Topic: Consiglio su procedura "sign a message" (Read 1752 times)

Certo che sarebbero in sicurezza, due address (o meglio le due chiavi private che li hanno generati) di uno stesso wallet sono del tutto indipendenti, nel senso che se anche la chiave privata dell'indirizzo A fosse stata violata, non ci sarebbe modo da questa di ricavare anche la chiave privata di un altro indirizzo B dello stesso wallet.

Anche io ho avuto i tuoi dubbi quando ho prelevato, infatti mi sono fatto mandare i btc su un wallet vuoto ed ho poi provveduto a spostarli.
L'idea che possa essere per la tua sicurezza non sta in piedi, sono ridicoli

Grazie mille  


E posso inviarli ad un altro address dello stesso wallet? Ed in tal caso sarebbero in "sicurezza" ?

si,  betcoin.tm

Penso pure io che sia betcoin.tm,non capisco perchè chieda questa "verifica" , ma penso che se fosse stato uno scam nella sezione internazionale ne avrebbero cominciato a parlare

Il sito in questione è betcoin vero?

Semplice: vai su "addresses", fai tasto destro sull'indirizzo che vuoi svuotare, e clicca su "send from"

Grazie per la risposta.

Circa l'ultima parte della stessa devo fare alcune premesse:

Premessa 1)  sono  una capra.

Premessa 2)  ho da poco iniziato ad usare electrum e non lo ho qui sottomano e lo conosco molto poco

Come faccio a spostare quei btc da un indirizzo ad un altro?


Nel senso se io ho 1BTC nel mio portafoglio e di questo BTC  0.1 ci sono arrivati tramite un certo indirizzo come faccio a spostare proprio quei 0.1btc?

Allora: dal momento che sono passate delle settimane al 99,99% i tuoi bitcoin sono al sicuro.

Il concetto è: una transazione non è nient'altro che un messaggio che dice all'incirca:
"Io possessore dell'indirizzo A autorizzo che i btc legati all'indirizzo A siano trasferiti all'indirizzo B"
Ovviamente il punto fondamentale è che il messaggio deve essere autorizzato con la firma effettuata per mezzo della chiave privata relativa all'indirizzo A.

Alcune osservazioni:

1) quel messaggio non è immediatamente leggibile da un essere umano, ma va decodificato con appositi tool (si presenta in genere come una stringa alfanumerica di 64 caratteri in formato esadecimale (32 byte) ma possono esserci delle variazioni)

2) chiunque può comporre il messaggio di sopra, anche io che non possiedo il tuo indirizzo A posso costruire quel messaggio per girare i tuoi bitcoin verso il mio indirizzo B; ma io poi non lo posso firmare (si tratta di una " unsigned transaction", chi usa Armory o altri wallet offline per firmare le transazioni sa bene di cosa parlo), quindi se la transazione rimane non firmata non è autorizzata ed è inutile (ma se tu invece me la firmi, capisci bene che poi posso trasmetterla alla rete ed è fatta)

La morale è: se qualcuno ti sottopone una stringa e non un messaggio chiaramente comprensibile a un essere umano, firmarlo non ha senso; firmare vuol dire: "io sono d'accordo/sottoscrivo questo messaggio e quindi autorizzo quello che c'è scritto qui"

Nel tuo caso, visto che il tuo indirizzo A era inizialmente vuoto, avrebbero benissimo potuto riprendersi in breve tempo almeno i bitcoin che ti avevano pagato su quell'indirizzo (se ti avessero fatto firmare una transazione ad hoc). Ma ripeto se non è successo niente fino ad oggi non c'è pericolo (anche se spostare i btc in un altro indirizzo male non fa).

a parte che in linguaggio di tutti i giorni stiamo dicendo questo:

fai questa complicata procedura per essere certo di non essere un coglione che mi hai datto il conto corrente di tua moglie anziche' il tuo.

che invece si risolve molto piu' semplicemente con:

controlla bene di avermi dato il tuo conto e non quello di tua moglie, altrimenti (ovviamente) i soldi vanno a tua moglie.

ma c'e' pure la dimostrzione matematica che  in molti casi e' una palese bugia.
Appena ho un attimo di tempo vi posto nell'altro thread la dimostrazione

Non so il motivo per il quale fanno fare la firma, ma non e' quello dichiarato.

