chia-plotter icon indicating copy to clipboard operation
chia-plotter copied to clipboard
verified publisher icon hpool-dev

签名的软件为什么不开源?我们怎么知道你是否可以通过加密串反算出24个助记词

Open wuzhefang opened this issue 4 years ago • 13 comments

如题

wuzhefang avatar Apr 24 '21 11:04 wuzhefang

1.签名可以离线操作,可确保脑密码的安全。 2.签名信息在24小时内有效并且使用 RSA 为之加密,确保提交过程中签名内容不会被他人获取。 3.签名信息中不会包含你的脑密码和与脑密码相关的收款地址的私钥数据(RSA 对加密内容长度有限制,所以内容中不会包含脑密码,否则内容过长加密失败)。

如果任然不放心,那么请不要使用此脑密码生成的地址收取任何 XCH。 HPOOL 作为区块链行业资深的品牌,不会获取用户如此敏感的信息。

关于开源的问题,我们有计划的。

h9-dev avatar Apr 24 '21 13:04 h9-dev

RSA 对加密内容长度有限制,但没人知道你们用的是不是RSA加密 我现在只能使用其他的地址收取XCH 但作为平台我觉得要么开源加密算法,要么不使用助记词。这样我觉得更能长远发展 另外,不知道是不是chia有特殊的情况导致矿池必须用助记词才能加入?

wuzhefang avatar Apr 25 '21 03:04 wuzhefang

作为平台应该要开源加密算法,并解释清楚为什么一定要使用助记词

要知道一般的矿池只要address就可以挖矿了

leewi9 avatar Apr 25 '21 07:04 leewi9

看CHIA官方的矿池介绍,可能确实需要助记词,但请开源签名软件算法,让大家都能够自行编译运行。

rmokerone avatar Apr 25 '21 09:04 rmokerone

目前不会开源。如果觉得有问题请不要用这个生成的地址收 XCH。目前来看这个脑密码出了挖矿做区块的签名,没有任何用途,当然出了你向这个地址里打币了。

h9-dev avatar Apr 25 '21 15:04 h9-dev

RSA 对加密内容长度有限制,但没人知道你们用的是不是RSA加密 我现在只能使用其他的地址收取XCH 但作为平台我觉得要么开源加密算法,要么不使用助记词。这样我觉得更能长远发展 另外,不知道是不是chia有特殊的情况导致矿池必须用助记词才能加入?

你可以把随便写一个脑密码填写1000个字符进去,看看生成的签名长度。长度小于1000的签名可以肯定里面不会有你的脑密码。

如果只有我们一家矿池做 CHIA,那么我们矿池都是可以开源的 🙄

h9-dev avatar Apr 25 '21 15:04 h9-dev

作为平台应该要开源加密算法,并解释清楚为什么一定要使用助记词

要知道一般的矿池只要address就可以挖矿了

需要对区块做签名,才能用你的ID出块,否着你可以去『偷』别人的答案,然后修改出块地址给你的,再发出去,这样就会有几率被你抢到。BHD、BRS 也是基于这个原因才有绑定这么一说。更详细的建议去看 CHIA 的代码,代码里写的很清晰为什么需要签名以及签名是什么。

h9-dev avatar Apr 25 '21 15:04 h9-dev

不使用挖矿的脑密码接收XCH确实可以规避一些可能风险。但挖矿脑密码的泄露也会导致需要重新p图,P盘的过程不仅耗费时间还耗费SSD,成本并不低,特别是当图有上百T的时候。开源才能赢得更多信任,而且开源社区也会帮助你们发现潜在的问题。

另外一个问题也在这稍微提一下:目前网站算力绑定页面没有提供解绑的选项,希望以后能推出这一功能。

Carben-dev avatar Apr 26 '21 17:04 Carben-dev

不使用挖矿的脑密码接收XCH确实可以规避一些可能风险。但挖矿脑密码的泄露也会导致需要重新p图,P盘的过程不仅耗费时间还耗费SSD,成本并不低,特别是当图有上百T的时候。开源才能赢得更多信任,而且开源社区也会帮助你们发现潜在的问题。

另外一个问题也在这稍微提一下:目前网站算力绑定页面没有提供解绑的选项,希望以后能推出这一功能。

这2天就会加上这个功能。

h9-dev avatar Apr 27 '21 05:04 h9-dev

不使用挖矿的脑密码接收XCH确实可以规避一些可能风险。但挖矿脑密码的泄露也会导致需要重新p图,P盘的过程不仅耗费时间还耗费SSD,成本并不低,特别是当图有上百T的时候。开源才能赢得更多信任,而且开源社区也会帮助你们发现潜在的问题。 另外一个问题也在这稍微提一下:目前网站算力绑定页面没有提供解绑的选项,希望以后能推出这一功能。

这2天就会加上这个功能。

如果想要做大矿池,建议趁早开源

Erlla avatar Apr 28 '21 10:04 Erlla

不使用挖矿的脑密码接收XCH确实可以规避一些可能风险。但挖矿脑密码的泄露也会导致需要重新p图,P盘的过程不仅耗费时间还耗费SSD,成本并不低,特别是当图有上百T的时候。开源才能赢得更多信任,而且开源社区也会帮助你们发现潜在的问题。 另外一个问题也在这稍微提一下:目前网站算力绑定页面没有提供解绑的选项,希望以后能推出这一功能。

这2天就会加上这个功能。

如果想要做大矿池,建议趁早开源

多谢你的建议,我们会慎重的考虑这个建议。

h9-dev avatar May 01 '21 07:05 h9-dev

支持开源

uuiitwp avatar May 01 '21 17:05 uuiitwp

不使用挖矿的脑密码接收XCH确实可以规避一些可能风险。但挖矿脑密码的泄露也会导致需要重新p图,P盘的过程不仅耗费时间还耗费SSD,成本并不低,特别是当图有上百T的时候。开源才能赢得更多信任,而且开源社区也会帮助你们发现潜在的问题。 另外一个问题也在这稍微提一下:目前网站算力绑定页面没有提供解绑的选项,希望以后能推出这一功能。

这2天就会加上这个功能。

如果想要做大矿池,建议趁早开源

多谢你的建议,我们会慎重的考虑这个建议。

矿池挖矿是要记录 farmer private key 和 pool private key 来出块吧,我觉得这没什么好躲躲藏藏的。

Carben-dev avatar May 03 '21 23:05 Carben-dev