualche modo, ma non è stato in grado di estrarre i dati. Ad esempio, un utente malintenzionato che è stato in grado di compromettere il nodo di calcolo tramite un exploit dopo gli impegni iniziali potrebbe non avere alcun modo di esfiltrare il segreto diverso dal ripristino dell’hardware effettivo.

            Quindi ho sostenuto che alcune stazioni dovrebbero distruggere completamente i loro nodi di calcolo, mentre altre stazioni dovrebbero conservarle come prova per una successiva valutazione forense. Ho anche sostenuto che le stazioni con la più alta probabilità di compromesso dovrebbero essere quelle che hanno mantenuto i loro nodi, per massimizzare le probabilità che un attacco venga rilevato.

            Con tutte le precauzioni che ho preso, pensavo che un attacco di successo alla mia postazione fosse meno probabile di altri, quindi ho deciso di distruggere completamente l’hardware.

            1. Sfortunatamente, non è molto facile. Il problema è essenzialmente che i bit sono incredibilmente piccoli: è possibile tagliare un chip di memoria flash per renderlo inutilizzabile, ma farlo non distruggerà effettivamente i dati su di esso; in teoria un attaccante avanzato poteva ancora leggere i dati dal chip riattaccando i fili nei punti giusti. Certo, sarà incredibilmente difficile e costoso, ma stiamo parlando di un segreto che potrebbe potenzialmente valere miliardi di dollari in futuro.

              La memoria EEPROM e Flash funzionano entrambi intrappolando elettroni; se riscaldi abbastanza il silicio smette di agire come un semiconduttore e la conduttività aumenta, permettendo agli elettroni intrappolati di sfuggire (tra le altre cose). O almeno, questo è ciò che capisco: non sono un ingegnere di semiconduttori!

              Quindi questo significa che ho appena buttato il portatile in un falò, giusto? Beh no. Per i principianti, sapevo che tutto questo sarebbe diventato pubblico, quindi sarei stato intelligente nel capire quali fossero le regole e i regolamenti, e seguirli:

              Ho controllato il sito web del governo della BC per stabilire se erano in vigore divieti di fuoco. Ho anche recensito il loro opuscolo “Backyard & Industrial Burning” e “Ministry of the Environment Burning Requirements” su quello stesso sito. Considerando quest’ultimo, ho deciso di non “bruciare” il portatile, ma piuttosto di riscaldarne le componenti rilevanti fino al punto in cui tutte le informazioni sarebbero irrecuperabili.

              Ho controllato che il portatile fosse conforme alla normativa RoHS. Ciò significa che nella sua costruzione non sono stati utilizzati piombo o altri materiali tossici.

              Ho comprato una torcia a propano, un respiratore e un estintore e una grande padella di metallo.

              Ho guidato fino a una radura. E ho trovato una parte dove il terriccio era stato completamente rimosso lasciando solo una grande fossa sabbiosa. Penso che l’abbiano usato per allestire il loro campo o qualcosa del genere – c’era anche un mucchio di spazzatura e segni di fuochi precedentiHo completamente smontato il laptop e separato tutti i componenti elettronici e non elettronici (in particolare, questo significa che tutti i componenti in plastica sono stati rimossi). Mentre tecnicamente “elettronico”, ho rimosso le celle della batteria al litio dall’elettronica di controllo della batteria nel pacco batteria – non avevo voglia di avviare un incendio al litio!

              Con il respiratore acceso e le telecamere in funzione, i componenti elettronici sono stati tutti messi in quella grande teglia di metallo, e la fiamma ossidrica è stata utilizzata per scaldare metodicamente l’elettronica completamente pezzo per pezzo fino a quando tutto era annerito. Questo è stato fatto interamente nella padella di metallo, in uno scenario piuttosto assurdo:

              compute-node-remains

              Se qualcuno può recuperare i dati da questi chip RAM, ne rimarrei molto colpito:compute-node-ram-remains

              Alla fine, tutta l’elettronica è stata rimossa dal sito. Dopo li ho insaccati tutti per conservarli come prova; a parte le celle della batteria al litio, non ho ancora gettato alcuna parte del portatile.

          8. Allora, cosa c’e’ dopo? c’e’ ancora molto da fare!

            Per me personalmente, dopo aver finalmente distrutto il nodo di calcolo, ho sigillato tutte le prove lasciate in sospeso – i DVD, l’elettronica utilizzata, la scatola schermata per il nodo di calcolo, ecc. – per future analisi forensi. Posso pensare a un sacco di domande da porre, e sono sicuro che altri hanno domande a cui non ho pensato.

            Ho anche avuto ore di riprese video e foto che ho bisogno di decidere se e come rilasciare con una potenziale privacy e forse anche problemi legali a cui pensare.

            Ci sono anche lezioni da imparare: sono andato alla cerimonia sapendo molto poco e non avendo mai fatto niente del genere. Se la gente fa uso di zk-SNARKs, nel prossimo futuro finiremo per fare più di queste pazze cerimonie, quindi speriamo di poter fare un lavoro migliore la prossima volta.

            Dopotutto, la prossima volta, piuttosto che solo a livello teorico ci potrebbero essere anche a livello pratico centinaia di milioni di dollari in gioco; avremo bisogno di milgiorare le regole del nostro gioco.

          9. https://www.extremetech.com/extreme/226240-sk-hynix-highlights-the-huge-size-advantage-of-hbm-over-gddr5-memory

            http://www.s3.eurecom.fr/docs/acsac13_zaddach.pdf

            https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

            http://www.spiegel.de/media/media-35661.pdf

            Sufficientemente mondo reale che hanno anche portato a più CVE, come CVE-2014-3591

            http://www.cs.tau.ac.il/~tromer/papers/radioexp.pdf

            http://www.cs.tau.ac.il/~tromer/papers/acoustic-20131218.pdf


    Traduzione integrale dell’articolo, ora non più presente, sul blog di Peter Todd https://petertodd.org/2016/cypherpunk-desert-bus-zcash-trusted-setup-ceremony:

    NdT: Non sono un traduttore di professione per cui perdonate eventuali errori sopratutto in termini troppo tecnici. Grazie per la lettura

Navigazione multiarticolo<< Zcash e la cerimonia – Riassunto completo

Accedi per lasciare un commento

Non perdere i nuovi articoli e le opportunità sulle criptovalute. Iscriviti alla newsletter!
Iscrizione