Çok taraflı emanet anahtarı, gerçekten güvenli mi?
Yazan: Aslan
16 Mayıs'ta, donanım cüzdanı üreticisi Ledger, "Ledger Recover" adlı bir hizmeti tanıtan sürümünde bir güncelleme yayınladı. Ledger Recover'ın, kullanıcıların özel anahtar kurtarma anımsatıcı kelimelerinin yedeklerini sağlayabilen, kimlik tabanlı bir "abonelik" anahtar kurtarma hizmeti olduğu bildiriliyor. Şu anda Ledger Recover, Ledger Nano X ile uyumludur ve en son Ledger Live sürümünü çalıştıran Android ve iOS'ta mevcuttur. Hizmete abone olabilen kullanıcıların artık Avrupa Birliği, Birleşik Krallık, Kanada veya Amerika Birleşik Devletleri tarafından verilmiş bir pasaporta/kimliğe sahip olmaları gerekmektedir. Yakın gelecekte, bu kullanıcının abonelik kapsamı daha fazla ülkeyi kapsayacaktır.
Ledger ayrıca, cüzdan anımsatıcısını (anahtar) üç parçaya (şifreli parçalama teknolojisi) bölen ve bunu üç saklayıcıya dağıtan hizmetin özelliklerini de açıkladı: Ledger, saklama kripto para birimi şirketi Coincover ve Code barındırma şirketi EscrowTech. Birisi anahtarlarını kaybederse, üç parçadan ikisi, kilitli fonlara yeniden erişim sağlamak için - kimlik kontrollerini beklerken - birleşebilir. Hizmete abone olma ücreti aylık 9,99 ABD dolarıdır.
Öncelikle donanım cüzdanlarını yaygınlaştıralım.Genelde özel anahtar ağ bilgisayarları gibi ortamlardan izole edilmiş güvenli bir donanım aygıtında saklanır.Cüzdan farkındalığı.
Kullanıcı İtirazları
Hizmetle ilgili bilgilerin yayınlanmasının ardından çok sayıda kullanıcının tepkisini ve boykotunu tetikleyen BlockBeats, kullanıcıların hizmet aleyhindeki bazı görüşlerini şöyle özetledi:
Bir donanım cüzdanı olarak anahtarın cüzdandan çıkmaması esastır ve Ledger'in yeni hizmeti, anahtarı kendi başına tutabilen birçok kullanıcı için açıkçası kabul edilemez ve hizmete abone olduktan sonra anahtarınızı emanet etmeniz ve diğer kullanıcılara kişisel kimlik Kurumları, bu kurumlarla ilgili bir sorun olduğunda (hackleme, bilgi hırsızlığı), saklanan bilgilerin bozulmama ihtimali yüksektir;
Bu hizmete abone olmak için ulusal pasaport ve kimlik doğrulaması gerekir. "Kimlik doğrulaması" ile korunan her şey doğası gereği güvensizdir. Kimlik üzerinde tahrifat yapmak çok kolaydır ve kullanıcının anahtar yeniden yapılandırma talebini onaylamak için kimlik doğrulaması gerekir. Günümüzde kimlik doğrulama dolandırıcılığı ve hırsızlığı çok nadir ve yaygındır, dolayısıyla bu güvenli bir yol değildir;
Hizmet, anahtarı üç parçaya bölecek, bu iyi, ancak sorun şu ki, hizmet, kullanıcının şifreleme anahtarının üç parçasını, kullanıcının anahtarını tamamen yeniden oluşturabilen üç varlığa gönderiyor. Matematiksel olasılık açısından, ne kadar çok üçüncü taraf kuruluş barındırılırsa, sorun olasılığı katlanarak artacaktır;
Çoğu Ledger kullanıcısı, tüm cüzdan senkronizasyonu için Ledger düğümlerini kullanan ve kullanıcı şifreleme etkinliklerinin her ayrıntısını ortaya çıkaran Ledger Live'ı kullanır, varlıklarınız ve işlem ayrıntılarınız üçüncü taraflara ve ayrıca hizmete abone olduktan sonra anahtarlarınız ve anahtarlarınız ortaya çıkar. üçüncü bir şahıs tarafından barındırılıyor, yani kripto para biriminiz hala size mi ait?
