Ğ1Dons

matograine · Novembre 19, 2018, 8:04

Bonjour !

Je vous présente le premier prototype de Ğ1Pourboire. Il s’agit simplement d’un portefeuille papier pliable, format carte de visite, imprimable chez soi, qui permet de donner quelques Junes à toute personne intéressée.

edit 24/04/2020

Un premier logiciel qui édite, crédite, et récupère les ĞPourboires est publié !

J’ai envie de pouvoir donner des pouboires en Ğ1, des dons « au chapeau », ou d’offrir quelques Junes à des potes intéressé.e.s. Donc voilà le proto.

Petit tour du propriétaire :

En couverture, vous pouvez indiquer le montant versé sur ce portefeuille

A l’intérieur, quelques lignes explicatives. En effet, ce pourboire est un outil de propagande, il doit donc informer la personne destinataire.

Alt text

Au verso, la clef publique. En fait, c’est l’adresse URL de consultation de ce compte sur g1.duniter.fr. Le Ğ1Pourboire étant destiné à des personnes n’ayant sans doute pas installé Cesium, j’ai fait au plus simple pour elles. Il devrait rediriger vers la page des transactions, ce n’est pas le cas sur cette photo.

Alt text

Enfin, on déchire pour découvrir les identifiants (~~deux suites aléatoires de 8 chiffres~~ 2x trois mots « diceware » pris au hasard) et le QR-code d’importation WIF, ainsi que des explications sur comment récupérer les fonds.

Ce Ğ1Pourboire n’est pas un portefeuille destiné à stocker de grosses sommes, la sécurité n’est donc pas un gros enjeu. Vous pouvez même décider de conserver les versions numériques des Ğ1Pourboires que vous avez imprimé, pour récupérer les fonds 1 ou 2 ans après s’ils n’ont pas bougé.

Pour l’instant, c’est une maquette. J’aimerais pouvoir générer automatiquement des Ğ1Pourboire, mais je ne sais pas coder ça. Un des membres de la TdC lyonnaise est prêt à le faire contre rémunération, mais il ne m’a pas mentionné de montant pour le moment, je lancerai un financement participatif quand il sera OK.

Je me dis que certaines personnes s’intéresseront plus à la monnaie libre si elles en ont quelques unités, et ça me/nous permettra de toucher un public différent. J’aimerais avoir vos retours, aussi bien sur la forme que sur le fond (même si les textes doivent rester concis)

si vous voulez soutenir ce travail, vous pouvez faire des dons sur la clef :

3YtKyGWriJT6LZwaMVd1SjQP8XeSHUrh2W9JbqsButXs

Si nous sommes amenés à faire un financement participatif, les dons déjà envoyés seront compris dedans.

yyy · Novembre 19, 2018, 8:12

C’est une bonne idée

Peut être rajouter un truc du genre :

clé publique (le « RIB » du compte)

Pour que ça parle plus au néophyte ^^ Peut être la même chose pour « WIF ».

jeanferreira · Novembre 19, 2018, 11:02

Intéressant. En revanche malgré tous les efforts possibles cela restera abscon pour mme Michu.
Peut être mettre un lien vers un tuto ou une adresse mail afin de demander de l’aide pour utiliser ce Ğ1pourboire.

matograine · Novembre 20, 2018, 6:53

Une page de presentation/utilisation du g1-pourboire et de la June ? Ca permettrait d’être plus complet dans les explications, c’est une bonne idée.

Shinra · Novembre 20, 2018, 10:28

heu question à 2ğ1… euh… wif ? késako ?

par contre c’est sympa comme idée. Par contre il faut faire confiance ou juste se connecter et ensuite virer les junes sur un autre compte non?

jeanferreira · Novembre 20, 2018, 10:40

oui c’est l’idée. Pour ce qui est de la confiance, vu que c’est un pourboire le récipiendaire n’a de toute façon rien à perdre.

L’émetteur du pourboire connaissant la clef du compte pourra toujours le récupérer après un délai raisonnable s’il n’est pas encaissé. Cela évitant ainsi de perdre des Ğ1 dans la nature.
@matograine il pourrait d’ailleurs y avoir une mention " à virer sur votre compte personnel sous 3 mois" par exemple.

Shinra · Novembre 20, 2018, 11:22

ha oui, pas bête le coup simplement de limiter la durée durant laquelle le pourboire peut être récupéré et à la limite, tourner si on le souhaite avec plusieurs portefeuille à pourboire

et à terme, générer un max de portefeuilles aléatoires comme ceux-là, est-ce que ça pourrait avoir un effet négatif sur les disponibilités de comptes ou bien ça ne restera, quoi qu’il advienne, que quantité négligeable dans la myriade de comptes possibles?

jeanferreira · Novembre 21, 2018, 10:07

Le nombre de comptes possibles est supérieur au nombre de molécules dans l’univers

Shinra · Novembre 21, 2018, 10:12

nous sommes donc tranquilles de ce côté là ^^

matograine · Novembre 21, 2018, 10:27

2ğ1 ? Je prends
WIF = Wallet Import Format. C’est un standard d’import pour « ouvrir » une adresse privée. Ca mérite donc bien un mot d’explication.

