„Technikailag” lehetséges a felhasználói kulcsok kinyerése? Főkönyvi címek törölve

Ledger foglalkozott egy most törölt, vitatott tweettel, amely szerint mindig is sikerült megkönnyíteni a kulcsok kinyerését.

A kriptográfiai hardvertárcát gyártó Ledger került a viták középpontjába, miután bejelentette a „Ledger Recover” nevű opcionális biztonsági funkciót, amely lehetővé teszi a felhasználók számára, hogy visszaszerezzék vagyonukat, miután elveszítették privát kulcsaikat.

A Ledger ügyfélszolgálati ügynökének május 17-i tweetje tovább szította a cég negatív közvéleményét.

„Technikai szempontból mindig is lehetséges volt és mindig is lehetett olyan firmware-t írni, amely megkönnyíti a kulcsok kinyerését. Mindig is bízott a Ledgerben, hogy nem telepített ilyen firmware-t, akár tudta, akár nem” – olvasható a tweetben, amelyet azóta töröltek.

A kriptokommunikációt természetesen riasztotta az üzenet, amely látszólag azt sugallta, hogy a cégnek mindig megvolt a lehetősége arra, hogy ezt a firmware-t beépítse a termékébe anélkül, hogy a felhasználók tudnának jobbat.

Ledger néhány órával később frissítette a törölt tweetet, és kifejtette, hogy egy ügyfélszolgálati ügynök "zavaros megfogalmazást" használt, hogy tisztázza, hogyan működik a cég hardveres pénztárcája.

[2/3] Töröltük, mert nem akarjuk, hogy ez továbbra is megzavarja az embereket, és olyan tweetszálakra cseréljük, amelyek a lehető legérthetőbb és legpontosabb módon kezelik a gyakran ismételt kérdéseket és aggályokat.

- Főkönyvi támogatás (@Ledger_Support) May 18, 2023

Charles Guillemet, a Ledger műszaki igazgatója egy kiterjedt Twitter-szálat is írt a tévhitek kezelésére, és elmagyarázza a firmware tényleges működését.

„A pénztárca használatához minimális bizalomra van szükség. Ha azt feltételezi, hogy a pénztárca szolgáltatója a támadó, akkor kudarcra van ítélve. mondott Guillemet.

„Ha a pénztárca hátsó ajtót akar megvalósítani, annak számos módja van, a véletlenszám-generálásban, a kriptográfiai könyvtárban, magában a hardverben. Még aláírások létrehozása is lehetséges, hogy a privát kulcsot csak a blokklánc figyelésével lehessen lekérni” – tette hozzá.

Véleménye szerint a nyílt forráskódú kódbázis nem oldja meg a problémát, és nem lehet garanciát vállalni arra, hogy az elektronikus eszköz vagy az azt futtató firmware nincs hátsó ajtóval ellátva.

22 /
Ha teljesen megbízhatatlan akar lenni, meg kell tanulnia az elektronikát a számítógép felépítéséhez, meg kell tanulnia az ASM-et a fordító elkészítéséhez, majd pénztárcát, saját csomópontot és szinkronizálót kell építenie, meg kell tanulnia kriptográfiát a saját készítéséhez. aláírás verem.

– Charles Guillemet (@P3b7_) May 18, 2023

Befejezésül elmondta a felhasználóknak, hogy a hardveres pénztárcát többnyire aláíró eszközként használják, amely védi a privát kulcsokat.

„A privát kulcsai soha nem hagyják el a hardvertárcát. Amikor használják őket, az Ön beleegyezését kell kérni” – mondta.