Багатосторонній депонований ключ, чи справді це безпечно?

Автор: Лео

16 травня виробник апаратних гаманців Ledger випустив оновлення своєї версії, яке представляє послугу під назвою «Ledger Recover». Повідомляється, що Ledger Recover — це служба відновлення ключів за «підпискою» на основі ідентифікатора, яка може надавати резервні копії мнемонічних слів для відновлення приватних ключів користувачів. Наразі Ledger Recover сумісна з Ledger Nano X і доступна на Android та iOS під керуванням останньої версії Ledger Live. Користувачі, які можуть підписатися на послугу, тепер повинні мати паспорт/посвідчення особи, видані в Європейському Союзі, Сполученому Королівстві, Канаді чи Сполучених Штатах. Найближчим часом обсяг підписки цього користувача охопить більше країн.

Леджер також пояснив специфіку сервісу, який ділить мнемоніку (ключ) гаманця на три частини (технологія зашифрованого шардингу) і розповсюджує її трьом зберігачам: Ledger, компанії з зберігання криптовалют Coincover і компанії з розміщення кодів EscrowTech. Якщо хтось втратить свої ключі, два з трьох шардів можуть об’єднатися (очікуючи перевірку особи), щоб відновити доступ до заблокованих коштів. Ціна підписки на послугу становить 9,99 доларів на місяць.

Перш за все, дозвольте мені популяризувати апаратні гаманці. Як правило, закритий ключ зберігається в захищеному апаратному пристрої, який ізольований від мережевого комп’ютера та інших середовищ. Обізнаність про гаманець.

Заперечення користувачів

Після того, як інформація про сервіс була оприлюднена, це викликало велику кількість спротиву та бойкоту користувачів.BlockBeats узагальнив деякі думки користувачів проти сервісу:

• Для апаратного гаманця принципово важливо, щоб ключ не залишав гаманець, і нова послуга Ledger, очевидно, неприйнятна для багатьох користувачів, які можуть зберігати ключ самостійно, і після підписки на послугу вам потрібно довірити всі свої ключі та особисті дані іншим користувачам Установи, як тільки виникне проблема з цими установами (злом, викрадення інформації), існує висока ймовірність того, що інформація, яка зберігається, не буде недоторканою;
• Підписка на цю послугу потребує підтвердження національного паспорта та ідентифікаційного коду. Все, що захищено "підтвердженням особи", за своєю суттю є небезпечним. Особистість надто легко підробити, тому для підтвердження запиту на реконструкцію ключа користувача потрібна перевірка особи. Сьогодні шахрайство та крадіжка під час підтвердження особи. занадто рідкісні та поширені, тому це не безпечний спосіб;
• Служба розділить ключ на три частини, і це нормально, але проблема полягає в тому, що служба надсилає три частини ключа шифрування користувача трьом особам, які можуть повністю реконструювати ключ користувача. З точки зору математичної ймовірності, що більше сторонніх організацій розміщено, то ймовірність проблем зростатиме експоненціально;
• Більшість користувачів Ledger використовують Ledger Live, який використовує вузли Ledger для синхронізації всіх гаманців, розкриваючи кожну деталь дій користувача з шифрування, ваші активи та деталі транзакцій доступні третім особам, а також ваші ключі та ключі після підписки на послугу. розміщено третьою стороною, тож ваша криптовалюта все ще є вашою?
• Ми не можемо бути впевнені, чи має Ledger вбудовані засоби захисту, щоб запобігти комусь надіслати всі три частини ключа одному об’єкту, а також як вони поширюють його всім трьом об’єктам, тому ще менш зрозумілим є процес дешифрування під час відновлення. це дійсно було зроблено;
• Теоретично я знаю, що ви використовували Ledger Recover і отримали інформацію про особу.Пройти перевірку особистості за допомогою сучасних технічних засобів не складно, і ваші зашифровані активи також можуть належати іншим;
• З макроекономічної точки зору необхідно враховувати нормативні умови. EscrowTech і Ledger є американськими компаніями, а Coincover є британською компанією. Ці установи знаходяться під юрисдикцією Сполученого Королівства та Сполучених Штатів. Однак нагляд за шифруванням У Сполучених Штатах і Великобританії завжди була проблема. Уряду легко прийти, щоб запитати особи всіх власників, а потім конфіскувати кошти за власним бажанням.

