সফ্টওয়্যার ওয়ালেট নিরাপত্তা মডেলের উপর | খাতা

আমরা দুটি প্রচলিত ধরনের ওয়ালেটকে আলাদা করতে পারি: সফ্টওয়্যার এবং হার্ডওয়্যার ওয়ালেট। তারা একই ফাংশন পূরণ করে, কিন্তু ভিন্ন উপায়ে। সফ্টওয়্যার ওয়ালেটগুলি ব্যবহার করা সহজ বলে মনে করা হয়: লেনদেন তৈরি, যাচাই এবং স্বাক্ষর করার জন্য একটি একক প্রোগ্রাম যথেষ্ট। একটি সফ্টওয়্যার ওয়ালেট দিয়ে, সফ্টওয়্যারটিতে লেনদেন তৈরি করা এবং এটি একটি হার্ডওয়্যার ডিভাইসে নিশ্চিত করার প্রয়োজন নেই৷

দুই সপ্তাহ আগে, নিষিদ্ধ গল্প সারা বিশ্বের হাজার হাজার মানুষের বিরুদ্ধে একটি লক্ষ্যবস্তু আক্রমণ উন্মোচন. এই আক্রমণটি এনএসও গ্রুপ: পেগাসাস দ্বারা তৈরি স্পাইওয়্যার ইনস্টল করার জন্য অ্যান্ড্রয়েড এবং আইওএস-এর দুর্বলতাকে কাজে লাগিয়েছে। এই ম্যালওয়্যারটি ডিভাইসের পুরো কার্যকলাপ নিরীক্ষণ করতে এবং ব্যক্তিগত তথ্য বের করতে সক্ষম: এসএমএস, হোয়াটসঅ্যাপ এবং সিগন্যাল কথোপকথন, ফোন কল ইত্যাদি একটি সফ্টওয়্যার ওয়ালেটের গোপনীয়তা, এবং মোবাইল ফোন এবং ডেস্কটপ কম্পিউটারে সফ্টওয়্যার ওয়ালেটগুলির মধ্যে নিরাপত্তা দৃষ্টিকোণ থেকে পার্থক্য।

এই নিবন্ধটি খুব প্রযুক্তিগত না হওয়ার উদ্দেশ্যে করা হয়েছে। এটি তুলনামূলকভাবে সহজ রাখতে, শুধুমাত্র মৌলিক বৈশিষ্ট্য আলোচনা করা হবে।

গোপনীয়তা রক্ষা করা

একটি ক্রিপ্টো ওয়ালেটে কী সংরক্ষণ করা হয়?

ওয়ালেটগুলি আসলে ব্যবহারকারীদের ক্রিপ্টোকারেন্সিগুলি সংরক্ষণ করে না: তারা কেবল গোপনীয়তাগুলি সংরক্ষণ করে, বিশেষ করে ব্যক্তিগত কীগুলি, যা ক্রিপ্টোকারেন্সিগুলি অ্যাক্সেস করতে এবং সেগুলি ব্যয় করার ক্ষমতা দেয়৷ ব্লকচেইনের উপর নির্ভর করে এই প্রাইভেট কীগুলি বেশিরভাগই ECC (অ্যালিপ্টিক কার্ভ ক্রিপ্টোগ্রাফি) বিভিন্ন বক্ররেখার ব্যক্তিগত কী। সবচেয়ে সাধারণ বক্ররেখা হল secp256k1 (Bitcoin, Ethereum…), Ed25519 (Monero), অথবা BLS12-381 (Ethereum 2)।

এই কীগুলি লেনদেন স্বাক্ষর করতে এবং আরও সাধারণভাবে ব্লকচেইন সম্পদের সাথে যোগাযোগ করতে ব্যবহৃত হয়।

এই কীগুলির স্টোরেজ ওয়ালেটের ধরণের উপর নির্ভর করে: নির্ধারক বা না। একটি হায়ারার্কিক্যাল ডিটারমিনিস্টিক (এইচডি) ওয়ালেট বীজ (cf) নামক একক মাস্টার সিক্রেট থেকে কীগুলির একটি গাছ তৈরি করতে দেয় BIP44) এই বীজটি প্রায়শই 12, 18 বা 24 শব্দের একটি স্মৃতির ক্রম থেকে উদ্ভূত হয় যা ব্যবহারকারীর দ্বারা এলোমেলোভাবে তৈরি বা বেছে নেওয়া হয় (cf.BIP39) এই স্মৃতিবিদ্যাগুলি সংরক্ষণ করার জন্য কীগুলির সংখ্যা সীমিত করার অনুমতি দেয়: সেগুলি বীজ থেকে যে কোনও সময় পুনরায় গণনা করা যেতে পারে। এইচডি ওয়ালেট শুধুমাত্র এই স্মৃতিশক্তি বা বীজ সংরক্ষণ করে।

