Тэхнічны дырэктар Ripple Дэвід Шварц падзяліўся сваім меркаваннем аб супярэчлівай службе Ledger Recover. Пастаўшчык апаратнага кашалька Ledger выклікаў ажыятаж у крыптасупольнасці пасля таго, як падрабязнасці яго нядаўна прадстаўленай службы Ledger Recover з'явіліся ў Інтэрнэце.
Згодна з апошнім абнаўленнем Twitter кампаніі, новы Ledger Recover шыфруе версію прыватнага ключа карыстальніка і разбівае яго на тры фрагменты (з выкарыстаннем Shamir Secret Sharing); усё гэта адбываецца на чыпе Secure Element.
Вось тлумачэнне таго, што мы ўсе разумелі (да нядаўняга часу) як мадэль бяспекі і каштоўнасць Ledger.https://t.co/zxNAU0caJA
- Дэвід "JoelKatz" Шварц (@JoelKatz) Можа 17, 2023
Новы прадукт выклікае занепакоенасць бяспекай, паколькі многія людзі мяркуюць, што хакеры могуць выкарыстаць сэрвіс для «аднаўлення» пачатковых фраз карыстальнікаў.
Занепакоенасць не беспадстаўная, таму што ў 2020 годзе ў Ledger адбылася ўцечка даных, у выніку якой стала агульнадаступнай прыблізна 300,000 XNUMX тэлефонных нумароў кліентаў, фізічных адрасоў і больш за мільён адрасоў электроннай пошты.
Шварц спаслаўся на твіт ад 15 лістапада 2022 г., у якім Лэджэр паведаміў, што закрытыя ключы ніколі не пакідаюць чып Secure Element, які ніколі не быў узламаны.
У твітэры Лэджэр таксама адзначыў, што Secure Element сертыфікаваны трэцім бокам, гэта тая ж тэхналогія, якая выкарыстоўваецца ў пашпартах і крэдытных картах, і што абнаўленне прашыўкі не можа атрымаць закрытыя ключы з Secure Element.
Тэхнічны дырэктар Ripple адзначыў, што гэта было тое, што да нядаўняга часу разумелі пра мадэль бяспекі і каштоўнасць Ledger.
Каментар тэхнічнага дырэктара Ripple і сузаснавальніка Solana
У іншай ланцужку твітаў, у якіх тэхнічны дырэктар Ripple і сузаснавальнік Solana Анатоль Якавенка адказаў на заклапочанасць карыстальнікаў з нагоды новага прадукту Ledger, Шварц захаваў сваю пазіцыю: «Я давяраў ім распрацаваць прыладу, не здольную выкрасці ключы, таму што яны гэта відавочна сказаў.»
Ён пракаментаваў пад твітам сузаснавальніка Solana: «Калі вы давяралі ім раней, што яны не выкрадуць вашыя ключы, то цяпер вы можаце давяраць ім, што яны не зробяць гэтага, калі гэтая функцыя выключана. Я думаю, што паверхня атакі прыкладна такая ж».
У Twitter карыстальнік выказаў свае агаворкі адносна прадукту, заявіўшы, што сапраўды бяспечны апаратны кашалёк не павінен мець магчымасць адпраўляць прыватныя ключы карыстальнікаў. «Недахопам прылады з'яўляецца магчымасць адпраўкі прыватнага ключа», - сказаў ён.
Згодна з інфармацыяй, прадстаўленай пастаўшчыком апаратнага кашалька, Ledger Recover - гэта дадатковая падпіска для карыстальнікаў, якія жадаюць атрымаць рэзервовую копію сваёй сакрэтнай фразы аднаўлення, якая не ўключаецца аўтаматычна пры абнаўленнях прашыўкі.
Крыніца: https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details