Effectivement, l’idée est d’imprimer ces pourboires chez soi, et virer ce qu’on souhaite dessus. J’aimerais bien que ce soit une page web qui génère automatiquement les pages à imprimer (plus facile d’utilisation), mais ce sera peut-être un script bash.

J’ai pensé à la mention « à virer avant … sur votre propre compte », mais je me dis que dans les usages, certaines personnes vont utiliser cet outil pour créer des portefeuilles simples. En même temps, ces personnes sauront ce qu’elles font, donc à la limite, il peut bien y avoir cette mention et elles n’en tiendraient pas compte.

Par contre je ne prévois pas de système de récupération automatique des fonds, ce serait un autre projet.

Shinra · Novembre 21, 2018, 10:46

c’est bien ta clé publique ? CmFKubyqbmJWbhyH2eEPVSSs4H4NeXGDfrETzEnRFtPd

la date de fin de validité me semble être un élément pratique et aussi montre qu’une certaine importance est accordée à ce pourboire en ğ1 … à l’inverse laisser une pièce sur une table et au bout de 2 jours personne ne l’aurait « adoptée »… ça me poserait question alors imagine au bout de 4 ans lollll

et le qrcode wif, nous pouvons le générer comment? ou quel est son contenu et comment le génère-t-on? car si je sais comment faire, un petit coup de qrcode generator et hop, c’est bon

ha et autre chose, où utilise-t-on ce code wif? rien dans césium me laisse l’utiliser pour me connecter

matograine · Novembre 21, 2018, 11:01

Oui, c’est ma clef pub

C’est vrai, je vais ajouter une ligne « Virez ces ğ1 sur votre propre compte avant … » en laissant le choix à l’émetteurice.

Pour le WIF, la théorie : Wallet import format - Bitcoin Wiki (non testé, et sans doute un peu différent pour la ğ1, car on ajoute des bits en début d’adresse, je vais me renseigner)
En pratique, dans Cesium, tu as option → sécurité → exporter mes identifiants et tu as le choix entre fichier texte avec clef privée + pub, WIF, et encore un autre format je crois. Il faut alors ouvrir le fichier WIF et récupérer uniquement la suite de lettres.

L’import par WIF se fait sur Cesium-Android, se connecter → autres méthodes en flashant le QR-code.

edit : merci pour ces questions, ça me permet de voir les points de bloquage

Shinra · Novembre 21, 2018, 11:26

okkkk, en fait je viens de découvrir que la version de mon césium android était encore en v1

et comme j’ai lineageos, vu que l’appli cesium n’est pas sur fdroid… il faut que j’aille volontairement checker les applis installées via yalp >< … au moins c’est fait

maintenant, import ok, merci

vais tenter l’export tout à l’heure

dig · Novembre 21, 2018, 2:17

ID piratable

Si cette pratique se démocratise, un pirate pourra tester régulièrement des combinaisons de 8 chiffres et ainsi pomper certes des petites sommes, mais à foison…
La sécurité n’est donc pas négligeable!

Pourquoi ne pas utiliser directement un ID diceware? il existe de quoi en générer automatiquement, et c’est en plus d’être sécure, beaucoup plus facile à écrire pour un néophyte qu’une suite de chiffres…

Ce site par exemple permet de générer des mots avec différents dictionnaires, sans passer réellement par des dés, et le code source est disponible içi.

Le mot de passe peut rester une suite de chiffre simple…

vincentux · Novembre 21, 2018, 6:14

Comment fais-tu pour créer un Qr-code avec le fichier WIF dedans ???

matograine · Novembre 21, 2018, 9:37

Quelle pratique ?

→ Si la pratique de donner un pourboire en June se démocratise, c’est que la June se démocratise, alors tu peux compter sur le personnel de service pour afficher clairement une adresse de réception des pourboires. La question ne se pose donc pas, selon moi. Si j’avais le temps de chercher, je serais prêt à parier que ça existe déjà en UNL-Bitcoin.

→ Si la pratique d’utiliser cet outil pour créer des portefeuilles papier se démocratise, c’est vrai que la sécurité pose souci. En même temps, il y a écrit pourboire en gros sur ces portefeuilles, et il existe déjà un service d’édition de portefeuilles papier. On ne peut pas empêcher les gens de détourner des outils de leur utilisation, il m’arrive moi-même de me servir de la pointe d’un couteau comme tournevis.