নন-ডিটারমিনিস্টিক ওয়ালেট প্রতিটি ব্যবহারের জন্য একটি নতুন কী তৈরি করে এবং সেগুলি অবশ্যই সংরক্ষণ করতে হবে। নন-ডিটারমিনিস্টিক ওয়ালেটগুলি সহজে অন্য ওয়ালেটে স্থানান্তরিত করা যায় না কারণ ব্যাকআপগুলি সামঞ্জস্যপূর্ণ নয়৷

একটি ওয়ালেটের প্রধান নিরাপত্তা বৈশিষ্ট্যগুলি এই গোপনীয়তাগুলিকে সঠিকভাবে তৈরি করা, সংরক্ষণ করা এবং ব্যবহার করা। বিভিন্ন ধরনের হুমকির বিরুদ্ধে নিরাপত্তার বিভিন্ন স্তর রয়েছে:

• "দুষ্ট দাসী" আক্রমণ থেকে সুরক্ষা: মানিব্যাগে অস্থায়ী অ্যাক্সেস সহ একজন আক্রমণকারী অবশ্যই পিন বা পাসওয়ার্ড সুরক্ষা গোপনীয়তা চুরি করার অনুমতি দিয়ে ওয়ালেটের ভিতরে একটি পিছনের দরজা যোগ করতে সক্ষম হবে না।
• নিরাপদ ক্রিপ্টোগ্রাফিক উপাদান: মানিব্যাগ দ্বারা উত্পন্ন কী এবং ননস কখনই অনুমানযোগ্য হবে না। তদ্ব্যতীত সময়ে কিছু সময়ে উত্পন্ন গোপনীয়তার জ্ঞান (বীজ ব্যতীত) ভবিষ্যতে উত্পন্ন গোপনীয়তা সম্পর্কে ভবিষ্যদ্বাণী করতে দেয় না।
• বিশ্রামে সুরক্ষা: যদি একজন আক্রমণকারী একটি সফ্টওয়্যার ওয়ালেটের অবিরাম ডেটা প্রাপ্ত করে, তাহলে তারা অবশ্যই কীগুলি বের করতে সক্ষম হবে না৷
• গোপন ব্যবহারের সময় সুরক্ষা: যখন মানিব্যাগটি আনলক করা হয়, তখন কীগুলি আক্রমণকারী বা ম্যালওয়্যার দ্বারা অ্যাক্সেসযোগ্য হওয়া উচিত নয়৷

হার্ডওয়্যার মানিব্যাগ

একটি হার্ডওয়্যার ওয়ালেটের নিরাপত্তা মডেলের লক্ষ্য এই নিরাপত্তা হুমকিগুলি এড়ানো। হার্ডওয়্যার ওয়ালেট ডিজাইন দ্বারা ম্যালওয়্যার থেকে রক্ষা করে। এগুলি স্বাধীন ডিভাইস যা নিজেরাই লেনদেন স্বাক্ষর করে। ক্রিপ্টোগ্রাফিক সামগ্রীগুলি সর্বদা ডিভাইসের ভিতরে থাকে এবং কখনই সফ্টওয়্যার অ্যাপ্লিকেশনটিতে পাঠানো হয় না যার সাথে তারা যোগাযোগ করে। যোগাযোগের ইন্টারফেসটি সর্বদা সহজ যা আক্রমণের পৃষ্ঠকে মারাত্মকভাবে হ্রাস করে। এটি ইউএসবি, মাইক্রো এসডি বা ক্যামেরা + স্ক্রিন (কিউআর কোডের মাধ্যমে), বা ব্লুটুথ লো এনার্জি হতে পারে।

অধিকন্তু, হার্ডওয়্যার ওয়ালেটগুলি একটি স্ক্রীন সরাসরি ডিভাইসে এম্বেড করে যা ব্যবহারকারীকে তার গোপন কীগুলির সাথে ইন্টারঅ্যাক্ট করার সময় সে যে কাজগুলি করতে চলেছে তা যাচাই করতে দেয়৷ ডিভাইসগুলিতে এই ম্যানুয়াল চেকগুলি কম্পিউটার/মোবাইলে ম্যালওয়্যারের বিরুদ্ধে একটি অত্যন্ত দক্ষ পাল্টা ব্যবস্থা। যেখানে একটি কম্পিউটার/মোবাইল ডিভাইসে ম্যালওয়্যার গোপনীয়তা (বীজ বা ব্যক্তিগত কী) অ্যাক্সেস করতে পারে বা এমনকি ব্যবহারকারী যখন একটি লেনদেন সম্পাদন করে তখন ঠিকানাগুলি বা পরিমাণ অদলবদল/পরিবর্তন করতে পারে, এটি একটি হার্ডওয়্যার ওয়ালেট দিয়ে সম্ভব নয়৷

