La « construction » du logiciel Bitcoin est devenue un BIT plus risquée

Que cela nous plaise ou non, il y a un BIT de confiance impliquée dans le processus de configuration, ou de « compilation », du logiciel au cœur du Bitcoin – mais un récent changement de code pourrait aider.

Grâce au logiciel de conteneur Guix, le code a récemment été intégré à l'implémentation Bitcoin la plus populaire, Bitcoin CORE, ce qui signifie qu'il est désormais prêt à être testé par de vrais utilisateurs. Ce changement pourrait contribuer à limiter la confiance dans le code téléchargé depuis le système d'exploitation Ubuntu pendant le processus de développement.

« Cela a été un sacré voyage, mais le support #Guix pour les builds Bitcoin CORE déterministes et bootstrappables a atterri dans master », a déclaré le principal développeur derrière le projet, Carl Dong,tweetéle mois dernier.

Pour ce processus de construction, certaines protections sont déjà intégrées. Lors du téléchargement de Bitcoin CORE depuis Bitcoin.org, de nombreux développeurs utilisent un processus appelé Gitian pour créer des builds dites « reproductibles », ce qui permet aux développeurs de vérifier que les binaires qui leur sont distribués sont la bonne version qu'ils souhaitent télécharger - et non une réplique avec une porte dérobée Secret intégrée au logiciel, par exemple, pour voler des bitcoins.

Mais Dong affirme que cela n'est pas suffisant en termes de sécurité du processus de construction, comme il l'a détaillé.dans une présentation sur le sujet lors de la conférence Breaking Bitcoin à Amsterdam.

Grâce à ce processus Gitian, le code est converti en un code compréhensible par un ordinateur. Ainsi, les utilisateurs peuvent ignorer qu'ils téléchargent du code depuis le système d'exploitation Ubuntu et lui faire confiance.

Dong a déclaré à CoinDesk:

Actuellement, Ubuntu (ou quiconque accède à ses clés de signature) influence à la fois la disponibilité et la sécurité des binaires de Bitcoin Core. À long terme, se fier à des téléchargements binaires opaques et non vérifiables provenant de tiers comme Ubuntu semble être une catastrophe.

Plus de désillusion

À cause de cela, lorsqu'il a parcouru tout le processus de « construction reproductible » il y a quelques années, Dong a déclaré à CoinDesk qu'il était devenu « désillusionné » par le processus de construction de Bitcoin.

Il a découvert qu'il n'était T le ONE, et une fois qu'il a rejoint Chaincode Labs, un centre de développement de protocole Bitcoin à New York, le projet a pris son envol, avec l'aide La rédaction de Bitcoin CORE Russ Yanofsky et Cory Fields, entre autres La rédaction actifs du logiciel Bitcoin CORE .

Il a finalement décidé que la solution consistait à minimiser autant que possible la confiance accordée à ces binaires et à faciliter le suivi de leur provenance exacte.

« Lorsque nous utilisons Guix pour créer notre chaîne d'outils, nous pouvons vérifier la manière dont chaque outil de notre chaîne d'outils a été créé et les démarrer facilement à partir d'un ensemble minimal de binaires de confiance », a déclaré Dong dans son discours Breaking Bitcoin .

Cela ne veut pas dire que cela éradique complètement la confiance, a déclaré Dong, « malheureusement, c'est une tâche quelque peu irréalisable de supprimer complètement les tiers de confiance du processus de construction », mais, a-t-il soutenu, cela aide certainement.

« Nous obtenons une bien meilleure auditabilité de notre chaîne d'outils fournie par des tiers. L'utilisation de Guix dans ce projet nous offre une visibilité sans précédent sur notre ensemble de binaires de confiance et sur la manière dont nous en dérivons l'environnement de développement de Bitcoin Core », a-t-il poursuivi.

Quelle est la prochaine étape

Pour l'instant, ce changement est disponible pour les utilisateurs du système d'exploitation Linux. Dong et d'autres travaillent actuellement à son application pour les utilisateurs Windows et Mac.

« C'était une première étape importante et cela devrait constituer une bonne alternative à la construction en Gitian. De nombreuses améliorations liées à Guix sont déjà en préparation. Je suis optimiste quant à leur impact sur la version 0.19.0. »tweeté Michael Ford, contributeur de Bitcoin CORE, qui a récemment été nomméun mainteneur du logiciel.

Sans oublier que Dong a l’intention de rendre ces versions reproductibles dans le temps.

« Si cela fonctionne, cela signifie que les futurs développeurs de Bitcoin CORE pourront créer des versions antérieures de Bitcoin CORE et produire des binaires identiques bit à bit à leur version initiale. Cette reproductibilité dans le temps nous permet de recréer le comportement exact des versions précédentes, ce qui est précieux pour les tests et le débogage », a-t-il déclaré.

Et, même s'il s'agit d'un changement plutôt technique qui peut sembler obscur, les développeurs félicitent Dong pour son travail visant à rendre le Bitcoin plus sûr.

« De telles innovations sont souvent invisibles pour les consommateurs et les investisseurs, mais elles constituent sans aucun doute la raison pour laquelle le Bitcoin est si loin devant. » tweetéDavid Vorick, cofondateur et développeur principal de Sia.

Développeur Bitcoin Cory Fields via les archives CoinDesk