Comment rechercher un utilisateur par clé publique?

Bonjour à tous,

Le problème :
J’ai créé une annonce sur gchange.fr avec une clé publique qui n’est pas la mienne.
J’ai été un peu vite et comme je suis débutant, j’ai pris une clé qui apparait sur le formulaire de connexion de cesium et j’ai (mal) cru que c’était la clé publique de mon compte…
Entre temps, une personne m’a fait un virement (car je vends un abonnement à un service en ligne en G1) et du coup le compte avec la clé présente dans l’annonce a du recevoir le paiement… Comment le vérifier ?
Le fait de ne pas pouvoir changer de mot de passe sur gchange.fr est vraiment bizarre. Pourquoi ?
Voici la clé publique qui a reçu le paiement : Gpt8wUVCtgduvxGVHZbiE2gJ24bCsxMukZsgbr9uppi7
Quelle est la probabilité pour qu’un compte existe déjà avec cette clé ? qu’est devenu le paiement ? Les G1 sont-elles perdues dans l’espace et cela affecte-t-il la valeur de la monnaie ?
Peut-on virer des G1 sur un compte qui n’existe pas ?

Merci, bien à vous.

1 J'aime

Parce qu’en fait, ce n’est pas un mot de passe, c’est l’identifiant secret Scrypt duquel est dérivée la clé privée, qui donne la clé publique. C’est le même mécanisme que pour la Ğ1, utilisé sur Cesium. Changer d’identifiant secret implique de changer de clé publique.

Ce n’est pas possible, à moins que ce ne soit la « clé de réception des paiements » (qui peut être changée comme on veut dans le profil utilisateur) ?

On peut chercher la clé en question (émetteur ou destinataire) dans l’annuaire Cesium, et regarder l’historique des transactions.

Si les identifiants rentrés étaient les bons, alors ça devrait être la bonne clé. Sinon, ce doit être une faute de frappe… Si vous arrivez toujours à obtenir cette clé dans le formulaire d’authentification, ça veut dire que vous pouvez toujours renvoyer la transaction sur le bon compte (en s’authentifiant avec la clé en question).

La probabilité pour qu’une clé tirée au hasard (ou dérivée d’identifiants secrets tirés au hasard) appartienne déjà à quelqu’un est quasi-nulle (il y a 256^32 clés possibles). Les Ğ1 envoyées sur une clé publique tirée au hasard (dont on n’a pas la clé privée) peuvent être considérées perdues.

Oui tout à fait, la notion de « compte » n’existe pas en fait. :slight_smile: Il suffit d’envoyer les Ğ1 sur une clé publique donnée, peu importe qu’elle soit membre ou non, qu’elle ait un profil Cesium+ ou non…

Je peux envoyer 100 Ğ1 sur la clé xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx, la transaction sera toujours enregistrée en blockchain et le solde de cette clé sera augmenté de 100 Ğ1. Duniter ne sait pas que personne ne pourra jamais les dépenser, mais ça fonctionnera quand même.

La masse monétaire M ne sera pas modifiée par une telle opération, donc la moyenne M/N sera inchangée, et cela n’aura absolument aucune conséquence sur la monnaie. (à part d’éventuels effets de marché dus à la disparition de monnaie, mais qui se résorberont vite grâce au DU)

Oui c’est ça. J’ai du croire que la clé était bonne lors de la connexion à cesium et à mon avis, je ne vais pas être le seul à se faire avoir.
La clé est la suivante : Gpt8wUVCtgduvxGVHZbiE2gJ24bCsxMukZsgbr9uppi7

Malheureusement non, je n’ai réussi.

Tiens c’est une question qui me taraude, à force de faire augmenter le DU ne va-t-on pas se retrouver avec des montants astronomiques à un moment ? et comment cela sera-t-il résolu ? une solution a-t-elle déjà été trouvée ?

Ok mais l’annuaire permet-il de donner le login au moins ? parce que j’ai l’impression que c’est ‹ secret › aussi tout comme le mot de passe. D’ailleurs, c’est une notion un peu nouvelle car en général on a plutôt un login connu (une adresse mail vérifiée par un mécanisme client/server) et un password inconnu. Ne peut-on pas avoir ce genre de mécanisme à la place ?

La clé en question à reçu deux paiements (dont un de ma part)

Tu peux consulter l’historique de n’importe qu’elle clé publique en allant sur Cesium puis « Annuaire » en bas à gauche (version ordinateur). Tu y trouveras un champ « Recherche » dans lequel tu peux entrer la clé publique de ton choix. Une fois la clé publique trouvée, tu obtiens un profil avec un lien « Opérations sur le compte ».

