Sécurité Certifications - Transferts Clé Privée
Actuellement Cesium accepte les certifications sans demander à nouveau la clé privée, c'est une faille de sécurité pour la TdC Ğ1, puisque cela permet de lancer des certifications en rafales, par simples clics.
Les opérations de certification, de génération du document de révocation, et en général tout type de génération de documents devraient demander la clé privée à chaque fois, et ne pas se fonder sur une clé gardée en mémoire. Ceci évitera des certifications ou transferts réalisés de manière trop légères.
Toute application bancaire actuelle fonctionne sur ce modèle, il n'est pas permis de générer des mouvements sans redonner les clés de confirmation.
Lors de la confirmation, les clés étant redemandées dans un formulaire, un récapitulatif complet de l'opération demandée doit être proposée (Vous souhaitez certifier la clé publique xxxx associée au pseudo yyyy, vous vous êtes assuré que vous avez bien respecté la licence Ğ1, que vous connaissez bien la personne qui possède ce compte, que vous connaissez ses autres certifieurs, que cette personne ne possède pas d'autre compte membre. Clé 1, Clé 2, confirmer).
Pour un transfert : (Vous souhaitez réaliser le mouvement suivant : Montant xxxx, Vers la clé publique : yyyy, Pseudo associé : zzzz ou compte portefeuille, Clé 1, Clé 2, confirmer).