«Технічно» можливо видобути ключі користувача? Адреси книги видалено твіт

Леджер звернувся до тепер видаленого суперечливого твіту, в якому говорилося, що завжди було можливо полегшити вилучення ключів.

Виробник криптоапаратного гаманця Ledger опинився в центрі суперечок після того, як оголосив про «Ledger Recover», додаткову функцію безпеки, яка дозволить користувачам відновити свої активи після втрати закритих ключів.

Твіт від 17 травня від агента служби підтримки клієнтів Ledger ще більше посилив негативну громадську думку про фірму.

«Технічно кажучи, це є і завжди було можливим написати мікропрограму, яка полегшує вилучення ключів. Ви завжди вірили, що Ledger не розгортатиме таке мікропрограмне забезпечення, знали ви про це чи ні», — йдеться у твіті, який згодом був видалений.

Криптоспільнота, природно, була стривожена повідомленням, яке, здавалося б, означало, що фірма завжди мала можливість використовувати це мікропрограмне забезпечення у своєму продукті, не знаючи користувачів.

Леджер звернувся до видаленого твіту в оновленні через кілька годин, пояснивши, що агент служби підтримки клієнтів використав «заплутане формулювання», намагаючись пояснити, як працюють апаратні гаманці фірми.

[2/3] Ми видалили його, оскільки ми не хочемо, щоб люди й надалі були збентежені цим, і замінюємо його гілками твітів, які відповідають на всі поширені запитання та проблеми найбільш зрозумілим і точним способом.

— Підтримка Ledger (@Ledger_Support) Травень 18, 2023

Головний технічний директор Ledger Чарльз Гійме також написав розширену тему в Twitter, щоб усунути неправильні уявлення та пояснити, як насправді працює прошивка.

«Використання гаманця вимагає мінімальної довіри. Якщо ваша гіпотеза полягає в тому, що зловмисником є ​​постачальник вашого гаманця, ви приречені», сказав Гійме.

«Якщо гаманець хоче запровадити бекдор, є багато способів зробити це, у генерації випадкових чисел, у криптографічній бібліотеці, у самому обладнанні. Можна навіть створити підписи, щоб приватний ключ можна було отримати лише шляхом моніторингу блокчейну», — додав він.

На його думку, кодова база з відкритим вихідним кодом не вирішує проблему, і неможливо мати гарантію, що електронний пристрій або мікропрограмне забезпечення, яке його запускає, не є бекдором.

22 /
Якщо ви хочете бути абсолютно ненадійним, вам доведеться вивчити електроніку, щоб побудувати свій комп’ютер, вивчити ASM, щоб побудувати свій компілятор, потім створити стек гаманців, свій власний вузол і синхронізатор, вам доведеться вивчити криптографію, щоб створити свій власний стек підписів.

— Charles Guillemet (@P3b7_) Травень 18, 2023

На завершення він повідомив користувачам, що апаратний гаманець здебільшого використовується як пристрій підпису, який захищає приватні ключі.

«Ваші особисті ключі ніколи не залишають апаратний гаманець. Щоразу, коли вони використовуються, потрібна ваша згода», — сказав він.