C’est (je pense) la raison d’être de la valeur « base » d’un montant. Les montants sont définis par un nombre et un exposant 10 (actuellement 0). Ça permet de réduire les montants d’un facteur 10 dès qu’ils deviennent trop grands (en perdant une décimale de précision).

Les montants exprimés en DU seront stables, puisque M/N en DU converge.

1 J'aime

Bonjour !

Techniquement oui, c’est à cela que sert la unitbase. Mais peut-être que @RGB ne posait pas la question sur le plan technique, mais sur le plan théorique : qu’est-ce qui empêche le gonflement exponentiel des prix ? Auquel cas, je l’invite à faire des recherches sur les référentiels monétaires (absolu, relatif au DU, relatif à M/N) et à visionner cette vidéo (j’ai pointé la séquence qui y répond)

Non.

Oui.

Pas dans un système distribué, non. Chacune est sa propre banquière, et doit assumer seule la sécurité. Et les tiers de confiance qui prennent ça en charge ça sont extrêmement rares dans Ğ1 (et sont à éviter, à mon avis).

Il faut essayer avec Gsper :wink: tuto ici.

edit - j’ajoute, juste en passant, que les commentaires de transaction sont publics, non effaçables, et en clair. Demander à des clients d’indiquer leurs adresses e-mail en commentaire, c’est leur demander de publier une information sensible permettant éventuellement des usurpations d’identité, sans possibilité d’effacement. Publier son adresse e-mail en commentaire (et/ou son téléphone) est une connerie un comportement risqué sur les internets. (mais @GotExx et Emilie ne sont pas les premiers à le faire, malheureusement)

Je te remercie de t’inquiéter de mon identité sur internet, trop serviable. Néanmoins, mon adresse e-mail est visible sur mon site personnel accessible publiquement comme peut l’être la BC de Duniter.
Bonus: tu y trouveras également mon nom de famille, mon prénom, et même une photo très ressemblante de ma personne.
Je n’ai donc aucuns soucis avec le fait de partager mon adresse e-mail publiquement sur internet. De plus, je possède la totale maîtrise de mon compte (mot de passe fort, 2FA toussa toussa).
À l’avenir, je te prierais de garder tes commentaires pour toi. Merci.

2 J'aime

Belle façon de remercier quelqu’un qui explique en quoi ce comportement est risqué.

Je ne vois pas le rapport avec les systèmes distribués.
En réalité cette réaction légitime de @RGB est pour moi ure preuve de plus que le couple (identifiant secret; mot de passe) est une mauvaise idée, aucune autre crypto ne fais ça. C’est plus chiant pour rien d’avoir deux credentials et ça crée de la confusion chez les nouveaux qui croient tout naturellement que identifiant secret serait un login :confused:

Dans Ğecko et Ğcli il n’y aura pas d’identifiant secret, ni de login, il y aura uniquement une phrase de récupération (pour import/export) et un code secret.

Détends-toi @GotExx, @matograine ne voulait pas t’offenser, il s’est exprimé de manière maladroite voila tout.
Le problème des commentaires de transaction, ce n’est pas tant le fait de partager publiquement des données personnelles, en effet chacun est libre de partager publiquement ce qu’il souhaite.

Non le vrai problème, c’est le caractère irrévocable et éternel de tout ce qui est stocké en blockchain, incompatible avec le droit à l’oubli.

C’est pour cela que les commentaires de transaction devraient être chiffrés ou stockés hors blockchain.

Donc je pense que dans l’idéal, le commentaire d’une transaction qui sera vérifiée par le serveur devrait être un jeton à usage unique. Par exemple, le serveur donne au client un jeton aléatoire qui correspond à son abonnement, à chaque fois qu’il faut renouveler l’abonnement.

Déjà si on l’appelait (mot de passe 1 ; mot de passe 2) ça serait moins pire… Les gens croient que l’identifiant secret est un pseudo… (je ne dis pas ça pour qu’on se contente de changer de terme hein, et puis c’est trop tard maintenant)

1 J'aime

Comment ça c’est trop tard maintenant ?

Changer ces termes dans Cesium risque de perdre les gens qui s’y sont habitués. Les nouveaux clients qui sont en développement vont privilégier un autre mode d’authentification plus sécurisé (et plus répandu dans les autres cryptomonnaies), il vaut peut-être mieux faire un seul gros changement (avec les explications qui vont avec).

