Nouveau champ profil utilisateur: Clé publique Ḡ1

L’image de GitHub fait 5×5 = 25 pixels = 33554432 combinaisons = bruteforce facile

Pour ne pas désavantager les daltoniens, je n’ai pas compté les couleurs. Mais on pourrait ajouter des pixels, des formes, des nuances de gris. Avec les IA de génération d’images on pourrait même fabriquer un tableau d’inspiration artistique à partir d’une chaîne.

L’inconvénient est que la moindre mise à jour du système doit être faite partout en même temps et nécessite de réapprendre toutes les images des gens qu’on connaît.

2 J'aimes

Je vois que le sujet est immense… Pourquoi ne pas créer des mondes dans minetest :wink:

1 J'aime

Ok donc avant de se lancer dans quoi que ce soit côté identicon, il faut s’assurer de partir sur un format large, avec beaucoup de pixel, et quelques couleurs flash non problèmatiques pour les daltoniens (je suis moi même daltoniens rouge/vert donc je suis un bon test pour ça ^^)

@dig ? Une idée?

Le truc de github est marrant, mais il faudrait quelque chose de beaucoup plus complexe. C’est carrément un programme à part, avec les conseils d’un graphiste à mon avis.

Et si on imaginait un programme qui fasse l’inverse : tu mets une photo de toi et ça te sort ta clé publique :slight_smile:

Pour faire ça de manière sécurisé il faudrait coupler ta photo avec un mot de passe pour générer ton Salt G1.

Mais si tu fais ça, tu va te retrouver avec une paire d’identifiant/mot de passe Cesium énorme et incompréhensible, impossible à retenir.

Mais l’idée est sympa :slightly_smiling_face:

1 J'aime

Donc très dur à pirater ? L’idée me paraît plaisante. On serait la première monnaie dont chaque compte membre serait généré par l’image de son créateur. Difficile de faire plus personnalisé.

Par contre ça me paraît difficile à réaliser ET à intégrer :slight_smile:

Je crois que oui, mais…

Cette lib de GitHub n’est pas conçue pour la sécurité mais pour remplir une photo de profil manquante, je ne crois pas que ce soit le bon choix.
A contrario des identicons de cryptos comme Ethereum par exemple, ou autre j’en avait trouvé des plus complexes et plus sympa visuellement aussi… Je ne suis pas chez moi mais je vais essayer de retrouver ça…

Oui, il faudra trouver une lib robuste et ne pas en changer tous les 4 matins!


L’idée est séduisante mais me paraît très complexe, et en plus ça ouvre une question de protection de la vie privée car ta tête sera liée à ton identification a vie… Dans compter le cas des jumeaux…

1 J'aime

C’est possible : une IA donne les propriétés du visage par exemple, et génère une clé privée avec. Cependant le visage est public, il ne doit donc pas être utilisé comme clé privée…

Celà dis une petite recherche « identicon » sur github, ou npm donne déjà des 10aines de libs…

jidenticon (graphiste proof) (exemple: dig)
blockies
sigil
jazzicon (graphiste proof)
quilt
identiheart (graphiste proof)
pictogrify (graphiste proof)
ranvis identicon (sécu proof)
iqons (graphiste proof)
hashicon (graphiste proof)
dicebears avatars (graphist proof)

Ma préférée étant robohash qui propose des robots, des monstres ou des chats (peut-être pas la plus sécu… à étudier):

Voici des exemples avec quelques clés pub des personnes de ce fil qui ont rempli le nouveau champ profil du forum dont il est question :wink:

- jdenticon robots robots 2 monstres chats
@dig
@attilax
@poka
@tuxmain
@vincentux
Gmix
@vit
@Hugo-Trentesaux
@elois
@nox
@gerard94

Les possibilités sont infinies…

4 J'aimes

Tu as trouvé!!! Il faut choisir plusieurs lib. Et fabriquer une identité visuelle genre « rébus »

1 J'aime

Comme très bien expliqué dans cet article : https://medium.com/nimiq-network/devblog-2-identicons-be50dca91d55

Les identicons ne peuvent pas et ne doivent pas remplacer la vérification manuelle et minutieuse d’une adresse (=clé publique pour nous) avant un virement important ! Car l’entropie des identicons est ridiculement faible :

In total that’s 10⁵ * 10 * 10 = 10 000 000 different robots. That’s not even close to the number of different addresses which is ~2²⁵⁶ = 10⁷⁷. Though it’s probably impossible to generate anything close to 10⁷⁷ different, well distinguishable, well memorizable Identicons on a 128x128 pixel canvas, just because humans capacity in processing images is limited. Therefore Identicons can never be a security measurement and they can never replace the need to carefully check an address before confirming a critical transfer. Even though their entropy is neglectable in comparison to the address space, to quickly get an overview of your transaction history or to distinguish your own accounts, Identicons are very valuable.

