원장 업데이트는 개인 키를 보낼 것입니다

다가오는 업데이트의 유출로 프랑스 하드웨어 지갑 회사인 Ledger의 폭로에 대해 암호학자들이 무기를 들고 있습니다.

"비밀 복구 문구에 대한 백업을 제공하는 ID 기반 키 복구 서비스"인 Ledger Recover에 가입할 수 있습니다.

좀 더 재미있게 만들려면 나중에 필요한 경우 복구 서비스를 실제로 사용하고 안테나를 보내려면 여권이나 운전 면허증이 필요합니다.

“그러면 이 서비스를 사용하지 않아도 내 원장 Nano X가 이제 내 비밀 복구 문구를 보낼 수 있다는 건가요?” – 원장 보유자가 공개적으로 요청했습니다.

Ledger의 CTO인 Nicolas Bacca의 초기 답변은 이 문제를 회피했습니다.

“당신은 이미 Ledger가 귀하의 동의 없이 펌웨어를 업데이트할 수 없다는 사실에 동의하여 장치를 사용하고 있습니다. 이는 귀하의 장치 소유권, 핀에 대한 지식, 마지막으로 장치에 대한 귀하의 동의 뒤에 잠겨 있는 Recover와 동일한 메커니즘입니다. ”

그러나 문제는 개인 키가 회사에 정확히 어떻게 제공되는지입니다. 더 나아가 Bacca는 다음과 같이 말했습니다.

“귀하가 서비스를 사용하기로 결정한 경우 장치는 암호화된 시드 조각을 다른 회사에 보냅니다. 물론 직접 백업하도록 선택할 수도 있습니다.”

이달 초 Ledger의 CEO인 Pascal Gauthier는 공개 Wired에서는 개인 키 소유권에 대한 접근성을 높이기 위해 노력하고 있었습니다.

“Ledger는 지갑 복구 문구(기본적으로 사람이 읽을 수 있는 개인 키 형식)를 XNUMX개의 암호화된 샤드로 분할하고 이를 XNUMX명의 관리인(Ledger, 암호화폐 보관 회사인 Coincover 및 코드 에스크로 회사 EscrowTech. 

누군가 복구 문구를 잃어버리면 ID 확인을 기다리는 동안 XNUMX개의 샤드 중 XNUMX개를 결합하여 잠긴 자금에 다시 액세스할 수 있습니다.

본질적으로 Ledger Recover는 추가적인 안전망입니다. 한 달에 9.99달러의 가격으로 매트리스 밑에 달러를 집어넣는 암호화폐 버전의 위험을 제거합니다.”

Shamir 비밀은 암호화폐에서 다소 오래된 도구입니다. 하나의 긴 문자열을 개인 키로 사용하는 대신 XNUMX개 이상으로 나누어서 하나를 잃어버리더라도 나머지 두 개를 결합하여 개인 키를 얻을 수 있습니다.

여기서 Ledger는 더 나아갑니다. 개인 키를 잘게 자른 후 한 조각을 자체 Ledger 회사로 보내고, 하나는 Coincover로, 다른 하나는 EscrowTech로 보냅니다. 따라서 기기를 분실한 경우 ID와 XNUMX가지 조합을 제시하면 개인 키를 얻을 수 있습니다.

가장 큰 문제는 이것이 어떻게 수행되는지에 관한 것입니다. Ledger 내에서 또는 어떻게든 XNUMX~XNUMX개의 Ledger 장치 사이에서 잘려진 경우에는 더 많은 보안을 원하는 사람들에게 좋은 새로운 기능입니다.

대신 하드웨어 지갑이 해당 회사에 이를 전송하는데, 이는 귀하의 개인 키가 더 이상 개인 키가 아니라는 것을 의미합니다.

Bacca는 “당신이 그것을 사용하기로 결정했다면 어떤 회사도 당신의 씨앗을 알지 못합니다.”라고 Bacca는 말합니다. 왜냐하면 어느 회사도 완전한 씨앗을 갖고 있지 않고 단지 그것의 일부만 가지고 있기 때문입니다. 또한 암호화되어 있습니다.

그러나 주요 논쟁점은 하드웨어 지갑으로서 개인 키를 보낼 수 없어야 한다는 것입니다. 오프라인 상태이고 액세스할 수 없어야 합니다.

Bacca는 "이것은 펌웨어 업데이트와 비교하여 보안 가정을 ​​변경하지 않습니다."라고 말합니다.

이를 위해 그는 펌웨어 업데이트에 동의하기 위해 버튼을 눌러야 하는 것처럼 복구를 통해 이러한 회사에 단계를 전송하는 데 동의하려면 버튼을 눌러야 한다는 사실에 의존합니다.

시드는 자체적으로 전송되지 않거나 적어도 제안 사항입니다. 하지만 확인하면 전송하는 장치 자체입니다.

거의 오프라인인가요?

더 많은 보안을 원하는 사람들에게는 이 장치가 시드 단계와 전혀 통신할 수 있다는 사실이 문제가 됩니다. 왜냐하면 가능하다면 완전히 오프라인 상태가 아니며 Ledger가 지난주에 공개적으로 말한 내용을 수행하지 않기 때문입니다.

“알겠습니다. 귀하의 장치는 귀하를 위해 개인 키를 오프라인으로 유지합니다. 문제는 Ledger로 더 많은 일을 할 수 있다는 것입니다.”

이번 업데이트에 따르면 개인 키는 콜드 엔클레이브 내에서 차단되지 않고 이러한 회사로 전송될 수 있습니다. 비록 귀하의 동의가 있더라도 Ledger 보유자들 사이에서 소셜 미디어에 대한 소란이 벌어지고 있습니다.

회사는 XNUMX만 개의 하드웨어를 판매했지만 궁극적으로 설정에는 항상 일정 수준의 신뢰가 필요했으며 편의성과 보안 사이의 균형이 필요했습니다.

나만의 보안을 원한다면 인터넷에 연결되지 않은 새 노트북에서 개인 키를 생성하거나 개인 키를 인쇄하거나 인터넷에 연결되지 않은 휴대폰에서 사진을 찍어보세요. , 자금에 액세스해야 하는 경우 새 주소를 생성하여 남은 잔액에 대해 처음부터 다시 시작하세요.

대신 작은 장치를 구입하는 것이 더 편리하지만 궁극적으로 직접 제작하지 않는 한 그 안에 무엇이 들어 있는지 결코 알 수 없습니다.

이는 잠재적으로 오픈 소스 하드웨어에 대한 추진력을 제공할 수 있습니다. 이 아이디어는 수년 동안 암호화폐 공간에서 가끔 제안되었지만 엄청난 노력이 필요하기 때문에 아무데도 사라지지 않았습니다.

그때까지는 절충안과 보안 수준의 문제가 더 중요합니다. Ledger의 경우 개인 키 제공에 동의해야 하기 때문에 온라인 지갑보다 조금 낫지만 장치가 키를 보낼 수 있다는 사실은 다음과 같은 문헌과 모순됩니다.

“Ledger 장치는 완전히 오프라인 환경에서 개인 키를 생성하고 항상 그곳에 보관합니다. 인터넷 연결에서 격리된 개인 키를 사용하면 해커와 맬웨어로부터 보호받을 수 있습니다.”

펌웨어 업데이트 후에는 아마도 완전히 격리되지 않을 것입니다. Ledger는 새로운 펌웨어 업데이트가 어떻게 작동하는지 설명하기 위해 추가 문서를 제공할 것이라고 밝혔지만 현재 Ledger는 이전과 같이 계속 작동하므로 반드시 업데이트할 필요는 없습니다.

물론 장치의 오프라인 개인 키가 전송되는 방법과 관련하여 잠재적으로 모든 원장에 대한 개념적 문제가 있습니다. 수동으로 입력하는 것이 아니기 때문에 장치가 전송한다는 Bacca의 설명에 따르면 설정이 완전히 오프라인이 아닐 수 있습니다.

즉, Ledger는 수년간 해킹 없이 운영되어 왔지만 수년 동안 온라인 백업과 업데이트 계획보다는 오프라인 지갑 제공에 중점을 두었습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
• PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
• 출처: https://www.trustnodes.com/2023/05/16/ledger-update-will-send-out-the-private-key