비트코인 공간의 콘텐츠 제작자와 마케터는 사용자가 "신뢰하지 말고 확인하십시오"라는 정신을 고수하도록 도울 책임이 있습니다.
이것은 비트코인 공간의 독학 교육자이자 기술 지향적인 비트코인 팟캐스트 호스트인 Shinobi의 의견 사설입니다.
12 월 15, 2021, Bitcoin Magazine Bitcoin 2022 컨퍼런스의 모든 참석자는 무료 하드웨어 지갑 아큘러스에서.
Arculus는 "Arculus 시큐어 크립토 콜드 스토리지 월렛"및 손을 꽤 많이 흔든다. 우주의 기존 하드웨어 키 관리 장치와 비교하면서 "XNUMX단계 인증", "코드 또는 블루투스"에 대한 의존으로부터의 자유, 스스로를 "암호화폐를 저장하는 더 안전한 방법"이라고 합니다. 솔직히 말해서, 이것은 안전하지 않은 장치와 관련하여 나를 위해 설정할 수 있는 모든 위험 신호를 표시합니다. 해당 웹사이트는 아키텍처에 대한 적절한 설명을 제공하지 않고 정확하지 않은 다른 장치와 모호한 비교를 제공하며 제품에 대한 실제 오픈 소스 코드가 어디에도 검증되지 않았습니다(이 기사에 대한 의견 요청에서 Arculus는 다음과 같이 응답했습니다. 이 장치에서 사용되는 소프트웨어 앱을 오픈 소스로 만들기 위해 노력하고 있습니다.
으로 Bitcoin Magazine 기부자 파트너십의 성격부터 장치 자체, 발표 후 대중의 인식 측면에서 어떻게 처리되었는지에 이르기까지이 전체 상황에 대해 많은 문제가 있습니다. 그의 신용에 따르면 David Bailey(BTC Inc CEO, Bitcoin Magazine 및 Bitcoin 2022) 자신의 책임을 인정 적절한 "실사"를 수행하기 전에 공급자와 협력하기 위해.
"Bitcoin Magazine 파트너와 후원자가 비트코인 커뮤니티에 구축하려는 의도가 진정성이 있는 선의의 행위자인지 확인하기 위해 철저한 노력을 기울이고 있습니다." Bitcoin Magazine 이 기사에 대해 제출된 질문에 대한 답변으로 담당자가 말했습니다." Bitcoin Magazine 하드웨어 지갑 경험의 보안 및 디자인 측면과 관련된 제품 피드백 제공 — 개인 정보 보호 문제는 파트너십 결정에서 고려되는 정도까지 고려되었습니다. Bitcoin Magazine 만든다.”
이것은 전체 상황에 여전히 거대한 문제가 있다고 생각합니다.
신뢰하지 말고 검증하라
이 공간의 핵심 신조 중 하나는 "신뢰하지 말고 검증하라"입니다. 그러나 현실은 시간이 지날수록 이 공간이 커질수록 그 신조를 따르기가 더 어려워진다는 것입니다. 사용자가 세부 사항을 평가하고 확인해야 하는 비트코인 도구, 제품 및 서비스가 많이 있으므로 필연적으로 이 검증의 많은 부분이 해당 분야의 평판이 좋은 인물 및 출판물에 아웃소싱되고 있습니다. 말하기 싫은 만큼 생태계가 어느 정도 커질수록 현실은 피할 수 없게 된다. 원칙적으로 모든 사람이 모든 것을 스스로 확인할 수 있지만 그렇게 하는 데 필요한 시간과 노력은 말 그대로 모든 사람에게 실용적이지 않습니다. 사람들에게는 그렇게 하기 위해 채워져야 할 삶과 의무, 지식의 격차가 있습니다. 대부분의 사람들은 필연적으로 이를 어느 정도 아웃소싱해야 합니다.
이것이 Arculus와 Bitcoin Magazine. 나는 Bitcoin 2022의 모든 참석자에게 Arculus 카드를 가져갈 수 있는 기회가 주어지는 거래에 도달하기 전에 보안에 관한 Arculus의 주장과 이러한 주장이 광고에 통합된 방식을 검증하기에 충분하지 않다고 생각합니다. 무료. 스스로 사물을 검증하는 생태계에서, 그렇게 하는 것이 점점 더 견디기 어려워지고 있는 상황에서, 광범위한 범위와 많은 신뢰를 받는 사람과 브랜드는 이 공간의 사람들에게 물건을 사용하도록 권장하기 전에 실제로 실사를 수행해야 하는 심각한 책임이 있습니다. , 행사장에서 무료로 증정하는 등 승인 스탬프를 찍어주는 것은 물론이다.
불분명한 건축
Arculus 장치의 하드웨어 아키텍처는 매우 모호하게 설명되어 있습니다. 그것의 백서. "보안 요소"의 사용을 설정하지만 칩의 실제 모델이 아닌 장치(EAL6+)의 보안 등급만 설명합니다.
이것은 사이트의 정보로 확인할 수 없지만 Ledger 하드웨어 지갑과 유사한 디자인으로 보입니다. 여기서 키 처리, 서명 및 기타 작업의 100%가 보안 요소에서 수행됩니다(이 질문에 대한 응답으로 기사, Arculus는 이것이 사실임을 확인했습니다). 이는 전체 보안 모델이 폐쇄 소스 칩을 중심으로 구축되었음을 의미합니다. 자, 분명히 이 생태계의 많은 사람들은 무언가가 폐쇄 소스라는 사실에 단순히 문제를 제기하지만, 현실은 그러한 제품을 사용하는 것은 개별 사용자가 스스로 결정할 수 있는 선택입니다. Ledger와 같은 제품의 인기는 전적으로 비공개 소스의 보안 요소에 의존하며, 적어도 일부 Bitcoin 사용자는 이를 허용 가능한 절충안으로 생각한다는 것을 분명히 합니다. 그러나 그것은 Arculus 아키텍처의 유일한 문제가 아니며 아키텍처에 대한 명확성이 완전히 부족합니다.
하드웨어 서명 장치가 실제로 서명 작업을 수행하기 전에 수행하는 수많은 보안 검사가 있습니다. 이는 사용자가 돈을 잃을 수 있는 악의적인 거래에 서명하지 않도록 하드웨어 장치에서 관리하는 자동화된 안전 검사입니다. 내가 본 Arculus 웹사이트나 광고 자료에는 다음과 같이 실제로 거래에 서명하기 전에 장치가 수행해야 하는 중요한 검사에 대한 언급이 없습니다.
- 사용된 변경 주소가 실제로 사용자의 니모닉 시드에서 생성되었는지 확인
- 다중 서명인 변경 주소가 적절한 키로 구성되어 있는지 확인(공격자 키가 코인을 사용할 수 있는 악의적인 주소 또는 스스로 복구할 수 없는 비표준 파생 경로가 아님)
- 장치가 다중 서명 지갑에서 사용되는 다른 XPUB를 저장할 수 있는 경우 위의 확인을 수행할 수 있습니다.
- 트랜잭션에 서명하는 데 적절한 키가 사용되고 있는지 확인하기 위한 안전 검사(예: 공격이 있었다 지갑을 속여 비트코인 키가 있는 비트코인 캐시를 위한 것으로 생각되는 거래에 서명하도록 할 수 있음)
이 기사에 대한 논평 요청에서 Arculus는 거래에 서명하기 전에 장치가 수행하는 보안 검사 유형에 대해 질문을 받았습니다. 특히, 나는 변경 주소가 유효하고 사용자 지갑의 일부인지 확인하고 있는지 물었다. 이것은 Arculus의 응답이었습니다.
