Bila Anda menyimpan Bitcoins Anda di bursa pertukaran, situs perjudian, atau situs investasi, berarti Anda punya kepercayaan terhadap perusahaan tersebut.

Keamanan dompet pribadi dengan jumlah koin yang relatif kecil bisa juga menjadi target serangan, tetapi situs yang menyimpan lebih banyak Bitcoins lebih dari rata-rata jumlah koin pengguna pada umumnya, merupakan target utama serangan. Jadi bagaimana cara mereka untuk melindungi uang Anda?

Beberapa situs perjudian, menggunakan teknologi dompet milik mereka sendiri, sementara yang lain bekerja dengan layanan pihak ketiga.

Ada berbagai macam teknik dan alat-alat yang bisa dicoba dan dapat digunakan perusahaan untuk menjaga koin yang berharga dari pelanggan agar tetap aman.

Cold Storage 

Cold storage adalah calon yang jelas, dan Coinbase inilah penyedia layanan dompet dan merchant payment gateway.

Perusahaan ini, yang telah mengklaim dengan menyimpan lebih bitcoin dari siapa pun di dunia ini, memegang 97% dari keseluruhan secara offline, pada tombol kombinasi USB dan backup kertas. Drive USB terkunci secara privat dan dienkripsi lalu disimpan dalam safe deposit box di seluruh dunia.

Bursa pertukaran juga bergantung pada cold storage untuk keamanan mereka. “Semua dana yang ada pada Coinsetter saat ini dalam cold storage,” kata pendiri bursa pertukaran yang berpusat di New York itu, Jaron Lukasiewicz. “Kami memiliki beberapa tingkatan cold storage, tergantung pada beberapa faktor.”

Sebuah perusahaan dapat mengelola cold storage sendiri, atau bisa orang lain untuk melakukannya(pihak ketiga). Toko Coinsetter 50% dana yang di Xapo itu pada penyimpanan bitcoin.

Xapo membebankan biaya sekitar 0,12% dari jumlah yang tersimpan untuk menjaga bitcoin dari perusahaan Bitcoin dalam ruang penyimpanan bitcoin, yang terdiri dari beberapa server yang secara offline diletakkan di tiga lokasi, yaitu di Asia, Amerika Selatan dan Amerika Serikat.

Distribusi secara geografis bukan hanya untuk situs fisik redundancy. Ini akan memberikan fokus kepada pemerintah sebagai vektor serangan juga. Jika pihak berwenang di satu yurisdiksi mencoba untuk merebut Bitcoins dalam tempat penyimpanan, maka akan ada dua lokasi tempat penyimpanan lainnya yang masih utuh.

Asuransi Terhadap Hilangnya Bitcoin

Sekarang, layanan cold storage melengkapi keunggulan teknis di beberapa perusahaan penyimpanan bitcoin dengan salah satu produk finansial: cyber asuransi.

“Kami adalah perusahaan bitcoin pertama yang harus mendapatkan polis asuransi cyber crime,” kata CO-founder Coinbase dan CEO Brian Armstrong. “Ini mencakup tentang penyimpanan bitcoin, yang kita tinggal di server, dan mencakup hal-hal seperti hacking, pencurian internal dan hilang secara tidak sengaja karena bug perangkat lunak.”

Ruang penyimpanan Xapo yang diasuransikan oleh Asuransi Meridian.

Dompet lain yang mendukung cold storage adalah Armory, dompet penyimpanan kelas enterprise yang dikembangkan oleh Alan Reiner.

John Velissarios, yang baru bergabung dengan Armory sebagai Kepala Staf Keamanan Informasi (CISO), menjelaskan bahwa dompet tersebut memiliki versi cold storage yang khusus dirancang untuk tidak tersambung ke blockchain, yang berarti bahwa ia tidak mempublikasikan transaksi.

“Anda bisa memiliki mesin cold storage, tanpa konektivitas dengan dunia luar. Anda menggunakannya untuk mencairkan dana dari dompet Anda,” tambahnya.

Untuk mengambil keuntungan dari cold storage, pengguna perusahaan dapat mempersiapkan transaksi bitcoin mereka pada komputer yang tersambung ke Internet, dan kemudian menyalinnya ke USB drive dan mentransfer transaksi ke komputer cold storage offline, di mana mereka menandatanganinya.

“Anda kemudian menyalinnya kembali ke komputer online dan mempublikasikannya,” lanjut Velissarios.

Modul Keamanan Perangkat Keras 

Tidak semua orang terpikat oleh cold storage, namun. Untuk mendapatkan dana dari tempat penyimpanan yang menjadi sebuah dompet panas mungkin memakan waktu lama, hal itu menunjukkan sebuah metode yang kritik.

“Orang-orang dalam bisnis perlu dikendalikan untuk mengakses dananya,” kata Rodolfo Novak, CO-pendiri CoinKite. “Setiap kali Anda melakukan cold storage Anda wajib untuk melibatkan manusia, sehingga ada kemampuan untuk human error.”

Pada bulan Februari, CoinKite meluncurkan layanan penyimpanan kode sandi privat yang aman dalam modul keamanan perangkat keras (HSMs), yang tidak secara langsung terhubung ke Internet, melainkan berfungsi melalui proxy yang membuat permintaan ke sistem. Sistem itu disebut Novak ‘warm’ tempat penyimpanan – dipegang secara aman dengan kunci yang dapat diakses melalui API.

“HSM berdinding dari Internet standar dan tidak pernah mengekspos kunci-kuncinya. Jadi Anda tidak bisa dibilang benar – benar terkena hack,” katanya.

HSM, dimana CoinKite membangunnya sendiri, tidak memiliki web server. Semua dapat Anda lakukan adalah mendukung permintaan API dari server web CoinKite sendiri. Modul ini harus masuk server elektronik sebelum dimulai, yang menurut CoinKite pendiri Peter Gray berarti bahwa tidak ada proses berbahaya yang berjalan di server.

Para penggunanya dapat mengakses sistem menggunakan login CoinKite mereka, perusahaan enkripsi dapat menggunakan algoritma hashing, dan selanjutnya bisa melindungi diri dari akibat yang fatal dengan menggunakan dua faktor otentikasi (2FA), melalui Google Authenticator, SMS, atau bahkan otentikasi berbasis paper.

Pada saat pengguna dikonfirmasi, mereka kemudian dapat mengakses cold storage mereka melalui API, dimana dapat diatur untuk mengikuti batasan tertentu, misalnya hanya memungkinkan akses dari alamat IP tertentu, atau membatasi penarikan untuk jumlah yang ditetapkan selama periode waktu tertentu.

Multisignature storage

Multi-signature (‘multisig’) storage adalah salah satu perkembangan yang terbesar dalam bidang keamanan perusahaan bitcoin sampai saat ini.

BitGo, CEO dan CO-founder Will O’Brien berkata untuk memfokuskan diri pada solusi untuk perusahaan dan institusi, cold storage sama sekali tidak mendukung multisig.

O’Brien mengatakan:

“Cold storage Single-key adalah tempat membahayakan, praktek usang. Sebagai sebuah industri kita perlu mengakhiri zaman es cold storage dan mengadopsi multisig, di mana Anda dapat membuat sejumlah tombol ‘cold’ dan memiliki perlindungan yang lebih kuat.”

Standarisasi beberapa tahun yang lalu bagian dari BIP 16 (itu sebelumnya fitur non-standar dalam protokol), multisig memungkinkan pengirim untuk meminta lebih dari satu signature untuk mengkonfirmasi transaksi yang dikenal sebagai ‘m dari n’ penandatanganan.

Dalam m ke n multisig transaksi, ada total n privat key yang tersedia untuk menandatangani transaksi, dan dompet diatur untuk meminta m dari key tersebut untuk menandatangani transaksi untuk transaksi yang akan dieksekusi.

Gagasan itu adalah untuk menghentikan satu orang yang mampu berkompromi pada dompet, dengan mewajibkan pihak lain yang diketahui untuk bersama-menyetujui transaksi itu.

BitGo, yang diklaim sebagai penyedia pertama dengan fungsi dompet multisig, fitur ‘2 dari 3’ signature konfirmasi, yang berarti dua kunci pribadi harus digunakan untuk menandatangani transaksi dari tiga total konfirmasi yang tersedia.

Salah satu penandatangan dalam skenario adalah dompet private lokal, dan salah satunya adalah kunci private bitcoin. Kunci ketiga adalah kunci cadangan yang ada pada server Bitgo.