Глибше мислення після відновлення Ledger

Цікаво, що одна частина вмісту була видалена після того, як Леджер щойно опублікував повідомлення про послугу. Вміст означає, що «Ledger і наші надійні треті сторони не мають доступу до ключів користувача». Хоча пізніше Леджер пояснив, що формулювання статті було неточним, це пояснення дещо надумане.

Джерело зображення Twitter

У поєднанні з відгуками користувачів виникає запитання, яке спонукає до роздумів. Чи стоїть за сервісом гонитва за прибутком після підписок користувачів, чи деякі регулятори змушують Ledger це робити? Якщо це функція, запущена на вимогу регуляторів, вони можуть легко це дуже страшно легко отримати KYC і дані користувача та відновити активи користувача.

Іншим моментом є те, що використання та відновлення трьох частин ключа має бути підтверджено на офіційному веб-сайті Ledger (електронна пошта, інформація про особу, Onfido KYC). Ця компанія під назвою Onfido займається процесом KYC і вимагає від користувачів завантажувати/підтверджувати свою особу Ідентифікатори користувачів, зображення/відео/звук із селфі-відео, а також загальне зображення пристрою та поточна активність також зберігаються. Onfido має повні відомості про ідентифікацію користувача та той факт, що ви є користувачем Ledger, тому, коли у вас є значна сума криптовалюти, вони також мають повні відомості про пристрій, який ви використовуєте для автентифікації. Як згадувалося вище, звук/зображення/відео ці не є Не можна імітувати.

Чи справді це безпечно?

Інші апаратні гаманці на ринку

Таким чином, служба Ledger повністю зламала традиційний механізм апаратного гаманця, і побічно було багато лазівок. Насправді проблема апаратних гаманців не є помітною. Раніше у гіганта апаратного гаманця Trezor було кілька хвилин, щоб зламати ключ за допомогою фізичного методи. Отже, які ще апаратні гаманці доступні на ринку? Сьогодні BlockBeats відсортував деякі апаратні гаманці з хорошими відгуками:

OneKey

OneKey — апаратний гаманець із повністю відкритим вихідним кодом. Вихідний код його внутрішньої системи можна знайти на GitHub, і немає жодних проблем із бекдором. І досвід використання апаратного гаманця OneKey дуже хороший, форма така ж, як банківська картка, ціна не особливо дорога, і в гаманець легко покласти.

Keystone

Keystone — це апаратний гаманець на основі QR-коду для передачі даних, який може реалізовувати мнемонічні слова та приватні ключі, які ніколи не торкаються Інтернету.Апаратні гаманці легко зазнати атаки, але Keystone розробив багаторівневий механізм самознищення. Щоб запобігти атаці на пристрій, тобто коли пристрій виявляє, що хтось його розбирає, механізм самознищення негайно очистить інформацію вашого приватного ключа та іншу конфіденційну інформацію, тому зловмисник не зможе отримати конфіденційну інформацію користувача. Keystone і MetaMask (розширені та мобільні версії) та інші найкращі програмні гаманці, такі як Solflare, Sender, Fewcha тощо.

Висновок

Звичайно, є також деякі позитивні погляди. Оновлення служби не є обов’язковим, і користувачі мають додаткові параметри, тож ви можете продовжувати використовувати свою книгу. Є також думки, що крадіжка зашифрованих активів є надто поширеною, і ймовірність Втрата ключів далеко. Більше, ніж ймовірність крадіжки ключів, і лише $ 9,99 на місяць, чому б не зробити це. Ви самі вирішуєте, продовжувати використовувати або перейти на інші апаратні гаманці.