হার্ডওয়্যার ওয়ালেটগুলি "দুষ্ট দাসী" আক্রমণ থেকে এবং শারীরিক অ্যাক্সেস সহ আক্রমণকারীর বিরুদ্ধে সুরক্ষার জন্য ডিজাইন করা হয়েছে। হার্ডওয়্যার ওয়ালেটের উপর নির্ভর করে, তাদের নিরাপত্তার বিভিন্ন স্তর রয়েছে, তবে সব ক্ষেত্রেই তারা এই হুমকির বিরুদ্ধে সুরক্ষিত করার জন্য ডিজাইন করা হয়েছে। লেজার ন্যানো হুমকি মডেলগুলির একটি বিশদ বিবরণ পাওয়া যাবে এখানে.

সফটওয়্যার ওয়ালেট

নিয়মিত সফ্টওয়্যার ওয়ালেটগুলি নিয়মিত উপায়ে গোপনীয়তা রক্ষা করে: অপারেটিং সিস্টেমের নিরাপত্তা ব্যবস্থা যার উপর তারা চলে এবং কখনও কখনও একটি পিন বা পাসওয়ার্ডের উপর ভিত্তি করে অ্যাক্সেস নিয়ন্ত্রণ।

নিম্নলিখিতগুলিতে, ডেস্কটপ (উইন্ডোজ, ম্যাকওএস, লিনাক্স) ওয়ালেট এবং মোবাইল ওয়ালেটগুলি বিবেচনা করা হয়৷ তাদের মধ্যে প্রধান পার্থক্যগুলি বেশিরভাগই অপারেটিং সিস্টেম দ্বারা অফার করা নিরাপত্তা ব্যবস্থার উপর নির্ভর করে।

একটি কম্পিউটারে সফ্টওয়্যার ওয়ালেট

বেশ কিছু জনপ্রিয় ওয়ালেট, যেমন ইলেক্ট্রাম, এক্সোডাস, অ্যাটমিক বা বিটকয়েন কোর, কম্পিউটারে চলে।

একটি কম্পিউটারে, অন্যান্য প্রক্রিয়া থেকে একটি ওয়ালেট প্রক্রিয়াকে আলাদা করার জন্য অপারেটিং সিস্টেম দ্বারা প্রদত্ত নিরাপত্তা ব্যবস্থা সীমিত। বেশিরভাগ অ্যাপ একই ব্যবহারকারী দ্বারা চালিত হয় এবং অ্যাপগুলিকে অন্যান্য অ্যাপ্লিকেশনের ডেটা পড়ার অনুমতি দেওয়া হয়।

এই সফ্টওয়্যার ওয়ালেটগুলির নিরাপত্তা প্রধানত পাসওয়ার্ডের নিরাপত্তার উপর নির্ভর করে যা তাদের সুরক্ষিত করে এবং এটিও যে OS এ কোন ম্যালওয়্যার চলে না (যার গ্যারান্টি দেওয়া বেশ কঠিন, পেগাসাস সম্পর্কিত সাম্প্রতিক খবর দেখুন)।

বেশিরভাগ সময়, বীজ একটি পাসওয়ার্ড দ্বারা সুরক্ষিত একটি এনক্রিপ্ট করা পাত্রে সংরক্ষণ করা হয়৷ একটি সরাসরি আক্রমণের মধ্যে থাকে, একটি ম্যালওয়্যার বা একটি দূরবর্তী প্রশাসনিক সরঞ্জামের জন্য, এই এনক্রিপ্ট করা পাত্রটি পুনরুদ্ধার করা এবং আক্রমণকারীর কাছে পাঠানো৷ তারপর পাসওয়ার্ডটি হয় জবরদস্তি করা যেতে পারে বা a ব্যবহার করে প্রাপ্ত করা যেতে পারে keylogger হয়.

একটি পরিস্থিতিতে যেখানে একজন আক্রমণকারী শুধুমাত্র এনক্রিপ্ট করা কন্টেইনার অ্যাক্সেস করতে পারে (আক্রমণকারী একটি মানিব্যাগ সম্বলিত একটি USB কী খুঁজে পায়, বা একটি কম্পিউটারে ম্যালওয়্যার ইনস্টল করে, কিন্তু শিকার তার ওয়ালেট অ্যাপ্লিকেশনটি কখনই খোলে না), আক্রমণকারীকে জোর করে পাসওয়ার্ড দিতে হয়।

