Hornear con firma remota compatible con --require-authentication?
-
-
En alphanetfunciona siningresar la contraseñapara la clave de autenticación,peroen mainnetpide contraseñaen elterminal,pero debido a la ausencia de cualquierterminalparaingresar la contraseñafalla.Tambiénestoybuscando una respuesta aesto.
-
0
2019-02-22-
Sachin Tomar
-
-
Aunquepuede omitirelmétodo de autenticación alno usar lamarca --require-authenticationen el comandotezos-signer.Sinembargo,asegúrese de restringirel acceso a su servidor ypuertomedianteelfirewall si omiteelmétodo de autenticación.
-
- 0
- 2019-02-25
-
Sachin Tomar
-
-
3 respuestas
- votos
-
-
2019-02-26
Como semencionóen los comentarios,la respuestamás correcta aestoes:
No,nopuede usar
--require-authenticationcon unfirmantepara hornear.No hay TTYpresente ynopuede descifrar la clave de autenticación cuandoesnecesarioejecutar una operación de respaldo/horneado.Lamejorpráctica aquíes utilizar untúnelencriptadoentreelfirmante yelpanadero ypara queelfirmanteno sea directamente accesible a la red.
-
-
-
2019-02-25
En la redprincipal detezos,nopuedegenerar su clave deformano cifrada.Entonces debesingresar la contraseñapara descifrar la clave.
La soluciónesimportar una claveno cifrada y luego usarlapara autenticar cualquier comunicación conelfirmante remoto. Usé billeteratezbox paragenerar clavesno cifradas y luego copié la claveprivada y laimporté ami servidor usandoel siguiente comando.
./mainnet.sh client import secret key auth-alias unencrypted:edskxxxxxxxxxxxxxTnZR-
¿Noesintrínsecamente *inseguro *generar clavesprivadasno cifradas yno cifradas y copiarlaspara otro servidor?
-
- 0
- 2019-02-25
-
Ezy
-
-
Sí,noes seguro utilizarestatecla comoteclapara hornear.Pero aquíel únicopropósitoparaestoes que se use como clave de autenticación,pero obviamente se debentomarprecauciones al copiar su claveprivadaen el servidor.Sino desea copiar la claveprivada y deseagenerar la claveprivadaen el servidor,solopuede usar https://github.com/TezTech/eztz
-
- 0
- 2019-02-25
-
Sachin Tomar
-
-
¿Quétanbuenoes simplemente usarel libromayor?
-
- 1
- 2019-02-25
-
Ezy
-
-
Sí,usarel libromayor sería laformamás segura,peronotengoningunaexperiencia conel libromayor.Cualquier documentaciónparaesto sería realmente útil.
-
- 0
- 2019-02-25
-
Sachin Tomar
-
-
Puedebuscar aquíen TSE. Hay respuestaspara comenzar.Porejemplo: https://tezos.stackexchange.com/q/395/118 y https://tezos.stackexchange.com/q/477/118.Siestonoes suficiente,¡no dudeen hacer unanuevapregunta!
-
- 0
- 2019-02-25
-
Ezy
-
-
Definitivamente,no debería usar claves sin cifrar,esaes unaidea realmenteterrible.
-
- 1
- 2019-02-25
-
moonrider_unchained
-
-
Probablemente sea unamalaideatener claves sin cifraren unamáquina accesibleen red.
-
- 0
- 2019-02-26
-
latte_jed
-
-
-
-
2019-12-04
Hay unaforma detenermás seguridad que ambas respuestas (apartir de hoy) https://tezos.stackexchange.com/a/607/29 (Respuesta A) y https://tezos.stackexchange.com/a/598/29 (Respuesta B) sugiera.
Sielfirmante
- solo aceptabytesmágicos 0x01,0x02,
- yelfirmantetiene un cortafuegospara aceptar solo solicitudes de la IP delpanadero
- yeltúnelestáencriptado (preferiblemente),
Estábien dejar la clave de autenticación delfirmante sin cifraren elpanadero. Obtiene la conveniencia de la respuesta B,pero con la seguridad adicional de usar una clave de autenticación defirmante (respuesta A). No loprotege contratodas lasposibilidades (noesposibleen estemomentopasar la contraseña alpanadero/endosante,AFAIKincluso usando uno deestosmétodos ),pero altener una clave de autenticación defirmante sin cifrar,aúnestáevitando algunos riesgospotenciales. Porejemplo,si unamáquina deshonesta obtiene su IP (digamos que libera la IPpor accidente,o su host desvía su IP),el atacante aúnnopodráni siquiera duplicar/respaldar.
Algunospodrían decir queesmástrabajoporpocobeneficio,pero soy unpocoparanoico ynome gustatomarel caminomásfácil.
Enpocaspalabras,
--require-authenticationno sustituye a otrasprecauciones. -
Para operaciones de cliente,el uso de unfirmante remoto con
--require-authenticationrequiereingresarmanualmente la contraseña de descifrado de la clave del cliente.Noestá documentadoen ningunaparte. ¿Esestoincompatible con la repostería?No hayforma de que yo sepa descifrar la clave del cliente al configurarel horneado y supongo que la autenticaciónno se omitepara hornear.
Gracias