עדכון חשבונות ישלח את המפתח הפרטי

דליפה של עדכון קרוב עוררה קריפטונים על גילוי מעין של לדג'ר, חברת ארנק החומרה הצרפתית.

אתה יכול להירשם ל- Ledger Recover, נכתב, "שירות שחזור מפתחות מבוסס מזהה המספק גיבוי לביטוי השחזור הסודי שלך."

כדי לתבל את זה קצת יותר, תצטרך דרכון או רישיון נהיגה כדי להשתמש בפועל בשירות השחזור מאוחר יותר במידת הצורך, לשלוח את האנטנות.

"אז גם אם אני לא משתמש בשירות הזה ספר החשבונות שלי, Nano X יכול כעת לשלוח את משפט השחזור הסודי שלי?" – שאל בפומבי בעל פנקס חשבונות.

התשובה הראשונית של ניקולס באקה, ה-CTO של Ledger, עקפה את הנושא:

"אתה כבר משתמש במכשיר ומסכים עם העובדה שלדג'ר לא יכול לעדכן את הקושחה ללא הסכמתך - זה אותו מנגנון של Recover, אשר נעול מאחורי בעלות על המכשיר שלך, ידיעת הסיכה שלך ולבסוף הסכמתך במכשיר. ”

אולם השאלה היא איך בדיוק ניתן המפתח הפרטי לחברות. בלחיצה נוספת, באקה אמר:

"המכשיר שולח רסיסים מוצפנים של הזרע שלך לחברות שונות אם תחליט להשתמש בשירות. אתה כמובן עדיין יכול לבחור לגבות אותו בעצמך."

מוקדם יותר החודש פסקל גוטייה, מנכ"ל לדג'ר, גילה ל-Wired הם עבדו על הפיכת בעלות על מפתח פרטי נגיש יותר:

"לדג'ר מתכוננת להשיק שירות חדש בשם Ledger Recover שמפצל ביטוי שחזור ארנק - בעצם, צורה הניתנת לקריאה אנושית של המפתח הפרטי - לשלושה רסיסים מוצפנים ומפיץ אותם לשלושה אפוטרופוסים: לדג'ר, חברת משמורת קריפטו Coincover, ו חברת נאמנות קוד EscrowTech. 

אם מישהו מאבד את משפט ההחלמה שלו, ניתן לשלב שניים משלושת הרסיסים - עד לבדיקת תעודת זהות - כדי לקבל בחזרה גישה לכספים הנעולים.

בעיקרו של דבר, Ledger Recover היא רשת ביטחון נוספת; במחיר של 9.99 דולר לחודש, זה מוציא את הסכנה מגרסת הקריפטו של תחבת דולרים מתחת למזרון".

סודות שמיר הם כלי קצת ישן בקריפטו. במקום שתהיה מחרוזת אחת ארוכה כמפתח הפרטי, אתה חותך אותו לשלושה או יותר, כך שאם אתה מאבד אחד, אתה עדיין יכול לשלב את השניים האחרים כדי לקבל את המפתח הפרטי שלך.

כאן לדג'ר הולך רחוק יותר. לאחר חיתוך המפתח הפרטי, הוא שולח חלק אחד לעצמו, לדג'ר החברה, אחד ל-Coincover ואחר ל- EscrowTech. אז אם אתה מאבד את המכשיר, אתה יכול להציג את תעודת הזהות שלך ואת השלושה יחד כדי לתת לך את המפתח הפרטי שלך.

הבעיה הגדולה היא איך זה נעשה. אם זה נחתך בתוך לדג'ר או איכשהו בין שניים או שלושה מכשירי לדג'ר, אז זה תכונה חדשה נחמדה עבור אלה שרוצים אפילו יותר אבטחה.

כאן במקום זאת, ארנק החומרה שולח אותו לחברות הללו, וזה אומר שהמפתח הפרטי שלך כבר לא ממש פרטי.

"אף חברה אחת לא מכירה את הזרע שלך אם תחליט להשתמש בו", אומר באקה וזה בגלל שלאף חברה אחת אין את הזרע המלא, רק חלקים ממנו. זה גם מוצפן.

אבל נקודת המחלוקת העיקרית היא שכארנק חומרה, זה לא אמור להיות מסוגל לשלוח את המפתח הפרטי. זה צריך להיות במצב לא מקוון ולא נגיש.

