«Створення» програмного забезпечення для біткойнів стало BIT ненадійним

Подобається це чи ні, у процес налаштування або «компіляції» програмного забезпечення, яке лежить в основі Bitcoin , є BIT довіри, але нещодавня зміна коду може допомогти.

Завдяки контейнерному програмному забезпеченню Guix, код нещодавно було об’єднано в найпопулярнішу реалізацію Bitcoin , Bitcoin CORE, тобто тепер він готовий для випробування реальними користувачами. Ця зміна може допомогти обмежити довіру до коду, завантаженого з операційної системи Ubuntu під час процесу створення.

«Це була справжня подорож, але підтримка #Guix для детермінованих, завантажувальних збірок Bitcoin CORE стала головною», — головний розробник проекту, Карл Донг,твітнув минулого місяця.

Для цього процесу створення вже є деякі вбудовані засоби захисту. Завантажуючи Bitcoin CORE з Bitcoin.org, багато розробників використовують процес під назвою Gitian для створення так званих «відтворюваних» збірок, які дозволяють розробникам подвійно перевірити, що двійкові файли, які їм розповсюджуються, є правильною версією, яку вони хочуть завантажити, а не копією із Secret бекдором, вбудованим у програмне забезпечення, скажімо, для крадіжки біткойнів.

Але Донг стверджує, що цього недостатньо з точки зору безпеки процесу будівництва, як він детально зазначив у презентації на цю тему на конференції Breaking Bitcoin в Амстердамі.

Завдяки цьому процесу Gitian код перетворюється на те, що зрозуміє комп’ютер. Через це користувачі можуть не помітити, що вони завантажують код з операційної системи Ubuntu, і фактично довіряти їм.

Донг сказав CoinDesk:

«Наразі Ubuntu (або той, хто отримує доступ до ключів підпису Ubuntu) впливає як на доступність, так і на безпеку вихідних двійкових файлів Bitcoin Core. У довгостроковій перспективі довіра до неперевірених, непрозорих двійкових завантажень від третіх сторін, таких як Ubuntu, здається рецептом катастрофи».

Більше не розчарований

У зв’язку з цим кілька років тому Донг сказав CoinDesk , що «розчарувався» в процесі створення біткойна.

Він виявив, що він T ONE, і як тільки він приєднався до Chaincode Labs, центру розробки протоколу Bitcoin у Нью-Йорку, проект запустився, отримавши допомогу від Автори Bitcoin CORE Расса Янофскі та Корі Філдса, серед інших активних Автори програмного забезпечення Bitcoin CORE .

Зрештою він вирішив, що рішення полягає в тому, щоб мінімізувати довіру до цих двійкових файлів, наскільки це можливо. І щоб було легше відстежувати, звідки саме беруться ці двійкові файли.

«Коли ми використовуємо Guix для створення нашого інструментального ланцюга, ми можемо перевіряти, як кожен інструмент у нашому інструментальному ланцюзі був побудований, і легко завантажувати їх із мінімального набору довірених двійкових файлів», — сказав Донг у своїй доповіді «Злам Bitcoin» .

Це не означає, що це повністю знищує довіру, сказав Донг, «на жаль, повністю вилучити довірених третіх сторін із процесу збирання є дещо нездійсненним завданням», але, як він стверджував, це точно допомагає.

«Чого ми досягли, так це набагато кращої можливості перевірки нашого стороннього ланцюжка інструментів. Використання Guix у цьому проекті дозволяє нам мати безпрецедентну видимість того, що таке наш набір довірених двійкових файлів, і як ми отримуємо з нього середовище побудови Bitcoin Core», — продовжив він.

Що далі

Наразі ця зміна доступна користувачам операційної системи Linux. Донг та інші працюють над тим, щоб зміни також запрацювали для користувачів Windows і Mac.

«Це був великий перший крок, і він повинен стати хорошою альтернативою створенню Gitian. Багато вдосконалень, пов’язаних з Guix, уже в розробці. Я оптимістично налаштований, що це зіграє роль у випуску 0.19.0», твітнув Співавтор Bitcoin CORE Майкл Форд, який нещодавно був названий супроводжувач програмного забезпечення.

Не кажучи вже про те, що Донг планує зробити ці збірки відтворюваними з часом.

«Якщо це спрацює, це означає, що майбутні розробники Bitcoin CORE зможуть створювати попередні версії Bitcoin CORE і виробляти двійкові файли, які біт-в-біт ідентичні тому, що вони були випущені. Така відтворюваність у часі дозволяє нам відтворити точну поведінку попередніх версій, що є цінним для цілей тестування та налагодження», — сказав він.

І хоча це досить технічна зміна, яка може здатися загадковою, розробники хвалять Донга за його роботу, спрямовану на підвищення безпеки Bitcoin .

«Подібні інновації часто непомітні для споживачів та інвестиційних спільнот, але це, безперечно, причина того, чому Bitcoin так далеко попереду», твітнув Співзасновник і провідний розробник Sia Девід Ворік.

Розробник Bitcoin Корі Філдс через архіви CoinDesk