Ledger'ın, birisinin anahtarın üç parçasını da tek bir varlığa göndermesini önleyen yerleşik korumalara sahip olup olmadığından veya anahtarı üç varlığa nasıl dağıttıklarından emin olamayız, bu nedenle, kurtarma sırasında şifre çözme işlemi daha da az nettir. aslında yapıldı;
Teorik olarak, Ledger Recover'ı kullandığınızı ve kimlik bilgilerini elde ettiğinizi biliyorum.Mevcut teknik imkanlarla kimlik doğrulamasını geçmek zor değil ve şifrelenmiş varlıklarınız da başkalarına ait olabilir;
Makro açıdan bakıldığında yasal koşulların dikkate alınması gerekir. EscrowTech ve Ledger Amerikan şirketleri, Coincover ise İngiliz şirketidir. Bu kurumlar İngiltere ve Amerika Birleşik Devletleri'nin yetki alanındadır. Ancak şifreleme denetimi Amerika Birleşik Devletleri ve İngiltere'de her zaman bir sorun olmuştur.Hükümetin gelip tüm sahiplerinin kimliklerini istemesi ve ardından istediği zaman fonlara el koyması kolaydır.
Ledger Recovery'den sonra daha derin düşünme
İlginç bir şekilde, Ledger hizmet hakkında yeni bir paylaşım yaptıktan sonra bir parça içerik silindi. İçerik, "Ledger ve güvenilir üçüncü taraflarımızın kullanıcı anahtarlarına erişimi olmadığı" anlamına gelir. Ledger daha sonra makaledeki ifadelerin yanlış olduğunu açıklasa da, bu açıklama biraz abartılı.
Resim kaynağı Twitter
Kullanıcı geri bildirimleri ile birleşince düşündürücü bir soru ortaya çıkıyor: Hizmet, kullanıcı aboneliklerinden sonra kar peşinde koşmanın arkasında mı yoksa bazı düzenleyiciler Ledger'ı buna zorluyor mu? kullanıcı KYC'sini ve verilerini kolayca elde etmek ve kullanıcı varlıklarını kurtarmak çok korkutucu.
Diğer bir nokta ise, anahtarın üç bölümünün kullanımının ve kurtarılmasının Ledger resmi web sitesinde (E-posta, kimlik bilgileri, Onfido KYC) doğrulanması gerektiğidir.Onfido adlı bu şirket, KYC sürecini yönetir ve kullanıcıların kimliklerini yüklemelerini/doğrulamalarını ister. Kullanıcı kimlikleri, selfie videolarından resim/video/ses ve cihazın genel resmi ve mevcut etkinlik de korunur. Onfido, kullanıcı kimliği ve bir Ledger kullanıcısı olduğunuz gerçeği hakkında tam bilgiye sahiptir, bu nedenle önemli miktarda kripto para birimi tuttuğunuzda, kimlik doğrulama için kullandığınız cihaz hakkında da tam bilgiye sahiptir.Yukarıda belirtildiği gibi, ses/resim/video bunlar taklit edilemez.
Gerçekten güvenli mi?
Piyasadaki diğer donanım cüzdanları
Bu nedenle Ledger'in hizmeti, geleneksel donanım cüzdanı mekanizmasını tamamen bozdu ve dolaylı olarak birçok boşluk oluştu.Aslında, donanım cüzdanları sorunu belirgin değil.Daha önce, donanım cüzdanı devi Trezor'un anahtarı fiziksel olarak kırmak için birkaç dakikası vardı. yöntemler. Peki piyasada başka hangi donanım cüzdanları var? BlockBeats bugün iyi incelemeler alan bazı donanım cüzdanlarını şu şekilde sıraladı:
Bir anahtar
OneKey tamamen açık kaynaklı bir donanım cüzdanıdır.İç sisteminin kaynak kodu GitHub'da bulunabilir ve arka kapı sorunu yoktur. Ve OneKey donanım cüzdanını kullanma deneyimi çok iyi, şekli bir banka kartıyla aynı boyutta, fiyatı özellikle pahalı değil ve cüzdana kolayca konabiliyor.
Çarpıklık
Keystone, veri iletimi için QR koduna dayalı bir donanım cüzdanıdır ve anımsatıcı sözcükleri ve özel anahtarları asla İnternet'e dokunmaz.Donanım cüzdanları için saldırıya uğraması kolaydır, ancak Keystone çok katmanlı bir kendi kendini yok etme mekanizması tasarlamıştır. Cihazın saldırıya uğramasını önlemek için, yani cihaz birisinin onu parçalarına ayırdığını algıladığında, kendi kendini yok etme mekanizması özel anahtar bilgilerinizi ve diğer hassas bilgilerinizi anında silecek, böylece saldırgan kullanıcının hassas bilgilerini elde edemeyecektir. Keystone ve MetaMask (genişletilmiş ve mobil versiyonlar) ve Solflare, Sender, Fewcha, vb. gibi diğer en iyi yazılım cüzdanları.
Çözüm
Elbette bazı olumlu görüşler de var.Hizmetin güncellenmesi zorunlu değildir ve kullanıcıların isteğe bağlı seçenekleri vardır, bu nedenle Ledger'ınızı kullanmaya devam edebilirsiniz.Ayrıca, şifrelenmiş varlıkların çalınmasının çok yaygın olduğu ve büyük olasılıkla, anahtarları kaybetmek çok uzak Anahtar hırsızlığı olasılığından daha fazlası ve ayda sadece 9,99 $ neden olmasın. Kullanmaya devam etmek veya diğer donanım cüzdanlarına geçmek size kalmış.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Ledger'ın yeni başlattığı Ledger Recover, neden azarlandı?
Yazan: Aslan
16 Mayıs'ta, donanım cüzdanı üreticisi Ledger, "Ledger Recover" adlı bir hizmeti tanıtan sürümünde bir güncelleme yayınladı. Ledger Recover'ın, kullanıcıların özel anahtar kurtarma anımsatıcı kelimelerinin yedeklerini sağlayabilen, kimlik tabanlı bir "abonelik" anahtar kurtarma hizmeti olduğu bildiriliyor. Şu anda Ledger Recover, Ledger Nano X ile uyumludur ve en son Ledger Live sürümünü çalıştıran Android ve iOS'ta mevcuttur. Hizmete abone olabilen kullanıcıların artık Avrupa Birliği, Birleşik Krallık, Kanada veya Amerika Birleşik Devletleri tarafından verilmiş bir pasaporta/kimliğe sahip olmaları gerekmektedir. Yakın gelecekte, bu kullanıcının abonelik kapsamı daha fazla ülkeyi kapsayacaktır.
Ledger ayrıca, cüzdan anımsatıcısını (anahtar) üç parçaya (şifreli parçalama teknolojisi) bölen ve bunu üç saklayıcıya dağıtan hizmetin özelliklerini de açıkladı: Ledger, saklama kripto para birimi şirketi Coincover ve Code barındırma şirketi EscrowTech. Birisi anahtarlarını kaybederse, üç parçadan ikisi, kilitli fonlara yeniden erişim sağlamak için - kimlik kontrollerini beklerken - birleşebilir. Hizmete abone olma ücreti aylık 9,99 ABD dolarıdır.
Öncelikle donanım cüzdanlarını yaygınlaştıralım.Genelde özel anahtar ağ bilgisayarları gibi ortamlardan izole edilmiş güvenli bir donanım aygıtında saklanır.Cüzdan farkındalığı.
Kullanıcı İtirazları
Hizmetle ilgili bilgilerin yayınlanmasının ardından çok sayıda kullanıcının tepkisini ve boykotunu tetikleyen BlockBeats, kullanıcıların hizmet aleyhindeki bazı görüşlerini şöyle özetledi:
Ledger Recovery'den sonra daha derin düşünme
İlginç bir şekilde, Ledger hizmet hakkında yeni bir paylaşım yaptıktan sonra bir parça içerik silindi. İçerik, "Ledger ve güvenilir üçüncü taraflarımızın kullanıcı anahtarlarına erişimi olmadığı" anlamına gelir. Ledger daha sonra makaledeki ifadelerin yanlış olduğunu açıklasa da, bu açıklama biraz abartılı.
