台帳の更新により秘密キーが送信されます

台帳の更新により秘密キーが送信されます

タイムスタンプ:16年2023月9日34:XNUMX AM
ソースノード: 2657478

今後のアップデートのリークにより、フランスのハードウェアウォレット会社であるレジャー社からある種の暴露があったとして、暗号通貨愛好家たちは警戒を強めている。

「シークレット回復フレーズのバックアップを提供する ID ベースのキー回復サービス」である Ledger Recover に加入することができます。

もう少し味付けするには、後で必要に応じてアンテナを送信して実際に回復サービスを利用するためにパスポートまたは運転免許証が必要です。

Ledger Recover の秘密キーの ID、2023 年 XNUMX 月

「ということは、たとえ私がこのサービスを使用していなくても、私の台帳 Nano X は私の秘密の回復フレーズを送信できるようになったということですか?」 – 台帳保有者が公的に尋ねた。

Ledger の CTO である Nicolas Bacca による最初の回答は、この問題を回避していました。

「あなたはすでに、Ledger があなたの同意なしにファームウェアを更新できないという事実に同意してデバイスを使用していることになります。これは Recover と同じメカニズムであり、デバイスの所有権、PIN の知識、そして最終的にはデバイス上の同意によってロックされています。」 」

ただし、問題は、秘密鍵がどのように正確に企業に与えられるのかということです。さらに追及されると、バッカは次のように述べた。

「サービスを使用することに決めた場合、デバイスはシードの暗号化されたシャードをさまざまな会社に送信します。もちろん、自分でバックアップすることも選択できます。」

今月初め、レジャー社CEOのパスカル・ゴーティエ氏はこう語った。 明らかになった Wired に対し、彼らは秘密鍵の所有権をよりアクセスしやすくすることに取り組んでいたとのことです。

「Ledgerは、Ledger Recoverと呼ばれる新しいサービスを開始する準備をしています。このサービスは、ウォレット回復フレーズ(基本的に人間が判読できる形式の秘密鍵)をXNUMXつの暗号化されたシャードに分割し、それらをXNUMXつの保管者、Ledger、暗号通貨保管会社Coincover、およびコードエスクロー会社EscrowTech。 

誰かが回復フレーズを紛失した場合、XNUMX つのシャードのうち XNUMX つを結合して (ID チェックを待つ間)、ロックされた資金へのアクセスを取り戻すことができます。

基本的に、Ledger Recover は追加のセーフティ ネットです。月額9.99ドルの料金で、マットレスの下にドルを詰め込む暗号通貨版の危険を取り除くことができます。」

シャミール シークレットは、暗号通貨におけるやや古いツールです。秘密キーとして XNUMX つの長い文字列を使用するのではなく、それを XNUMX つ以上に分割するので、XNUMX つを失っても、残りの XNUMX つを組み合わせて秘密キーを取得できます。

ここでレジャーはさらに先を進みます。秘密鍵を切り刻んだ後、XNUMX​​ つの部分を自分自身、Ledger という会社に、XNUMX つを Coincover に、そしてもう XNUMX つを EscrowTech に送信します。したがって、デバイスを紛失した場合は、ID を提示すると、XNUMX つを組み合わせることで秘密キーが得られます。

大きな問題は、これがどのように行われるかということです。 Ledger 内で、または XNUMX 台または XNUMX 台の Ledger デバイス間で何らかの方法で分割された場合は、さらにセキュリティを強化したい人にとっては素晴らしい新機能です。

ここでは代わりに、ハードウェア ウォレットがこれらの企業に秘密キーを送信します。これは、秘密キーが完全に秘密ではなくなったことを意味します。

「あなたがシードを使用することに決めた場合、単一の企業はそのシードを知りません」とバッカ氏は言います。それは、単一の企業が完全なシードを持っているわけではなく、その一部だけを持っているからです。これも暗号化されています。

しかし、主な論点は、ハードウェア ウォレットとして秘密キーを送信できるべきではないということです。オフラインでアクセスできないはずです。

「ファームウェアのアップデートと比較して、セキュリティの前提条件は変わりません」と Bacca 氏は言います。

そのために彼は、ファームウェアのアップデートに同意するにはボタンを押す必要があるのと同じように、Recovery を通じてこれらの企業にフェーズを送信することに同意するにはボタンを押す必要があるという事実を信頼しています。

シードはそれ自体で送信されているわけではありません。少なくともそれが提案ですが、確認するとシードを送信するのはデバイス自体です。

ほぼオフラインですか?

さらにセキュリティを強化したい人にとって、このデバイスがシードフェーズを通信できるという事実は問題です。なぜなら、通信できたとしても完全にオフラインではなく、レジャーが先週公に述べたことを実行しないからです。

「わかりました。お使いのデバイスは秘密鍵をオフラインに保ちます。重要なのは、Ledger を使ってさらに多くのことができるということです。」

このアップデートは、秘密鍵が極寒の領域内で完全に隔離されていないことを示唆しているため、たとえ同意があったとしても、これらの企業に送信される可能性があるため、台帳所有者の間でソーシャルメディア上で大騒動が起きています。

同社はこれまでに XNUMX 万台のハードウェアを販売しましたが、そのセットアップには最終的に常にある程度の信頼性、つまり利便性とセキュリティの間のトレードオフが必要でした。

独自のセキュリティが必要な場合は、インターネットに接続していない新品のラップトップで秘密キーを生成し、その秘密キーを印刷するか、同様にインターネットに接続していない携帯電話で秘密キーの写真を撮ります。資金にアクセスする必要がある場合は、新しいアドレスを作成して残りの残高を最初からやり直してください。

代わりに小さなデバイスを購入するだけの方が便利ですが、最終的には自分で製造しない限り、何が入っているのかわかりません。

これは、オープンソース ハードウェアを後押しする可能性があります。このアイデアは、何年にもわたって暗号通貨分野で時折提案されてきましたが、多大な労力がかかるため、まだ実現していません。

それまでは、どちらかというとトレードオフの問題であり、どの程度のセキュリティを確保するかが問題となります。 Ledger の場合、秘密鍵を渡すことに同意する必要があるため、オンラインウォレットよりは若干優れていますが、デバイスが鍵を送信できるという事実は、次のような文献と矛盾しています。

「台帳デバイスは完全なオフライン環境で秘密鍵を生成し、常にそこに保管します。秘密キーをインターネット接続から隔離すると、ハッカーやマルウェアから保護された状態になります。」

ファームウェアのアップデート後も、完全には分離されないと思われます。 Ledgerは、新しいファームウェアのアップデートがどのように機能するかを説明するさらなるドキュメントを提供すると述べていますが、現在のLedgerは以前と同様に機能し続けるため、必ずしも更新する必要はありません。

もちろん、デバイス上のオフライン秘密キーをどのように送信できるかについては、潜在的にすべての台帳にとって概念的な問題があります。手動入力によるものではないため、デバイスが送信するという Bacca の声明に基づくと、セットアップは完全にはオフラインではないと考えられます。

そうは言っても、Ledger はハッキングを一切せずに何年も運営してきましたが、オンラインでのバックアップや提供するアップデート計画ではなく、オフラインのウォレットを提供することに長年焦点を当ててきました。

タイムスタンプ:

より多くの TrustNodes