Bu makale, Ledger'in anımsatıcı yedekleme hizmetinin arkasındaki tartışmalı nedenleri araştıracak ve MPC cüzdanı özel anahtar yönetimi ile benzerliklerini ve farklılıklarını tartışacaktır.
Yazan: Lucas Yang
16 Mayıs akşamı, donanım cüzdanı Ledger, Nano X soğuk cüzdan 2.2.1 ürün yazılımı güncellemesini yayınladı ve "Ledger Recover" işlevinin yakında tanıtılacağını duyurdu. Bu işlev, kullanıcının anımsatıcı cümlesini (Gizli Kurtarma İfadesi) üç parçaya bölmek için parçalanmış bir depolama yöntemi kullanır ve kullanıcının bir bağlama olarak kişisel olarak tanımlanabilir bilgiler sağlamasını gerektirir. Ledger'ı şaşırtacak şekilde, bu özelliğin lansmanı, kullanıcı topluluğunda güçlü bir tepkiye yol açtı ve birçoğu, özelliğin gizliliği ve güvenliğiyle ilgili endişelerini dile getirdi.
Ledger'e göre Ledger Recover, temelde müşteriler için anımsatıcı yedekleme sağlayan kimlik tabanlı bir özel anahtar kurtarma hizmetidir. Hizmet, bir müşterinin tohum ifadeye erişimini kaybetmesi veya kaybetmesi durumunda bir Ledger cihazının özel anahtarları güvenli bir şekilde kurtarmasına olanak tanır. Tohum cümlesi şifrelenecek, kopyalanacak ve üç parçaya bölünecek ve bunların her biri ayrı bir şirket tarafından korunacak: Coincover, Ledger ve bağımsız bir yedekleme hizmeti sağlayıcısı. Bir müşteri özel anahtarı kurtarmak istediğinde, taraflardan ikisi, özel anahtarı oluşturmak üzere yeniden birleştirmek için parçaları Ledger cihazına geri gönderir. Ayrıca Ledger Recover, kullanıcıların kişisel bilgilerini Ledger'in kimlik doğrulama hizmeti sağlayıcısı olan Onfido'ya göndermesini gerektirir.
Ledger'in tasarımına göre bu yedekleme yöntemi, veri kaybının hata toleransını artırmayı hedefliyor ancak bazı kullanıcıların veri güvenliği konusunda endişelenmesine ve Ledger'a karşı bir güven krizine neden oldu. Bazı kullanıcılar, kişisel bilgileri birden çok üçüncü taraf sistemde depolamanın, saldırıya uğrama riskini artırıp varlık kaybına yol açabileceğinden endişe ediyor. Bazı kullanıcılar da Ledger'ın kullanıcıların özel anahtarlarının cihazdan asla çıkmadığının altını çizdiğini ve bunun popüler olmasının nedenlerinden biri olduğunu da belirtti.
Genel muhasebe özel anahtarları internete hiç dokunmuyor mu?
Ledger'ı diğer donanım cüzdanlarına kıyasla uzun süredir benzersiz kılan şey, Secure Element çipidir. Ledger, çipin özel anahtarı tamamen izole edip kaydedebileceğini iddia ediyor, bu nedenle birçok kişi Ledger donanım cüzdanının iPhone'un Secure Enclave'e eşdeğer olduğunu ve özel anahtarı tamamen erişilemez hale getirdiğini düşünüyor. Ancak yeni Recover özelliğinin piyasaya sürülmesi, kullanıcılara özel anahtarların Secure Element'i şifreli biçimde bırakabileceğini ileterek bu izlenimi kıracak gibi görünüyor. Kurtarma işlevi isteğe bağlı bir hizmet olsa da, Nano X'in üretici yazılımı güncellemesi bu işlevi işletim sisteminde oluşturmaya devam edecektir.
Teknik açıdan, Ledger aslında kullanıcıların ona "%100" güvenmesini gerektirir, çünkü tüm anımsatıcı şifreleme ve iletim süreci kapalıdır ve doğrulanamaz. Şu anda Ledger, kullanıcılara Ledger'in kurtarma hizmetinin kullanıcı verilerini nasıl güvenli bir şekilde şifrelediğini ve gizli gizli çalıştığını göstermedi ve Ledger dışında hiç kimse tüm sürecin güvenliğini doğrulayamıyor.