D’autre part, la combinaison à tester est de 2*8=16 chiffres, soit 10^16 possibilités. Je n’ai aucune idée du temps que ça peut prendre. Pour rappel, le « ID » et « MDP » sont appelés ainsi, mais ils auraient aussi pu être appelés « sel » et « poivre », c’est les deux, ensemble, qui permettent de constituer la clef privée. Les deux sont aussi critiques l’un que l’autre.

Quant à l’idée de créer des ID diceware, si elle est correcte niveau sécurité, elle ne correspond pas au public visé : rester simple. Si une personne étrangère à la monnaie libre doit taper vingt mots pour récupérer ses fonds, elle laisserait tomber, à mon sens. Sans compter la place folle que ça prend sur la carte. Enfin je pense, est-ce que des ID/MDP Diceware de 2*4 mots ont une meilleure sécurité que 16 chiffres ?

Si les 10^16 possibilités sont atteignables facilement par un ordinateur, je peux envisager de passer à 10 ou 12 chiffres, ou à des lettres min/maj (on passe sur euh… 52^16 possibilités) mais je ne pense pas que ce soit nécessaire, en prenant en compte le risque qu’un tel piratage se produise et les conséquences (minimes) d’un tel piratage.

@vincentux

Je prends la suite de lettres du fichier WIF exporté de Cesium, et je la passe à la moulinette d’un générateur de QR-code, manuellement. En tout cas pour le moment.

rimek · Novembre 21, 2018, 10:23

C’est dingue j’ai eu la même idée il y a 3 jours j’ai fait presque pareil. Pour Noël j’ai fait un ticket cadeau avec le même concept.

vincentux · Novembre 22, 2018, 6:00

Ah oui ok je vais essayer…
j’ai créé un prototype plus « simple » …un seul pli
je le posterais ici quand il sera vraiment finit.

[EDIT] Quel générateur de QR-code utilises-tu ? (je suis sur Linux)

matograine · Novembre 22, 2018, 9:04

Qrencode, c’est un logiciel en ligne de commande. L’ordi est sous Debian également.

dig · Novembre 22, 2018, 3:18

La pratique du pourboire! Donc le pirate saura qu’il existe une multitude de comptes avec des petites sommes à récupérer et que le format à attaquer est toujours le même, simple eet piratable en quelques minutes et répeter l’opération pour récupérer au final un montant conséquent …
(En plus sa décrédibilise l’action de propagande si les compte se retrouvent souvent vides)

J’ai pas compris…
Il s’agit bien de cette pratique et donc pas le 2e paragraphe, il y’a déjà des réflexions autour du projet ğ1billet…

Oui donc 10 millions de milliard de possibilités, et d’aprés le site cité plus haut pour le diceware:

assuming a professional adversary can guess passwords at the rate of a 1,000,000,000,000 keys/second

Donc il faudrait 1000 secondes pour péter ce couple de 8 chiffres, soit environ 17 minutes…
Soit, récupérer (au minimum) 3 pourboires par heure !

Ca c’est toi qui le dit… Tu n’est pas obligé d’abuser avec 20 mots! Et je ne suis pas aussi sûr que toi que 4 à 8 mots simples (choisir le bon dictionnaire, par exemple français) soit plus compliqué que 16 chiffres sans aucune cohérence.

Oui clairement !

Le prémisse est juste, mais pas la conclusion: les 2 ne sont pas aussi critiques, mais l’un ajoute ou « multipli » la sécurité de l’autre… Avoir un ID sécure et un MDP simple ne diminue pas la sécurité, l’ensemble des possibilités est multiplié pas additionné ou divisé.
En essayant d’être plus clair: si un pirate doit déjà mettre 6ans pour trouver l’ID, il lui faudra X fois 6ans pour trouver le couple ou X est le nombre de possibilité du MDP, donc pas aussi critique… Tu peux considérer n’avoir qu’un des 2 éléments qui soit complexe. Et d’ailleurs il vaut mieux 1 élément très complexe et le 2e simple que 2 éléments moyennement complexes…

Alors c’est là que tu rends le truc encore moins simple pour l’utilisateur novice !! Penses au mot de passe wifi avec un range hexadecimal, c’est souvent un casse tête à taper, faire une erreur, retaper etc…
Je penses sincèrement qu’une suite de mots simples sans piège est plus facile à appréhender que des caractères aléatoires pour les novices.

On vois plus haut que le risque est très grand car le piratage très rapide (et je reprécise bien que l’intérêt arrivera lorsque la pratique du pourboire-propagande se répandra et que donc le pirate aura la certitude de trouver pleins de petits montants) et les conséquences sont terribles: discréditer et aller à l’envers du résultat escompté de propagande lorsque les curieux se rendront compte qu’en fait il n’y a pas de monnaie à récupérer du tout car le pourboire aura été vidé et donc se dira « qu’est ce que c’est que cette connerie! Y’a pas de pourboire en fait c’est de la merde la…heuuu jé-un, ils m’ont pris pour con … »

Et c’est dommage car l’idée à la base est bonne