'Teknisk' mulig å trekke ut brukernøkler? Ledger-adresser Slettet Tweet

Ledger adresserte en nå slettet kontroversiell tweet som sa at det alltid har vært mulig å forenkle nøkkelutvinning.

Krypto-maskinvare lommebokprodusenten Ledger har vært sentrum for kontroversen etter å ha annonsert "Ledger Recover", en valgfri sikkerhetsfunksjon som vil tillate brukere å gjenopprette eiendelene etter å ha mistet sine private nøkler.

En tweet 17. mai fra en Ledger-kundestøtteagent fremmet ytterligere negativ opinion om firmaet.

"Teknisk sett er og har det alltid vært mulig å skrive fastvare som forenkler nøkkelutvinning. Du har alltid stolt på at Ledger ikke distribuerer slik firmware enten du visste det eller ikke», sto det i tweeten, som siden har blitt slettet.

Kryptosamfunnet ble naturligvis skremt av meldingen, som tilsynelatende antydet at firmaet alltid hadde muligheten til å jobbe inn denne fastvaren i produktet sitt uten at brukerne visste noe bedre.

Ledger adresserte den slettede tweeten i en oppdatering noen timer senere, og forklarte at en kundestøtteagent hadde brukt "forvirrende ordlyd" i et forsøk på å klargjøre hvordan firmaets maskinvarelommebøker fungerer.

[2/3] Vi har slettet det fordi vi ikke vil at folk skal fortsette å bli forvirret av dette, og erstatter det med tweet-tråder som tar opp alle vanlige spørsmål og bekymringer på en mest mulig forståelig og nøyaktig måte.

- Ledger Support (@Ledger_Support) Kan 18, 2023

Ledger CTO Charles Guillemet skrev også en omfattende Twitter-tråd for å adressere misoppfatninger og forklare hvordan fastvaren fungerer.

«Å bruke en lommebok krever minimalt med tillit. Hvis hypotesen din er at lommebokleverandøren din er angriperen, er du dømt." sa Guillemet.

«Hvis lommeboken ønsker å implementere en bakdør, er det mange måter å gjøre det på, i generering av tilfeldige tall, i det kryptografiske biblioteket, i selve maskinvaren. Det er til og med mulig å lage signaturer slik at den private nøkkelen bare kan hentes ved å overvåke blokkjeden, la han til.

Etter hans syn løser ikke en åpen kildekodebase problemet, og det er umulig å ha en garanti for at den elektroniske enheten eller fastvaren som kjører den ikke er bakdør.

22 /
Hvis du vil være helt tillitsløs, må du lære elektronikk for å bygge datamaskinen din, lære ASM for å bygge kompilatoren din, deretter bygge en lommebokstabel, din egen node og synkronisering, du må lære kryptografi for å bygge din egen signaturstabel.

— Charles Guillemet (@P3b7_) Kan 18, 2023

Han avsluttet med å fortelle brukerne at en maskinvarelommebok stort sett brukes som en signeringsenhet, som sikrer private nøkler.

"De private nøklene dine forlater aldri maskinvarelommeboken. Hver gang de brukes, blir du bedt om ditt samtykke," sa han.