Tętniący CTO David Schwartz podzielił się swoją opinią na temat kontrowersyjnej usługi Ledger Recover. Dostawca portfela sprzętowego Ledger wywołał poruszenie w społeczności kryptograficznej po tym, jak szczegóły jego nowo wprowadzonej usługi Ledger Recover pojawiły się w Internecie.
Zgodnie z ostatnią aktualizacją firmy na Twitterze, nowy Ledger Recover szyfruje wersję klucza prywatnego użytkownika i dzieli go na trzy fragmenty (za pomocą Shamir Secret Sharing); wszystko to dzieje się na chipie Secure Element.
Oto wyjaśnienie tego, co wszyscy (do niedawna) rozumieliśmy jako model bezpieczeństwa i propozycję wartości Ledgera.https://t.co/zxNAU0caJA
— David „JoelKatz” Schwartz (@JoelKatz) 17 maja 2023 r.
W związku z nowym produktem pojawiły się obawy dotyczące bezpieczeństwa, ponieważ wiele osób uważa, że hakerzy mogą wykorzystać tę usługę do „odzyskania” początkowych fraz użytkowników.
Obawy nie są bezpodstawne, ponieważ Ledger doświadczył wycieku danych w 2020 r., w wyniku którego upubliczniono około 300,000 XNUMX numerów telefonów klientów, adresów fizycznych i ponad milion adresów e-mail.
Schwartz odniósł się do tweeta z 15 listopada 2022 r., w którym Ledger poinformował, że klucze prywatne nigdy nie opuszczają chipa Secure Element, który nigdy nie został zhakowany.
Ledger w tweecie wspomniał również, że Bezpieczny element jest certyfikowany przez stronę trzecią, będąc tą samą technologią, która jest używana w paszportach i kartach kredytowych oraz że aktualizacja oprogramowania układowego nie może wyodrębnić kluczy prywatnych z Bezpiecznego elementu.
CTO Ripple wspomniał, że do niedawna tak rozumiano model bezpieczeństwa i propozycję wartości Ledgera.
Ripple CTO i współzałożyciel Solany komentują
W innym wątku tweetów, w których CTO Ripple i współzałożyciel firmy Solana, Anatolij Jakowenko, odpowiedzieli na obawy użytkowników dotyczące nowego produktu Ledgera, Schwartz podtrzymał swoje stanowisko: powiedział."
Skomentował pod tweetem współzałożyciela Solany: „Jeśli wcześniej ufałeś im, że nie wykradną twoich kluczy, możesz teraz im zaufać, że nie zrobią tego, gdy ta funkcja jest wyłączona. Myślę, że powierzchnia ataku jest mniej więcej taka sama.
Na Twitterze użytkownik wyraził swoje zastrzeżenia do produktu, stwierdzając, że naprawdę bezpieczny portfel sprzętowy nie powinien być w stanie wysyłać użytkownikom prywatnych kluczy. „Wadą urządzenia jest możliwość wysłania klucza prywatnego” – stwierdził.
Zgodnie z informacjami dostarczonymi przez dostawcę portfela sprzętowego, Ledger Recover to opcjonalna subskrypcja dla użytkowników, którzy chcą mieć kopię zapasową swojej tajnej frazy odzyskiwania, która nie jest automatycznie włączana przez żadne aktualizacje oprogramowania układowego.
Źródło: https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details