安全设计

Status致力于成为一款真正去中心化通信工具,最终的目标是去掉所有第三方中间服务,最大限度减少恶意攻击者的攻击面。

Web3的真正好处是能够以我们自己的要求进行交易和沟通 - 没有中间人。在享受这样的自由沟通方式时我们必须确信我们的信息、交易、身份和资金都是安全的。以下可以详细了解Status是如何确保安全。

Status 安全消息传递

安全
信息

消息不会被审查、屏蔽,并且如果用户选择,它们将保持伪匿名状态。只有预先确定的收件人才能查看邮件。

安全金融
交易

在Status钱包中发送、存储和接收加密货币或代币是安全而不会被攻击的。私钥永远不会暴露。只有在私钥所有者发起和确认时才会处理交易事务。

安全
浏览

浏览Web3应用时,未经许可,任何第三方都无法访问终端用户数据和浏览信息。在Status浏览器中进行的任何交易事务都遵循Status钱包中使用的相同安全标准和最佳实践。

安全身份

您在Status中的身份信息是通过本地生成的加密密钥对建立的,并通过密码进行保护。然后,用户可以向他们的个人资料添加信息,完善他们在Status中的个人档案信息。用户在任何时候都可以完全控制他们的信息,以及谁有权访问它。终端用户可以根据需要选择为公开或保持隐私。

点对点消息传递协议

Status使用Waku协议进行点对点(p2p)通信。 Waku依靠对等网络来相互路由消息。发送的每条消息都会广播到整个网络,并进行加密,只有预先确定的收件人才能够查看消息。通过消除中心化的弊端,消息的内容和元数据归您自己所有。但是,Status和Waku并不是完全的点对点,因为当对等方离线时,由邮件服务器管理消息。 Waku邮件服务器是Waku的扩展,用于存储消息并在对等方重新上线时向其发送消息。

了解有关Waku的更多信息

默认情况下的端到端加密

默认情况下,在Status中发送的所有隐私消息都是端到端加密的。创建Status帐户时,将生成一个加密密钥对来加密您的消息,并将其存储在本地设备上。当您在Status中添加新联系人时,您们将相互交换公钥,用于解密对方发送的消息。

完美的前瞻性保密

PFS 是一种密钥交互管理协议,协议的一项功能是它保证即使参与者的私钥受到威胁,会话密钥也不会污染。具体来说,即使第三方获取到会话参与方的私钥也无法解密过去的消息。它基于开放的Whisper系统采用 X3DH 和 Double Ratchet 规范,并进行了一些调整,可在去中心化的环境中运行。完美前向保密是为您的所有 1:1 私人聊天增加的安全层。

了解更多有关PFS

伪匿名帐户生成

当您在Status上创建新帐户时,永远不会要求您进行第三方验证,例如电子邮件或电话号码。您可以匿名注册并创建一个Status帐户,并保持伪匿名状态。创建帐户时,您只需要密钥即可。这也意味着Status没有两步身份验证和找回密码功能。因此请务必记住您的密钥和助记词并将其离线存储在非常安全的地方。

我的私钥是如何存储的?

Status永远不会使用第三方服务来管理和存储您的公钥和私钥。一旦生成后,第一个BIP44密钥将以keystore json格式保存在设备本地。并且此文件使用您为Status帐户选择的密码进行加密,只能由Status应用访问。我们优先考虑将敏感信息存储在安全硬件中如果您的设备具备的话。

为了增强安全,我们推出了keycard硬件钱包,可以用来对私钥进行离线冷存储、管理以及其他操作。

有关keycard 的详细信息, 请访问keycard.tech

安全浏览

Status浏览器旨在让终端用户了解情况并确保其资金安全。默认情况下启用浏览器隐私模式。这意味着在连接到钱包之前,DApps将被要求获得许可,这可能会导致一些DApps中断(如果它们与此安全措施不兼容)。最后,Status浏览器实现了EIP712,旨在提高链下消息签名的可用性,以便在链上使用。我们看到越来越多地采用链下消息签名,因为它可以节省燃料费并减少区块链上的交易数量。当前签名的消息是向用户显示的是一串晦涩的十六进制字符串,其中小部分是关于构成消息的项目的上下文信息。

了解更多有关EIP

Status如何保护我的加密货币?

Status是非托管钱包,无需依赖服务器即您可完全控制您的资金。私钥以加密方式存储在您的设备上。您的钱在您的控制之下,没有私钥的任何人都无法访问您的资金。因此,如果您丢失了助记词,您将永远无法恢复对资金的控制。因此,请将您的私钥安全地离线保持好。

对短语签名以保护免受网络钓鱼攻击

Status实现了要求确认并“签署”所有交易事务所需的签名短语。签名短语是为您随机生成的3个单词短语,并存储在您的设备上,每次您尝试发送交易时都会显示该短语,并在确认交易前被要求确认。如果您不认识三个单词,或者根本没有提供三个单词,请取消交易,退出Status并将问题报告给security@status.im

了解有关网络钓鱼的更多详细信息

严谨的审计

随着我们的开发达到重要里程碑,经过多轮内部审核和审核,我们联系行业领先的第三方审核公司,以验证我们的成果,并对我们所做的工作进行双重/三重检查。这些安全审核不是其所属项目的安全保障。它们是来自客观第三方的额外检查,以帮助增强对预期功能安全性的信心。

有关所有外部审计的信息和详情,请参阅security repository

如果您在我们的代码中发现错误或漏洞,请向security@status.im报告。

教育自己保持安全

像Status这样去中心化、无服务端的产品去掉了不必要的中间人,你可以聊天、转账、浏览网页而不用担心被监视、审查、数据泄漏,这是因为数据掌握在你自己手上。因此懂得如何去保护自己,学习最佳安全实践指南是很重要的。

请参阅最佳实践指南

安全支持

我们在这里提供帮助。如果您对安全性有任何问题或疑虑,请发送电子邮件至security@status.im或通过Status Security 公共频道 #status-security 联系我们。

Bug 赏金计划

如果您是安全研究人员或开发人员并且想要报告漏洞,请联系security@status.im了解Status Bug Bounty计划。我们还与 HackerOne 开展了一项活动,这是一个 bug 赏金计划,可以激励黑客审查项目。我们正在积极加强我们的隐私,并将很快公开披露!有关 Bug Bounty 计划的更多信息,请联系security@status.im

Deja Vu Beta审计

保护你自己

Status采用前沿的技术来确保产品安全,当你在web3网上冲浪的时候你可以自己控制安全,看看我们关于安全的最佳实践方法列表。

获取Status

开始使用iOS,Android上的Status 。

下载应用