অধিকাংশ পাসওয়ার্ড হয় পায়খানা. ওয়েবে ফাঁস হওয়া কোটি কোটি পাসওয়ার্ড রয়েছে এবং অনেক লোক বিভিন্ন পরিষেবার জন্য তাদের পাসওয়ার্ড পুনরায় ব্যবহার করার প্রবণতা দেখায়। রেডিমেড টুল আপনাকে ক্রিপ্টোকারেন্সি ওয়ালেটের পাসওয়ার্ড পুনরুদ্ধার করতে দেয়, যেমন btcrecover or হ্যাশক্যাট. পাসওয়ার্ড জটিল হতে পারে, কিন্তু প্রতিটি ওয়ালেটের পিছনে প্রকৃত অর্থ থাকে, তাই আক্রমণকারীরা এই জাতীয় পাসওয়ার্ড ভাঙতে সম্পদ বিনিয়োগ করতে দ্বিধা করবে না।

আপনার পাসওয়ার্ড সুরক্ষিত রাখার জন্য দুটি মৌলিক নিরাপত্তা নীতি হল একটি পাসওয়ার্ড ম্যানেজার ব্যবহার করা এবং বিভিন্ন উদ্দেশ্যে আপনার পাসওয়ার্ড পুনরায় ব্যবহার না করা।

সফ্টওয়্যার ওয়ালেটগুলির জন্য সবচেয়ে গুরুত্বপূর্ণ হুমকি হল ডেডিকেটেড ম্যালওয়্যার এবং চুরিকারী, যা বিশেষভাবে আপনার তহবিল নিষ্কাশন করার জন্য তৈরি করা হয়েছে। এই ধরনের ম্যালওয়্যার, যেমন KPOT বা ইলেক্ট্রোআরএটি, এমনকি আপনার পাসওয়ার্ডকে জোরপূর্বক করতে হবে না: আপনি যখন এটি প্রবেশ করেন তখন তারা সরাসরি এটি ক্যাপচার করতে পারে, ওয়ালেট কনফিগারেশন ডেটা ডিক্রিপ্ট করতে পারে এবং বীজটি উত্তোলন করতে পারে।

এখানে একটি খেলনা অ্যাপ্লিকেশন রয়েছে, এই নিবন্ধটির জন্য তৈরি করা হয়েছে, যা ইলেকট্রাম ওয়ালেটকে লক্ষ্য করে (যদিও এটি অন্য সফ্টওয়্যার ওয়ালেট হতে পারে)। এটি একটি ম্যালওয়্যারকে অনুকরণ করে যা ব্যবহারকারীর পাসওয়ার্ড চুরি করে যখন এটি শিকার দ্বারা প্রবেশ করা হয়। পাসওয়ার্ড তারপর ওয়ালেট ডেটা ডিক্রিপ্ট করতে এবং বীজ প্রদর্শন করতে ব্যবহৃত হয়:

আপনি দেখতে পাচ্ছেন, পাসওয়ার্ড জটিল হলেও, অ্যাপটি মেমরিতে সরাসরি স্নিফ করার কারণে এটি পুনরুদ্ধার করতে সক্ষম।

এই উদাহরণটি সাম্প্রতিক সময়ের সাথে খুব মিল .SCR ম্যালওয়্যার প্রচারাভিযান ক্রিপ্টোকারেন্সি চুরি করতে ব্যবহৃত। অপরাধীরা একটি দূষিত স্ক্রিনসেভার ডাউনলোড করার জন্য ব্যবহারকারীদের প্রতারণা করার জন্য সামাজিক প্রকৌশল কৌশল ব্যবহার করে। এই স্ক্রিনসেভারটি আসলে কম্পিউটারের ভিকটিম থেকে মানিব্যাগ এবং ক্রিপ্টোকারেন্সি বিনিময় তথ্য সহ তথ্য চুরি করছিল।

কম্পিউটারে চলমান সফ্টওয়্যার ওয়ালেটগুলিতে উপসংহারে পৌঁছাতে:

• বেশিরভাগ ক্ষেত্রে কম্পিউটারে চলমান সফ্টওয়্যার ওয়ালেটগুলি পাসওয়ার্ড ব্যবহার করে ব্যবহারকারীর বীজ রক্ষা করে।
• এই ওয়ালেট ফাইলগুলির অ্যাক্সেস নিয়ন্ত্রণ মূলত কম্পিউটারের নিরাপত্তার উপর নির্ভর করে। অনুশীলনে, ম্যালওয়্যার থেকে কম্পিউটারগুলিকে রক্ষা করা কঠিন, এবং ক্রিপ্টোকারেন্সিগুলি মূলধারায় পরিণত হওয়ার সাথে সাথে ওয়ালেটের বিরুদ্ধে আক্রমণগুলি আরও পরিশীলিত হয়ে উঠবে৷
• ডিজিটাল সম্পদ সুরক্ষিত করতে এই ধরনের সফ্টওয়্যার ওয়ালেট ব্যবহার করা ভাল ধারণা নয়। যেকোন বিশেষ ম্যালওয়্যার ওয়ালেট ফাইলগুলি পেতে এবং পাসওয়ার্ডগুলি অফলাইনে খুঁজে পেতে, বা একটি কীলগারের মাধ্যমে পাসওয়ার্ড পেতে সক্ষম হবে৷

