تحديث دفتر الأستاذ سيرسل المفتاح الخاص

تسبب تسريب تحديث قادم في إثارة قلق المتشائمين بشأن كشف من نوع ما من شركة Ledger الفرنسية لمحفظة الأجهزة.

يمكنك الاشتراك في Ledger Recover ، كما تقول ، "خدمة استرداد مفتاح قائمة على المعرف توفر نسخة احتياطية من عبارة الاسترداد السرية الخاصة بك."

ولإضفاء مزيد من الإثارة على الأمر، ستحتاج إلى جواز سفر أو رخصة قيادة لاستخدام خدمة الاسترداد فعليًا في وقت لاحق إذا لزم الأمر، وإرسال الهوائيات.

"لذا، حتى إذا لم أستخدم هذه الخدمة، فإن جهاز Ledger Nano X الخاص بي قادر الآن على إرسال عبارة الاسترداد السرية الخاصة بي؟" - سأل صاحب دفتر الأستاذ علنا.

لقد تجاوزت الإجابة الأولية التي قدمها نيكولاس باكا، المدير التنفيذي للتكنولوجيا في ليدجر، هذه المشكلة:

"أنت تستخدم الجهاز بالفعل وتوافق على حقيقة أن Ledger لا يمكنه تحديث البرنامج الثابت دون موافقتك - إنها نفس آلية الاسترداد، والتي تكون مقيدة بملكية جهازك، ومعرفة رقم التعريف الشخصي الخاص بك، وأخيرًا موافقتك على الجهاز. "

لكن السؤال هو ما مدى دقة المفتاح الخاص الممنوح للشركات. وبعد مزيد من الضغط، قال باكا:

"يرسل الجهاز أجزاء مشفرة من البذور الخاصة بك إلى شركات مختلفة إذا قررت استخدام الخدمة. لا يزال بإمكانك بالطبع اختيار نسخها احتياطيًا بنفسك.

وفي وقت سابق من هذا الشهر، قال باسكال جوتييه، الرئيس التنفيذي لشركة ليدجر، كشف بالنسبة لـ Wired كانوا يعملون على جعل ملكية المفتاح الخاص أكثر سهولة:

"تستعد ليدجر لإطلاق خدمة جديدة تسمى Ledger Recover والتي تقسم عبارة استرداد المحفظة - في الأساس، شكل من المفتاح الخاص يمكن قراءته بواسطة الإنسان - إلى ثلاثة أجزاء مشفرة وتوزعها على ثلاثة أمناء: ليدجر، وشركة حفظ العملات المشفرة Coincover، و رمز الضمان شركة EscrowTech. 

إذا فقد شخص ما عبارة الاسترداد الخاصة به، فيمكن دمج اثنتين من الأجزاء الثلاثة - في انتظار التحقق من الهوية - لاستعادة الوصول إلى الأموال المقفلة.

في الأساس، يعد Ledger Recover شبكة أمان إضافية؛ وبسعر 9.99 دولارات شهريًا، فإن ذلك يزيل الخطر المتمثل في نسخة العملات المشفرة المتمثلة في حشو الدولارات تحت الفراش.

أسرار شامير هي أداة قديمة إلى حد ما في مجال العملات المشفرة. بدلاً من أن يكون لديك سلسلة طويلة واحدة كمفتاح خاص، يمكنك تقطيعها إلى ثلاثة أو أكثر، لذا إذا فقدت واحدة، فلا يزال بإمكانك دمج الاثنين الآخرين للحصول على مفتاحك الخاص.

وهنا يذهب ليدجر إلى أبعد من ذلك. بعد تقطيع المفتاح الخاص، يرسل بعد ذلك قطعة واحدة لنفسه، وLedger للشركة، وواحدة إلى Coincover وأخرى إلى EscrowTech. لذا، إذا فقدت جهازك، يمكنك إظهار هويتك وتجتمع الثلاثة لتعطيك مفتاحك الخاص.

المشكلة الكبرى تكمن في كيفية القيام بذلك. إذا تم تقسيمها داخل Ledger أو بطريقة ما بين جهازين أو ثلاثة أجهزة Ledger، فهي ميزة جديدة رائعة لأولئك الذين يريدون المزيد من الأمان.

هنا بدلاً من ذلك تقوم محفظة الأجهزة بإرسالها إلى هذه الشركات، وهذا يعني أن مفتاحك الخاص لم يعد خاصًا تمامًا بعد الآن.

يقول باكا: "لا توجد شركة واحدة تعرف البذرة الخاصة بك إذا قررت استخدامها"، وذلك لأنه لا توجد شركة واحدة لديها البذرة الكاملة، بل أجزاء منها فقط. كما أنها مشفرة.

لكن نقطة الخلاف الرئيسية هي أنه باعتبارها محفظة أجهزة، لا ينبغي أن تكون قادرة على إرسال المفتاح الخاص. يجب أن يكون غير متصل بالإنترنت ولا يمكن الوصول إليه.

