Η ενημέρωση του καθολικού θα στείλει το ιδιωτικό κλειδί

Μια διαρροή μιας επικείμενης ενημέρωσης έχει αναστατώσει τους κρυπτονιστές σχετικά με μια αποκάλυψη από τη Ledger, τη γαλλική εταιρεία πορτοφολιών υλικού.

Μπορείτε να εγγραφείτε στο Ledger Recover, λέει, «μια υπηρεσία ανάκτησης κλειδιού που βασίζεται σε αναγνωριστικά και παρέχει ένα αντίγραφο ασφαλείας για τη φράση μυστικής ανάκτησης».

Για να το βελτιώσετε λίγο περισσότερο, θα χρειαστείτε διαβατήριο ή άδεια οδήγησης για να χρησιμοποιήσετε την υπηρεσία ανάκτησης αργότερα, εάν χρειαστεί, στέλνοντας τις κεραίες.

"Έτσι, ακόμα κι αν δεν χρησιμοποιήσω αυτήν την υπηρεσία, το καθολικό μου Nano X είναι πλέον σε θέση να στείλει τη φράση μυστικής ανάκτησης;" – ρώτησε δημόσια ένας κάτοχος του καθολικού.

Η αρχική απάντηση του Nicolas Bacca, του CTO του Ledger, παρέκαμψε το θέμα:

«Χρησιμοποιείτε ήδη τη συσκευή συμφωνώντας με το γεγονός ότι το Ledger δεν μπορεί να ενημερώσει το υλικολογισμικό χωρίς τη συγκατάθεσή σας – είναι ο ίδιος μηχανισμός για το Recover, ο οποίος είναι κλειδωμένος πίσω από την ιδιοκτησία της συσκευής σας, τη γνώση του pin σας και, τέλος, τη συγκατάθεσή σας στη συσκευή. ”

Το ερώτημα ωστόσο είναι πώς ακριβώς δίνεται το ιδιωτικό κλειδί στις εταιρείες. Πιέζοντας περαιτέρω, ο Μπάκα δήλωσε:

«Η συσκευή στέλνει κρυπτογραφημένα θραύσματα του σπόρου σας σε διαφορετικές εταιρείες εάν αποφασίσετε να χρησιμοποιήσετε την υπηρεσία. Μπορείτε φυσικά να επιλέξετε να δημιουργήσετε αντίγραφα ασφαλείας μόνοι σας."

Νωρίτερα αυτό το μήνα ο Pascal Gauthier, Διευθύνων Σύμβουλος της Ledger, αποκάλυψε στο Wired εργάζονταν για να κάνουν την ιδιοκτησία ιδιωτικού κλειδιού πιο προσιτή:

«Η Ledger ετοιμάζεται να λανσάρει μια νέα υπηρεσία που ονομάζεται Ledger Recover που χωρίζει μια φράση ανάκτησης πορτοφολιού - βασικά, μια αναγνώσιμη από τον άνθρωπο μορφή του ιδιωτικού κλειδιού - σε τρία κρυπτογραφημένα θραύσματα και τα διανέμει σε τρεις θεματοφύλακες: Ledger, εταιρεία φύλαξης κρυπτογράφησης Coincover και κωδικός εταιρεία μεσεγγύησης EscrowTech. 

Εάν κάποιος χάσει τη φράση ανάκτησής του, δύο από τα τρία θραύσματα μπορούν να συνδυαστούν—εν αναμονή ελέγχου ταυτότητας—για να αποκτήσουν ξανά πρόσβαση στα κλειδωμένα χρήματα.

Ουσιαστικά, το Ledger Recover είναι ένα πρόσθετο δίχτυ ασφαλείας. για την τιμή των 9.99 $ το μήνα, αφαιρεί τον κίνδυνο από την έκδοση κρυπτογράφησης να γεμίζει δολάρια κάτω από το στρώμα».

