Topic: Coins verdienen mit dem proof-of-passport - page 2. (Read 315 times)

Also schon einmal viel mehr Daten als man einer völlig unbekannten App, die von einem einzelnen Programmierer erstellt wurde und keine Audits aufweisen kann, geben sollte
Und ab hier ist die App in der Lage eine digitale Kopie meines Passes zu erstellen bzw. diese Daten einfach abzuschnorcheln.
Sorry aber ihr baut hier die technische Möglichkeit Passdokumente zu kopieren. Da ist es nicht der Weg den Kram zu releasen und falls jemand was finden sollte eine kleine Bounty auszuzahlen. Das ist definitiv das Level an persönlichen Daten wo ihr vorher mit Audits aufwarten solltet und ich bin ehrlich gesagt verwundert, dass die offiziellen Stores so eine App einlisten. Und nein nur weil ich die App selber kompilieren kann ist es nicht abzusehen ob es dort keine Backdoor gibt.

Pro Land und nicht pro Landeswährung, aber das nur am Rande.

Mike Hearn hat nicht an dem Projekt teil genommen. Der "proof-of-passport" ist aber seine Idee, er hat sich als erster damit beschäftigt und ist zu dem Ergebnis gekommen dass es möglich ist.
UBIC ist meiner Kenntnis nach die erste funktionierende Umsetzung davon (Es gibt auch q.org deren Status ist aber unbekannt).
Konkret läuft das so ab:
 - Die App fragt nach der Passnummer, Geburtsdatum und dem Reisepass Ablaufdatum
 - Mit diesen Informationen kann die App auf den NFC Chip zugreifen
 - Auf dem NFC Chip befinden sich mehrere Dateien, wie DG1 = Name, Geburtsdatum, Passnummer DG2 = Passfoto, SOD = PKCS7 Sicherheitszertifikat
 - In der SOD Datei befindet sich ein Sicherheitszertifikat wo ein Document Signing Certificate den Hash von DG1 und DG2 signiert.
 - Veröffentlich auf der UBIC blockchain wird dann ein Beweis der Kenntnis dieser Signatur und der dazugehörige signierte Hash.

Dieser ganze Verlauf wird im Source Code so umgesetzt. Wer Zweifel hat kann sich den Source Code durchlesen und dann die App, beziehungsweise die Node selber kompilieren. Wenn jemand etwas Sicherheitsrelevantes findet bekommt er ein angemessenen Bounty.

Ökonomisch funktioniert es analog zu dem Bitcoin wie mit dem one-cpu-one-vote Prinzip, Pro Landeswährung:
1 registrierter Pass = 100% des rewards
10 registrierter Pass = 10% des rewards
100 registrierter Pass = 1% des rewards
Usw.. Das ziel ist es ein großen Netzwerk Effekt zu generieren. Das hat q.org schon gut erklärt.

Mal davon ab, dass ich nicht mal für einen 50$ Airdrop meine Passport Daten irgendwo hin senden würde, da, wenn das Projekt scheitert, die im Darknet miest noch für Kleingeld verkloppt werden. Was bringt mir der Coin überhaupt, wo kann ich den einsetzen und warum sollte ich oder andere den Coin unbedingt haben wollen? Und warum braucht es dafür einen extra Coin? Das die Website wohl in 10 Minuten per Wordpress hingeklatscht wurde und vom Team wohl absichtlich keiner abgebildet ist... naja no comment.

Das Projekt ist Open Source, jeder kann teilnehmen! Im Endeffekt steht gar keine Firma dahinter.
In ein paar Monaten wird es dann wahrscheinlich auch mit delegated proof of passport laufen, dann wäre es auch von der Blockchain her dezentralisiert.

Ehrlich? Nichts was du hören möchtest.
Ich habe den Thread verschoben denn wenn dann passt er hier hin... höchstens.

Mit solchen Aktionen wie gegenseitig Merits zuschieben:
https://bpip.org/profile.aspx?p=uboid
https://bpip.org/profile.aspx?p=ubicorn
oder Usern wie z.B. Ubiubi18 der ausschließlich unauffällig Werbung macht und Traffic generieren soll tut man sich keinen Gefallen. Bereinige den Thread nicht da er gerne als Warnung stehen bleiben kann... sind ja mittlerweile einige Infos hier zu finden bei denen alle Alarmglocken losgehen sollten.