Ledger Recover, tohum ifadenin cihazdan şifrelenmemiş bir durumda çıkmasına izin vermese de, kullanıcılar, Ledger'ın aslında tohum ifadesini USB/BT üzerinden gönderebilen bir kod sağladığından endişe duyuyor. Bu durumda bilgisayar korsanlarının kötü niyetli saldırılarla soğuk cüzdanları sıcak cüzdanlara çevirerek kullanıcı anımsatıcı kelimeleri elde etme olasılığı vardır. Aynı zamanda, kullanıcılar, Ledger'in bilgisayar korsanlarının şifreli anımsatıcı parçaları bir kişiye bütünüyle göndermesini engelleyip engelleyemeyeceğinden veya anımsatıcı parçaların şifresinin yalnızca kullanıcıların kendileri tarafından çözülüp çözülemeyeceğinden emin olamazlar.
KYC sürecinin getirdiği gizlilik tartışması
Kurtar özelliğinin kendisine ek olarak, bazı kullanıcılar kullanıcı gizliliğiyle ilgili endişelerini dile getirdi. Donanım cüzdanları genellikle kripto para birimlerini anonim olarak depolamanın bir yolu olarak görülür, ancak Ledger Recover'ı kullanmayı seçen kullanıcıların gerekli anımsatıcı kurtarma doğrulaması için kimlik bilgilerini göndermeleri gerekecektir. Deneyim, diğer sorunların yanı sıra veri ihlalleri, bilgisayar korsanlığı ve devlet sansürü hakkında kullanıcı endişelerini artıran, merkezi borsaların KYC sürecine benzer.
4 milyondan fazla kullanıcıya sahip bir şirket olarak, Ledger kullanıcılarının yönettiği varlıklar da oldukça fazladır. Bu nedenle, kullanıcılarının kişisel bilgileri ister doğrudan kimlik avı saldırıları için kullanılsın ister satılsın, bilgisayar korsanları için oldukça değerlidir. 2020 yılında şirketin 272.000 kullanıcı bilgisi çalındı ve ardından birçok kullanıcı çok sayıda kimlik avı aracı tarafından taciz edildi. Kullanıcılar, kişisel bilgileri için başka bir potansiyel çıkış sağlayan Kurtarma özelliğine abone olmak için gereken kimlik doğrulama konusunda yasal olarak endişe duymaktadır.
MPC daha mı güvenli?
Bir dizi şüphe ve eleştiriyle karşılaşan Ledger, 23 Mayıs'ta Recover işlevinin yayınlanmasını erteleyeceğini duyurdu ve kullanıcıların şüphelerini gidermek amacıyla yakın gelecekte Recover protokolü hakkında bir teknik inceleme yayınlayacağını söyledi. . Nihai olayın nasıl sonuçlanacağına bakılmaksızın, bu Ledger güven krizi, kripto para birimi güvenlik cüzdanları, saklama ve güvenlik uygulayıcıları için birçok düşünceyi tetikleyebilir. Daha geniş bir düzeyde, şifreli varlık saklama teknolojisinin ve çözümlerinin nasıl seçileceği, donanım cüzdanlarının mı yoksa yazılım cüzdanlarının mı kullanılacağı, kurumsal katılımcıların dikkatlice düşünmesi gereken konulardır.
Özel anahtarın risklere maruz kalmaması için özel anahtarı parçalayın ve birden çok yedekleme yapın.Ledger Reocver tıpkı yedekleme için anımsatıcıyı üç parçaya böldüğü gibi, bu fikirde de aslında bir sorun yok. Bununla birlikte, Ledger Recover'ın en büyük teknik riski, hatırlatıcı kelimenin başlangıçta donanım cüzdanında bir bilgi parçası olarak saklanması, ancak şimdi şifrelenmesi, bölünmesi ve üç tarafa iletilmesidir. kaçırılıyor. Herhangi bir adımdaki herhangi bir ihmal, doğrudan varlık kaybına yol açabilir.