Τα μυστικά Shamir είναι ένα κάπως παλιό εργαλείο στην κρυπτογράφηση. Αντί να έχετε μια μεγάλη συμβολοσειρά ως ιδιωτικό κλειδί, την κόβετε σε τρία ή περισσότερα, οπότε αν χάσετε ένα, μπορείτε να συνδυάσετε τα άλλα δύο για να λάβετε το ιδιωτικό σας κλειδί.

Εδώ ο Ledger προχωράει παραπέρα. Αφού κόψει το ιδιωτικό κλειδί, στέλνει ένα κομμάτι στον εαυτό του, στο Ledger την εταιρεία, ένα στην Coincover και ένα άλλο στην EscrowTech. Έτσι, αν χάσετε τη συσκευή, μπορείτε να δείξετε την ταυτότητά σας και τα τρία να συνδυαστούν για να σας δώσουν το ιδιωτικό σας κλειδί.

Το μεγάλο πρόβλημα είναι πώς γίνεται αυτό. Εάν κόπηκε μέσα στο Ledger ή με κάποιο τρόπο ανάμεσα σε δύο ή τρεις συσκευές Ledger, τότε είναι μια ωραία νέα δυνατότητα για όσους θέλουν ακόμα περισσότερη ασφάλεια.

Εδώ, το πορτοφόλι υλικού το στέλνει σε αυτές τις εταιρείες και αυτό σημαίνει ότι το ιδιωτικό σας κλειδί δεν είναι πλέον εντελώς ιδιωτικό.

«Καμία μεμονωμένη εταιρεία δεν γνωρίζει τον σπόρο σας εάν αποφασίσετε να τον χρησιμοποιήσετε», λέει ο Bacca και αυτό συμβαίνει επειδή καμία εταιρεία δεν έχει τον πλήρη σπόρο, παρά μόνο μέρη του. Είναι επίσης κρυπτογραφημένο.

Αλλά το κύριο σημείο της διαμάχης είναι ότι ως πορτοφόλι υλικού, αυτό δεν θα πρέπει να μπορεί να στείλει το ιδιωτικό κλειδί. Θα πρέπει να είναι εκτός σύνδεσης και μη προσβάσιμο.

"Αυτό δεν αλλάζει τις υποθέσεις ασφαλείας σε σύγκριση με μια ενημέρωση υλικολογισμικού", λέει ο Bacca.

Για αυτό βασίζεται στο γεγονός ότι πρέπει να πατήσετε ένα κουμπί για να συμφωνήσετε να στείλετε τη φάση σε αυτές τις εταιρείες μέσω της Ανάκτησης, όπως πρέπει να πατήσετε ένα κουμπί για να συμφωνήσετε με μια ενημέρωση υλικολογισμικού.

Ο σπόρος δεν αποστέλλεται μόνος του, ή τουλάχιστον αυτή είναι η πρόταση, αν και είναι η ίδια η συσκευή που το στέλνει αν το επιβεβαιώσετε.

Σχεδόν εκτός σύνδεσης;

Για εκείνους που θέλουν ακόμη μεγαλύτερη ασφάλεια, το γεγονός ότι αυτή η συσκευή μπορεί να επικοινωνήσει καθόλου τη φάση σποράς είναι ένα πρόβλημα γιατί αν μπορεί, τότε δεν είναι εντελώς εκτός σύνδεσης και δεν κάνει αυτό που είπε δημόσια ο Ledger μόλις την περασμένη εβδομάδα:

«Το καταλαβαίνουμε – η συσκευή σας διατηρεί τα ιδιωτικά σας κλειδιά εκτός σύνδεσης για εσάς. Το θέμα είναι ότι μπορείτε να κάνετε περισσότερα με το Ledger σας."

Καθώς αυτή η ενημέρωση υποδηλώνει ότι το ιδιωτικό κλειδί δεν είναι κλειστό σε έναν κρύο θύλακα, αλλά μπορεί να σταλεί σε αυτές τις εταιρείες, αν και με τη συγκατάθεσή σας, υπάρχει σάλος στα μέσα κοινωνικής δικτύωσης μεταξύ των κατόχων του Ledger.