একটি স্মার্টফোনে সফ্টওয়্যার ওয়ালেট

অ্যান্ড্রয়েড এবং আইওএস স্মার্টফোনগুলি ডিফল্ট সুরক্ষা বৈশিষ্ট্যগুলি অফার করে যা ডেস্কটপ অপারেটিং সিস্টেমে ব্যাপকভাবে ব্যবহৃত হয় না।

মোবাইল অপারেটিং সিস্টেম অ্যাপ এবং ব্যবহারকারীর ডেটা সুরক্ষা প্রদান করে। বিশেষ করে, অ্যাপ স্যান্ডবক্স সব অ্যাপের জন্য বাধ্যতামূলক। এটি এমন নয়, উদাহরণস্বরূপ, Windows: ডিফল্টরূপে, যেকোনো অ্যাপ্লিকেশন ব্যবহারকারীর ডেটা অ্যাক্সেস করতে পারে।

তাই, একটি দূষিত অ্যাপ অন্য অ্যাপ থেকে ডেটা পড়তে পারে না, যদি না:

• এটি সেই অ্যাপে একটি দুর্বলতা খুঁজে পায়।
• অথবা এটি বিশেষাধিকার বৃদ্ধি করতে পরিচালনা করে, উদাহরণস্বরূপ একটি কার্নেল দুর্বলতাকে কাজে লাগিয়ে এটি সিস্টেমে রুট অ্যাক্সেস লাভ করতে দেয়।

দুর্ভাগ্যবশত, এই ধরনের আক্রমণ বিদ্যমান। অ্যান্ড্রয়েড এবং আইওএসের পুরানো সংস্করণগুলিতে এবং পুরানো বা সস্তা ডিভাইসগুলিতে যেখানে তৃতীয় পক্ষের কোড প্রায়শই কম সুরক্ষিত থাকে সেগুলি অনেক সহজ৷

একটি আপ-টু-ডেট ওএস-এ, এই আক্রমণগুলি কঠিন কিন্তু দূরবর্তীভাবে অকার্যকর নয়। উদাহরণস্বরূপ, ইয়ান বিয়ার একটি দেখিয়েছেন অত্যন্ত চিত্তাকর্ষক শূন্য-ক্লিক আক্রমণ 13.5 সালের ডিসেম্বরে iOS 2020-এ। গুয়াং গং একটি উপস্থাপন করেছে শোষণ চেইন জুন 2020-এ Qualcomm-ভিত্তিক Android ডিভাইসের বিস্তৃত পরিসরকে দূর থেকে রুট করতে। এবং, দুই সপ্তাহ আগে, নিষিদ্ধ গল্প উন্মোচন করেছে যে এনএসও গ্রুপ 0-দিনের দুর্বলতা ব্যবহার করে সাম্প্রতিক iOS এবং অ্যান্ড্রয়েড ডিভাইসগুলিকে লক্ষ্য করার জন্য একটি শোষণ চেইন ব্যবহার করেছে।

কম পরিশীলিত আক্রমণকারীরা স্থানীয় দুর্বলতাগুলি ব্যবহার করতে পারে যাতে তারা একটি দূষিত অ্যাপ্লিকেশন থেকে ওয়ালেট ডেটা বের করতে পারে। দুর্বলতা দালাল যেমন Zerodium বেতন $ 200,000 পর্যন্ত Android এবং iOS-এ রুট করার জন্য একটি বিশেষাধিকার বৃদ্ধির জন্য, কিন্তু দূরবর্তী আক্রমণের জন্য $1,500,000 পর্যন্ত।

আমরা কয়েকটি অ্যান্ড্রয়েড/আইওএস ওয়ালেট অধ্যয়ন করেছি। তাদের নিরাপত্তা অ্যাপের উপর নির্ভর করে, তবে অন্তর্নিহিত OS এর নিরাপত্তা বৈশিষ্ট্যের উপরও। অবশ্যই, যখন অপারেটিং সিস্টেমের নিরাপত্তা পরাজিত হয়, তখন অ্যাপ্লিকেশনটি আর নিরাপদ থাকে না

বীজ রক্ষা করার জন্য দুটি পদ্ধতি সাধারণত ব্যবহৃত হয়:

