​​Je 'tehnično' mogoče ekstrahirati uporabniške ključe? Naslovi Ledger Izbrisan tweet

Ledger je obravnaval zdaj izbrisani kontroverzni tvit, ki je dejal, da je bilo vedno mogoče olajšati ekstrakcijo ključev.

Proizvajalec denarnice za kripto strojno opremo Ledger je bil v središču polemike, potem ko je najavil "Ledger Recover", izbirno varnostno funkcijo, ki bi uporabnikom omogočila povrnitev sredstev po izgubi zasebnih ključev.

Tvit agenta za podporo uporabnikom Ledgerja 17. maja je še dodatno spodbudil negativno javno mnenje o podjetju.

»Tehnično gledano je in je bilo vedno mogoče napisati vdelano programsko opremo, ki olajša ekstrakcijo ključev. Vedno ste zaupali Ledgerju, da ne bo uvedel takšne vdelane programske opreme, ne glede na to, ali ste vedeli ali ne,« se glasi tvit, ki je bil medtem izbrisan.

Kriptoskupnost je seveda vznemirila sporočilo, ki je navidezno impliciralo, da ima podjetje vedno možnost vdelati to vdelano programsko opremo v svoj izdelek, ne da bi uporabniki vedeli kaj bolje.

Ledger je obravnaval izbrisani tvit v posodobitvi nekaj ur kasneje in pojasnil, da je agent za podporo strankam uporabil "zmedo" v poskusu pojasniti, kako delujejo strojne denarnice podjetja.

[2/3] Izbrisali smo ga, ker ne želimo, da bi bili ljudje zaradi tega še naprej zmedeni, in ga nadomeščamo z nitmi Tweetov, ki obravnavajo vsa pogosto zastavljena vprašanja in pomisleke na najbolj razumljiv in natančen možni način.

— Podpora za knjigovodstvo (@Ledger_Support) Maj 18, 2023

CTO Ledger Charles Guillemet je prav tako napisal obsežno nit na Twitterju, da bi obravnaval napačne predstave in pojasnil, kako vdelana programska oprema dejansko deluje.

»Uporaba denarnice zahteva minimalno količino zaupanja. Če je vaša hipoteza, da je vaš ponudnik denarnice napadalec, ste obsojeni na propad,« je dejal Guillemet.

»Če želi denarnica implementirati stranska vrata, obstaja veliko načinov za to, v generiranju naključnih števil, v kriptografski knjižnici, v sami strojni opremi. Možno je celo ustvariti podpise, tako da je zasebni ključ mogoče pridobiti samo s spremljanjem verige blokov,« je dodal.

Po njegovem mnenju odprtokodna kodna baza ne reši težave in nemogoče je zagotoviti, da elektronska naprava ali vdelana programska oprema, ki jo poganja, ni zakulisna.

22 /
Če želite biti popolnoma nezaupljivi, se boste morali naučiti elektronike, da boste zgradili svoj računalnik, se naučiti ASM, da boste zgradili svoj prevajalnik, nato zgraditi sklad denarnice, lastno vozlišče in sinhronizator, naučiti se boste morali kriptografije, da boste zgradili svojega sklad podpisov.

— Charles Guillemet (@P3b7_) Maj 18, 2023

Na koncu je uporabnikom povedal, da se strojna denarnica večinoma uporablja kot podpisna naprava, ki ščiti zasebne ključe.

»Vaši zasebni ključi nikoli ne zapustijo strojne denarnice. Kadarkoli se uporabljajo, se zahteva vaše soglasje,« je dejal.