Systeme transaction / discussion

modules
application
electronique
device

#1

Avant toute chose,
Je tiens à dire que j’ai signalé sur le chat un problème lié à la création d’un compte sur le forum FR me concernant.
[le lien de validation reçu par mail retourne une 404]
peut être lié à: Email.forum.pokapow.fr ne répond plus ??

Que ce post ici présent peut sans aucun doute avoir sa place sur le forum FR et même d’autres supports plutôt que ce forum (ORG).

Ceci étant dit, merci.


Ce sujet est une première ébauche de mon coté et je souhaite bien connaitre votre avis,

du coté technique pour les personnes déjà dans le bain.
L’ensemble de ces technologies sans fil et les enjeux [pratique/technique] qui en découlent…

…et de manière générale l’approche globale d’une telle infrastructure,
de la même que pour le coté technique,
quelles questions morales cela peut souveler, l’impact que cela peut avoir, etc, etc…


Le cadre posé, voici une simulation:

La carte G1 pour l’acheteur (“BCG1” Buyer Card G1)
et un module de réception pour le vendeur (“SMG1” Seller Module G1)

BCG1 est le pendant de la carte bleue utilisée aujourd’hui.
SMG1 est le pendant du terminal pour le commercant.

-Dans quel contexte ?
-Pourquoi ?
-Pourqui ?
-Comment ?

De nos jours, il est possible d’effectuer des transactions avec des cartes bleues auprès des commercants.
Deux utilisations possibles:

  1. Insertion physique de la carte dans le terminal, puis authentification avec un code à 4 chiffres.
  2. Paiement sans contact en champ proche. Aucune action requise de la part de l’acheteur.
    La carte bleue utilise la technologie sans fil NFC pour le paiement sans contact.

En passant, je tiens à faire remarquer le développement de la marque a la pomme et de son système "Aplpe Pya"
et @SaintMerlin de souligner l’écosystème autour du boiticn, et de “Ldeegr Nnao” dans ce post qui m’ammène a coucher ici ma réflexion:
.Un bureau de change: de Ğ1 vers un billet de monnaie locale
.Billets uCoin à imprimer et distribuer

J’arrête ici le développement de ma pensée pour faire court
et en attendant de savoir où se retourner pour faire le parallèle avec le projet duniter et son environnement.

:slight_smile:


#2

cc @poka


#3

document a l’attention de @stephane ,
de @cgeek, @inso @elois @kimamila et de mon coté relou avec la doc :innocent:
et de tout ceux qui veulent bien y contribuer :smiley:
http://max-forum.dtdns.net/src/cb_module_proto.pdf
Edit : le lien ci-dessous => Expiration : samedi 26 août 2017 17:58 :laughing:
https://framadrop.org/r/K6mu2f-laM#pQ9MA4W3Oqmaxo18LhMvHKDneDajLx6uuqKC8CLrmfQ=
voir ftp d’elois + bas au cas où =)


Node js / fork /
#5

Je connais très bien l’I²C, j’ai travaillé sur ce protocole quand j’étais chez Philips puis NXP…
Penses-tu utiliser une carte comme celle-ci:
:
:wink:
.


#6

:grinning:

Pour être franc, aucune idée, je n’avais pas connaissance de ce genre de carte.
Pour la connectique -physiquement- établir le contact electrique je m’interroge sur pourquoi pas par une connectique usb meme pour le protocole i2c?

je pense egalement vis a vis des smartphones et la peut etre oublié l’i2c.

Globalement , tu en penses quoi ?
c’est pertinent d’envisager une telle configuration CB/TPE?


#7

Je tombe sur une page 403 - Forbidden


#8

rahhhh, je t invite a reessayer a d’autre moment… les joies d’internet =)


#9

Failed to load PDF document :

Ei si je RELOAD je tombe sur 403 - Forbidden :confused:


#10

Max ma envoyer le pdf par MP, au cas ou d’autre ont le même problème que moi je viens de l’upload sur le ftp de mon blog :

https://librelois.fr/public/cb_module_proto.pdf


#11

Alors je me contenterai de commenter sur ce que je maîtrise, c’est a dire uniquement sur la sécurité :

  1. C’est au terminal de paiement SMG1 de reset la puce BCG1 en cas de N erreurs de saisie du code PIN, donc si un pirate possède un terminal SMG1 modifié pour ne jamais reset les puces BCG1 il peut faire du bruteforce a volonté sur n’importe-qu’elle puce BCG1 qu’il aura dérober, ça sent pas bon ça !

