Une fuite d'une prochaine mise à jour met les cryptoniens en colère à propos d'une sorte de révélation de Ledger, la société française de portefeuilles matériels.
Vous pouvez vous abonner à Ledger Recover, dit-il, "un service de récupération de clé basé sur l'ID qui fournit une sauvegarde pour votre phrase de récupération secrète".
Pour pimenter un peu plus le tout, vous aurez besoin d'un passeport ou d'un permis de conduire pour pouvoir utiliser le service de récupération plus tard si nécessaire, en envoyant les antennes.
« Donc, même si je n'utilise pas ce service, mon grand livre Nano X est désormais capable d'envoyer ma phrase secrète de récupération ? » – a demandé publiquement un détenteur de grand livre.
La réponse initiale de Nicolas Bacca, le CTO de Ledger, a éludé le problème :
« Vous utilisez déjà l'appareil en acceptant le fait que Ledger ne peut pas mettre à jour le micrologiciel sans votre consentement – c'est le même mécanisme pour la récupération, qui est verrouillé derrière la propriété de votre appareil, la connaissance de votre code PIN et enfin votre consentement sur l'appareil. »
La question est cependant de savoir comment exactement la clé privée est transmise aux entreprises. Pressé plus loin, Bacca a déclaré :
« L'appareil envoie des fragments cryptés de votre graine à différentes entreprises si vous décidez d'utiliser le service. Vous pouvez bien sûr toujours choisir de le sauvegarder vous-même.
Plus tôt ce mois-ci, Pascal Gauthier, PDG de Ledger, révélé Selon Wired, ils travaillaient à rendre la propriété des clés privées plus accessible :
« Ledger se prépare à lancer un nouveau service appelé Ledger Recover qui divise une phrase de récupération de portefeuille – essentiellement, une forme lisible par l'homme de la clé privée – en trois fragments cryptés et les distribue à trois dépositaires : Ledger, la société de garde de crypto-monnaie Coincover et société de dépôt de code EscrowTech.
Si quelqu'un perd sa phrase de récupération, deux des trois fragments peuvent être combinés (en attendant une vérification d'identité) pour retrouver l'accès aux fonds bloqués.
Essentiellement, Ledger Recover est un filet de sécurité supplémentaire ; pour le prix de 9.99 $ par mois, cela élimine le risque lié à la version cryptographique consistant à mettre des dollars sous le matelas.
Les secrets de Shamir sont un outil quelque peu ancien en matière de cryptographie. Au lieu d'avoir une longue chaîne comme clé privée, vous la coupez en trois ou plus. Ainsi, si vous en perdez une, vous pouvez toujours combiner les deux autres pour obtenir votre clé privée.
Ici, Ledger va plus loin. Après avoir découpé la clé privée, il en envoie ensuite une pièce à lui-même, à Ledger la société, une à Coincover et une autre à EscrowTech. Ainsi, si vous perdez l'appareil, vous pouvez montrer votre identifiant et les trois se combinent pour vous donner votre clé privée.
Le gros problème réside dans la manière dont cela se fait. S'il a été découpé dans Ledger ou d'une manière ou d'une autre entre deux ou trois appareils Ledger, alors c'est une nouvelle fonctionnalité intéressante pour ceux qui veulent encore plus de sécurité.
Ici, le portefeuille matériel l'envoie à ces sociétés, ce qui signifie que votre clé privée n'est plus tout à fait privée.
"Aucune entreprise ne connaît vos semences si vous décidez de les utiliser", explique Bacca, et cela est dû au fait qu'aucune entreprise ne possède les semences complètes, seulement certaines parties. Il est également crypté.
Mais le principal point de discorde est qu’en tant que portefeuille matériel, il ne devrait pas pouvoir envoyer la clé privée. Il doit être hors ligne et inaccessible.
"Cela ne change rien aux hypothèses de sécurité par rapport à une mise à jour du micrologiciel", déclare Bacca.
Pour cela, il s'appuie sur le fait qu'il faut appuyer sur un bouton pour accepter d'envoyer la phase à ces entreprises via Recovery, tout comme il faut appuyer sur un bouton pour accepter une mise à jour du firmware.
La graine n'est pas envoyée d'elle-même, ou du moins c'est ce que l'on suggère, même si c'est l'appareil lui-même qui l'envoie si vous confirmez.
Presque hors ligne ?
Pour ceux qui veulent encore plus de sécurité, le fait que cet appareil puisse communiquer la phase d'amorçage est un problème car s'il le peut, alors il n'est pas tout à fait hors ligne et ne fait pas ce que Ledger a dit publiquement la semaine dernière :
« Nous comprenons : votre appareil conserve vos clés privées hors ligne pour vous. Le fait est que vous pouvez faire plus avec votre Ledger.
Comme cette mise à jour le suggère, la clé privée n'est pas tout à fait enfermée dans une enclave froide, mais peut être envoyée à ces sociétés, bien qu'avec votre consentement, il y a un tollé sur les réseaux sociaux parmi les détenteurs de Ledger.
La société a vendu six millions d'unités de matériel, mais sa configuration a finalement toujours nécessité un certain niveau de confiance, un compromis entre commodité et sécurité.
Si vous voulez votre propre sécurité, vous générez la clé privée sur un tout nouvel ordinateur portable que vous n'avez pas connecté à Internet, vous imprimez la clé privée ou vous la prenez en photo sur un téléphone qui ne se connecte pas non plus à Internet. , et si vous avez besoin d'accéder aux fonds, recommencez pour le solde restant en créant une nouvelle adresse.
Il est plus pratique d'acheter simplement un petit appareil, mais en fin de compte, vous ne savez jamais ce qu'il contient à moins de le fabriquer vous-même.
Cela peut potentiellement donner une impulsion au matériel open source, une idée qui a été suggérée de temps en temps dans l'espace cryptographique depuis des années, mais qui n'a abouti nulle part car il s'agit d'un effort énorme.
En attendant, c'est plutôt une question de compromis et de niveau de sécurité. Puisque dans le cas de Ledger, vous devez consentir pour donner la clé privée, c'est un peu mieux qu'un portefeuille en ligne mais le fait que l'appareil puisse envoyer la clé contredit leur littérature qui dit :
« Les appareils Ledger génèrent vos clés privées dans un environnement complètement hors ligne – et les conservent toujours. Avec vos clés privées isolées d'une connexion Internet, elles resteront protégées contre les pirates et les logiciels malveillants.
Après la mise à jour du firmware, ils ne seront probablement pas complètement isolés. Ledger a déclaré qu'il fournirait une documentation supplémentaire pour expliquer le fonctionnement de la nouvelle mise à jour du micrologiciel, mais les registres actuels continuent de fonctionner comme avant et vous n'êtes pas nécessairement obligé de les mettre à jour.
Bien sûr, il existe une question conceptuelle pour potentiellement tous les registres concernant la manière dont cette clé privée hors ligne sur l'appareil peut être envoyée. Comme ce n'est pas en le saisissant manuellement, sur la base de la déclaration de Bacca selon laquelle l'appareil l'envoie, la configuration n'est probablement pas entièrement hors ligne.
Cela dit, Ledger fonctionne depuis des années sans aucun piratage, mais depuis des années, son objectif est de fournir un portefeuille hors ligne, plutôt que de le sauvegarder en ligne ainsi que les plans de mise à jour à proposer.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
- La source: https://www.trustnodes.com/2023/05/16/ledger-update-will-send-out-the-private-key
- :possède
- :est
- :ne pas
- $UP
- a
- Capable
- A Propos
- accès
- accessible
- actually
- Supplémentaire
- propos
- Après
- encore
- d'accord
- Tous
- déjà
- aussi
- Bien que
- toujours
- parmi
- an
- ainsi que
- Une autre
- répondre
- tous
- plus
- de n'importe où
- SONT
- Avant-Bras
- AS
- At
- support
- sauvegarde
- Balance
- basé
- BE
- car
- était
- before
- derrière
- va
- Améliorée
- jusqu'à XNUMX fois
- Big
- Bit
- brand
- NOUVEAU
- mais
- bouton (dans la fenêtre de contrôle qui apparaît maintenant)
- Achat
- by
- appelé
- CAN
- ne peut pas
- maisons
- CEO
- Change
- Selectionnez
- hacher
- CO
- code
- Couverture de monnaie
- du froid
- combiner
- communiquer
- Sociétés
- Société
- par rapport
- complètement
- conceptuel
- Confirmer
- NOUS CONTACTER
- connexion
- consentement
- continuer
- commodité
- Pratique
- cours
- La création
- Crypto
- garde crypto
- crypto space
- CTO
- Courant
- les gardiens
- Garde
- décider
- dispositif
- Compatibles
- différent
- do
- Documentation
- Ne fait pas
- dollars
- fait
- Ne pas
- conduite
- effort
- crypté
- Environment
- escroc
- Pourtant, la
- exactement
- Expliquer
- fait
- Fonctionnalité
- finalement
- Ferme
- Focus
- Pour
- formulaire
- à venir
- Français
- De
- plein
- d’étiquettes électroniques entièrement
- fonds
- plus
- générer
- obtenez
- Donner
- donné
- Goes
- les pirates
- hacks
- Matériel
- Portefeuille de matériel
- Vous avez
- ayant
- he
- Haute
- titulaires
- Comment
- Cependant
- HTTPS
- majeur
- lisible par l'homme
- i
- ID
- idée
- if
- in
- inaccessible
- initiale
- plutôt ;
- Internet
- connexion Internet
- développement
- isolé
- aide
- IT
- SES
- lui-même
- juste
- XNUMX éléments à
- ACTIVITES
- clés
- Savoir
- spécialisées
- portatif
- Nom de famille
- plus tard
- lancer
- fuite
- au
- Ledger
- Ledger Nano
- Grand Livre Nano X
- grands livres
- Niveau
- Licence
- littérature
- peu
- fermé
- Location
- perdre
- Perd
- Entrée
- Fabrication
- malware
- manuellement
- Matière
- largeur maximale
- Mai..
- veux dire
- mécanisme
- Médias
- million
- Mois
- PLUS
- beaucoup
- my
- nano
- nécessairement
- Besoin
- nécessaire
- net
- n'allons jamais
- Nouveauté
- nouvelle fonctionnalité
- agréable
- Nicolas
- aucune
- maintenant
- of
- de rabais
- code
- direct
- Vieux
- on
- ONE
- en ligne
- portefeuille en ligne
- ouvert
- open source
- d'exploitation
- or
- Autre
- ande
- plus de
- propre
- possession
- les pièces
- Pascal Gauthier
- passeport
- phase
- Téléphone
- image
- pièce
- plans
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- l'éventualité
- en train de préparer
- Press
- prix
- Imprimé
- Privé
- Clé privée
- Clés privées
- Problème
- protégé
- fournir
- fournit
- aportando
- publiquement
- Push
- question
- plutôt
- Récupérer
- récupération
- reconquérir
- en ce qui concerne
- restant
- conditions
- Sécurité
- Saïd
- même
- dit
- secret
- sécurité
- seed
- envoyer
- envoi
- envoie
- envoyé
- service
- installation
- devrait
- montrer
- depuis
- unique
- SIX
- So
- Réseaux sociaux
- réseaux sociaux
- vendu
- quelques
- quelque peu
- Identifier
- Space
- épice
- splits
- Commencer
- A déclaré
- Déclaration
- rester
- Encore
- Chaîne
- rembourrage
- inscrire
- Suggère
- Prenez
- prend
- que
- qui
- La
- leur
- Les
- puis
- Là.
- Ces
- l'ont
- chose
- this
- ceux
- trois
- Avec
- à
- outil
- La confiance
- Trustnodes
- deux
- En fin de compte
- sous
- unités
- Mises à jour
- utilisé
- en utilisant
- version
- Muré
- Wallet
- souhaitez
- était
- webp
- semaine
- WELL
- ont été
- Quoi
- qui
- sera
- comprenant
- dans les
- sans
- activités principales
- de travail
- vos contrats
- X
- années
- encore
- you
- Votre
- vous-même
- zéphyrnet
