Auto-custodia este importantă în criptografie, iar securitatea este esențială pentru auto-custodia. Ledger, un producător remarcabil de portofel hardware, și-a construit reputația pe stocarea în siguranță a cheilor private ale utilizatorilor. Portofelele hardware creează un mediu offline securizat pentru a stoca cheile și a le utiliza pentru a executa tranzacții.
Cheile private ale utilizatorului sunt generate și stocate în interiorul dispozitivului și nu ar trebui să-l părăsească niciodată. Această „depozitare la rece” oferă un nivel de securitate de neegalat în comparație cu „portofele fierbinți” sau portofelele online. Problema este că mulți oameni își pierd cheile.
Ledger a lansat săptămâna aceasta un produs de rezervă a frazei de bază numit Ledger Recover. Dacă oferiți companiei ID-ul și informațiile personale, puteți plăti pentru un serviciu care preia fraza de bază în dispozitivul dvs., o criptează în trei „bucăți” și apoi le partajează cu diverși custozi.
Introducerea unei terțe părți centralizează în mod inerent controlul, creând un singur punct de eșec care ar putea fi exploatat de hackeri sau supus acțiunilor de reglementare.
Legate de: Aruncă-ți salopeta plictisitoare la gunoi
Nu invidiez efortul lor de a crește ca afacere pentru a ajunge la utilizatori non-OG, non-cypherpunk-ethos. Milioane de norme, cum ar fi socrii noștri sceptici baby boomer, vor intra în criptomonede doar prin acest tip de abordare de rezervă. E posibil ca greșeala lor să fi fost încercarea de a folosi același produs pentru a atrage atât OG-urile de auto-custodie cripto, cât și normele mai largi ale viitorilor clienți.
Lansarea de către Ledger a produsului său de asistență a fost întâmpinată cu câteva reacții puternice în rândul comunității de clienți. Mulți au fost surprinși să afle că Ledger a avut întotdeauna capacitatea de a-și atinge cheia secretă cu upgrade-urile sale hardware. Mulți dintre noi considerăm dispozitivele noastre hardware ca fiind sacrosante. În mod clar, nu știam suficient despre acest dispozitiv în care am încredere pentru a-mi proteja activele cripto.
Ieri m-a speriat dezvăluirea că @Ledger ai putea scuipa cheia privată cu o actualizare de firmware.
Totuși, mi-am dat seama că cei mai deștepți oameni nu înnebunesc. Mi-a scapat ceva?
Mi-am petrecut noaptea educându-mă și acum sunt în tabăra „nvm is ok”.
Haseeb>|< (@hosseeb) 17 mai 2023
Haseeb Qureshi a spus că, deși a reacționat negativ la început, și-a dat seama că acesta a fost întotdeauna cazul cu Ledger. Am avut întotdeauna încredere că nu veți introduce malware în actualizările de firmware pentru a ne fura frazele de bază. Nu greșește, dar nu aș spune că este un gând reconfortant.
În cele din urmă, nimic rău nu se poate întâmpla cu dispozitivul tău hardware decât dacă semnezi o tranzacție. Tu păstrezi puterea. Nu știu despre tine, dar nu sunt programator; Nu pot distinge o actualizare rău intenționată de una legitimă, așa că am încredere în Ledger și în asta. Și nu prea am de ales Nu pentru a aproba cea mai recentă actualizare de firmware care include recuperabilitatea Ledger, deoarece Ledger avertizează că neactualizarea firmware-ului reprezintă un risc de securitate.
Cu toate acestea, fac o treabă proastă de a oferi încredere în stiva de software. Un design mai bun ar încorpora funcționalități precum transparența certificatului sau transparența cheii, astfel încât nu ar trebui să sperați că nu vi se va trimite în mod inexplicabil un firmware cu erori.
— Andrew Miller (@socrates1024) 17 mai 2023
Am încredere în Ledger, este o companie grozavă. A fost piciorul din stiva tehnologică pentru auto-custodia cripto, cel puțin în propria mea călătorie cripto.
