keyhotee 发布在即,我有一个疑问。
就是keyhotee ID的私钥是否能够冷存储,而不影响每次的登录认证。
因为我始终担心私钥存储在联网的电脑上所面临的安全威胁。
私钥一旦泄漏,除了删除ID没有别的选择。而在连线电脑上,被木马入侵很难彻底杜绝。
不知道即将发布的keyhotee系统是否考虑了这个问题并给出了对策。
一个解决方案是在离线电脑上生成若干(比如1000个)基于私钥的签名,
签名内容可以用自然数列(比如描述登录总次数,最好再加一个salt)。
然后把这些签名复制到在线电脑,登录时系统验证签名,相当于一次性密码。
不知道keyhotee系统是不是这么做的,希望能得到官方释疑。
还有POS权益证明时也有类似的问题,在此贴
POS机制与冷存储的矛盾以及对策讨论
http://bitsharestalk.org/(chinese)/pos/我也提出了疑问。