"Tekniskt" Möjligt att extrahera användarnycklar? Ledger-adresser raderade tweet

Ledger tog upp en nu raderad kontroversiell tweet som sa att det alltid har varit möjligt att underlätta nyckelextraktion.

Tillverkaren av kryptohårdvara plånböcker Ledger har varit centrum för kontroversen efter att ha tillkännagivit "Ledger Recover", en valfri säkerhetsfunktion som skulle tillåta användare att återställa sina tillgångar efter att ha förlorat sina privata nycklar.

En tweet den 17 maj från en kundsupportagent från Ledger gav ytterligare upphov till negativ opinion om företaget.

”Tekniskt sett är och har det alltid varit möjligt att skriva firmware som underlättar nyckelextraktion. Du har alltid litat på att Ledger inte distribuerar sådan firmware oavsett om du visste det eller inte”, läser tweeten, som sedan har raderats.

Kryptogemenskapen blev naturligtvis oroad över meddelandet, vilket till synes antydde att företaget alltid hade möjlighet att arbeta med den här firmwaren i sin produkt utan att användarna visste bättre.

Ledger adresserade den raderade tweeten i en uppdatering några timmar senare och förklarade att en kundsupportagent hade använt "förvirrande formuleringar" i ett försök att klargöra hur företagets hårdvaruplånböcker fungerar.

[2/3] Vi har tagit bort det eftersom vi inte vill att folk ska fortsätta att bli förvirrade av detta, och vi ersätter det med Tweet-trådar som tar upp alla vanliga frågor och funderingar på ett så förståeligt och korrekt sätt som möjligt.

- Ledger Support (@Ledger_Support) Maj 18, 2023

Ledger CTO Charles Guillemet skrev också en omfattande Twitter-tråd för att ta itu med missuppfattningar och förklara hur firmware fungerar i praktiken.

"Att använda en plånbok kräver minimalt förtroende. Om din hypotes är att din plånboksleverantör är angriparen, är du dömd.” sade Guillemet.

"Om plånboken vill implementera en bakdörr finns det många sätt att göra det, i generering av slumptal, i det kryptografiska biblioteket, i själva hårdvaran. Det är till och med möjligt att skapa signaturer så att den privata nyckeln endast kan hämtas genom att övervaka blockkedjan”, tillade han.

Enligt hans uppfattning löser inte en kodbas med öppen källkod problemet och det är omöjligt att ha en garanti för att den elektroniska enheten eller den fasta programvaran som kör den inte är bakdörr.

22 /
Om du vill vara helt tillitslös måste du lära dig elektronik för att bygga din dator, lära dig ASM för att bygga din kompilator, sedan bygga en plånboksstapel, din egen nod och synkroniserare, du måste lära dig kryptografi för att bygga din egen signaturstack.

— Charles Guillemet (@P3b7_) Maj 18, 2023

Han avslutade med att berätta för användarna att en hårdvaruplånbok mestadels används som en signeringsenhet, som skyddar privata nycklar.

"Dina privata nycklar lämnar aldrig hårdvaruplånboken. Närhelst de används, begärs ditt samtycke”, sa han.