“우선, 카드가 거래를 생성하는 전화와 이전에 연결되어 있어야 합니다. 모든 주소와 마찬가지로 변경 주소는 카드 자체의 개인 키를 기반으로 생성됩니다. 모든 거래에 서명하려면 세 가지 인증 요소가 필요합니다.
- 알고 있는 것: XNUMX자리 카드 PIN
- 당신이 무엇인가: 당신의 생체 인식
- 가지고 있는 것: 실제 Arculus 키 카드
“카드는 세 가지 인증 요소가 모두 없으면 거래에 서명하지 않습니다. XNUMX자리 카드 핀이 카드 자체에 저장되고 PIN 시도 실패에 대한 카운터도 카드 자체에 저장된다는 점은 주목할 가치가 있습니다. PIN 시도가 세 번 실패하면 카드가 재설정되고 사용자는 복구 문구를 통해 복원해야 합니다."
이 응답을 바탕으로 이전에 나열된 유형의 보안 및 주소 확인이 장치에서 전혀 수행되지 않는다는 결론을 내려야 합니다. 이러한 보안 검사가 생태계의 대부분의 하드웨어 지갑에서 꽤 표준적이라는 점을 고려할 때 이는 충격적입니다. 이 Arculus 장치가 암호화를 저장하는 "더 안전한 방법"이라는 광고 주장을 고려할 때 특히 충격적입니다.
보안 극장
아키텍처에 대한 투명성 부족은 나에게 주요 위험 신호이지만 웹 사이트에서 실제로 매우 잘 설명된 아키텍처의 측면에서 가장 큰 우려 사항입니다. 실제로 다른 경쟁업체에 비해 보안이 크게 향상되었다고 청구되는 이 두 가지 설계 선택은 보안 극장에 불과하며 장치와 상호 작용하는 데 사용되는 스마트폰이 맬웨어에 의해 손상된 경우 효과적으로 무효화됩니다.
첫 번째 문제가 되는 설계 결정은 장치에서 실제 니모닉 문구와 개인 키를 생성하는 과정에 있습니다. 를 기반으로 백지, 이 프로세스는 사용자 제공 엔트로피를 허용하지 않는 것으로 보이며, 공간에 있는 많은 다른 잘 알려진 지갑도 허용하지 않지만 이것은 제품에 대한 Arculus의 포괄적인 평가가 더 안전하다고 제안하는 부족한 기능입니다. 위에서 설명한 것처럼 다른 것보다 매우 문제가 많습니다.
또한 백서에 따르면 백업 프로세스를 위해 니모닉 시드가 실제로 스마트폰에 표시됩니다. 시드가 아큘러스 카드 자체에서 생성된 것인지, 아니면 사용자의 스마트폰에서 생성된 것인지는 불명확하지만 사실은 그게 중요하지 않다. 스마트폰 앱에 니모닉 시드를 표시한다는 것은 생성된 위치에 관계없이 초기화 과정에서 생성 당시 스마트폰에 존재한다는 의미입니다. 이는 보안을 위해 하드웨어 장치에서 키를 격리하는 것을 완전히 훼손합니다.
또한 백서에 따르면 실제로 전체 시드 문구를 앱에 다시 입력하여 확인하라는 메시지가 표시됩니다. 이는 휴대전화의 키보드 애플리케이션이 키 생성 중에 시드 문구에 액세스할 수도 있음을 의미합니다. 초기화 과정에서 전화기가 손상되면 키가 손상됩니다.
디자인의 두 번째 문제는 사용자가 스마트폰 자체에 인증 핀을 입력한다는 점입니다. 이것은 추가 보안 계층으로 청구됩니다. "모든 거래에는 PIN을 입력하고 인증을 위해 카드를 탭해야 합니다."라고 백서가 나와 있습니다. "앱은 카드의 GGUID(Globally Unique Identifier) 및 계정 공개 키가 저장된 정보와 일치하는지 확인합니다."
