«Технически» возможно извлечь ключи пользователя? Ledger Addresses Deleted Tweet

Леджер обратился к ныне удаленному противоречивому сообщению в Твиттере, в котором говорилось, что всегда можно было облегчить извлечение ключа.

Производитель аппаратного криптокошелька Ledger оказался в центре споров после объявления «Ledger Recover», дополнительной функции безопасности, которая позволит пользователям восстанавливать свои активы после потери закрытых ключей.

Твит агента службы поддержки Ledger от 17 мая еще больше подогрел негативное общественное мнение о фирме.

«С технической точки зрения всегда было возможно написать прошивку, облегчающую извлечение ключа. Вы всегда доверяли Леджеру не устанавливать такую ​​прошивку, знали вы об этом или нет», — говорится в твите, который с тех пор был удален.

Крипто-сообщество, естественно, встревожилось сообщением, которое, по-видимому, подразумевало, что у фирмы всегда была возможность внедрить эту прошивку в свой продукт, и пользователи не знали об этом.

Через несколько часов Леджер обратился к удаленному твиту в обновлении, объяснив, что агент службы поддержки использовал «запутанную формулировку», пытаясь прояснить, как работают аппаратные кошельки фирмы.

[2/3] Мы удалили его, потому что не хотим, чтобы люди продолжали сбиваться с толку, и заменяем его твитами, в которых наиболее понятным и точным образом рассматриваются все часто задаваемые вопросы и проблемы.

- Поддержка ГК (@Ledger_Support) 18 мая 2023

Технический директор Ledger Шарль Гиллеме также написал обширную ветку в Твиттере, чтобы устранить неправильные представления и объяснить, как на самом деле работает прошивка.

«Использование кошелька требует минимального доверия. Если ваша гипотеза состоит в том, что злоумышленником является поставщик вашего кошелька, вы обречены». — сказал Гиллеме.

«Если кошелек хочет внедрить бэкдор, есть много способов сделать это: генерация случайных чисел, криптографическая библиотека, само оборудование. Можно даже создавать подписи, чтобы закрытый ключ можно было получить только путем мониторинга блокчейна», — добавил он.

По его мнению, кодовая база с открытым исходным кодом не решает проблему, и невозможно гарантировать, что электронное устройство или прошивка, на которой оно работает, не защищены бэкдором.

22 /
Если вы хотите быть полностью ненадежным, вам придется изучить электронику, чтобы построить свой компьютер, изучить ASM, чтобы построить свой компилятор, затем создать стек кошелька, свой собственный узел и синхронизатор, вам придется изучить криптографию, чтобы создать свой собственный стек подписи.

— Шарль Гиллеме (@P3b7_) 18 мая 2023

В заключение он сообщил пользователям, что аппаратный кошелек в основном используется в качестве устройства для подписи, которое защищает закрытые ключи.

«Ваши закрытые ключи никогда не покидают аппаратный кошелек. Всякий раз, когда они используются, требуется ваше согласие», — сказал он.