Belki de birçok kişinin izlenimine göre, saklama cüzdanı kontrolden çıkmış gibi görünüyor ve donanım cüzdanı kendi ellerinde daha güvenilir görünüyor. Aslında, yönetilen cüzdan teknolojisi ilerlemeye ve gelişmeye devam ediyor ve halihazırda çok güvenli ve esnek teknik yollar var, bunlardan biri de MPC (Multi-Party Computing) cüzdanı.
Çok taraflı bilgi işlem (MPC), birden fazla katılımcının ortak bilgi işlem görevlerini merkezi bir taraf olmaması koşuluyla kendi verilerine dayalı olarak tamamlamak için işbirliği yaptığı ve tüm tarafların bilgi işlem sürecindeki etkileşimli veriler aracılığıyla diğer katılımcıları çıkarsayamadığı bir bilgi işlem yöntemini ifade eder. . Bu nedenle MPC, güvenlik ve kullanım kolaylığı açısından doğal avantajlara sahiptir. İlk aşamadan itibaren, cüzdanın özel anahtarı hiçbir zaman ortaya çıkmadı ve özel anahtar parçaları bağımsız olarak birden çok taraf tarafından yerel olarak üretiliyor, bu da tek nokta risklerini temelden ortadan kaldırıyor ve MPC algoritması açık, akran denetiminden geçmiş ve sahada test edilmiş durumda. , açık ve güvenilir.
Kobo MPC
Cobo MPC WaaS'ı (Hizmet Olarak Cüzdan) örnek olarak alırsak, Cobo MPC WaaS, MPC-TSS (Eşik İmza Şeması, eşik imzası) teknolojisine dayalıdır ve Wallet-as- şeklinde dijital varlık koordinasyonu ve blockchain teknolojisi hizmetleri sağlar. a-Hizmet .
MPC-TSS, çok taraflı güvenli hesaplamaya dayalı bir eşik imza teknolojisidir. MPC-TSS teknolojisini kullanarak, birden çok tarafın her biri bir özel anahtar parçasını (MPC Anahtar Paylaşımı) yönetir ve dağıtılmış bilgi işlem aracılığıyla özel anahtarların oluşturulmasını (Oluştur), imzasını (İmzala) ve kurtarılmasını (Kurtarma) tamamlar. Dağıtılmış bilgi işlem sürecinde, herhangi bir tarafın özel anahtar parçaları, işbirlikçi etkileşim nedeniyle sızdırılmayacak ve tam özel anahtar, herhangi bir biçimde hiçbir yerde bulunmayacaktır. MPC-TSS teknolojisi, bireylerin ve kurumların anahtarları daha rahat, güvenli ve iş mantığına uygun olarak kullanabilmesini sağlar.
Cobo, özel anahtarların üç taraflı işbirliği yönetimini benimser ve ⅔ çoklu imza modunu kullanır. Üç taraf işbirliğine dayalı yönetim, üç katılımcının her birinin özel bir anahtar parçasına sahip olduğu anlamına gelir. ⅔ çoklu imza modu, her işlemin, işlemi imzalama işlemini tamamlamak için en az iki katılımcının işbirliğini gerektirdiği anlamına gelir. Bu, Cobo'nun müşteri varlıklarını tek taraflı olarak kötüye kullanmamasını sağlayabilir ve müşterinin özel anahtar parçası çalınsa bile tek başına işlemler için kullanılamaz. Ayrıca müşteriler, parçaları Cobo ve üçüncü taraflar aracılığıyla geri yükleyebilir. Üçüncü tarafın seçimi tamamen müşteri tarafından belirlenmekte ve böylece teknoloji ve süreç aracılığıyla müşterinin varlıklar üzerinde tam kontrolü sağlanmaktadır.