그러나 현실은 스마트폰에 입력된다는 것은 휴대전화가 해킹당한 경우 휴대전화를 해킹한 행위자가 핀을 획득하여 두 번째 인증 메커니즘에 액세스할 수 있음을 의미합니다. 하드웨어 지갑은 전통적으로 장치 자체에 핀이 입력되어 있거나 스크램블된 숫자 패드가 장치 화면에 표시되는 방식을 사용하여 컴퓨터에 핀을 입력할 때 해당 컴퓨터의 핀이 무엇인지 표시하지 않습니다. .
따라서 아키텍처 및 사용자에 대한 보안 모델의 통신 문제를 고려할 때 웹 사이트에 위와 같은 손을 흔드는 비교가 게시되는 이유는 무엇입니까? 위의 차트는 다른 "콜드 스토리지"보다 우수한 보안을 주장합니다. 그러나 그것은 위에서 언급한 바와 같이 명백히 잘못된 주장입니다.
다른 많은 하드웨어 지갑은 하드웨어 보안 아키텍처의 세부 사항에 관계없이 단순히 장치 자체에 니모닉 시드를 표시하고 일반 컴퓨팅 장치로 보내거나 표시하지 않는다는 점에서 Arculus보다 훨씬 더 안전합니다. 스마트폰처럼.
또한 배터리로 구동되는 하드웨어 지갑의 추세는 매우 새로운데, 이 공간에서 수년 동안 판매된 대부분의 장치는 내부 배터리가 없는 케이블을 통해 연결될 때 전원을 끌어옵니다. "무료" 비교의 목적은 무엇입니까? 다른 냉장 보관 솔루션에는 "요금"이 필요하다는 주장은 정확하지 않으며, 이것이 우수한 제품이라는 인식을 더하기 위해 무의미한 범주를 만드는 것 외에는 유용한 목적이 없습니다.
위의 이미지는 마케팅을 통해 Arculus를 호의적으로 칠하려는 시도에서 일관성 없는 횡설수설에 불과한 완전히 근거 없는 주장의 또 다른 예입니다.
Arculus 웹사이트에서 위 그래픽의 "Leading-Edge Privacy" 섹션을 보십시오. "민감한 개인 금융 데이터에 대한 극도의 보호"는 무엇을 의미합니까? 전체 지갑은 스마트폰 앱을 중심으로 구축됩니다. 지갑 앱은 어딘가에서 비트코인에 대한 잔액 데이터를 가져와야 합니다. 내 질문에 대한 Arculus의 답변에 따르면 블록체인 데이터를 위해 타사 파트너에 의존하는 클라우드 기반 환경입니다. 이것은 최첨단 프라이버시를 제공한다는 주장을 완전히 거짓으로 만듭니다. 사용자의 잔액 쿼리를 처리하기 위해 모든 데이터 자체를 다운로드하는 대신 해당 파트너에게 개별 잔액 쿼리를 수행하는 경우 모든 자산 잔액 데이터가 Arculus뿐만 아니라 잠재적으로 제XNUMX자 파트너에게 누출되는 것입니다.
이 제품의 무책임하고 부정확하며 오해의 소지가 있는 마케팅의 마지막 예로서, Arculus님이 포스팅했습니다. Econoalchemist의 링크와 함께 철저한 작성 엔트로피를 사용하여 주사위를 사용하여 검증 가능하게 키를 생성하고 Coldcard의 XOR 프로토콜을 사용하여 니모닉 문구를 여러 조각으로 분할합니다.
이것은 아마도 개인 키를 생성하고 네트워크로 연결된 컴퓨터에 노출하지 않고 개인 키에 대해 그럴듯하게 거부할 수 있는 백업을 설정하는 가장 안전한 방법 중 하나일 것입니다. Arculus는 초기화 프로세스 중에 스마트폰에 니모닉 시드를 노출하는 장치가 Econoalchemist가 기록에서 문서화한 에어갭 장치의 수동 주사위 굴림에서 키를 생성하는 위의 방법보다 더 안전하다고 주장합니다.