2 J'aime

Oui certainement. Comment sera le nouveau mode d’authentification ?

@matograine et @GotExx
C’est vrai qu’il faudrait quand mêmem éviter de mettre des informations personnels dans les commentaires des transactions en Gunes. Je vais modifier l’annonce pour que les utilisateurs passent plutôt par mon formulaire de contact sur mon site avec l’adresse mail et le numéro de transaction s’ils arrivent à le trouver !

1 J'aime

Oui tiens d’ailleurs, comment le trouve-t-on ? Je n’ai pas trouvé dans Cesium :frowning:

Qu’appelez-vous le numéro de transaction ? Il y a le commentaire, le hash de transaction, le numéro de bloc… mais pas de numéro de transaction.

Bah, pour moi un numéro de transaction c’est son ID afin qu’on puisse la retrouvée.
Je voudrais qu’une personne faisant un achat en Gune (donc une transaction), puissent me fournir cet identifiant associé à son adresse mail via mon formulaire de contact. Le but étant de lier l’identifiant d’un compte d’une autre plateforme (en l’occurrence la mienne avec l’adresse mail de login) à l’identifiant de ladite transaction. Afin, que je puisse acquiescer que le virement a bien été réaliser et pour qui sans que ce ne soit visible dans la blockchain en passant par les commentaires comme je l’avais initialement proposé.

Mais à priori, le hash de transaction devrait faire l’affaire, sauf que je ne sais pas si un utilisateur lambda (c’est à dire non initié) serait capable de comprendre et de le trouver facilement…

L’utilisateur lambda ne devrait pas avoir à fouiller dans les données du bloc (c’est là qu’on peut trouver le hash de la transaction). En plus, on peut connaître le hash d’une transaction uniquement une fois que celle-ci est générée.

Le plus pratique est vraiment de demander au client de donner un commentaire particulier à la transaction. Tant que ce commentaire ne contient pas de données sensibles ou personnelles, ce n’est pas un problème.

Par exemple, après avoir complété le formulaire, le serveur pourrait dire à l’utilisateur de faire une transaction avec le commentaire base64(hash(salt + id_abonnement + id_paiement)). L’application client peut même gérer l’envoi de la transaction elle-même (ou renvoyer vers l’appli de paiement quand les liens de paiement Ğ1 seront implémentés). Ensuite le serveur vérifie son historique de transactions avec BMA et cherche une transaction du bon montant avec le bon commentaire.

C’est ce que je fais pour le ĞMixer, quelqu’un d’autre fait comme ça pour louer des hébergements NextCloud…

2 J'aime

Autres crypto monnaies qui, rappelons-le, sont rarement utilisées par des néophytes, mais bien plus par des initiés. La plupart des néophytes, débutants, etc n’utilisent pas de clients directement connectés au réseau P2P, mais utilisent des plateformes tierces qui gèrent pour eux leur compte. Ils sont donc en mode Username/mot de passe. Voilà l’expérience utilisateur que vous ignorez souvent : celle d’une plateforme classique.

La démocratisation d’un outil n’est pas chose simple. La démocratisation des « autres crypto » restent à prouver.

L’usage via :

  • une « phrase de passe », générée (que l’utilisateur ne choisit pas), longue, et qu’il doit absolument noter,
  • combiner avec un code pin de 6 caractères, généré, que l’utilisateur doit noter,

doit encore (il me semble) être expérimenté avant de pouvoir affirmer quoi que ce soit, tant sur le plan de la sécurité que de la simplicité de compréhension et d’usage.

1 J'aime

On dirait que l’usage que tu décris concerne Gecko.

Dans Tikka, le mnemonic sécurise et simplifie nettement la création d’un compte (une seule passphrase, pas de mot de passe), plus simple que Cesium où il faut noter deux identifiants…

Dans Tikka, seul le trousseau sur disque nécessite un code PIN. Donc ceux qui le désirent peuvent réduire l’identifiant à un petit code simple à mémoriser. Mais c’est optionnel.

Les gens ce sont habitué à Cesium, pas parce que c’est simple, (j’en ai formé pas mal qui galèrent encore) mais parce que c’est le seul client graphique web/mobile.

Encourageons les alternatives, comme Ğecko et Tikka, on fera des comparaisons d’usage après et chacun se concentrera sur son public cible. Moi ce sont les commerçants.

1 J'aime