¿Qué tan seguro es usar un Live CD de Linux para acceder a mi billetera de ahorros?

Es claramente seguro crear una billetera de ahorro sin conexión con un CD en vivo, ya que no se pueden enviar datos a un atacante incluso si la imagen del CD en vivo está comprometida (lo que parece poco probable).

Sin embargo, cuando se trata de enviar una transacción desde una billetera de ahorro, el cliente debe estar conectado a Internet, por lo que el riesgo aumenta. Si crea un CD de Linux en vivo, con un sistema operativo como Ubuntu, estará desactualizado dentro de un período de tiempo relativamente corto desde que se creó, ya que el CD en vivo no recibe los parches más recientes que normalmente recibe una instalación permanente.

Presumiblemente, esto significa que existe la posibilidad (por pequeña que sea) de que cuando use el CD en vivo y se conecte a Internet, exista un agujero de seguridad que pueda explotarse para robar su billetera y la frase de contraseña de la billetera la próxima vez que ingrese. ¿Qué tan grande es este riesgo? (¿Estoy siendo totalmente paranoico?!)

Obviamente, la gravedad del riesgo es algo difícil de determinar en el contexto de todos los CD en vivo posibles, por lo que tal vez una mejor pregunta sea esta, si la primera es demasiado difícil: ¿Ha habido previamente agujeros de seguridad en los lanzamientos de CD en vivo que permitan un atacante para controlar remotamente la computadora?

Creo que esta pregunta pertenece a otros SE, como StackOverflow, SuperUser, Ask Ubuntu o IT Security, ya que no es un problema específico de Bitcoin.
En mi opinión, existe suficiente preocupación por la seguridad de la clave privada dentro de la comunidad de Bitcoin que justifica una respuesta específica de Bitcoin aquí.

Respuestas (1)

La seguridad siempre es un problema y los sistemas complejos como los sistemas operativos son propensos a sufrir ataques. Sin embargo, es posible usar una máquina fuera de línea para crear las transacciones firmadas y luego exportarlas a otra máquina.

Por ejemplo, una copia digital de esas transacciones firmadas podría copiarse en una memoria USB nueva, o imprimirse en papel como texto sin formato o códigos QR, etc. Luego, estas transacciones podrían importarse a un cliente de Bitcoin en línea que no tenga las claves privadas, pero que simplemente pueda transmitir las transacciones a la red.

Sus claves privadas siempre se mantienen fuera de línea y, por lo tanto, solo están expuestas a vectores de ataque físico que deberían ser suficientes para aliviar sus preocupaciones.

¿Hay alguna guía o herramienta sobre cómo crear la transacción firmada y luego importarla a otro cliente?
Echa un vistazo a los foros aquí: bitcointalk.org/index.php?topic=28278.0
No recomendaría conectar una impresora a la computadora con espacio de aire (especialmente una impresora USB). Si desea transferir datos hacia/desde la computadora con espacio de aire, puede usar la codificación/descodificación RFC1751. Si desea imprimir datos, use un lápiz. Estaba pensando en esto y es por eso que agregué la herramienta de codificación/descodificación RFC1751 en mi CD en vivo: github.com/vstoykovbg/cryptopup Tal vez haveged sea una buena solución para el problema de PRNG, pero recomiendo mezclar el ruido del micrófono o el ruido generador por si acaso: github.com/vstoykovbg/doublerandom
¿Qué tan seguro es usar un Live CD de Linux para acceder a mi billetera de ahorros?
RespuestasAquíPolítica de privacidad1y, 0v