Wenn ich bei einer ordentlichen Pen-Test Firma anfrage ob sie sich mal meine Android & iOs App plus Backend plus Hashingfunktionen für die Datenverarbeitung von Ausweissdaten angucken wollen und ich würde dafür um die 10.000€ zahlen lachen die mich aus. Ich meine das wären vielleicht 4 Arbeitstage, die ich dafür bekomme, das reicht garantiert nicht für ein ordentliches Audit bei Daten dieser Senisibilität.

Mike Hearn ist in der Tat kein irgendjemand, aber es ist halt auch überhaupt nicht ersichtlich, dass er an dem Projekt in irgendeiner weise beteiligt ist.

Und du kannst beweisen, dass das ein normaler Nutzer nicht kann? Einfach mal behaupten ist einfach, aber noch mal wir reden hier über Passdaten, da bräuchte ich etwas mehr als die blose Behauptung.

Und ohne Impressum.

Das System basiert auf einem Konzept von Mike Hearn, und der ist ja nicht irgendjemand.
Link: https://youtu.be/coj3uBrnxIg?t=661

Der Proof wird an die Blockchain übermittelt und sieht dann so aus: https://ubic.network/transactions/356e4b597dd87dc9d547489b6f4842e508e083feef55c37feecadbfa90bfd0b7/
Das ist dann die dazu gehörige Adresse: https://ubic.network/addresses/qa15j4y8VrAp8MRHxzCTbkkd6NiafCjzv/

Es ist davon auszugehen das der jeweilige Staat der den Reisepass ausgestellt hat die Adresse deanonymisieren kann.
Ein normaler Nutzer der Blockchain aber nicht.

Alternativ gibt es IDENA, das gleiche Konzept mehr oder wenig aber ohne Reisepass sondern mit Captchas.

Naja, aber der Pass muss dazu ja irgendwie digitalisiert an die Firma übermittelt werden, sonst kann auch die Signatur nicht ausgelesen werden. Ich denke kaum, dass es da eine Weboberfläche mit "hier geben sie ihre Signatur ein" geben wird wo man eingeben kann, was man will. Auch muss jemand die Prüfung, ob der Pass echt ist, vornehmen. Spätestens dort sieht also ein 3. meinen Pass und kann den ggfs. kopieren.

Die Bounty selbst klingt erstmal interessant. Beim genaueren Hinsehen versucht UBIC hier aber meiner Meinung ein falsch-positives Sicherheitsgefühl zu vermitteln. So in die Richtung "Seht her, wir hatten sogar eine Bounty ausgeschrieben, niemand hat eine Security-Problem gefunden". Auch die Dotierung mit 1,25 BTC klingt nicht schlecht, vergleicht man aber die Kosten, die ein Security-Test einer externen Firma kosten würde, wären die 1,25 BTC nur ein Tropfen auf den heißen Stein.

Ich glaube dem ist nicht mehr viel hinzuzufügen. Finger weg Leute!

Höchstens vielleicht, dass der englischsprachige ANN-Thread [ANN] UBIC:The cryptocurrency providing UBI for the masses using the E-Passport sehr dubios aussieht. Der Dev führt Scheindiskussionen mit dem gleichen User über 10 Seiten. Dazu gesellen sich noch ein paar Newbies und Jr. Member die ein paar belanglose "one-liner" ablassen.

Ein Potpourri der schönsten Zitate:

Es wird ja nur die Signatur der Regierung ausgelesen um sicherzustellen dass der Pass echt ist. Der Beweis dafür wird auf der Blockchain veröffentlicht.
Es gibt auch ein Sicherheitsproblem Bounty: https://medium.com/@janmoritz_48488/announcing-the-ubic-1-btc-security-bounty-beba58661bec

Weit weg von der Seite bleiben...
Mal abgesehen von den Rechtschreibfehlern und grammatikalischen Fehlern sieht das nicht sehr vertrauenswürdig aus.

Keinerlei Infos und man soll sein Ausweis hin senden?

Nein Danke.

Ich denke, dass das ein danteschutztechnischer Alptraum ist und ich sicher nicht für irgendeinen wertlosen Token meine Passdaten an eine "Firma" mit Instant Webseite ohne Impressum verschicken werde.

UBIC ist eine Kryptowährung die auf einem proof-of-passport basiert.
Das bedeutet dass man Kryptowährung generiert und bekommt indem man den Besitzt eines Reisepasses beweisen kann.
Das Prinzip ist one-passport-one-vote als alternative zu Satoshi's Nakamoto's one-cpu-one-vote.
Deutsche,Schweizer und Pässe aus Österreich(nach 2014) sind kompatibel.
Was denkt ihr?