  2. Il n’est pas possible dans le protocole duniter de bloquer/révoquer un portefeuille, donc en cas de vol de puce BCG1 la personne victime du vol NE PEUT PAS bloquer le portefeuille Ğ1 qui y est associé…

Dsl pour cette réponse mais en l’état actuel ça ne vas pas et je n’ai hélas pas de solution simple a proposer, peut-être s’inspirer du fonctionnement des paperwallet : https://github.com/Tortue95/Duniter_Paper_Wallet ?


#12

n’est ce pas le rôle du document de revocation que nous sommes invité à download a l inscription ?
maintenant dans le document, j’entends/ j’imagine, si je me fais dérober ma puce, a condition d’avoir un accès internet sous la main (et ce doc de revoque), je peux réagir aussitôt et faire le nécessaire pour soit A) transferer les fonds B) revoquer mon identité.
c’est sur, c’est perilleux :sweat_smile:

da ! ce qui refere a une structure de confiance pour produire ces modules… et d’autre moyens technique a envisager

tout dépend de quel coté de la barriere l’on se place :laughing: :rofl:


#13

Non le document de révocation sert uniquement a révoqué notre identité de membre afin que la personne qui nous a dérober notre clé privée ne puise plus s’en servir pour certifier ou calculer des blocks, mais la révocation n’a aucun rapport avec la gestion de la monnaie du compte.

Oui c’est effectivement la seule possibilité de “bloquer” son compte portefeuille en cas de vol de la puce, c’est de transférer immédiatement les fonds sur un autre portefeuille, mais cela demande d’avoir accès un appareil sous la main capable d’accéder a internet et se se souvenir de la clé privée du compte en question !
Et pas le temps d’être rentré chez soi, d’ici la le voleur aura déjà bruteforcer le code PIN, a moins que celui ci ne soit hyper long, mais dans ce cas le procédé perd tout son intérêt…


#14

moi et les systèmes cryptos :persevere:
ca revient a ce que je n’ai pas encore intégré et ce post anterieur :
.Souci avec un compte portefeuille
donc, existe - t- il un mécanisme permettant de close un portefeuille ? Oui / Non
Si Oui lequel ?
Si Non, quels sont les motivations ?


#15

Non et ce n’est pas une question de motivation mais de la nature même d’un portefeuille.
Un portefeuille ce n’est que un couple de clés asymétriques et rien d’autre, c’est à dire deux nombres, du moment que ces deux nombres sont connus par quelqu’un tu ne peut pas les “supprimer” tu peut juste vider la monnaie qui se trouve dessus c’est tout.

En fait toutes les clés publiques possibles correspondent toutes a des portefeuilles qui existent déjà, seulement pour la majorité d’entre eux personne ne possède la clé privée correspondante c’est tout.

Par analogie imagine toi que l’espace c’est les portefeuilles et la matière la monnaie : tout les points d’espaces existent qu’il y ai de la matière ou non en ces points, tu ne peut pas supprimer un point d’espace, tu peut juste le vider de sa matière (la déplacer ailleurs).


Où est stocké le portefeuille?
#16

c’est la ou cela m’interesse et qui me turlupine, ces deux nombres, pour chacun des deux nombres, je dispose bien d’une information stockée en blockchain ? la on est bien d’accord ? elles sont physiquement situées sur les disques durs des noeuds.

J’insite parce que ca me semble étrange, a mes yeux, il existe bien une possibilité de détruire , modifié/effacer, cettte (ces) informations !?


#17

Et bien justement non, la clé privée n’est jamais stockée en blockain, que ce soit pour un compte membre ou pour un simple portefeuille, seules les clés publiques sont stockés et seulement dans des transaction.
(sauf pour le cas des comptes membres ou les clés publiques sont également stockés dans le cas d’un acte sur la toile de confiance : certif, révoc, renouvellement, etc)

La “création” d’un simple portefeuille ne requiert aucune interaction avec la blockchain, puisque comme je t’ai dit précédemment tout les portefeuilles possibles existent déjà, tout comme tout les points de l’espaces existent déjà :slight_smile:

Qui plus est il n’est de toute façon pas possible de détruire une information contenu en blockchain, c’est justement l’une des forces de la blockchain, ce qu’elle contient est nécessairement gravé pour at vitam éternam (du moins tant qu’il y a un réseau de machines pour porter cette blockchain, mais s’il n’y a plus de réseau, il n’y a plus de monnaie ni de communauté, bref considérer ce cas ne sert à rien).