1 J'aime

Bien sûr, ce n’est qu’une aide visuelle… L’identicon devrait d’ailleurs être toujours affichée avec le clé elle même (ou au moins le début et la fin)
C’est comme un hash md5 qui te permet de vérifier que ta destination et ta source sont les mêmes avec le même algo. Là il faut imaginer des champs clé pub qui génère l’image en live quand tu écrit et ça te permet de voir que l image est la même que là où tu as chopé la clé…

:sweat_smile: Non le but est d’aider les utilisateurs et non pas de complexifier…

1 J'aime

Justement il est facile de générer un autre clé publique produisant le même identicon (ou même d’avoir un set de clés pour chaque identicon déjà prêt avant l’attaque). Donc les identicons ne résolvent pas la problématique évoquée dans ce fil, il serait dangereux de le faire croire !

1 J'aime

Ha oui? As tu une démonstration qui prouve cette affirmation ?
Produit des images identiques à un exemple posté plus haut sachant qu’il y aurait (disons) les 6 1ers caractères de la clé à côté de l’image…

Je te met au défi de trouver une clé pub qui aurait la même image ainsi que des caractères ressemblants!
(défi constructif hein ! Ou plutôt challenge :slight_smile: )

Tu as pris seulement le cas d’une seule lib alors qu’il en existe d’autres plus complexes…
Je suis près à renoncer à des images jolies si la sécurité n’est pas suffisante et qu’il faut prendre des images complexes mais moches :wink:


C’est comme dire : un hash md5 n’est pas suffisant pour télécharger un fichier… Bah oui c’est pas le fichier c’est le moyen de vérifier le contenu du fichier… De la même manière, l’identicon permet de vérifier que des clés qui aurait des char similaire ne sont pas les mêmes ou bien voir facilement qu’on a pas copié correctement une clé. Un moyen de vérification et non pas l’identifiant unique lui même…

La problématique très éventuelle d’un pirate qui changerait les clés affichées sur les profils accompagnés d’identicon dont nous finirons par avoir l’habitude de regarder mettait la puce à l’oreille. De plus si la clé est un lien vers un Cesium permettant de voir le compte et permet de checker le triptyque clé/pseudo/identicon.
Ça rajoute de la complexité et le pirate qui doit non seulement trouver une image identique une clé ressemblante et se faire certifier avec un pseudo similaire… Bonne chance !

2 J'aimes

exact :slight_smile:

2020-01-08 17-12-01 chercher l’erreur ^^ g1pubkeymatrice5


@dig, t’en penses quoi de ceux là?

je trouve que ça reste dans le theme de ton logo (la forme du G) , par contre c’est peut être moins pratique qu’une grille ,

tant visuellement que pour permettre a des logiciels en ligne de commande de reproduire la dite image

Tu as répondu :speak_no_evil:

C’est effectivement assez joli, mais je ne trouve pas que ce soit d’une aide quelconque pour éviter les erreurs de clé en un coup d’œil… Beaucoup trop proche les une des autres.

Oui par contre prendre une de ces images comme logo ça peut se faire ! On peut deviner un G, dans le sens des aiguilles d’une montre on peut y voir le DU qui augmente et ça peux aussi faire radar ce que j’associerai à la vigilance à avoir vis à vis de la toile de confiance…

Y a t’il moyen d’avoir une version vectorielle des images ? (SVG par exemple) Peux-tu répondre et reposer ça dans le topic sur le logo (disruptons …) please?

1 J'aime

Un message a été fusionné à un sujet existant : Disruptons l’iconographie de la monnaie !

ZZZ / Z7Z :slight_smile: