Ledger Update надішле закритий ключ

Витік майбутнього оновлення збурив криптоністів щодо свого роду викриття від Ledger, французької компанії з виробництва апаратних гаманців.

Ви можете підписатися на Ledger Recover, як сказано, «службу відновлення ключів на основі ідентифікатора, яка забезпечує резервну копію вашої секретної фрази відновлення».

Щоб ще більше оживити це, вам знадобиться паспорт або водійські права, щоб фактично скористатися послугою відновлення пізніше, якщо це буде потрібно, відправляючи антени.

«Тож навіть якщо я не користуюся цією послугою, моя книга Nano X тепер може надсилати мою секретну фразу відновлення?» – публічно запитав бухгалтер.

Початкова відповідь Ніколаса Бакки, технічного директора Ledger, обійшла проблему:

«Ви вже використовуєте пристрій, погоджуючись із тим фактом, що Ledger не може оновити мікропрограму без вашої згоди – це той самий механізм для відновлення, який заблоковано за правом власності на ваш пристрій, знанням вашого PIN-коду та, нарешті, вашою згодою на пристрої. »

Однак питання полягає в тому, як саме закритий ключ надається компаніям. Під тиском Бакка заявив:

«Пристрій надсилає зашифровані фрагменти вашого початкового коду різним компаніям, якщо ви вирішите скористатися послугою. Звичайно, ви все ще можете створити резервну копію самостійно».

Раніше цього місяця Паскаль Готьє, генеральний директор Ledger, виявлено для Wired вони працювали над тим, щоб зробити приватний ключ доступнішим:

«Ledger готується запустити нову службу під назвою Ledger Recover, яка розбиває фразу відновлення гаманця — по суті, зрозумілу людині форму приватного ключа — на три зашифровані шарди та розповсюджує їх трьом зберігачам: Ledger, фірмі з зберігання криптовалют Coincover та код ескроу компанії EscrowTech. 

Якщо хтось втратить свою фразу відновлення, два з трьох фрагментів можна об’єднати (очікуючи перевірку ідентифікатора), щоб відновити доступ до заблокованих коштів.

По суті, Ledger Recover є додатковою сіткою безпеки; за ціною 9.99 доларів на місяць, це усуває небезпеку, пов’язану з версією криптовалюти, яка полягає в запихуванні доларів під матрац».

Секрети Шаміра є дещо старим інструментом у крипто. Замість того, щоб мати один довгий рядок як закритий ключ, ви розділяєте його на три або більше, тому, якщо ви втратите один, ви можете об’єднати два інших, щоб отримати свій закритий ключ.

Тут Леджер йде далі. Розділивши закритий ключ, він потім надсилає одну частину собі, компанії Ledger, одну Coincover і іншу EscrowTech. Отже, якщо ви загубите пристрій, ви можете показати свій ідентифікатор, і ці три об’єднаються, щоб отримати ваш закритий ключ.

Велика проблема полягає в тому, як це робиться. Якщо його було розділено в Ledger або якось між двома-трьома пристроями Ledger, то це гарна нова функція для тих, хто хоче ще більше безпеки.

Натомість апаратний гаманець надсилає його цим компаніям, і це означає, що ваш приватний ключ більше не є приватним.

«Жодна компанія не знає про ваше насіння, якщо ви вирішите його використати», — каже Бакка, і це тому, що жодна компанія не має повного насіння, лише його частини. Він також зашифрований.

Але головна суперечка полягає в тому, що як апаратний гаманець він не повинен надсилати приватний ключ. Він має бути офлайн і недоступним.

«Це не змінює припущень щодо безпеки порівняно з оновленням мікропрограми», — каже Бакка.

Для цього він покладається на те, що вам потрібно натиснути кнопку, щоб погодитися надіслати фазу цим компаніям через Recovery, так само як вам потрібно натиснути кнопку, щоб погодитися на оновлення мікропрограми.

Насіння не надсилається саме по собі, принаймні це припущення, хоча це сам пристрій, який надсилає його, якщо ви підтвердите.

Майже офлайн?

Для тих, хто хоче ще більшої безпеки, той факт, що цей пристрій взагалі може передавати початкову фазу, є проблемою, тому що якщо він і може, то він не зовсім офлайн і не робить того, що Леджер публічно сказав минулого тижня:

«Ми розуміємо – ваш пристрій зберігає ваші особисті ключі в автономному режимі. Справа в тому, що ви можете зробити більше з вашим Ledger».

Оскільки це оновлення свідчить про те, що приватний ключ не зовсім закритий у холодному анклаві, але його можна надіслати цим компаніям, хоча й за вашою згодою, у соціальних мережах серед власників Ledger піднявся обурення.

Компанія продала шість мільйонів одиниць апаратного забезпечення, але його налаштування завжди вимагало певного рівня довіри, певного компромісу між зручністю та безпекою.

Якщо вам потрібна власна безпека, тоді ви згенеруєте закритий ключ на новому ноутбуці, який ви не підключили до Інтернету, роздрукуєте закритий ключ або сфотографуєте його на телефоні, який також не підключається до Інтернету. , а якщо вам потрібен доступ до коштів, почніть все спочатку, щоб отримати залишковий баланс, створивши нову адресу.

Зручніше просто придбати невеликий пристрій, але зрештою ви ніколи не знаєте, що в ньому, якщо не виготовите його самостійно.

Це потенційно може дати поштовх апаратному забезпеченню з відкритим вихідним кодом, ідея, яка час від часу пропонувалася в криптопросторі протягом багатьох років, але нікуди не прийшла, оскільки це величезні зусилля.

До того часу це більше питання компромісів і рівня безпеки. Оскільки у випадку з Ledger вам потрібно дати згоду на надання закритого ключа, це трохи краще, ніж онлайн-гаманець, але той факт, що пристрій може надіслати ключ, суперечить їхній літературі, яка говорить:

«Пристрої Ledger генерують ваші особисті ключі в повністю офлайн-середовищі — і зберігають їх там завжди. Якщо ваші особисті ключі ізольовані від підключення до Інтернету, вони залишаться захищеними від хакерів і зловмисного програмного забезпечення».

Після оновлення мікропрограми вони, ймовірно, не будуть повністю ізольовані. У Ledger заявили, що вони нададуть додаткову документацію, щоб пояснити, як працює нове оновлення мікропрограми, але поточні книги продовжують працювати, як і раніше, і вам не обов’язково їх оновлювати.

Хоча, звичайно, існує концептуальне питання для потенційно всіх облікових записів щодо того, як можна надіслати цей офлайн-приватний ключ на пристрій. Оскільки це не введення вручну, виходячи з заяви Bacca про те, що пристрій надсилає його, то, ймовірно, налаштування не повністю офлайн.

Незважаючи на це, Ledger роками працював без жодних хакерів, але протягом багатьох років вони зосереджувалися на створенні офлайн-гаманця, а не на його резервному копію в Інтернеті, а також планах оновлення, які пропонуються.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
• Карбування майбутнього з Адріенн Ешлі. Доступ тут.
• Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
• джерело: https://www.trustnodes.com/2023/05/16/ledger-update-will-send-out-the-private-key