Resim kaynağı Twitter
Kullanıcı geri bildirimleri ile birleşince düşündürücü bir soru ortaya çıkıyor: Hizmet, kullanıcı aboneliklerinden sonra kar peşinde koşmanın arkasında mı yoksa bazı düzenleyiciler Ledger'ı buna zorluyor mu? kullanıcı KYC'sini ve verilerini kolayca elde etmek ve kullanıcı varlıklarını kurtarmak çok korkutucu.
Diğer bir nokta ise, anahtarın üç bölümünün kullanımının ve kurtarılmasının Ledger resmi web sitesinde (E-posta, kimlik bilgileri, Onfido KYC) doğrulanması gerektiğidir.Onfido adlı bu şirket, KYC sürecini yönetir ve kullanıcıların kimliklerini yüklemelerini/doğrulamalarını ister. Kullanıcı kimlikleri, selfie videolarından resim/video/ses ve cihazın genel resmi ve mevcut etkinlik de korunur. Onfido, kullanıcı kimliği ve bir Ledger kullanıcısı olduğunuz gerçeği hakkında tam bilgiye sahiptir, bu nedenle önemli miktarda kripto para birimi tuttuğunuzda, kimlik doğrulama için kullandığınız cihaz hakkında da tam bilgiye sahiptir.Yukarıda belirtildiği gibi, ses/resim/video bunlar taklit edilemez.
Gerçekten güvenli mi?
Piyasadaki diğer donanım cüzdanları
Bu nedenle Ledger'in hizmeti, geleneksel donanım cüzdanı mekanizmasını tamamen bozdu ve dolaylı olarak birçok boşluk oluştu.Aslında, donanım cüzdanları sorunu belirgin değil.Daha önce, donanım cüzdanı devi Trezor'un anahtarı fiziksel olarak kırmak için birkaç dakikası vardı. yöntemler. Peki piyasada başka hangi donanım cüzdanları var? BlockBeats bugün iyi incelemeler alan bazı donanım cüzdanlarını şu şekilde sıraladı:
Bir anahtar
OneKey tamamen açık kaynaklı bir donanım cüzdanıdır.İç sisteminin kaynak kodu GitHub'da bulunabilir ve arka kapı sorunu yoktur. Ve OneKey donanım cüzdanını kullanma deneyimi çok iyi, şekli bir banka kartıyla aynı boyutta, fiyatı özellikle pahalı değil ve cüzdana kolayca konabiliyor.
Çarpıklık
Keystone, veri iletimi için QR koduna dayalı bir donanım cüzdanıdır ve anımsatıcı sözcükleri ve özel anahtarları asla İnternet'e dokunmaz.Donanım cüzdanları için saldırıya uğraması kolaydır, ancak Keystone çok katmanlı bir kendi kendini yok etme mekanizması tasarlamıştır. Cihazın saldırıya uğramasını önlemek için, yani cihaz birisinin onu parçalarına ayırdığını algıladığında, kendi kendini yok etme mekanizması özel anahtar bilgilerinizi ve diğer hassas bilgilerinizi anında silecek, böylece saldırgan kullanıcının hassas bilgilerini elde edemeyecektir. Keystone ve MetaMask (genişletilmiş ve mobil versiyonlar) ve Solflare, Sender, Fewcha, vb. gibi diğer en iyi yazılım cüzdanları.
Çözüm
Elbette bazı olumlu görüşler de var.Hizmetin güncellenmesi zorunlu değildir ve kullanıcıların isteğe bağlı seçenekleri vardır, bu nedenle Ledger'ınızı kullanmaya devam edebilirsiniz.Ayrıca, şifrelenmiş varlıkların çalınmasının çok yaygın olduğu ve büyük olasılıkla, anahtarları kaybetmek çok uzak Anahtar hırsızlığı olasılığından daha fazlası ve ayda sadece 9,99 $ neden olmasın. Kullanmaya devam etmek veya diğer donanım cüzdanlarına geçmek size kalmış.