Pagamentos amigáveis aos comerciantes: menos que perfeitos, mas melhores do que antes

O Bitcoin precisa passar por uma reformulação em seu mecanismo de pagamento para torná-lo mais amigável aos comerciantes, mas a equipe CORE de desenvolvimento está trabalhando com um sistema imperfeito, eles dizem.

A ideia básica por trás doRequest de pagamento iniciativa é dar ao Bitcoin um mecanismo para enviar pagamentos verificados diretamente entre pessoas. Isso T tira as transações do blockchain, mas fornece uma camada extra de segurança entre o comerciante e o cliente. Também torna os pagamentos mais fáceis de usar.

O problema com os pagamentos em Bitcoin

No sistema de pagamento tradicional de Bitcoin , os bitcoins são enviados colando manualmente um endereço alfanumérico longo e sem sentido em um cliente Bitcoin . Alguns clientes permitem que códigos QR de endereços sejam escaneados.

“É ótimo tecnicamente, mas LOOKS um macaco batendo em um teclado para uma pessoa comum”, diz o desenvolvedor CORE Jeff Garzik. Além de ser difícil para o leigo médio entender ou usar, o formato de endereço gobbledygook torna vários ataques possíveis. “Por exemplo, você T sabe se o endereço Bitcoin que eu dei a você é realmente meu”, ele ressalta.

Há o perigo de que o endereço seja impreciso ou simplesmente fraudulento. Eu poderia fingir ser um comerciante legítimo conhecido online ou talvez enviar um ataque de phishing pedindo dinheiro. Se você caísse no golpe e me pagasse, seu dinheiro teria sumido. Afinal, os pagamentos em Bitcoin são irreversíveis.

O outro problema com os pagamentos de Bitcoin existentes é que, embora sejam registrados permanentemente no blockchain, não são fáceis de documentar quando estão acontecendo. Não há metadados codificados nas próprias informações de pagamento que digam para que servem. Nem há informações sobre um endereço de retorno para fins de reembolso. Quaisquer reembolsos devem ser organizados separadamente. E se você quiser confirmar imediatamente que seu pagamento de Bitcoin chegou ao destinatário, precisará obter uma confirmação separada deles.

Uma maneira melhor

Tudo isso pode ter parecido razoável em 2009, mas as coisas mudaram. Precisamos de algo mais robusto agora, argumenta Pieter Wuille, um dos sete CORE desenvolvedores do Bitcoin. “Em quase todos os casos, você já está visitando o site do comerciante para fazer um pedido. É bem estranho que agora estejamos contando com a rede peer-to-peer (lenta, não confiável, cara e inflexível) para enviar o pagamento a ele, enquanto poderíamos simplesmente enviá-lo diretamente (mais rápido, mais barato, capacidade de adicionar metadados à transação e, o mais importante, uma confirmação instantânea do comerciante de que ele o recebeu).”

O mecanismo de Solicitações de Pagamento tentará fazer exatamente isso. Em vez de ter que enviar pagamentos para um endereço Bitcoin incômodo, alguém que queira pagar por algo em bitcoins pode simplesmente esperar que uma Request seja enviada por e-mail pelo comerciante ou atendida por meio de um site. O cliente Bitcoin do cliente usa as informações contidas na Request de Pagamento para fazer um pagamento, tornando o processo de pagamento mais seguro.

As solicitações de pagamento usam certificados digitais para tentar resolver o problema, da mesma forma que os sites os usam para provar que os sites são de propriedade e operados pelos verdadeiros donos de uma empresa.

Nos velhos tempos sombrios da Internet, era fácil visitar um site que você pensava ser de propriedade de uma determinada empresa (www.microsoft.com, por exemplo) apenas para acabar em um site fraudulento administrado por um golpista (talvez www.m1cros0ft.com). Muitas pessoas ficaram vulneráveis ​​a ataques de phishing graças a essa falha. Então, a indústria introduziu certificados digitais. Os sites forneceriam esses certificados, que eram obtidos de empresas terceirizadas confiáveis, chamadas autoridades de certificação. Os navegadores procurariam os certificados e exibiriam um erro se T os encontrassem.

Certificados digitais em pagamentos de Bitcoin

Os desenvolvedores CORE querem usar a mesma premissa básica para pagamentos. Um comerciante enviará uma Request de pagamento ao cliente, assinada com um certificado digital. Pode incluir informações como uma data de expiração para o pagamento, dados específicos do comerciante, como um número de fatura, uma nota de texto simples e uma URL para enviar o pagamento. Nenhuma dessas informações estava disponível em um pagamento padrão de Bitcoin antes, porque T havia uma Request de pagamento. O cliente simplesmente enviaria bitcoins para o éter, esperando que estivessem pousando com a pessoa certa.

No novo sistema, o cliente enviará seu pagamento ao comerciante, codificado com informações extras, incluindo algumas das informações da Request de pagamento como referência, juntamente com um endereço de reembolso caso o comerciante precise enviar fundos de volta.

