'Teknisk' muligt at udtrække brugernøgler? Ledger-adresser slettet tweet

Ledger adresserede et nu slettet kontroversielt tweet, der sagde, at det altid har været muligt at lette nøgleudtræk.

Krypto-hardware tegnebogsproducent Ledger har været centrum for kontroverser efter at have annonceret "Ledger Recover", en valgfri sikkerhedsfunktion, der ville give brugere mulighed for at gendanne deres aktiver efter at have mistet deres private nøgler.

Et tweet den 17. maj fra en Ledger-kundesupportmedarbejder gav yderligere næring til den negative offentlige mening om firmaet.

”Teknisk set er det og har altid været muligt at skrive firmware, der letter nøgleudtræk. Du har altid stolet på, at Ledger ikke implementerer sådan firmware, uanset om du vidste det eller ej,” lød tweetet, som siden er blevet slettet.

Kryptosamfundet var naturligvis foruroliget over beskeden, som tilsyneladende indebar, at firmaet altid havde mulighed for at indarbejde denne firmware i deres produkt, uden at brugerne vidste bedre.

Ledger adresserede det slettede tweet i en opdatering et par timer senere og forklarede, at en kundesupportagent havde brugt "forvirrende formuleringer" i et forsøg på at afklare, hvordan firmaets hardware-punge fungerer.

[2/3] Vi har slettet det, fordi vi ikke ønsker, at folk skal fortsætte med at blive forvirrede over dette, og vi erstatter det med tweet-tråde, der adresserer alle ofte stillede spørgsmål og bekymringer på den mest forståelige og præcise måde som muligt.

— Ledger Support (@Ledger_Support) Maj 18, 2023

Ledger CTO Charles Guillemet skrev også en omfattende Twitter-tråd for at adressere misforståelser og forklare, hvordan firmwaren fungerer.

"At bruge en tegnebog kræver en minimal mængde tillid. Hvis din hypotese er, at din tegnebogsudbyder er angriberen, er du dømt." sagde Guillemet.

“Hvis tegnebogen vil implementere en bagdør, er der mange måder at gøre det på, i generering af tilfældige tal, i det kryptografiske bibliotek, i selve hardwaren. Det er endda muligt at oprette signaturer, så den private nøgle kun kan hentes ved at overvåge blockchain,” tilføjede han.

Efter hans mening løser en open source-kodebase ikke problemet, og det er umuligt at have en garanti for, at den elektroniske enhed eller firmwaren, der kører den, ikke er bagdør.

22 /
Hvis du vil være fuldstændig tillidsløs, skal du lære elektronik for at bygge din computer, lære ASM for at bygge din compiler, derefter bygge en tegnebogsstabel, din egen node og synkronisering, du bliver nødt til at lære kryptografi for at bygge din egen signatur stak.

— Charles Guillemet (@P3b7_) Maj 18, 2023

Han afsluttede med at fortælle brugerne, at en hardware-pung mest bruges som en signeringsenhed, som beskytter private nøgler.

"Dine private nøgler forlader aldrig hardware-pungen. Når de bliver brugt, anmodes der om dit samtykke,” sagde han.