Pourquoi le compte client REMUNITER ne porte pas son nom?

Ne serait-ce pas plus simple et clair si REMUNITER portait son nom plutôt que le début de sa clé publique, notamment pour pouvoir y verser la monnaie de nos cotisations en confiance ?

Dans un client tu devrais pouvoir stocker en local des libellés sur les pubkeys de confiance que tu auras validé préalablement. Ce que tu peux faire pour être sûr, c’est d’envoyer un premier virement vers une pukey choisie d’un montant faible (1,00 Ğ par exemple, car si le compte en face est à zéro tu perdrais ta monnaie avec un virement plus faible), puis tu vérifie toujours avec un client que le compte pubkey choisi est bien crédité par toi (ou un de tes comptes) du montant envoyé. La première transaction ayant réussi, tu peux stocker ce compte dans tes contacts validés personnellement, et ainsi la confiance que ce compte est bon est établie.

Pour tester ce fonctionnement :

Pour l’instant les clients n’ont pas intégré les comptes contacts qui ne sont pas les tiens, mais dans Sakia par contre tu peux “connecter un wallet” (terme inapproprié, car il s’agit d’une création personnelle pas d’un contact vers un compte extérieur), donc tu te crées un compte “porte monnaie”, en créant une paire (secret key / password) et un nouveau compte sera dans ta liste de comptes. Tu peux tester l’envoi de 2,00 Ğ de ton compte personnel vers ce nouveau compte, puis faire l’opération inverse de 1,00 Ğ de ce nouveau compte vers ton compte personnel pour vérifier que tout fonctionne bien et ainsi tu as testé une transaction bidirectionnelle, tu es confiant dans le fait que ces deux comptes communiquent bien et que tu connais parfaitement bien leurs paires (secret key / password).

En quelque sorte tu viens de “pinger” une pubkey.

Avec un compte contact externe qui n’est pas le tiens, donc tu n’as pas la paire (secret key / password = clé privée) mais uniquement la pubkey, tu ne peux qu’envoyer 1,00 Ğ, et c’est au propriétaire de faire l’opération de retour, qui vous assure à tous deux que vous n’avez pas fait d’erreur.

Effectivement une liste des comptes contacts serait tout à fait approprié et utile !
Donc tu me suggères avant d’effectuer des virements sur des comptes externes de faire une transaction de test d’un montant infime et de demander aux propriétaires de me renvoyer ce même montant afin d’être sûr de la validité et de l’appartenance de compte (soit de pinger ce compte). Ais-je bien compris ?
Pour le cas de Rémuniter, ce serait donc de contacter Cgeek et de faire cette opération avec lui avant de verser le montant de ma cotisation à la pubkey associée au compte Rémuniter ?

Ca n’empêche pas que Cgeek pourrait modifier le nom de ce compte et l’appeler “Rémuniter” plutôt que par sa pubkey, ce qui serait plus concis.

Voilà oui, c’est une procédure qui permet d’établir une confiance que “ça fonctionne”, vers tes propres comptes ou des comptes externes, avant de les utiliser plus régulièrement sur des montants élevés.

Pour rémuniter tu reçois déjà des montants si tu calcules, donc bon… Il te suffit de tester l’envoi une première fois avec un petit montant et de vérifier sur le compte Remuniter que ton montant a bien été viré et tu le mets alors dans ta liste de contacts (qui n’existe pas…).

Les comptes non-membres n’ont pas d’ID mais uniquement une pubkey, donc bon… le nom c’est toi qui le colle dans tes contacts ! C’est exactement ce que tu fais avec ton téléphone ou ton client mail, tu as un n° de tel ou un mail, le nom associé c’est toi qui le mets, mais chacun met le nom qu’il veut, certains mettent le prénom uniquement, d’autres le nom, d’autres un pseudo etc.

5 Likes

Merci pour tes réponses, c’est très intéressant !

Pourtant notre compte client Monnaie Libre Occitanie porte bien cette nomination et non pas sa clé publique.

@Fiatou
il s’agit du pseudo cesium+ et pas de l’uid. le pseudo cesium+ n’est pas inscrit en blockchain mais seulement sur les serveurs de data cesium+, c’est très différent !

Non. Cesium+ (pas Cesium) est connecté à une base de donnée centralisée, qui n’a rien à voir avec Duniter et lui fait faire des choses comme afficher des images, des libellés et autres informations non-monétaires et non-partagées avec les utilisateurs sérieux qui utilisent un client pur Duniter comme Sakia.