É tudo muito adulto, e algo que o Bitcoin precisa há muito tempo, e é por isso que está na prancheta há um ou dois anos. Mas o sistema no qual ele será construído está longe de ser perfeito, admitem os desenvolvedores CORE .

Aumento de velocidade de segurança do SSL

Certificados são difíceis de fazer bem. O que acontece se um certificado for fraudulento, como aconteceuaqui,aqui, e aqui? O que acontece se um certificado for revogado?

“Em geral, a infraestrutura de confiança de chave pública é um problema muito difícil, e não há uma solução mágica para isso, infelizmente. O SSL PKI é meio que o pior sistema existente, depois de todos os outros”, admite Wuille.

SSL é o nome coloquial para X.509, o padrão de certificado que será usado para o mecanismo de Request de pagamento. Especialistas o criticam há muito tempo por suas falhas. Dan Kaminsky e Moxie Marlinspike são semideuses no negócio de segurança. Eles explodiu a tampaVulnerabilidades de segurança X.509 na infame conferência de hackers Defcon em 2009.

Outros problemas com o X.509 incluem a revogação de certificados. Os certificados podem ser revogados por vários motivos, incluindo detentores de certificados fornecendo documentos falsos ou fazendo outras coisas enganosas online. O X.509 usa um sistema chamado Online Certificate Status Protocol (OCSP) para ver quais certificados foram revogados.

“O consenso entre os especialistas é que o sistema de revogação de certificado (OCSP) T funciona”, diz o desenvolvedor líder Gavin Andresen. “Simplesmente T há incentivos fortes o suficiente para que as autoridades de certificação invistam na infraestrutura para dar suporte a milhões de usuários constantemente consultando seus servidores OCSP e perguntando 'Este certificado foi revogado? Não? Que tal agora?'.”

Adoção vs segurança

Então, pelo menos dois dos sete desenvolvedores CORE admitem que o X.509 tem rachaduras. Por que eles o estão usando? Goste ou não, praticamente toda a Internet usa SSL e, na prática, os desenvolvedores CORE T têm escolha nisso. Se você é um comerciante online, provavelmente tem um certificado SSL. Mesmo que a equipe de desenvolvimento CORE tivesse a capacidade de lidar com o problema da infraestrutura de chave pública e construir uma ratoeira melhor, eles teriam que fazer as pessoas usá-la. Já é uma luta suficiente fazer com que os comerciantes se interessem pelo Bitcoin em primeiro lugar, sem fazê-los registrar outro certificado novamente.

Nada em tecnologia é perfeito e, como Andresen diz, comerciantes baseados na web também T confiam no OCSP na prática. O X.509 ainda é mais seguro do que os endereços Bitcoin em uso hoje. Qualquer passo à frente é melhor do que nada.

Os benefícios das Solicitações de Pagamento

Um melhor mecanismo de pagamento traria benefícios significativos para o Bitcoin. Os aprimoramentos na experiência do usuário T devem ser subestimados. Um dia, Andresen gostaria de ver os endereços de Bitcoin usados ​​atualmente desaparecerem para sempre. “Espero que, eventualmente”, ele diz. “Endereços de Bitcoin não são muito amigáveis ​​ao usuário.”

Os endereços de Bitcoin T serão oficialmente descontinuados, diz o desenvolvedor CORE Nils Schneider, mas eles podem muito bem ser menos usados ​​ao lidar com comerciantes, especialmente considerando que atualmente eles têm que gerar endereços Bitcoin separados para cada transação.

“A partir de agora, usar um endereço diferente para cada transação é a maneira preferida de KEEP as transações separadas. Isso significa criar e armazenar uma chave privada para cada transação”, ele explica. “Com solicitações de pagamento, você pode usar a mesma chave várias vezes e ainda ser capaz de diferenciar transações diferentes e saber qual cliente enviou o dinheiro.”

Há muita infraestrutura já construída em endereços Bitcoin padrão, diz Wuille. É muita inércia para lidar. Mas ele espera que a experiência superior do cliente faça valer a pena. “Vamos nos concentrar em tentar fazer com que as transações de e-business o usem primeiro, e veremos sobre o resto.”

Então, quando é provável que tudo isso aconteça? Os desenvolvedores CORE T estão se comprometendo muito. Eles estão mirando em solicitações de pagamento no Bitcoin v0.9, mas não é uma certeza, diz Wuille. “Fazemos lançamentos sempre que necessário. Caso haja uma atualização de segurança importante, pode haver novos lançamentos da série 0.8.x antes do 0.9”, ele diz. “O plano é ter suporte ao protocolo de pagamento no 0.9, mas se isso precisar de atrasos significativos e inesperados, talvez o 0.9 possa ser lançado sem.”

As solicitações de pagamento podem enfrentar seus desafios, mas são boas para o Bitcoin e é uma jogada ousada de uma equipe de desenvolvimento notoriamente conservadora. Qualquer coisa que possa tornar o processo de envio de Criptomoeda entre as partes mais seguro e eficaz será uma coisa boa.