Defter Kurtarma olayı, birçok kullanıcının özel anahtar yönetimi stratejilerini yeniden incelemesine neden oldu. Ledger Recover'a benzer bir çözümü benimseyecek gibi görünen MPC cüzdanı, aslında güvenliğin en alt katmanında önemli bir farklılığa sahip.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Ledger Recover tartışmasının yorumlanması ve MPC cüzdanı ile güvenlik karşılaştırması
Yazan: Lucas Yang
16 Mayıs akşamı, donanım cüzdanı Ledger, Nano X soğuk cüzdan 2.2.1 ürün yazılımı güncellemesini yayınladı ve "Ledger Recover" işlevinin yakında tanıtılacağını duyurdu. Bu işlev, kullanıcının anımsatıcı cümlesini (Gizli Kurtarma İfadesi) üç parçaya bölmek için parçalanmış bir depolama yöntemi kullanır ve kullanıcının bir bağlama olarak kişisel olarak tanımlanabilir bilgiler sağlamasını gerektirir. Ledger'ı şaşırtacak şekilde, bu özelliğin lansmanı, kullanıcı topluluğunda güçlü bir tepkiye yol açtı ve birçoğu, özelliğin gizliliği ve güvenliğiyle ilgili endişelerini dile getirdi.
Ledger'e göre Ledger Recover, temelde müşteriler için anımsatıcı yedekleme sağlayan kimlik tabanlı bir özel anahtar kurtarma hizmetidir. Hizmet, bir müşterinin tohum ifadeye erişimini kaybetmesi veya kaybetmesi durumunda bir Ledger cihazının özel anahtarları güvenli bir şekilde kurtarmasına olanak tanır. Tohum cümlesi şifrelenecek, kopyalanacak ve üç parçaya bölünecek ve bunların her biri ayrı bir şirket tarafından korunacak: Coincover, Ledger ve bağımsız bir yedekleme hizmeti sağlayıcısı. Bir müşteri özel anahtarı kurtarmak istediğinde, taraflardan ikisi, özel anahtarı oluşturmak üzere yeniden birleştirmek için parçaları Ledger cihazına geri gönderir. Ayrıca Ledger Recover, kullanıcıların kişisel bilgilerini Ledger'in kimlik doğrulama hizmeti sağlayıcısı olan Onfido'ya göndermesini gerektirir.
Ledger'in tasarımına göre bu yedekleme yöntemi, veri kaybının hata toleransını artırmayı hedefliyor ancak bazı kullanıcıların veri güvenliği konusunda endişelenmesine ve Ledger'a karşı bir güven krizine neden oldu. Bazı kullanıcılar, kişisel bilgileri birden çok üçüncü taraf sistemde depolamanın, saldırıya uğrama riskini artırıp varlık kaybına yol açabileceğinden endişe ediyor. Bazı kullanıcılar da Ledger'ın kullanıcıların özel anahtarlarının cihazdan asla çıkmadığının altını çizdiğini ve bunun popüler olmasının nedenlerinden biri olduğunu da belirtti.
Genel muhasebe özel anahtarları internete hiç dokunmuyor mu?
Ledger'ı diğer donanım cüzdanlarına kıyasla uzun süredir benzersiz kılan şey, Secure Element çipidir. Ledger, çipin özel anahtarı tamamen izole edip kaydedebileceğini iddia ediyor, bu nedenle birçok kişi Ledger donanım cüzdanının iPhone'un Secure Enclave'e eşdeğer olduğunu ve özel anahtarı tamamen erişilemez hale getirdiğini düşünüyor. Ancak yeni Recover özelliğinin piyasaya sürülmesi, kullanıcılara özel anahtarların Secure Element'i şifreli biçimde bırakabileceğini ileterek bu izlenimi kıracak gibi görünüyor. Kurtarma işlevi isteğe bağlı bir hizmet olsa da, Nano X'in üretici yazılımı güncellemesi bu işlevi işletim sisteminde oluşturmaya devam edecektir.
Teknik açıdan, Ledger aslında kullanıcıların ona "%100" güvenmesini gerektirir, çünkü tüm anımsatıcı şifreleme ve iletim süreci kapalıdır ve doğrulanamaz. Şu anda Ledger, kullanıcılara Ledger'in kurtarma hizmetinin kullanıcı verilerini nasıl güvenli bir şekilde şifrelediğini ve gizli gizli çalıştığını göstermedi ve Ledger dışında hiç kimse tüm sürecin güvenliğini doğrulayamıyor.
