Koen Maris spiega alcuni concetti di sicurezza del seme (seed) IOTA e come tenerlo al sicuro.

Nel mondo di oggi, la sicurezza è fondamentale per mantenere il controllo delle nostre proprietà, sia fisiche che virtuali. La sicurezza informatica è fondamentale per proteggerci, salvaguardare la nostra integrità ed evitare la divulgazione di dati indesiderati. IOTA offre robuste misure di sicurezza informatica sull’integrità e la riservatezza dei dati, ed è persino una prova futura contro gli attacchi quantici. Mentre queste caratteristiche di sicurezza tecnologica rappresentano un importante vantaggio nell’utilizzo della crittografia a chiave pubblica/privata, le chiavi stesse si basano su più misure di sicurezza “umane”. È quest’ultimo tipo di sicurezza che è più frequentemente l’anello debole.

Verso la fine del 2017 inizio 2018, un gran numero di utenti sfortunati è caduto vittima di un attacco contro la comunità IOTA. Gli aggressori in questa istanza hanno identificato correttamente questo “elemento umano” come l’anello debole. Utilizzando un sito Web di phishing ben fatto che sembrava essere un generatore legittimo di seme IOTA, sono stati in grado di raccogliere un gran numero di semi per un lungo periodo di tempo. Hanno sfruttato la fiducia della comunità e hanno dedicato tempo ad ottimizzare attentamente la pagina per apparire per primi nei risultati dei motori di ricerca, legittimando ulteriormente la loro truffa agli occhi degli ignari membri della comunità.

Sfortunatamente, questo non è il primo né sarà l’ultima volta che tale truffa viene perpetrata contro lo IOTA o le tecnologie del libro mastro digitale in senso più ampio. Tuttavia, ci sono alcune cose che puoi fare per tenervi al sicuro, il primo e principale di questi è mantenere sicuri i vostri segreti.

Esiste un solo modo per “provare” la proprietà di un indirizzo IOTA, e cioè spendere da esso. Per passare da un indirizzo, è sufficiente conoscere il seme da cui ha avuto origine l’indirizzo. I punti chiave di questi fatti sono:

  • Spendere i token IOTA è una prova di proprietà*
  • Se il tuo seme è compromesso in qualsiasi modo, i token nel tuo portafoglio sono spariti.

Per inserire i termini più semplici possibili: tratta il seme come se fosse l’unica chiave per la tua cassaforte. Chiunque detiene la chiave ha accesso diretto al contenuto della cassaforte. C’è un idioma inglese comune che dice “il possesso è 9/10 della legge”. In IOTA (ed in effetti, la maggior parte delle DLT), il possesso è la legge.**

Creare un seme, in sicurezza

Prima di tutto, non creare il tuo seme su un sito web semplicemente perché appare in alto in un elenco di risultati di ricerca. Meglio ancora, non utilizzare un generatore di semi online, punto.

La scelta di un seme è un processo semplice, in teoria: scrivere in modo casuale lettere maiuscole (A-Z) e il numero 9 su un pezzo di carta finché non sono stati scritti 81 caratteri.

Sfortunatamente, gli umani sono generalmente inadatti nel scegliere le cose a caso, quindi possiamo usare alcuni strumenti per aumentare la casualità del nostro seme. Se sei su Linux o MacOS, sei fortunato! Creare un seed in modo sicuro e sicuro su Linux o MacOS richiede solo un singolo comando da terminale. Se non ti senti a tuo agio con il terminale, non ti preoccupare, devi solo copiare e incollare un singolo comando per creare il seme.

Linux:
cat /dev/urandom |tr -dc A-Z9|head -c${1:-81}

Mac OSX:
cat /dev/urandom |LC_ALL=C tr -dc ‘A-Z9’ | fold -w 81 | head -n 1

Ricorda, il tuo seme IOTA è la chiave della cassaforte e si dovrebbe sempre fare un passo aggiuntivo per assicurarci che la chiave sia sicura. Copia il tuo seme da qualche parte in sicurezza (come un database di password crittografato, ad esempio KeePass), e dopo averlo copiato, cambia casualmente almeno 10 lettere (ricorda: maiuscolo A-Z e solo numero 9). Salva le tue modifiche. Se stai scrivendo il seme, cambia 10 lettere mentre scrivi.

Se sei su Windows, puoi utilizzare direttamente KeePass. Impostare il generatore di password per utilizzare i simboli A-Z e il numero 9 e impostare una lunghezza della password di 81. Anche in questo caso, assicurarsi di cambiare almeno 10 lettere prima di salvare e utilizzare il seme.

configurazione keepass
Puoi anche usare KeePassX su Linux o MacOS, ma al momento della stesura di questo articolo non c’è modo di limitare le tue scelte di carattere a AZ e 9. Usa invece “AZ” e poi cambia casualmente almeno 10 lettere e cambia casualmente alcune lettere in il numero 9.

keepass osx
Lo scopo di questa routine un po’ più complicata dovrebbe ora essere chiaro. Dopo aver eseguito questi passaggi, puoi essere sicuro al 100% o il più vicino possibile tecnicamente che:

  • Il tuo seme è sufficientemente casuale
  • Sei l’unica persona che abbia mai avuto accesso al tuo seme

D’ora in poi, tenere il seme al sicuro dipende da te e solamente da te. Offriamo alcuni suggerimenti nella prossima sezione.