• পাসওয়ার্ড সুরক্ষা - ওয়ালেট ডেটা ব্যবহারকারীর দেওয়া পাসওয়ার্ড দ্বারা সুরক্ষিত। ডিজাইনটি ডেস্কটপ ওয়ালেটের মতোই। অনুশীলনে, কম্পিউটার থেকে ডেটা আহরণ করা কঠিন, কারণ উপরে বর্ণিত কারণগুলির জন্য একটি ক্ষতিকারক অ্যাপ থেকে অ্যাপ ডেটা পুনরুদ্ধার করা প্রযুক্তিগতভাবে আরও কঠিন। যাইহোক, একবার ডেটা চুরি হয়ে গেলে পাসওয়ার্ড পুনরুদ্ধার করা বাস্তবে আরও সহজ: মোবাইল ফোনে জটিল পাসওয়ার্ড প্রবেশ করানো ক্লান্তিকর, তাই ব্যবহারকারীরা সহজ পাসওয়ার্ড বেছে নিতে থাকে। তাছাড়া, মোবাইল ডিভাইসে কী ডেরিভেশন মেকানিজম (একটি পাসওয়ার্ড থেকে একটি কী তৈরি করতে ব্যবহৃত) সাধারণত ভাঙা সহজ, কারণ কার্যক্ষমতার কারণে সেগুলি প্রায়শই বেশি হালকা হয়।

• Coinomi এবং মেটামাস্ক এই ধরনের ওয়ালেটের উদাহরণ।

নিম্নলিখিত ভিডিওতে, আমরা এই নিবন্ধটির জন্য তৈরি করা আরেকটি খেলনা অ্যাপ দেখাই। এটি একটি ম্যালওয়্যার যা একটি জাল বিটকয়েন টিকার উইজেট হিসাবে ছদ্মবেশী। ম্যালওয়্যার একটি আনপ্যাচড ডিভাইসে একটি পরিচিত দুর্বলতাকে কাজে লাগিয়ে ডিভাইসে একটি রুট অ্যাক্সেস পেতে এবং এনক্রিপ্ট করা বীজকে দূরবর্তী সার্ভারে এক্সফিল্টার করে। সার্ভার তারপর বীজ ডিক্রিপ্ট করার জন্য পাসওয়ার্ডকে জোর করে।

এই পদ্ধতিটি একটি ওয়ালেটের জন্য নির্দিষ্ট নয়। এটি (কম বা কম) সহজেই যেকোনো পাসওয়ার্ড সুরক্ষিত ওয়ালেটে অভিযোজিত হতে পারে। এখানে কয়েনবেস ওয়ালেটের সাথে একই উদাহরণ রয়েছে:

[এম্বেড করা সামগ্রী]

• অ্যান্ড্রয়েড কীস্টোর (বা iOS কীচেন) এর উপর ভিত্তি করে নিরাপত্তা - এই ক্ষেত্রে, ওয়ালেট ডেটা অ্যান্ড্রয়েড কীস্টোরে (iOS কীচেন) সংরক্ষিত একটি এনক্রিপশন কী দিয়ে এনক্রিপ্ট করা হয়। এই পরিষেবাগুলি প্রাথমিকভাবে এনক্রিপশন কীগুলিকে সুরক্ষিতভাবে সঞ্চয় করার জন্য ডিজাইন করা হয়েছিল, এবং অনেক অ্যাপ এগুলিকে একটি কী তৈরি করতে ব্যবহার করে যা ব্যবহারকারীর সমস্ত সংবেদনশীল ডেটা এনক্রিপ্ট করবে৷ কীস্টোর ব্যবহার করে অ্যাপ্লিকেশনগুলি নিম্নলিখিত প্রক্রিয়াটি প্রয়োগ করে:
  • অ্যাপটি কীস্টোরকে একটি প্রদত্ত শনাক্তকারীর জন্য একটি এনক্রিপশন কী তৈরি করতে বলে। কীস্টোর কী তৈরি করে এবং নিরাপদে সংরক্ষণ করে।
  • অ্যাপটি যখন একটি ব্লব এনক্রিপ্ট বা ডিক্রিপ্ট করতে চায়, তখন এটি কীস্টোরে কী শনাক্তকারী সহ ব্লব পাঠায়।
  • অবশেষে, কীস্টোর চেক করে যে অ্যাপটির কাছে এই কীটি ব্যবহার করার অধিকার আছে কিনা এবং অ্যাপে আউটপুট ডেটা ফেরত পাঠায়।

এই মডেলের সাহায্যে, অ্যাপটি কীটির মান জানতে পারে না তবে এটি ব্যবহার করতে পারে। কী-তে অতিরিক্ত অ্যাক্সেস নিয়ন্ত্রণ যুক্ত করাও সম্ভব: উদাহরণস্বরূপ, কী অ্যাক্সেস ব্যবহারকারীর প্রমাণীকরণের সাথে শর্তযুক্ত করা যেতে পারে (একটি পিন বা আনলক প্যাটার্নের জন্য অনুরোধ করুন).

পাসওয়ার্ড ভিত্তিক সুরক্ষার তুলনায় এই প্রক্রিয়াটি অতিরিক্ত নিরাপত্তা প্রদান করতে পারে। প্রকৃতপক্ষে, সাম্প্রতিক ফোনগুলিতে, কীস্টোর একটি বিশ্বস্ত এক্সিকিউশন এনভায়রনমেন্ট (TEE), বা কখনও কখনও একটি সুরক্ষিত উপাদান দ্বারা সমর্থিত।

তার মানে রুট সুবিধা সহ আক্রমণকারী কীস্টোর থেকে এনক্রিপশন কীগুলি বের করতে সক্ষম হবে না। তবুও, তারা কীস্টোরকে একটি ডিক্রিপশন ওরাকল হিসাবে ব্যবহার করতে সক্ষম হবে এবং তারা যে কোনো ডেটা এনক্রিপ্ট বা ডিক্রিপ্ট করতে পারবে।

কীস্টোর এনক্রিপশন অফার করে, তবে সাইনিং পরিষেবাও দেয়। সুতরাং, একটি মানিব্যাগ কি তার এনক্রিপশন কীগুলিকে রক্ষা করতে পারে, তাদের নিষ্কাশন করা কঠিন করে তোলে? উত্তরটি দুর্ভাগ্যবশত না: সফ্টওয়্যার ওয়ালেট লেনদেন স্বাক্ষর করার জন্য কীস্টোর ব্যবহার করে না, এবং ব্যক্তিগত কীগুলি সর্বদা অ্যাপ দ্বারা প্লেইনটেক্সটে ম্যানিপুলেট করা হয়.

এটি একটি সাধারণ কারণে: KeyStore এবং KeyChain জেনেরিক স্বাক্ষর এবং এনক্রিপশন পরিষেবা অফার করে, কিন্তু ক্রিপ্টোকারেন্সিতে ব্যবহৃত ক্রিপ্টোগ্রাফি সমর্থন করে না। উদাহরণস্বরূপ, KeyStore ECDSA স্বাক্ষর প্রয়োগ করে কিন্তু শুধুমাত্র FIPS 186-4 (P-224, P-256, P-384 এবং P-521) এ সংজ্ঞায়িত NIST বক্ররেখায়। বিটকয়েন অন্য বক্ররেখা ব্যবহার করে, সেক্প 256 কে 1, যা এখনও সমর্থিত নয়।

সংক্ষেপে বলতে গেলে, কীস্টোর এবং কীচেন সুরক্ষার জন্য ভাল পরিষেবা গোপন এবং ব্যক্তিগত কী. তারা সংবেদনশীল ডেটা এনক্রিপ্ট করে কিছু নিরাপত্তা দিতে পারে: কিছু শ্রেণী দুর্বলতা (উদাহরণস্বরূপ, ইচ্ছামত ফাইল পড়া) কীস্টোর এনক্রিপশন দ্বারা মোকাবেলা করা হবে। যাইহোক, যদি হার্ডওয়্যার-সমর্থিত কীস্টোর থেকে মূল মানগুলি বের করার জন্য একটি রুট বিশেষাধিকার বৃদ্ধি যথেষ্ট না হয়, তবে এটি সংবেদনশীল ডেটা ডিক্রিপ্ট করার জন্য যথেষ্ট। একজন আক্রমণকারী অ্যাপটিকে ইনস্ট্রুমেন্ট করতে সক্ষম তার গোপনীয়তা পুনরুদ্ধার করতে সক্ষম।

মোবাইল ওয়ালেটে শেষ করতে:

• iOS/Android দ্বারা প্রদত্ত অ্যাপগুলির মধ্যে বিচ্ছিন্নতা প্রক্রিয়া একটি কম্পিউটারে চলমান একটি সফ্টওয়্যার ওয়ালেটের তুলনায় নিরাপত্তার জন্য বার বাড়ায়৷ অ্যাপ্লিকেশান ডেটা অ্যাক্সেস করার জন্য আক্রমণকারীর প্রথমে একটি বিশেষাধিকার বৃদ্ধির প্রয়োজন৷ এটি পুরানো ডিভাইসগুলিতে সম্ভব। দক্ষ আক্রমণকারীরা (ইয়ন বিয়ার একাই এটি করেছে 6 মাসে কিন্তু… এটি ইয়ান বিয়ার) সাম্প্রতিক, প্যাচ করা ডিভাইসেও এটি করতে পারে।
• কী সুরক্ষা পরিষেবাগুলি (কিস্টোর, কীচেন) বিশ্রামে গোপনীয়তা রক্ষার জন্য সুরক্ষার একটি অতিরিক্ত স্তর যুক্ত করতে পারে। তা সত্ত্বেও, যেহেতু তারা ক্রিপ্টোকারেন্সি অ্যাপ্লিকেশনের জন্য ক্রিপ্টোগ্রাফিক অ্যালগরিদম সমর্থন করে না, কী এখনও বের করা যেতে পারে।
• সমস্ত ক্ষেত্রে, রুট অ্যাক্সেস সহ আক্রমণকারী হয় বিশ্রামে বীজ পুনরুদ্ধার করতে পারে, যখন ব্যবহার করা হয়, অথবা একটি ওরাকল হিসাবে সফ্টওয়্যার ওয়ালেট ব্যবহার করে মানিব্যাগটি খালি করার জন্য ব্যবহারকারীর অধিকারের সুবিধা নিতে পারে।

Blockchain.com ওয়ালেটকে লক্ষ্য করে একটি খেলনা স্পাইওয়্যারের শেষ উদাহরণ এখানে দেওয়া হল (যদিও এটি অন্য অনেক ওয়ালেটে সহজে করা যেতে পারে)। এটি দূরবর্তীভাবে ইনস্টল করা হয়, এবং ওয়ালেট নিরীক্ষণ করে। একবার ব্যবহারকারী তার আঙ্গুলের ছাপ ব্যবহার করে প্রমাণীকরণ করলে, এনক্রিপশন কী আনলক করা হয় এবং ওয়ালেট ডেটা ডিক্রিপ্ট করা হয়। এই এনক্রিপশন কী পুনরুদ্ধার করার জন্য স্পাইওয়্যার অ্যাপটিকে ইন্সট্রুমেন্ট করে। এটি তারপর একটি দূরবর্তী সার্ভারে কী এবং ওয়ালেট ডেটা এক্সফিল্ট করে:

[এম্বেড করা সামগ্রী]

উপসংহার

একটি উপসংহার হিসাবে, সফ্টওয়্যার ওয়ালেট নিরাপত্তার বিভিন্ন স্তর আছে. যাইহোক, তাদের হুমকি মডেল একটি বিশেষাধিকার বৃদ্ধি সহ OS এ চলমান একটি ম্যালওয়ারের ক্ষেত্রে কভার করে না। এটি ডিজাইন অনুসারে: ওয়ালেট অ্যাপটি যে অপারেটিং সিস্টেমে চলে তার চেয়ে বেশি নিরাপদ হতে পারে না।

• iOS/Android দ্বারা প্রদত্ত অ্যাপগুলির মধ্যে বিচ্ছিন্নতা প্রক্রিয়া একটি কম্পিউটারে চলমান একটি সফ্টওয়্যার ওয়ালেটের তুলনায় নিরাপত্তার জন্য বার বাড়ায়৷ অ্যাপ্লিকেশান ডেটা অ্যাক্সেস করার জন্য আক্রমণকারীর প্রথমে একটি বিশেষাধিকার বৃদ্ধির প্রয়োজন৷
• কী সুরক্ষা পরিষেবাগুলি (কিস্টোর, কীচেন) বিশ্রামে গোপনীয়তা রক্ষার জন্য সুরক্ষার একটি অতিরিক্ত স্তর যুক্ত করতে পারে। তবুও, যেহেতু তারা ক্রিপ্টোকারেন্সি অ্যাপ্লিকেশনের জন্য ক্রিপ্টোগ্রাফিক অ্যালগরিদম সমর্থন করে না, কীগুলি সরাসরি অ্যাপ থেকে ম্যানিপুলেট করতে হবে, তাই তারা একটি সীমিত সুরক্ষা অফার করে।
• সমস্ত ক্ষেত্রে, রুট অ্যাক্সেস সহ আক্রমণকারী, হয় বিশ্রামে বীজটি পুনরুদ্ধার করতে পারে, যখন ব্যবহার করা হয়, বা একটি ওরাকল হিসাবে সফ্টওয়্যার ওয়ালেট ব্যবহার করে মানিব্যাগটি খালি করার জন্য ব্যবহারকারীর অধিকারের সুবিধা নিতে পারে।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোএআইস্ট্রিম। Web3 ডেটা ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• অ্যাড্রিয়েন অ্যাশলির সাথে ভবিষ্যত মিন্টিং। এখানে প্রবেশ করুন.
• PREIPO® এর সাথে PRE-IPO কোম্পানিতে শেয়ার কিনুন এবং বিক্রি করুন। এখানে প্রবেশ করুন.
• উত্স: https://www.ledger.com/blog/software-wallets