يقول باكا: "لا يغير هذا من الافتراضات الأمنية مقارنة بتحديث البرامج الثابتة".

لذلك يعتمد على حقيقة أنه يتعين عليك الضغط على زر للموافقة على إرسال المرحلة إلى هذه الشركات من خلال الاسترداد، تمامًا كما يتعين عليك الضغط على زر للموافقة على تحديث البرنامج الثابت.

لا يتم إرسال البذرة من تلقاء نفسها، أو على الأقل هذا هو الاقتراح، على الرغم من أن الجهاز نفسه هو الذي يرسلها إذا قمت بالتأكيد.

غير متصل تقريبا؟

بالنسبة لأولئك الذين يريدون المزيد من الأمان، فإن حقيقة أن هذا الجهاز يمكنه توصيل المرحلة الأولية على الإطلاق يمثل مشكلة لأنه إذا استطاع ذلك، فهو ليس غير متصل تمامًا ولا يفعل ما قاله ليدجر علنًا الأسبوع الماضي:

"لقد فهمنا ذلك - يحتفظ جهازك بمفاتيحك الخاصة في وضع عدم الاتصال بالإنترنت. الأمر هو أنه يمكنك فعل المزيد باستخدام دفتر الأستاذ الخاص بك.

نظرًا لأن هذا التحديث يشير إلى أن المفتاح الخاص ليس محميًا تمامًا داخل منطقة باردة، ولكن يمكن إرساله إلى هذه الشركات، ولكن بموافقتك، هناك ضجة على وسائل التواصل الاجتماعي بين حاملي Ledger.

باعت الشركة ستة ملايين وحدة من الأجهزة، لكن إعدادها كان يتطلب دائمًا مستوى معينًا من الثقة، وبعض المفاضلة بين الراحة والأمان.

إذا كنت تريد الأمان الخاص بك، فعليك إنشاء المفتاح الخاص في جهاز كمبيوتر محمول جديد تمامًا لم تتصل بالإنترنت، أو طباعة المفتاح الخاص أو التقاط صورة له على هاتف لا يتصل أيضًا بالإنترنت ، وإذا كنت بحاجة إلى الوصول إلى الأموال، فابدأ من جديد للحصول على الرصيد المتبقي عن طريق إنشاء عنوان جديد.

يعد مجرد شراء جهاز صغير بدلاً من ذلك أكثر ملاءمة، ولكن في النهاية لن تعرف أبدًا ما بداخله إلا إذا قمت بتصنيعه بنفسك.

من المحتمل أن يعطي هذا دفعة نحو الأجهزة مفتوحة المصدر، وهي فكرة تم اقتراحها بين الحين والآخر في مجال العملات المشفرة لسنوات، ومع ذلك لم تصل إلى أي مكان لأنها تمثل جهدًا كبيرًا.

حتى ذلك الحين، يتعلق الأمر بالمقايضات ومدى الأمان. نظرًا لأنه في حالة Ledger، فأنت بحاجة إلى الموافقة على إعطاء المفتاح الخاص، فهو أفضل قليلاً من المحفظة عبر الإنترنت ولكن حقيقة أن الجهاز يمكنه إرسال المفتاح يتناقض مع الأدبيات التي تقول:

"تقوم أجهزة دفتر الأستاذ بإنشاء مفاتيحك الخاصة في بيئة غير متصلة بالإنترنت تمامًا - وتحتفظ بها هناك دائمًا. مع عزل مفاتيحك الخاصة عن الاتصال بالإنترنت، ستظل محمية من المتسللين والبرامج الضارة.

بعد تحديث البرنامج الثابت، من المحتمل ألا يتم عزلها تمامًا. صرحت شركة Ledger بأنها ستقدم مزيدًا من الوثائق لشرح كيفية عمل تحديث البرنامج الثابت الجديد، لكن دفاتر الأستاذ الحالية تستمر في العمل كما كانت من قبل ولا يتعين عليك بالضرورة تحديثها.

على الرغم من أن هناك بالطبع مسألة مفاهيمية لجميع دفاتر الأستاذ فيما يتعلق بكيفية إرسال هذا المفتاح الخاص غير المتصل بالإنترنت على الجهاز. نظرًا لأن الأمر لا يتم عن طريق إدخاله يدويًا، استنادًا إلى تصريح Bacca بأن الجهاز يرسله، فمن المفترض أن الإعداد ليس غير متصل تمامًا تمامًا.

ومع ذلك، تعمل Ledger منذ سنوات دون أي اختراقات، ومع ذلك كان تركيزها لسنوات ينصب على توفير محفظة غير متصلة بالإنترنت، بدلاً من نسخها احتياطيًا عبر الإنترنت بالإضافة إلى خطط التحديث المقدمة.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
• سك المستقبل مع أدرين أشلي. الوصول هنا.
• شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
• المصدر https://www.trustnodes.com/2023/05/16/ledger-update-will-send-out-the-private-key