Dans Sakia il n’existe donc aucune information erronée, on ne voit que la base de données Ğ1 et pas de fausses informations.

Si cette base de données centralisée était piratée, le pirate pourrait afficher “REMUNITER” pour une clé qui n’est pas celle de REMUNITER.

Comme je ne sais pas comment vérifier cette assertion, je pars de l’idée que la base de donnée de Cesium+ est bien centralisée. N’est-ce pas possible de la rendre décentralisée… ?
Les données ne pourraient pas être stockées dans la blockchain ?

La blockchain coute malheuresement cher en stockage, donc il faut en mettre le moins possible dedans :slight_smile:

Deux questions : est-ce que les données stockées dans Cesium+ sont importantes et pourraient mettre en péril la sécurité de ses utilisateurs ? & Ne serait-il pas possible de dédier une nouvelle blockchain spécialement pour le stockage de ces données ?

En théorie non. La sécurité est la même que sur la blockchain (les données sont signées et authentifiées). Elles ne concernent pas la monnaie mais que des fonctions “user friendly”.

1 Like

En même temps on peut imaginer des scénarios de piratage problématiques. Par exemple en créant un utilisateur avec un nom similaire (genre un espace de différence) à un utilisateur existant et en changeant l’icône du véritable utilisateur, on pourrait faire passer un faux compte pour un vrai, et probablement faire un peu de phishing, je suis sûr qu’avec l’habitude personne ne regarderait plus l’adresse du destinataire mais se fierait seulement à sa photo, et des utilisateurs se laisseraient prendre à virer leurs sousous sur un compte pirate à la place du compte légitime. Et n’oubliez pas qu’un virement sur la blockchain est irrévocable. Une fois la transaction partie, on ne peut plus revenir en arrière, annuler ou autre.

2 Likes

Vrai, d’où l’avantage de rester sur des clés publiques pour l’envoi de monnaie et pas des raccourcis hasardeux via des UIDs. C’est mathématiquement impossible d’imiter une clé publique.

Fais quand même attention. Avec un outil (que j’ai déjà développé) on peut rechercher à partir de mots de passe et sel générés automatiquement des clés qui commencent de la même manière qu’une clé existante (au moins les 6 ou 7 premiers caractères, ce qui je pense est largement suffisant pour tromper la mémoire d’un humain qui aurait mémorisé le début des clés de ses pairs). Dans mon exemple précédent, on peut pousser le phishing jusqu’à imiter la clé publique pour ne pas éveiller les soupçons de ceux qui en auraient mémorisé le début. À terme, qui ira chercher la clé complète pour la coller dans le champ de recherche avant de faire un virement? Donc à moins de passer par un mécanisme de QRcode à scanner par exemple (ou bien sûr de copier-coller depuis une source sûre la clé complète), ça peut rester problématique.

2 Likes

@jytou Par rapport à ton questionnement sur le risque que les utilisateurs virent leurs Dunes (?) haha ! sur un compte pirate : [quote=“Galuel, post:5, topic:2114”]
Donc tu me suggères avant d’effectuer des virements sur des comptes externes de faire une transaction de test d’un montant infime et de demander aux propriétaires de me renvoyer ce même montant afin d’être sûr de la validité et de l’appartenance de compte (soit de pinger ce compte). Ais-je bien compris ?

Voilà oui, c’est une procédure qui permet d’établir une confiance que “ça fonctionne”, vers tes propres comptes ou des comptes externes, avant de les utiliser plus régulièrement sur des montants élevés.

Pour le cas de Rémuniter, ce serait donc de contacter Cgeek et de faire cette opération avec lui avant de verser le montant de ma cotisation à la pubkey associée au compte Rémuniter ?

Pour rémuniter tu reçois déjà des montan
ts si tu calcules, donc bon… Il te suffit de tester l’envoi une première fois avec un petit montant et de vérifier sur le compte Remuniter que ton montant a bien été viré et tu le mets alors dans ta liste de contacts (qui n’existe pas…).
[/quote]

Tu le dis ici, il va falloir que les utilisateurs s’habituent à copier-coller la clé complète afin de faire leurs virements en toute sécurité. Ce qui souligne l’importance de pouvoir se créer une liste personnelle de contacts dont on aura certifié la validité. Ce pourrait être une des prochaines applications sur Cesium ? @kimamila

A noter que @Tortue a déjà développé un format de pubkey intégrant un CRC, de façon à contrôler à la fois le début et la fin de la clé.

Je le laisse en parler mieux que moi.

Dis-nous tout @tortue :slight_smile: