Обновление Ledger отправит закрытый ключ

Утечка предстоящего обновления взбудоражила криптонистов из-за своего рода откровения от Ledger, французской компании, производящей аппаратные кошельки.

Вы можете подписаться на Ledger Recover, как говорится, «службу восстановления ключей на основе идентификатора, которая обеспечивает резервную копию вашей секретной фразы восстановления».

Чтобы немного оживить его, вам понадобится паспорт или водительские права, чтобы позже, если это необходимо, воспользоваться услугой восстановления, отправив антенны.

«Значит, даже если я не воспользуюсь этой услугой, моя бухгалтерская книга Nano X теперь может отправить мою секретную фразу восстановления?» – во всеуслышание спросил владелец бухгалтерской книги.

Первоначальный ответ Николаса Бакки, технического директора Ledger, обошел проблему:

«Вы уже используете устройство, соглашаясь с тем, что Ledger не может обновлять прошивку без вашего согласия — это тот же механизм восстановления, который заблокирован за владением вашим устройством, знанием вашего пин-кода и, наконец, вашим согласием на устройстве. ”

Однако вопрос заключается в том, как именно закрытый ключ предоставляется компаниям. Под давлением Бакка заявил:

«Устройство отправляет зашифрованные осколки вашего seed-фразы разным компаниям, если вы решите воспользоваться услугой. Конечно, вы все равно можете сделать резервную копию самостоятельно».

Ранее в этом месяце Паскаль Готье, генеральный директор Ledger, показал, для Wired они работали над тем, чтобы сделать владение закрытым ключом более доступным:

«Ledger готовится к запуску новой услуги под названием Ledger Recover, которая разбивает фразу восстановления кошелька — по сути, удобочитаемую форму закрытого ключа — на три зашифрованных сегмента и распределяет их между тремя хранителями: Ledger, фирмой по хранению криптовалюты Coincover и код условного депонирования компании EscrowTech. 

Если кто-то потеряет свою фразу восстановления, два из трех осколков могут быть объединены — до проверки личности — для восстановления доступа к заблокированным средствам.

По сути, Ledger Recover — это дополнительная страховка; по цене 9.99 долларов в месяц это избавляет от опасности криптовалютной версии засовывания долларов под матрас».

Секреты Шамира — довольно старый инструмент в криптографии. Вместо того, чтобы иметь одну длинную строку в качестве закрытого ключа, вы разделяете ее на три или более, поэтому, если вы потеряете одну, вы все равно сможете объединить две другие, чтобы получить свой закрытый ключ.

Здесь Леджер идет дальше. После измельчения закрытого ключа он затем отправляет одну часть себе, компании Ledger, одну в Coincover, а другую в EscrowTech. Поэтому, если вы потеряете устройство, вы можете показать свой идентификатор, и все три вместе дадут вам ваш закрытый ключ.

Большая проблема заключается в том, как это делается. Если он был разделен внутри Ledger или каким-то образом между двумя или тремя устройствами Ledger, то это хорошая новая функция для тех, кто хочет еще большей безопасности.

Вместо этого аппаратный кошелек отправляет его этим компаниям, а это означает, что ваш закрытый ключ больше не является закрытым.

«Ни одна компания не знает ваши семена, если вы решите их использовать», — говорит Бакка, и это потому, что ни у одной компании нет полных семян, только их части. Он также зашифрован.

Но главный предмет разногласий заключается в том, что, будучи аппаратным кошельком, он не должен отправлять закрытый ключ. Он должен быть отключен и недоступен.

«Это не меняет предположений о безопасности по сравнению с обновлением микропрограммы, — говорит Бакка.

Для этого он полагается на тот факт, что вам нужно нажать кнопку, чтобы согласиться на отправку фазы этим компаниям через Recovery, точно так же, как вам нужно нажать кнопку, чтобы согласиться на обновление прошивки.

Семя не отправляется само по себе, или, по крайней мере, это предположение, хотя само устройство отправляет его, если вы подтвердите.

Почти офлайн?

Для тех, кто хочет еще большей безопасности, тот факт, что это устройство вообще может передавать начальную фазу, является проблемой, потому что если оно может, то оно не совсем в автономном режиме и не делает то, что Леджер публично заявил на прошлой неделе:

«Мы поняли — ваше устройство хранит ваши личные ключи в автономном режиме для вас. Дело в том, что вы можете сделать больше со своим Ledger».

Поскольку это обновление предполагает, что закрытый ключ не совсем огорожен стеной в холодном анклаве, но может быть отправлен этим компаниям, хотя и с вашего согласия, среди держателей Ledger в социальных сетях поднялся шум.

Компания продала шесть миллионов единиц аппаратного обеспечения, но его установка в конечном итоге всегда требовала определенного уровня доверия, некоторого компромисса между удобством и безопасностью.

Если вам нужна собственная безопасность, то вы создаете закрытый ключ на новом ноутбуке, который вы не подключали к Интернету, распечатываете закрытый ключ или фотографируете его на телефоне, который также не подключается к Интернету. , а если вам нужен доступ к средствам, то на оставшийся баланс начните все сначала, создав новый адрес.

Удобнее просто купить маленькое устройство, но в конечном счете вы никогда не узнаете, что в нем, если только не изготовите его сами.

Потенциально это может подтолкнуть к аппаратному обеспечению с открытым исходным кодом — идея, которая время от времени предлагалась в криптопространстве в течение многих лет, но никуда не ушла, потому что требует огромных усилий.

До тех пор это больше вопрос компромиссов и степени безопасности. Поскольку в случае с Ledger вам нужно дать согласие на выдачу закрытого ключа, это немного лучше, чем онлайн-кошелек, но тот факт, что устройство может отправить ключ, противоречит их литературе, в которой говорится:

«Устройства Ledger генерируют ваши закрытые ключи в полностью автономной среде и всегда хранят их там. Поскольку ваши закрытые ключи изолированы от интернет-соединения, они останутся защищенными от хакеров и вредоносных программ».

Вероятно, после обновления прошивки они не будут полностью изолированы. В Ledger заявили, что они предоставят дополнительную документацию, объясняющую, как работает новое обновление прошивки, но текущие реестры продолжают работать, как и раньше, и вам не обязательно обновлять их.

Хотя, конечно, потенциально для всех Ledger существует концептуальный вопрос относительно того, как можно отправить этот автономный закрытый ключ на устройстве. Поскольку он не вводится вручную, основываясь на утверждении Бакки, что устройство отправляет его, то, по-видимому, установка не совсем в автономном режиме.

Тем не менее, Ledger уже много лет работает без каких-либо взломов, но их внимание в течение многих лет было сосредоточено на предоставлении автономного кошелька, а не на его резервном копировании в Интернете, а также на планах обновления.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
• Чеканка будущего с Эдриенн Эшли. Доступ здесь.
• Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
• Источник: https://www.trustnodes.com/2023/05/16/ledger-update-will-send-out-the-private-key