„Technicznie” możliwe wyodrębnienie kluczy użytkownika? Adresy księgi Usunięto Tweet

Ledger odniósł się do usuniętego kontrowersyjnego tweeta, w którym stwierdzono, że zawsze można było ułatwić wydobycie klucza.

Producent kryptowalutowego portfela sprzętowego, Ledger, stał się centrum kontrowersji po ogłoszeniu „Ledger Recover”, opcjonalnej funkcji bezpieczeństwa, która pozwoliłaby użytkownikom odzyskać swoje aktywa po utracie kluczy prywatnych.

Tweet z 17 maja od agenta obsługi klienta Ledger dodatkowo podsycił negatywną opinię publiczną o firmie.

„Technicznie rzecz biorąc, zawsze było możliwe napisanie oprogramowania układowego ułatwiającego wydobywanie kluczy. Zawsze ufałeś Ledgerowi, że nie wdroży takiego oprogramowania układowego, niezależnie od tego, czy o tym wiedziałeś, czy nie”, przeczytaj tweet, który od tego czasu został usunięty.

Społeczność kryptograficzna była naturalnie zaniepokojona wiadomością, która najwyraźniej sugerowała, że ​​firma zawsze miała możliwość włączenia tego oprogramowania układowego do swojego produktu bez wiedzy użytkowników.

Ledger odniósł się do usuniętego tweeta w aktualizacji kilka godzin później, wyjaśniając, że agent obsługi klienta użył „mylących sformułowań”, próbując wyjaśnić, jak działają portfele sprzętowe firmy.

[2/3] Usunęliśmy go, ponieważ nie chcemy, aby ludzie nadal byli tym zdezorientowani, i zastąpiliśmy go wątkami na Twitterze, które odpowiadają na wszystkie często zadawane pytania i wątpliwości w możliwie najbardziej zrozumiały i dokładny sposób.

- Wsparcie księgi głównej (@Ledger_Support) 18 maja 2023 r.

Charles Guillemet, CTO Ledgera, napisał również obszerny wątek na Twitterze, w którym rozwiał błędne przekonania i wyjaśnił, jak działa oprogramowanie układowe.

„Korzystanie z portfela wymaga minimalnego zaufania. Jeśli twoja hipoteza jest taka, że ​​​​atakującym jest twój dostawca portfela, jesteś skazany na zagładę” powiedziany Guillemeta.

„Jeśli portfel chce zaimplementować backdoora, jest na to wiele sposobów, w generowaniu liczb losowych, w bibliotece kryptograficznej, w samym sprzęcie. Możliwe jest nawet tworzenie podpisów, aby klucz prywatny można było odzyskać tylko poprzez monitorowanie łańcucha bloków” – dodał.

Jego zdaniem baza kodów typu open source nie rozwiązuje problemu i nie można mieć gwarancji, że urządzenie elektroniczne lub oprogramowanie układowe, które je uruchamia, nie jest backdoorem.

22 /
Jeśli chcesz być całkowicie pozbawiony zaufania, będziesz musiał nauczyć się elektroniki, aby zbudować swój komputer, nauczyć się ASM, aby zbudować swój kompilator, a następnie zbudować stos portfela, własny węzeł i synchronizator, będziesz musiał nauczyć się kryptografii, aby zbudować własny stos podpisów.

— Charles Guillemet (@P3b7_) 18 maja 2023 r.

Zakończył, mówiąc użytkownikom, że portfel sprzętowy jest najczęściej używany jako urządzenie do podpisywania, które chroni klucze prywatne.

„Twoje klucze prywatne nigdy nie opuszczają portfela sprzętowego. Za każdym razem, gdy są używane, wymagana jest Twoja zgoda” – powiedział.