Η εταιρεία έχει πουλήσει έξι εκατομμύρια μονάδες του υλικού, αλλά η εγκατάστασή του απαιτούσε τελικά πάντα κάποιο επίπεδο εμπιστοσύνης, κάποια ανταλλαγή μεταξύ ευκολίας και ασφάλειας.

Εάν θέλετε τη δική σας ασφάλεια, τότε δημιουργείτε το ιδιωτικό κλειδί σε έναν ολοκαίνουργιο φορητό υπολογιστή που δεν έχετε συνδέσει στο διαδίκτυο, εκτυπώνετε το ιδιωτικό κλειδί ή τραβάτε μια φωτογραφία του σε ένα τηλέφωνο που επίσης δεν συνδέεται στο διαδίκτυο , και αν χρειάζεστε πρόσβαση στα κεφάλαια, ξεκινήστε από την αρχή για το υπόλοιπο δημιουργώντας μια νέα διεύθυνση.

Απλώς η αγορά μιας μικρής συσκευής είναι πιο βολική, αλλά τελικά ποτέ δεν ξέρεις τι περιέχει εκτός και αν την κατασκευάσεις μόνος σου.

Αυτό μπορεί ενδεχομένως να δώσει ώθηση στο υλικό ανοιχτού κώδικα, μια ιδέα που έχει προταθεί κάθε τόσο στον χώρο των κρυπτογράφησης εδώ και χρόνια, αλλά δεν έχει καταλήξει πουθενά γιατί είναι μια τεράστια προσπάθεια.

Μέχρι τότε, είναι περισσότερο θέμα ανταλλαγών και πόσης ασφάλειας. Εφόσον στην περίπτωση του Ledger πρέπει να συναινέσετε για να δώσετε το ιδιωτικό κλειδί, είναι λίγο καλύτερο από ένα διαδικτυακό πορτοφόλι, αλλά το γεγονός ότι η συσκευή μπορεί να στείλει το κλειδί έρχεται σε αντίθεση με τη βιβλιογραφία τους που λέει:

«Οι συσκευές Ledger δημιουργούν τα ιδιωτικά κλειδιά σας σε ένα περιβάλλον εντελώς εκτός σύνδεσης – και κρατήστε τα πάντα εκεί. Με τα ιδιωτικά κλειδιά σας απομονωμένα από μια σύνδεση στο Διαδίκτυο, θα παραμείνουν προστατευμένα από χάκερ και κακόβουλο λογισμικό."

Μετά την ενημέρωση υλικολογισμικού, πιθανώς δεν θα είναι πλήρως απομονωμένοι. Η Ledger δήλωσε ότι θα παράσχει περαιτέρω τεκμηρίωση για να εξηγήσει πώς λειτουργεί η νέα ενημέρωση υλικολογισμικού, αλλά τα τρέχοντα λογιστικά βιβλία συνεχίζουν να λειτουργούν όπως πριν και δεν χρειάζεται απαραίτητα να τα ενημερώσετε.

Αν και φυσικά υπάρχει το εννοιολογικό ζήτημα για δυνητικά όλα τα Ledger σχετικά με τον τρόπο αποστολής αυτού του ιδιωτικού κλειδιού εκτός σύνδεσης στη συσκευή. Καθώς δεν γίνεται με μη αυτόματη εισαγωγή, με βάση τη δήλωση του Bacca ότι η συσκευή το στέλνει, τότε πιθανώς η ρύθμιση δεν είναι εντελώς εκτός σύνδεσης.

Τούτου λεχθέντος, το Ledger λειτουργεί εδώ και χρόνια χωρίς κανένα hack, ωστόσο η εστίασή τους εδώ και χρόνια ήταν στην παροχή ενός πορτοφολιού εκτός σύνδεσης, αντί να δημιουργήσουν αντίγραφα ασφαλείας στο διαδίκτυο καθώς και στην ενημέρωση που σχεδιάζει να προσφέρει.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
• Αγορά και πώληση μετοχών σε εταιρείες PRE-IPO με το PREIPO®. Πρόσβαση εδώ.
• πηγή: https://www.trustnodes.com/2023/05/16/ledger-update-will-send-out-the-private-key