Ledger Recover, tohum ifadenin cihazdan şifrelenmemiş bir durumda çıkmasına izin vermese de, kullanıcılar, Ledger'ın aslında tohum ifadesini USB/BT üzerinden gönderebilen bir kod sağladığından endişe duyuyor. Bu durumda bilgisayar korsanlarının kötü niyetli saldırılarla soğuk cüzdanları sıcak cüzdanlara çevirerek kullanıcı anımsatıcı kelimeleri elde etme olasılığı vardır. Aynı zamanda, kullanıcılar, Ledger'in bilgisayar korsanlarının şifreli anımsatıcı parçaları bir kişiye bütünüyle göndermesini engelleyip engelleyemeyeceğinden veya anımsatıcı parçaların şifresinin yalnızca kullanıcıların kendileri tarafından çözülüp çözülemeyeceğinden emin olamazlar.
KYC sürecinin getirdiği gizlilik tartışması
Kurtar özelliğinin kendisine ek olarak, bazı kullanıcılar kullanıcı gizliliğiyle ilgili endişelerini dile getirdi. Donanım cüzdanları genellikle kripto para birimlerini anonim olarak depolamanın bir yolu olarak görülür, ancak Ledger Recover'ı kullanmayı seçen kullanıcıların gerekli anımsatıcı kurtarma doğrulaması için kimlik bilgilerini göndermeleri gerekecektir. Deneyim, diğer sorunların yanı sıra veri ihlalleri, bilgisayar korsanlığı ve devlet sansürü hakkında kullanıcı endişelerini artıran, merkezi borsaların KYC sürecine benzer.
4 milyondan fazla kullanıcıya sahip bir şirket olarak, Ledger kullanıcılarının yönettiği varlıklar da oldukça fazladır. Bu nedenle, kullanıcılarının kişisel bilgileri ister doğrudan kimlik avı saldırıları için kullanılsın ister satılsın, bilgisayar korsanları için oldukça değerlidir. 2020 yılında şirketin 272.000 kullanıcı bilgisi çalındı ve ardından birçok kullanıcı çok sayıda kimlik avı aracı tarafından taciz edildi. Kullanıcılar, kişisel bilgileri için başka bir potansiyel çıkış sağlayan Kurtarma özelliğine abone olmak için gereken kimlik doğrulama konusunda yasal olarak endişe duymaktadır.
MPC daha mı güvenli?
Bir dizi şüphe ve eleştiriyle karşılaşan Ledger, 23 Mayıs'ta Recover işlevinin yayınlanmasını erteleyeceğini duyurdu ve kullanıcıların şüphelerini gidermek amacıyla yakın gelecekte Recover protokolü hakkında bir teknik inceleme yayınlayacağını söyledi. . Nihai olayın nasıl sonuçlanacağına bakılmaksızın, bu Ledger güven krizi, kripto para birimi güvenlik cüzdanları, saklama ve güvenlik uygulayıcıları için birçok düşünceyi tetikleyebilir. Daha geniş bir düzeyde, şifreli varlık saklama teknolojisinin ve çözümlerinin nasıl seçileceği, donanım cüzdanlarının mı yoksa yazılım cüzdanlarının mı kullanılacağı, kurumsal katılımcıların dikkatlice düşünmesi gereken konulardır.
Özel anahtarın risklere maruz kalmaması için özel anahtarı parçalayın ve birden çok yedekleme yapın.Ledger Reocver tıpkı yedekleme için anımsatıcıyı üç parçaya böldüğü gibi, bu fikirde de aslında bir sorun yok. Bununla birlikte, Ledger Recover'ın en büyük teknik riski, hatırlatıcı kelimenin başlangıçta donanım cüzdanında bir bilgi parçası olarak saklanması, ancak şimdi şifrelenmesi, bölünmesi ve üç tarafa iletilmesidir. kaçırılıyor. Herhangi bir adımdaki herhangi bir ihmal, doğrudan varlık kaybına yol açabilir.
