Révocation d'une identité non validée

Support Duniter-v2
1

Dans l’idée, la révocation est un état qui permet de bloquer une adresse (et potentiellement un pseudo) pendant une durée donnée après que l’identité a été valide.

Les identités crées non validées sont supprimées au bout d’un moment (cf Récapitulatif du parcours membre), ce qui rend la clé à nouveau disponible.

On peut lancer une discussion là dessus, mais il faut garder en tête que les comportements désirables pour les tests peuvent être indésirables en prod.

1 Like
2

Scénario d’attaque :

  • Je crée mon identité, enregistre mon fichier de révocation, commence à me faire certifier.
  • Un vilain me pique le papier sur lequel est écrit mon mnemonic.
  • J’ai oublié ou perdu tout autre moyen de m’authentifier.
  • Je n’ai pas accès à mes autres moyens de communication (le vilain a aussi volé mon téléphone avec mon mail et mes contacts vers mes certificateurs).
  • Comme je n’ai pas pu les prévenir, les certificateurs continuent à certifié mon compte volé.
  • Mon compte devient membre et le vilain peut faire une certification.
  • Si je suis réactif et que je retrouve un accès à Internet et que la seule copie du fichier de révocation n’était pas sur mon téléphone, je peux enfin révoquer.
  • Sinon, quelques autres certifications pourraient passer.

Donc même en respectant la licence, si on se fait voler son compte et qu’on ne peut pas révoquer avant de devenir membre, on peut causer au moins une certification frauduleuse.

1 Like
3

L’attaque fonctionne même sans cette contrainte.

On pourrait autoriser la révocation d’une identité non validée, ce n’est pas très compliqué. On pourrait aussi avoir un délai de première certification non nul.

Et elle me fait penser à une autre attaque de réservation de pseudos :

  • je confirme une identité avec le pseudo “aaa”
  • je révoque cette identité
  • je suis alors légitime pour demander la création d’une identité sur une autre clé
  • je confirme cette identité avec le pseudo “bbb”
  • je continue ainsi de suite en me faisant à chaque fois passer pour un nouveau
  • les pseudo ne sont jamais dé-réservés, il n’existe pas de mécanisme pour ça pour l’instant

Pour éviter ça, la réservation du pseudo devrait être déplacée à l’adhésion (demande d’évaluation de la règle de distance).

1 Like
4

Ça voudrait dire qu’on certifie un nouveau sans connaissance de son pseudo. Actuellement seul le parrain créer l’identité sans pseudo, car ça fait partie du contrat en tant que parrain en quelque sorte.

Je ne sais pas si c’est gênant, mais à réfléchir.

Une autre solution serait de ne pas réserver les pseudo d’identité ayant juste été créé. La seconde certification (ou 3eme pk pas, ou carrément lors de la validation de l’adhésion après distance) verrouillerait l’enregistrement du pseudo pour non réutilisation).