"זה לא משנה את הנחות האבטחה בהשוואה לעדכון קושחה", אומר באקה.

בשביל זה הוא מסתמך על זה שצריך ללחוץ על כפתור כדי להסכים לשלוח את הפאזה לחברות האלה דרך Recovery, בדיוק כמו שצריך ללחוץ על כפתור כדי להסכים לעדכון קושחה.

הזרע לא נשלח מעצמו, או לפחות זו ההצעה, למרות שהמכשיר עצמו הוא ששולח אותו אם אתה מאשר.

כמעט לא מקוון?

עבור אלה שרוצים אפילו יותר אבטחה, העובדה שהמכשיר הזה יכול לתקשר את שלב ה-Seed בכלל היא בעיה, כי אם הוא יכול, אז הוא לא ממש במצב לא מקוון ולא עושה את מה שלדג'ר אמר בפומבי רק בשבוע שעבר:

"אנחנו מבינים - המכשיר שלך שומר את המפתחות הפרטיים שלך במצב לא מקוון בשבילך. העניין הוא שאתה יכול לעשות יותר עם הלדג'ר שלך."

מכיוון שעדכון זה מצביע על כך שהמפתח הפרטי לא לגמרי חסום בתוך מובלעת קרה, אבל ניתן לשלוח אותו לחברות אלה, אם כי בהסכמתך, יש מהומה ברשתות החברתיות בקרב מחזיקי לדג'ר.

החברה מכרה שישה מיליון יחידות של החומרה, אבל ההתקנה שלה בסופו של דבר תמיד דרשה רמה מסוימת של אמון, איזושהי פשרה בין נוחות לאבטחה.

אם אתה רוצה אבטחה משלך, אתה מייצר את המפתח הפרטי במחשב נייד חדש לגמרי שלא התחברת לאינטרנט, מדפיס את המפתח הפרטי או מצלם אותו בטלפון שגם לא מתחבר לאינטרנט , ואם אתה צריך גישה לכספים, התחל הכל מחדש עבור היתרה שנותרה על ידי יצירת כתובת חדשה.

פשוט לקנות מכשיר קטן במקום זה יותר נוח, אבל בסופו של דבר אתה אף פעם לא יודע מה יש בו אלא אם כן אתה מייצר אותו בעצמך.

זה יכול לתת דחיפה לחומרת קוד פתוח, רעיון שהוצע מדי פעם בחלל הקריפטו במשך שנים, ובכל זאת לא ממש הלך לשום מקום כי זה מאמץ עצום.

עד אז, זה יותר עניין של פשרות וכמה ביטחון. מכיוון שבמקרה של לדג'ר אתה צריך להסכים למסור את המפתח הפרטי, זה קצת יותר טוב מארנק מקוון אבל העובדה שהמכשיר יכול לשלוח את המפתח סותרת את הספרות שלהם שאומרת:

"מכשירי Ledger מייצרים את המפתחות הפרטיים שלך בסביבה לא מקוונת לחלוטין - ושומרים אותם שם, תמיד. כשהמפתחות הפרטיים שלך מבודדים מחיבור לאינטרנט, הם יישארו מוגנים מפני האקרים ותוכנות זדוניות."

לאחר עדכון הקושחה הם כנראה לא יהיו מבודדים לגמרי. Ledger הצהירו שהם יספקו תיעוד נוסף שיסביר כיצד פועל עדכון הקושחה החדש, אך ספרי החשבונות הנוכחיים ממשיכים לעבוד כבעבר ואתה לא בהכרח צריך לעדכן אותם.

למרות שכמובן יש את העניין הרעיוני עבור כל ה- Ledgers, באשר לאופן שבו ניתן לשלוח את המפתח הפרטי הלא מקוון הזה במכשיר. מכיוון שזה לא על ידי הזנה ידנית, בהתבסס על ההצהרה של Bacca שהמכשיר שולח את זה, אז כנראה שההגדרה לא לגמרי במצב לא מקוון.

עם זאת, לדג'ר פועלת כבר שנים ללא פריצות, ובכל זאת ההתמקדות שלהם במשך שנים הייתה במתן ארנק לא מקוון, במקום גיבוי מקוון כמו גם בתוכניות העדכון להציע.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
• הטבעת העתיד עם אדריאן אשלי. גישה כאן.
• קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
• מקור: https://www.trustnodes.com/2023/05/16/ledger-update-will-send-out-the-private-key