그것은 사실이 아니며 완전히 비윤리적이고 무책임한 주장입니다. Arculus가 키를 생성하고 사용자에게 니모닉 문구를 제공하여 백업하는 데 사용하는 프로세스는 Econoalchemist가 문서화한 프로세스보다 객관적으로 덜 안전합니다. 하나는 사용자의 니모닉을 스마트폰에 노출하고 다른 하나는 그렇지 않습니다.
비트코인 초석
"신뢰하지 말고 확인하십시오"라는 문구는 이 생태계의 초석이지만 위에서 논의한 바와 같이 대부분은 아닐지라도 이 분야의 많은 사람들이 이 조언을 자신이 하는 모든 일의 뿌리까지 받아들이는 것은 실용적이지 않습니다. 비트코인 관련. 제 생각에 이것은 교육자, 콘텐츠 제작자 및 이 공간의 공인에게 대중의 빛을 발할 때 실제로 숙제를 하고 더 많은 Bitcoiners 인구에게 제품 및 관행에 관한 권장 사항을 제시할 때 심각한 윤리적 책임을 지게 합니다.
비트코인과 비트코인과 상호 작용하는 데 사용할 수 있는 도구를 잘 이해하고 목표를 달성하는 데 사용할 가장 안전한 도구에 대해 정보에 입각한 결정을 내리는 것만큼 어렵습니다. 사람들에게 정확하게 알리는 책임을 지지 않는 콘텐츠 제작자는 그것을 더욱 어렵게 만듭니다.
이 생태계에서 어떤 종류의 긍정적인 영향이나 존재감을 가지려면 Arculus가 커뮤니케이션 및 마케팅 전략을 근본적으로 변경하고 제품 아키텍처의 일부를 재고해야 한다고 생각합니다. 콜드 스토리지용 하드웨어 솔루션은 니모닉 시드를 스마트폰이나 컴퓨터에 노출해서는 안 됩니다. 이는 애초에 하드웨어 장치로 개인 키를 관리하려는 전체 목적을 훼손합니다. 또한 전체 보안 모델에 이처럼 눈에 띄는 구멍이 있다는 점을 감안할 때 오늘날 시장에 나와 있는 다른 장치와 비교하여 보안의 우수성에 대한 그러한 무심하고 부정확한 설명으로 마케팅에 참여해서는 안 됩니다.
이 두 가지가 진지하고 물질적으로 다루어지기 전까지는 개인적으로 그렇게 생각하지 않는다. Bitcoin Magazine 그런 회사와 제휴해야합니다. 나는 그러한 기만적인 마케팅과 열악한 보안 관행에 관여하는 회사와 제휴하는 것은 무책임하고 비윤리적이라고 생각합니다. Bitcoin Magazine이 생태계에서 의 역할.
Shinobi님의 게스트 게시물입니다. 표현된 의견은 전적으로 자신의 것이며 BTC Inc 또는 Bitcoin Magazine.
- "
- 2021
- 2022
- 소개
- ACCESS
- 에 따르면
- 계정
- 정확한
- 획득한
- 가로질러
- 추가
- 주소
- 구애
- 광고
- 조언
- All
- 이기는하지만
- 양
- 발표
- 강의자료
- 다른
- 어딘가에
- 앱
- 어플리케이션
- 적당한
- 아키텍처
- 약
- 기사
- 유산
- 준
- 인증
- 자동화
- 가능
- 배터리
- 가
- 되고
- 전에
- 존재
- 더 큰
- 가장 큰
- 비트
- 비트코인
- 비트 코인 캐시
- 비트 코이 너
- blockchain
- 브랜드
- BTC
- BTC Inc
- 빌드
- 케이블
- 수
- 현금
- 범주
- 대표 이사
- 이전 단계로 돌아가기
- 요금
- 확인하는 것이 좋다.
