Я смотрю на страницу часто задаваемых вопросов blockchain.info, и они описывают схему создания кошелька здесь: https://blockchain.info/wallet/technical-faq (пожалуйста, прокрутите вниз до раздела Пожалуйста, опишите процедуру создания кошелька. )
Поскольку их инструмент кодирования кошелька находится на Javascript, который находится на стороне клиента, пользователь может быть уверен, что ключ шифрования не может быть на сервере, потому что Javascript должен быть полностью кодом на стороне клиента?
Существует ли какой-либо метод на стороне сервера, с помощью которого сайт может злонамеренно собирать эти данные, тем самым ставя под угрозу целостность blockchain.info?
Может ли blockchain.info внезапно изменить строку кода в своем javascript, скажем, на несколько минут, и начать хранить предварительно зашифрованные данные на своих серверах так, чтобы многие этого не заметили? Они могли бы использовать этот метод для сбора секретных ключей из случайных выборок людей, и, скорее всего, им это сойдет с рук.
Нет, у них есть зашифрованный закрытый ключ каждого. Закрытый ключ расшифровывается локально на вашем клиенте.
И, конечно же, они могут изменить некоторые строки кода и получить ваш закрытый ключ. Но это верно для каждого биткойн-клиента (тонкий клиент или нет). Вот почему важно получать двоичные файлы клиента из надежных источников (и детерминированной сборки).
Стивен Горник
бвпкс