#18

blockchain :laughing:

dans ma tête , c’était surtout - les deux informations disposent d’un support physique ^^

“pas d’interaction” OK
"tout les portefeuilles existent déjà" – j’ai encore du mal à conceptualiser –
je vais faire mijoté tout ca
merci pour le cours individuel :slight_smile:


pour revenir au sujet du topic, j’en doute pas que tu va trouver une solution :sunglasses:


#19

Ben justement non plus et heureusement :slight_smile:
la clé privée d’un compte n’est jamais stockée nulle part sur aucun support physique.
Elle est générée a chaque fois que tu saisi ton couple identifiant secret/mot de passe dans un client pour signer une transaction ou une certification, puis effacée des que la signature est faite.

Après quand a savoir si ton couple identifiant secret/mot de passe tu le stock quelque part, la chaque utilisateur est responsable de ses pratiques, mais du point de vue de duniter et des logiciels clients cela n’ai stocké nul part.

Je me suis pris la tête pendant 3 semaines sur les billets pour en conclure qu’un billet sécurisé sans tier de confiance centralisé c’est impossible, alors c’est peut etre possible en faisant des compromis, càd avec une sécurité faible ou une centralisation partielle, il en vas peut être de même pour ton système, peut etre qu’il faut nécessairement faire un compromis quelque part :confused:


#20

Stéphane, quel est “ce genre de carte” dont tu parles ?
Questions annexes : connais tu des carte qui peuvent executer une signature avec un lib de crypto ? Je sais que sur BitCoin de gens commencent à utiliser cela : c’est une sorte de cryptage sans alimentation… je trouve ca top niveau sécurité !


#21

oui , c’est la raison pour laquelle j’ai souhaité communiquer ici de cela…
parce que aujourd’hui, la CB - on fait bien confiance a la banque et au prestataire des TPE, de la ligne de communication également, puis les clés usb crypto "bicotin"
c’est dans les moeurs et coutume ^^

si elle l’est =) ouiiiiiiii, elle l’est :yum:

elle est stockée physiquement dans la mémoire de ton ordinateur,
dès l’instant où se produit le résultat de la fonction, celle ci stocke le resultat en mémoire, ca peut être eventuellement dans un registre (sachant que les registres peuvent stocké jusqu’a 32/64bits, par consequent ce sera en memoire pour une clé de hashage de 1024 bits).

Maintenant - tout dépend du code.
Selon la mémoire allouée dynamiquement ou sur la pile (notion heap/stack d’adressage mémoire)

ton information est stockée à une adresse,
pour que la fonction appelante puisse récupérer celle-ci
jusqu’a dépiler et la traitée.
mais c est valable meme si tu fait le traitement dans la meme fonction =)

tant que la derniere fonction a traiter ton information n’ai pas explicitement détruit celle-ci en mémoire ou bien que la suite du programme ne l’est pas écrasé… on est sur de rien !

tant bien même que tu ai toujours le CPU qui continue de tourné, que tu ai quitté ton application
tu peux - probablement - avoir accès à cette information .

quid aussi de l’information qui transite sur ta carte réseau :smirk:


oui ca revient a ma “paranoia” , peut etre a outrance (cgeek appreciera :wink: ),
est-ce que j’ai confiance dans les smartphones - les OS et les navigateurs WEB - les programmes informatiques ?
est-ce que j’ai confiance dans les entreprises/structures qui développent ces “produits” ?

Est-ce qu’ils ont les moyens humain pour récuperer ces infos ? OUI
Est-ce qu’ils ont les moyens techniques pour récuperer ces infos ? OUI
Est-ce qu’ils ont les moyens financier pour récuperer ces infos ? OUI
Est-ce qu’ils se gênent pour le faire ? NON
Est-ce qu’ils te demande ton autorisation ? NON
Est-ce que tu as le droit de ne pas avoir recours a leur produits ? OUI
Est-ce qu’aujourd’hui je peux réellement m’en passer , dans le quotidien , de cette technologie ? NON