- 칩
- 선택
- 선택
- 청구
- 주장
- 닫은
- 암호
- 코인
- 냉장
- 댓글
- 의사 소통
- 커뮤니티
- 회사
- 비교
- 경쟁
- 완전히
- 구성
- 컴퓨터
- 컴퓨팅
- 컨퍼런스
- 함유량
- 핵심
- 수
- 만들
- 크리에이터
- 신용
- 암호화는
- 데이터
- 거래
- 기술 된
- 디자인
- 세부설명
- 장치
- 디바이스
- 어려운
- 근민
- ...동안
- 지구
- 생태계
- 사설
- 노력
- 노력
- 엔터 버튼
- 입력 된
- 환경
- 특히
- 윤리적인
- 기풍
- 평가
- 이벤트
- 사람
- 모두
- 예
- 외
- 현존하는
- 경험
- 표현
- 요인
- 특색
- 피드백
- 금융
- 재무 데이터
- 먼저,
- 수행원
- 무료
- 자유
- 앞
- 근본적으로
- 획득
- 일반
- 생성
- 생성
- 세대
- 기부
- 세계적으로
- 목표
- 좋은
- 구글
- 큰
- 손님
- 고객 포스트
- 처리
- 하드웨어
- 하드웨어 지갑
- 하드웨어 지갑
- 데
- 도움
- 홈
- 방법
- 그러나
- HTTPS
- 영상
- 영향
- 중대한
- 개량
- Incorporated
- 개인
- 정보
- 정보
- 의지
- 발행물
- 문제
- IT
- 그 자체
- 키
- 키
- 지식
- 넓은
- 층
- 원장
- 빛
- LINK
- 만든
- 주요한
- 제작
- 유튜브 영상을 만드는 것은
- 악성 코드
- 관리
- 구축
- 관리
- 조작
- 시장
- 마케팅
- 마케팅
- 거대한
- 경기
- 자료
- 문제
- 방법
- 모델
- 모델
- 돈
- 배우기
- 가장
- 여러
- 자연
- 필연적으로
- 요구
- 번호
- 다수의
- 의무
- 열 수
- 오픈 소스
- 오픈 소스 코드
- 조작
- 행정부
- 의견
- 의견
- 기회
- 기타
- 자신의
- 서
- 부품
- 파트너
- 파트너스
- 사람들
- 확인
- 물리적
- 막힘
- 팟 캐스트
- 포인트 적립
- 가난한
- 인기
- 인구
- 긍정적인
- 가능한
- 힘
- 제시
- 예쁜
- 원칙
- 개인 정보 보호
- 사설
- 개인 키
- 문제
- 방법
- 프로덕트
- 제품
- 프로토콜
- 제공
- 제공
- 제공
- 공개
- 공개 키
- 목적
- 목적
- 평가
- RE
- 현실
- 받다
- 추천하는
- 복구
- 회복
- 반영
- 에 관한
- 신뢰
- 의뢰
- 필요
- 필수
- 필요
- 응답
- 책임
- 롤
- 안전
- 말했다
- 계획
- 화면
- 안전해야합니다.
- 보안
- 씨
- 시드 문구
- 진지한
- 서비스
- 세트
- 표시
- 기호
- 비슷한
- 대지
- SIX
- 스마트 폰
- So
- 소프트웨어
- 판매
- 솔루션
- 일부
- 무언가
- 스페이스 버튼
- 구체적으로
- 지출
- 스폰서
- 표준
- 문
- 스테핑
- 저장
- 저장
- 전략
- 제출
- 우수한
- 복용
- 가볍게 두드리다
- 타사
- 을 통하여
- 시간
- 오늘
- 검색을
- 전통적으로
- 거래
- 거래 내역
- 투명도
- 믿어
- 유형
- 이해
- 유일한
- 사용
- 사용자
- 확인
- 확인
- 대
- 지갑
- 지갑
- 웹 사이트
- 뭐
- 여부
- 백지
- 누구
- 넓은
- 없이
- 일하는
- 가치
- 겠지
- 년