Multy Killer Feature 3. Безопасность крипто-активов


Проблема

Прежде, чем взяться за разработку мультикриптовалютного кошелька, мы провели исследование и доскональный анализ рынка. Заметили ряд очевидных и существенных недостатков: жалобы пользователей на нечестных разработчиков и кражу криптовалюты; невозможность воспользоваться кошельком при потере доступа к телефону. На лицо серьезная проблема защищенности крипто-активов.

Решение

Multy. Killer Feature 3. Повышенная безопасность ваших крипто-активов.

Чтобы решить описанную выше проблему, мы разработали генерируемый ключ для шифрования информации в локальном хранилище - базу данных, расположенную на мобильном устройстве, в которую записываются данные приложения. Идея проста и красива: ключ уникален для каждого отдельного устройства, генерируется в тот момент, когда действительно нужен, принадлежит пользователю, а не разработчикам. Получить идентичный ключ на двух устройствах - задача невыполнимая.

В чем особенность нашего ключа?

1) Привязка ключа к установочному циклу приложения

  • Ключ не изменяется при обновлении приложения,
  • Но изменяется при удалении и повторной установке приложения,
  • Ключ не может быть случайно (да и намеренно) изменен или удален пользователем.

2) Привязка к конкретному устройству

  • Локальную базу данных можно использовать только на том устройстве, где она была создана. Причем доступ к этой базе будет осуществляться только в рамках установочной сессии приложения.

3) Привязка к секретному паролю пользователя

  • И хотя вышеприведенных данных достаточно для обеспечения надежной защиты, мы предоставляем пользователю возможность повысить безопасность своих данных, введя дополнительный secret password. Использовать его или нет - ваш личный выбор.

Ну и вишенка на торте безопасности: при запуске приложения мы определяем, было ли устройство рутовано злоумышленником, если так - мы не расшифровываем локальную базу данных, а безвозвратно её удаляем. (Не переживайте, Вы сможете восстановить кошелек на другом устройстве с помощью seed-фразы).

Заключение

Злоумышленник не сможет воспользоваться вашим кошельком, даже если ему удастся заполучить ваш девайс или файл базы данных с него.

Технические вопросы реализации идеи — в нашем девблоге и на github!

Оставайтесь на связи!

telegram
twitter


Comments 4


Хотелось бы иметь возможность юзать кошелек на рутованном девайсе. Может софтина будет проверять рутован или нет на момент установки?

06.12.2017 22:02
0

@hipster Запрет root устройств - пока вынужденная мера для текущей версии. Мы можем разрешить использовать приложение на рутованном девайсе с огромным количеством предупреждений для пользователя, что это небезопасно. Но все это будет прекрасно до первого дампа памяти, что приведет к утечке всех ключей от всех цепочек. Поэтому запускать такое решение в массы, нам очень не хочется.

НО все исходники проекты открыты, и при желании, можно собрать себе свой #multy с отключенной проверкой на root ;)

07.12.2017 16:42
0