Armory juga mengumumkan kemampuan mutisig sepenuhnya yang terdesentralisasi pada bulan Juli. Perusahaan ini menawarkan kombinasi multisig hingga m ke 7, melalui pengelolaan independen dompet Armory, tanpa menggunakan situs yang terpusat.

“Bank biasanya memiliki 2 dari 3, atau 3 dari 6, tetapi mereka umumnya tidak akan masuk ke 7,” kata Velissarios, mantan prinsipal senior di konsultasi keamanan Accenture, dengan pengalaman serupa di PricewaterhouseCoopers. “Itu sebabnya ruang perusahaan sangat cocok untuk melakukan hal semacam pemisahan tugas dan memberikan kemampuan tersebut.”

Penyimpanan Private Key Desentralisasi

Kunci tempat penyimpanan multisig terdesentralisai secara offline merupakan keuntungan yang signifikan bagi sebagian orang, termasuk CEO dari salah satu VC yang didukung perusahaan bitcoin yang telah mengangkat beberapa juta dolar.

“Saya bisa membuat struktur m ke n, di mana semua kunci privat n dibuat offline,” kata CEO, yang meminta untuk tidak disebutkan namanya. “Lalu, bagaimana saya memperlakukan mereka terserah saya. Saya bisa menempatkan salah satu dari mereka secara online, tapi intinya adalah bahwa pilihan ada pada diri saya.”

CEO mengatakan:

“Ada juga situasi di mana, untuk jumlah sangat kecil dari koin, Saya punya dompet panas kecil, di mana saya menempatkan $ 50 [di Bitcoins]. Itu memiliki tempat tersendiri.”

Untuk perusahaan-perusahaan yang ingin lebih ms ke ns mereka, pada tanggal 18 November, CoinKite memperkenalkan multisig untuk modul keamanan perangkat keras. Sistem ini menawarkan m-of-15 transaksi, dan seperti Armory, tidak memerlukan kunci untuk dapat disimpan pada server pusat, meskipun tidak menawarkan lima pilihan yang berbeda.

Dengan opsi tempat penyimpanan yang paling sederhana, semua toko CoinKite mempunyai key yang terpusat. Tempat penyimpanan kata sandi membuat satu kunci di HSM, tapi yang uniknya mereka mengenkripsi menggunakan password pengguna.

Opsi ketiga, ‘mengundang orang lain’, memungkinkan pengguna untuk mengundang pengguna lain CoinKite menjadi cosignees, yang kemudian dapat memilih opsi yang mereka inginkan untuk menyimpan kunci mereka.

Opsi keempat, offline, menggunakan alat open-source yang dibuat oleh CoinKite, yang berjalan di browser dan menghasilkan key multisig.

“Beberapa orang yang cosigning pada account mungkin ingin menggunakan HSM, jadi kami mendukung sistem penyimpanan satu kunci multisig di HSM,” kata Gray CoinKite. “Pada saat yang sama, kami juga memberikan kode Javascript untuk menghasilkan offline key, pada komputer yang tidak melakukan apa pun. Jadi mereka bisa membuat kunci yang benar-benar di luar CoinKite.”

Akhirnya, pilihan kelima memungkinkan pengguna mengimpor kunci dari dompet lainnya.

Apa Langkah Keamanan Berikutnya Untuk Perusahaan Bitcoin?

Perusahaan Dompet secara khusus menyesuaikan solusi mereka bagi perusahaan bitcoin. BitGo memiliki layanan enterprise dengan fitur seperti batas pengeluaran, peringatan, dan round-the-clock dompet monitoring. Selama di Armory, Velissarios kepala atas divisi jasa konsultasi.

Apa yang sangat membantu perusahaan bitcoin, meskipun, adalah standar untuk keamanan audit, yang lebih dari sekedar keamanan dan PCI standar keamanan klasik pusat data, untuk mencerminkan sifat unik dari penyimpanan bitcoin dan penggunaan.

Tidak seperti yang ada sebelumnya. Apakah sudah ada badan standar keamanan, atau lembaga independen di dunia bitcoin, yang meningkatkan sistem lebih?

Source : http://www.coindesk.com/bitcoin-companies-keep-funds-safe/

Nov 28, 2014Fajar Himawan

Komentar

comments