Dar scopul unui instrument criptografic de auto-recunoaștere ar trebui să fie acela de a minimiza cerințele de încredere. Și asta ar putea fi îmbunătățit în Ledger prin sursa deschisă a mai multor software și hardware. CTO al Ledger a fost întrebat despre acest lucru pe 17 mai. nicio bancă podcast și a răspuns că Ledger a semnat acorduri de confidențialitate care îl împiedică să facă acest lucru și a susținut că oricum este puțin probabil ca oamenii să efectueze audituri de securitate prin crowdsource.
Pun pariu că cercetătorii de securitate precum Andrew Miller, care a descoperit vulnerabilități în Rețeaua Secretă, s-ar ocupa de această sarcină.
1/ Ledger „Recuperare”, un fir
Aseară, Ledger a scurs din greșeală informații despre noul lor serviciu de abonament de recuperare, iar astăzi a dezvăluit detaliile.
Să analizăm „soluția” propusă pentru custodia criptomonedei și cât de periculoasă este aceasta. pic.twitter.com/8GnCKv7hTH
— Seth pentru confidențialitate (@sethforprivacy) 16 mai 2023
În timp ce comunicările lui Ledger cu privire la lansare au fost un dezastru, comunicările lui de criză au fost iluminatoare. Cu siguranță mi-am dat seama că nu am înțeles suficient cum funcționează portofelele hardware. Dar „Ne pare rău, nu putem deschide nimic din cauza NDA-urilor” este un răspuns insuficient pentru cei din comunitate care au îngrijorări că Ledger Recover ar putea fi folosit de un actor rău intenționat pentru a păcăli utilizatorii cu o actualizare falsă și pentru a le fura fraza de acces. .
Ledger mi-ar putea oferi și opțiunea de a continua actualizarea firmware-ului fără a adăuga codul de recuperare Ledger pe dispozitiv. Dar, în absența firmware-ului open source, nu va face prea mult bine, deoarece nu vom avea cum să le verificăm afirmațiile.
Aceasta ar putea fi o victorie de branding, dacă Ledger se îndreaptă spre implementarea unei dimensiuni de branding „cypherpunk” în hardware-ul și software-ul său, care să liniștească comunitatea cripto OG, astfel încât aceștia ar putea fi dispuși să renunțe la aceasta și să permită proprietarilor existenți de hardware să opteze pentru ea. Hardware-ul achiziționat anterior, astfel încât actualizările noi să fie marcate cypherpunk și aprobate, cât mai deschise posibil, cu audituri de securitate prin sursă publică – pachetul complet. Toate ar fi iertate.
Deocamdată, nu pare că Ledger plănuiește să facă asta. Deci, opțiunile sunt de a folosi portofele hardware open source, dar acestea nu au interoperabilitatea largă a Ledger cu blockchain-urile emergente. Sau vă puteți crea propriul dvs. portofel sau pur și simplu utilizați noul portofel hardware renovat Gameboy open source.
Deocamdată, și pentru multe monede, cea mai sigură opțiune este probabil să ai încredere în Ledger, rămânând în același timp deschis față de dezvoltatorii de portofel hardware open source concurenți.
J.W. Verret este profesor asociat la Universitatea George Mason, Facultatea de Drept Antonin Scalia. El este un expert contabil cripto-legal și, de asemenea, practică dreptul de valori mobiliare la Lawrence Law LLC. Este membru al Consiliului Consultativ al Consiliului pentru Standarde Financiare de Contabilitate și fost membru al Comitetului Consultativ pentru Investitori SEC. De asemenea, conduce Crypto Freedom Lab, un think tank care luptă pentru schimbarea politicii pentru a păstra libertatea și confidențialitatea dezvoltatorilor și utilizatorilor cripto.
Acest articol are scop informativ general și nu este destinat și nu ar trebui să fie luat drept sfaturi juridice sau de investiții. Părerile, gândurile și opiniile exprimate aici aparțin exclusiv autorului și nu reflectă sau reprezintă neapărat punctele de vedere și opiniile Cointelegraph.
Source link
