Reskontrapäivitys lähettää yksityisen avaimen

Tulevan päivityksen vuoto on saanut kryptonistit käsiksi ranskalaisen lompakkoyhtiön Ledgerin paljastuksesta.

Voit tilata Ledger Recoverin, siinä sanotaan: "ID-pohjainen avainten palautuspalvelu, joka tarjoaa varmuuskopion salaiselle palautuslauseellesi."

Mausteen lisäämiseksi tarvitset passin tai ajokortin, jotta voit käyttää palautuspalvelua myöhemmin tarvittaessa lähettämällä antennit ylös.

"Joten vaikka en käyttäisikään tätä palvelua, Nano X -kirjani pystyy nyt lähettämään salaisen palautuslauseeni?" – kirjanpitäjä kysyi julkisesti.

Ledgerin teknologiajohtajan Nicolas Baccan alkuperäinen vastaus sivuutti asian:

"Käytät jo laitetta ja hyväksyt sen tosiasian, että Ledger ei voi päivittää laiteohjelmistoa ilman suostumustasi - se on sama mekanismi palautukselle, joka on lukittu laitteesi omistajuuteen, PIN-koodisi tuntemiseen ja lopuksi suostumuksesi laitteeseen. ”

Kysymys on kuitenkin siitä, kuinka yksityinen avain tarkalleen annetaan yrityksille. Painettu edelleen Bacca totesi:

”Laite lähettää salattuja sirpaleita siemenestäsi eri yrityksille, jos päätät käyttää palvelua. Voit tietysti silti päättää varmuuskopioida sen itse."

Aiemmin tässä kuussa Pascal Gauthier, Ledgerin toimitusjohtaja, paljasti Wiredille he pyrkivät tekemään yksityisen avaimen omistajuuden helpommin saavutettavissa:

"Ledger valmistautuu lanseeraamaan uuden palvelun nimeltä Ledger Recover, joka jakaa lompakon palautuslauseen – pohjimmiltaan yksityisen avaimen ihmisen luettavissa olevan muodon – kolmeen salattuun sirpaleeseen ja jakaa ne kolmelle säilytysyhteisölle: Ledgerille, salaussäilytysyritykselle Coincoverille ja koodi escrow yritys EscrowTech. 

Jos joku kadottaa palautuslauseensa, kaksi kolmesta sirpaleesta voidaan yhdistää – odotettaessa henkilöllisyyden tarkistusta – saadakseen takaisin pääsyn lukittuihin varoihin.

Pohjimmiltaan Ledger Recover on ylimääräinen turvaverkko; hintaan 9.99 dollaria kuukaudessa, se poistaa riskin kryptoversiosta, jossa tuetaan dollareita patjan alle."

Shamir-salaisuudet ovat jokseenkin vanha työkalu kryptoalalla. Sen sijaan, että yksityisenä avaimena olisi yksi pitkä merkkijono, voit pilkkoa sen kolmeen tai useampaan osaan, joten jos kadotat yhden, voit silti yhdistää kaksi muuta saadaksesi yksityisen avaimesi.

Tässä Ledger menee pidemmälle. Kun se on pilkkonut yksityisen avaimen, se lähettää yhden palan itselleen, Ledger yritykselle, yhden Coincoverille ja toisen EscrowTechille. Joten jos kadotat laitteen, voit näyttää tunnuksesi ja nämä kolme yhdistämällä saat yksityisen avaimesi.

Suurin ongelma on se, miten tämä tehdään. Jos se pilkottiin Ledgerissä tai jollakin tavalla kahden tai kolmen Ledger-laitteen välillä, se on mukava uusi ominaisuus niille, jotka haluavat entistä enemmän turvallisuutta.

Täällä sen sijaan laitteistolompakko lähettää sen näille yrityksille, mikä tarkoittaa, että yksityinen avaimesi ei ole enää aivan yksityinen.

"Mikään yritys ei tiedä siemeniäsi, jos päätät käyttää sitä", Bacca sanoo, ja tämä johtuu siitä, että yhdelläkään yrityksellä ei ole täyttä siementä, vain osia siitä. Se on myös salattu.

Mutta pääasiallinen kiista on, että laitteistolompakkona tämän ei pitäisi pystyä lähettämään yksityistä avainta. Sen pitäisi olla offline-tilassa ja saavuttamattomissa.

"Tämä ei muuta tietoturvaoletuksia laiteohjelmistopäivitykseen verrattuna", Bacca sanoo.

Tässä hän luottaa siihen, että sinun on painettava painiketta hyväksyäksesi vaiheen lähettämisen näille yrityksille Recoveryn kautta, aivan kuten sinun on painettava painiketta hyväksyäksesi laiteohjelmistopäivityksen.

Siementä ei lähetetä itsestään, tai ainakin se on ehdotus, vaikka laite itse lähettää sen, jos vahvistat.

Melkein offline-tilassa?

Niille, jotka haluavat vielä enemmän turvallisuutta, se tosiasia, että tämä laite pystyy kommunikoimaan siemenvaiheesta ylipäänsä, on ongelma, koska jos pystyy, se ei ole aivan offline-tilassa eikä tee sitä, mitä Ledger sanoi julkisesti viime viikolla:

"Ymmärrämme sen – laitteesi pitää yksityiset avaimet offline-tilassa puolestasi. Asia on siinä, että voit tehdä enemmän Ledgerilläsi."

Koska tämä päivitys viittaa siihen, että yksityinen avain ei ole aivan kylmän erillisalueen sisällä, vaan se voidaan lähettää näille yrityksille, vaikkakin sinun suostumuksellasi, sosiaalisessa mediassa on kohua Ledger-haltijoiden keskuudessa.

Yritys on myynyt kuusi miljoonaa kappaletta laitteistoa, mutta sen asennus vaati lopulta aina jonkinlaista luottamusta, mukavuuden ja turvallisuuden välistä kompromissia.

Jos haluat oman turvallisuutesi, luo yksityisen avaimen upouudessa kannettavassa tietokoneessa, johon et muodostanut yhteyttä Internetiin, tulosta yksityinen avain tai ota siitä kuva puhelimella, joka ei myöskään muodosta yhteyttä Internetiin. , ja jos tarvitset pääsyn varoihin, aloita kaikki alusta jäljellä olevan saldon saamiseksi luomalla uusi osoite.

Pienen laitteen ostaminen sen sijaan on kätevämpää, mutta loppujen lopuksi et koskaan tiedä, mitä siinä on, ellet valmista sitä itse.

Tämä voi mahdollisesti antaa sysäyksen avoimen lähdekoodin laitteistoille, idea, jota on ehdotettu silloin tällöin kryptoavaruudessa vuosia, mutta joka ei ole kuitenkaan päässyt minnekään, koska se on valtava ponnistus.

Siihen asti kyse on enemmän kompromissista ja siitä, kuinka paljon turvallisuutta. Koska Ledgerin tapauksessa sinun on suostuttava yksityisen avaimen luovuttamiseen, se on vähän parempi kuin online-lompakko, mutta se, että laite voi lähettää avaimen, on ristiriidassa heidän kirjallisuutensa kanssa, jossa sanotaan:

”Ledger-laitteet luovat yksityiset avaimesi täysin offline-ympäristössä – ja pitävät ne siellä aina. Kun yksityiset avaimesi on eristetty Internet-yhteydestä, ne pysyvät suojattuna hakkereilta ja haittaohjelmilta."

Laiteohjelmistopäivityksen jälkeen niitä ei oletettavasti ole täysin eristetty. Ledger on ilmoittanut, että he toimittavat lisädokumentteja selittääkseen, miten uusi laiteohjelmistopäivitys toimii, mutta nykyiset kirjanpitotiedot toimivat entiseen tapaan, eikä niitä välttämättä tarvitse päivittää.

Vaikka tietysti on olemassa käsitteellinen kysymys mahdollisesti kaikille Ledgereille siitä, kuinka tämä laitteen offline- yksityinen avain voidaan lähettää. Koska se ei ole syöttämällä sitä manuaalisesti, Baccan lausunnon perusteella, että laite lähettää sen, oletettavasti asennus ei ole aivan täysin offline-tilassa.

Ledger on kuitenkin toiminut vuosia ilman mitään hakkerointia, mutta heidän painopisteensä on vuosia ollut offline-lompakon tarjoaminen sen sijaan, että se olisi varmuuskopioinut sitä verkossa ja tarjoamaan päivityssuunnitelmia.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
• Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
• Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
• Lähde: https://www.trustnodes.com/2023/05/16/ledger-update-will-send-out-the-private-key