Francúzska Spoločnosť Ledger stojaca za rovnomennými hardvérovými peňaženkami pre bezpečnú úschovu kryptomien len pred pár dňami predstavila novú službu Ledger Recover, ktorá umožňuje používateľom v prípade záujmu extrahovať privátny kľúč na obnovenie peňaženky na tri fragmenty pomocou Shamir Secret Sharing, ktoré sa následne uložia online u 3 rôznych nezávislých subjektov.
Ledger túto novú funkciu obhajuje tým, že užívateľ, ktorý neverí sám sebe, že dokáže privátny kľúč zabezpečiť dostatočným spôsobom, si ho môže takto bezpečne zálohovať u troch strán, pričom ani jedna z nich, nakoľko vlastní len časť seedu, nemôže tieto údaje sama o sebe zneužiť.
Kryptomenová komunita však s týmto riešením do značnej miery nesúhlasí, pretože upozorňuje, že tým pádom sa z hardvérovej, teda studenej peňaženky, de facto stáva peňaženka horúca. Seed totiž opúšťa hardvérové zariadenie a smeruje “von do internetu”.
Kde je hlavný problém?
Pravdou je, že toto riešenie je dobrovoľné, čo znamená, že zákazník, čiže vlastník hardvérovej peňaženky Ledger, si nemusí svoj privátny kľúč (seed) týmto spôsobom extrahovať a teda funkciu, ak o ňu nemá záujem, môže ignorovať.
Ebook: TOP 5 AI kryptomien
Dostupné na stiahnutie
Väčším problémom je však “tweet“ jedného zo zamestnancov Ledgeru, ktorý naznačuje, že firma Ledger mohla, respektíve stále môže, kedykoľvek napísať firmware, ktorý by mohol extrahovať súkromné kľúče (seedy) zákazníkov.
,,Technický povedané je vždy možné napísať firmware, ktorý uľahčí extrakciu kľúčov. Vždy ste dôverovali Ledgeru, že takýto firmware nenasadí, či ste to vedeli, alebo nie,” uvádzalo sa v originálom tweete zamestnanca tejto firmy, ktorý bol neskôr odstránený.
Situáciu sa snaží zachrániť technologický riaditeľ Ledger Charles Guillmet, ktorý na Twitteri uviedol, že peňaženka Ledger si vždy vyžaduje súhlas od používateľa, keď sa operačný systém dotkne súkromného kľúča. Inými slovami by nemal byť operačný systém schopný skopírovať súkromný kľúč zariadenia bez súhlasu vlastníka peňaženky.
Guillmet tiež potvrdil, že systém je súčasťou operačného systému, ktorý by sa mohol zmeniť, ak by sa Ledger stal „nečestným účastníkom trhu“, alebo ak by útočník/hacker získal nejakým spôsobom kontrolu nad počítačmi ich firmy.
„Ak chce peňaženka implementovať zadné dvierka, existuje veľa spôsobov, ako to urobiť, v generovaní náhodných čísel, v kryptografickej knižnici, v samotnom hardvéri. Je dokonca možné vytvárať podpisy, takže súkromný kľúč je možné získať iba monitorovaním blockchainu,“ vysvetlil.
Guillmet však dodal, že takéto obavy sú zbytočné. ,,Používanie peňaženky si vyžaduje minimálnu dôveru. Ak je vaša hypotéza, že útočníkom bude váš poskytovateľ peňaženky, ste odsúdení na zánik,” dodal.
Zdroj: cointelegraph.com