Conservare il seme, in sicurezza

È possibile archiviare facilmente i propri semi offline stampandoli e conservandoli in un luogo sicuro. Una cassaforte fisica o una cassetta di sicurezza sono l’ideale. Ciò significa: non appuntarlo su una lavagna in cucina o su un post-it attaccato al monitor. Se lo metti in uno schedario sotto la tua scrivania, assicurati almeno che lo schedario possa essere bloccato. Alcune cose da fare e da non fare per tenere al sicuro i tuoi semi:

  • Scriverlo a mano o stamparlo (a casa) e conservarlo in un luogo fisicamente protetto. Una cassaforte può aiutare a prevenire o ritardare l’accesso non autorizzato, ma non necessariamente protegge dalla perdita. Assicurarsi di aver compreso le proprietà della cassaforte: protezione all’incendio, alle inondazioni, ai danni ed altri valori
  • Conservare una copia del seme in un caveau di una banca o in una cassetta di sicurezza
  • Utilizzare un gestore password o un vault virtuale protetto da passphrase e/o un file chiave. Il file del database delle password è crittografato, il che aumenta notevolmente la sicurezza. Consulta i nostri suggerimenti qui sotto per scegliere una password sicura
  • Usare un disco o un NAS crittografato per archiviare il database di password: più livelli di crittografia diminuiscono le possibilità che qualcuno riesca a entrare
  • NON stampare il seme da un computer pubblico
  • NON lasciare il database delle password in giro su dispositivi non protetti come unità USB o dischi rigidi esterni
  • NON memorizzare il file del database delle password crittografato su un cloud pubblico
  • NON condividere il file del database delle password o la passphrase con persone che non conosci o di cui non ti fidi

P.S: la creazione di una passphrase sicura potrebbe sembrare un compito scoraggiante. Questi semplici consigli dovrebbero dare supporto:

  • Usa frasi da canzoni, letteratura, film o teatro
  • Aggiungi qualcosa di casuale: un carattere speciale, sostituisci una lettera con un numero, ecc.
  • Usa una combinazione di lettere, lettere maiuscole, numeri e caratteri speciali
  • Utilizza uno schema per aiutarti a ricordare le modifiche, ad es. “Lettera maiuscola prima di ogni carattere speciale”
  • Non renderlo impossibile da ricordare o farai più male che bene – se dimentichi la passphrase, il tuo seme sarà inaccessibile per sempre!

Ecco un esempio:

Ci vogliono tre anni per imparare a parlare, una vita per imparare ad ascoltare e stare zitti!

Potrebbe diventare:

Civogliono3anniperimparareaPARLARE,Unavitaperimparareadascoltareestare-ZITTI!

RICORDA:

La tecnologia DLT è unica in quanto non è necessita di intermediari, come ad esempio una banca per mantenere il controllo dei propri fondi. In teoria sembra fantastico: tu hai il pieno controllo dei tuoi fondi! La conseguenza pratica, tuttavia, è che tu sei pienamente responsabile della loro sicurezza. Tutte le misure di sicurezza fisiche e digitali che hai messo in atto sono rese inutili se divulghi informazioni sensibili come un seme, una password od un codice pin.

Inoltre, questa responsabilità inizia proprio a monte. Seguire le migliori pratiche per salvare il tuo seme non servirà a nulla se il tuo seme è stato rubato nel momento in cui è stato creato. Tutte le tue misure di sicurezza – il tuo database delle password, la tua passphrase, il tuo caveau di una banca – erano obsolete prima ancora di averle installate. Se non sei assolutamente positivo su come creare un seme in modo sicuro, FERMATI. Unisciti al canale Telegram di IOTA Italia oppure al Discord IOTA e chiedi al canale #help come procedere.

Né la IOTA Foundation né nessun altro può recuperare token rubati.

Si prega di essere responsabile

* Questa non è una prova in senso legale, ma piuttosto in senso matematico. Puoi provare, matematicamente, che hai il controllo sui token in un distributed ledger digitale solo spendendo il token.
** Ancora una volta, la parola legge è qui usata come metafora: il possesso del seme significa che sei matematicamente in grado di spendere i fondi che contiene. Questa è una “legge matematica”.


Il testo originale in lingua inglese si trova qui: https://blog.iota.org/the-secret-to-security-is-secrecy-d32b5b7f25ef


Da oggi è possibile dare il vostro supporto su Patreon https://www.patreon.com/antonionardella

Per ulteriori informazioni in italiano o tedesco trovate i miei contatti a questa pagina.
Se avete trovato utile la mia libera traduzione, accetto volentieri delle donazioni 😉

IOTA:
QOQJDKYIZYKWASNNILZHDCTWDM9RZXZV9DUJFDRFWKRYPRMTYPEXDIVMHVRCNXRSBIJCJYMJ9EZ9USHHWKEVEOSOZB
BTC:
1BFgqtMC2nfRxPRge5Db3gkYK7kDwWRF79

Non garantisco nulla e mi libero da ogni responsabilità.


Also published on Medium.