La logica non e' del tutto errata, firmando sei sicuro di essere in possesso della chiave privata e quindi non ci sono errori nell'indirizzo. Certo che basta un qualunque messaggio e non una stringa sconosciuta.

anche in questo caso non torna la lunghezza del messaggio: se fosse la hash di una transazione sarebbe più lunga di 16 byte. Comunque la prudenza non è mai troppa...

tranquillo ti ho scritto sopra cosa devi fare.

comunque il rischio potenziale e' solo per l'indirizzo dal quale hai firmato, il resto del wallet (gli altri indirizzi) non sono coinvolti

qui un thread dove ne abbiamo parlato:

https://bitcointalksearch.org/topic/non-firmate-digitalmente-cose-ignote-1303213

Io credo che il motivo per cui chiedano la firma è per prevenire che un account  hackato possa essere svuotato (non essendo l'hacker in controllo dell'indirizzo sul quale io ho firmato il messaggio).
Inoltre qualsiasi modifica del mio account (ad esempio il cambio della password) richiede un messaggio firmato da quell'indirizzo.

Mi potresti spiegare meglio il concetto?
Quell'indirizzo che ho indicato come mio indirizzo desiderato sul quale ricevere il prelievo richiesto sul sito è un indirizzo mai usato in precedenza ed in seguito utilizzato solo per quello specifico prelievo.

Ora, passate delle settimane e ricevuti i btc richiesti, cosa rischio? Tutto il saldo del mio wallet o solo il saldo ricevuto su quell'indirizzo o niente?

per sicurezza, genera un nuovo indirizzo e sposta l'importo sul nuovo indirizzo.

In questo modo sei tranquillo.

PS: appena ho tempo, posto la dimostrazione matematica del motivo che quello che dicono NON e' vero.
non so per quale motivo fanno fare quella firma, ma non certamente a protezione dell'utente

Considerato che poi ho effettuato tale procedura ed ho ricevuto il prelievo richiesto all'indirizzo del mio wallet con il quale ho firmato il messaggio: quali rischi corro ora?


Di veder svuotato tutto il mio wallet ?

O solo di vedermi sottratto solo l'ammontare di btc ricevuto in totale su quello specifico indirizzo del mio wallet?

Grazie in anticipo per le risposte

Giusta precisazione  

Effettivamente la cosa è strana... di solito la firma si usa in altre occasioni

solo l'idea che qualcuno dichiari di fare qualcosa "a mia garanzia"  (alias "per il mio bene")  mi fa rabbrividire.

poi trovo bizzarra l'idea che sono io che devo firmare qualcosa (che non so neppure cosa sia) a mia garanzia

(a prescindere dalla crittografia eh...)

Beh, non c'è nessun rischio relativo alla sicurezza dell'indirizzo 
c'è "solo" il rischio di autorizzare una transazione che svuoti l'indirizzo con cui si sta effettuando la firma! 

E' fondamentale essere sicuri che ciò che si sta firmando non sia proprio una transazione!

Grazie per la pronta ed esaustiva risposta.

questa procedura serve a verificare che tu sia effettivamente proprietario della chiave privata di quell'indirizzo

non c'è nessun rischio relativo alla sicurezza dell'indirizzo nel firmare un messaggio

Nonostante il mio status sono un completo illetterato di software hardware coding etc etc .
Detto questo vaso al sodo: su un sito di gambling mi si chiede, per questioni di sicurezza a mia garanzia)  di firmare un messaggio dal l'indirizzo sul quale voglio richiedere il prelievo seguendo la seguente procedura:

Follow these steps to sign a bitcoin message:

In your wallet, find the 'Sign Message' option. This is usually found in the 'Receive' area (click the menu button next to your address) or in the 'Tools' menu (select 'Sign Message')

 - In the address field enter: 1G17....(l'indirizzo btc che ho inserito come indirizzo di prelievo)

 - In the message field enter: 50d3270..... (una sequenza di 32 caratteri alfanumerici)

 - Press the 'Sign Message' button

   The signature text will appear in the 'Signature' field. Wait for the success message

 - Enter the signature text in the field below and submit the form
When signing your message, use the following as the 'content' of the message:

50d3270..... (la stessa sequenza di 32 caratteri alfanumerici di cui sopra)

- Paste the signed message for your MAIN Bitcoin address ( 1G17....l'indirizzo btc che ho inserito come indirizzo di prelievo)


Fatti questi passi chiede di clikkare sul pulsante "submit signed message and process changes".

Rischio di vedermi svuotato il wallet o cose simili oppure è tutto nella norma?

Grazie in anticipo per l'aiuto.