Belki de birçok kişinin izlenimine göre, saklama cüzdanı kontrolden çıkmış gibi görünüyor ve donanım cüzdanı kendi ellerinde daha güvenilir görünüyor. Aslında, yönetilen cüzdan teknolojisi ilerlemeye ve gelişmeye devam ediyor ve halihazırda çok güvenli ve esnek teknik yollar var, bunlardan biri de MPC (Multi-Party Computing) cüzdanı.
Çok taraflı bilgi işlem (MPC), birden fazla katılımcının ortak bilgi işlem görevlerini merkezi bir taraf olmaması koşuluyla kendi verilerine dayalı olarak tamamlamak için işbirliği yaptığı ve tüm tarafların bilgi işlem sürecindeki etkileşimli veriler aracılığıyla diğer katılımcıları çıkarsayamadığı bir bilgi işlem yöntemini ifade eder. . Bu nedenle MPC, güvenlik ve kullanım kolaylığı açısından doğal avantajlara sahiptir. İlk aşamadan itibaren, cüzdanın özel anahtarı hiçbir zaman ortaya çıkmadı ve özel anahtar parçaları bağımsız olarak birden çok taraf tarafından yerel olarak üretiliyor, bu da tek nokta risklerini temelden ortadan kaldırıyor ve MPC algoritması açık, akran denetiminden geçmiş ve sahada test edilmiş durumda. , açık ve güvenilir.
Kobo MPC
Cobo MPC WaaS'ı (Hizmet Olarak Cüzdan) örnek olarak alırsak, Cobo MPC WaaS, MPC-TSS (Eşik İmza Şeması, eşik imzası) teknolojisine dayalıdır ve Wallet-as- şeklinde dijital varlık koordinasyonu ve blockchain teknolojisi hizmetleri sağlar. a-Hizmet .
MPC-TSS, çok taraflı güvenli hesaplamaya dayalı bir eşik imza teknolojisidir. MPC-TSS teknolojisini kullanarak, birden çok tarafın her biri bir özel anahtar parçasını (MPC Anahtar Paylaşımı) yönetir ve dağıtılmış bilgi işlem aracılığıyla özel anahtarların oluşturulmasını (Oluştur), imzasını (İmzala) ve kurtarılmasını (Kurtarma) tamamlar. Dağıtılmış bilgi işlem sürecinde, herhangi bir tarafın özel anahtar parçaları, işbirlikçi etkileşim nedeniyle sızdırılmayacak ve tam özel anahtar, herhangi bir biçimde hiçbir yerde bulunmayacaktır. MPC-TSS teknolojisi, bireylerin ve kurumların anahtarları daha rahat, güvenli ve iş mantığına uygun olarak kullanabilmesini sağlar.
Cobo, özel anahtarların üç taraflı işbirliği yönetimini benimser ve ⅔ çoklu imza modunu kullanır. Üç taraf işbirliğine dayalı yönetim, üç katılımcının her birinin özel bir anahtar parçasına sahip olduğu anlamına gelir. ⅔ çoklu imza modu, her işlemin, işlemi imzalama işlemini tamamlamak için en az iki katılımcının işbirliğini gerektirdiği anlamına gelir. Bu, Cobo'nun müşteri varlıklarını tek taraflı olarak kötüye kullanmamasını sağlayabilir ve müşterinin özel anahtar parçası çalınsa bile tek başına işlemler için kullanılamaz. Ayrıca müşteriler, parçaları Cobo ve üçüncü taraflar aracılığıyla geri yükleyebilir. Üçüncü tarafın seçimi tamamen müşteri tarafından belirlenmekte ve böylece teknoloji ve süreç aracılığıyla müşterinin varlıklar üzerinde tam kontrolü sağlanmaktadır.
Defter Kurtarma olayı, birçok kullanıcının özel anahtar yönetimi stratejilerini yeniden incelemesine neden oldu. Ledger Recover'a benzer bir çözümü benimseyecek gibi görünen MPC cüzdanı, aslında güvenliğin en alt katmanında önemli bir farklılığa sahip.