Недавно запущенный Ledger Recover от Ledger, почему его ругали?

Многопартийный ключ условного депонирования, действительно ли это безопасно?

Автор: Лео

16 мая производитель аппаратных кошельков Ledger выпустил обновление своей версии, в котором представлена услуга под названием «Восстановление Ledger». Сообщается, что Ledger Recover — это служба восстановления «подписки» на основе идентификатора, которая может предоставлять резервные копии мнемонических слов восстановления закрытого ключа пользователей. В настоящее время Ledger Recover совместим с Ledger Nano X и доступен на Android и iOS с последней версией Ledger Live. Пользователи, которые могут подписаться на услугу, теперь должны иметь паспорт/удостоверение личности, выданное Европейским союзом, Великобританией, Канадой или США. В ближайшем будущем объем подписки этого пользователя будет охватывать больше стран.

А Ledger также объяснил специфику сервиса, который делит мнемоник (ключ) кошелька на три части (зашифрованная технология шардинга) и распределяет его между тремя хранителями: Ledger, компанией по хранению криптовалюты Coincover и код-хостинговой компанией EscrowTech. Если кто-то потеряет свои ключи, два из трех осколков могут объединиться — в ожидании проверки личности — для восстановления доступа к заблокированным средствам. Стоимость подписки на услугу составляет $9,99 в месяц.

Прежде всего, позвольте мне популяризировать аппаратные кошельки.Как правило, закрытый ключ хранится на защищенном аппаратном устройстве, которое изолировано от окружающей среды, такой как сетевые компьютеры.Знание кошелька.

Возражения пользователей

После того, как информация об услуге была обнародована, она вызвала протесты и бойкоты большого количества пользователей.BlockBeats резюмировал некоторые мнения пользователей о сервисе:

• В качестве аппаратного кошелька принципиально, чтобы ключ не покидал кошелек, а новый сервис Ledger явно неприемлем для многих пользователей, которые могут хранить ключ самостоятельно, а после подписки на сервис нужно доверить свой ключ и личная идентичность для других пользователей Учреждения, как только возникает проблема с этими учреждениями (взлом, кража информации), существует высокая вероятность того, что информация, находящаяся под стражей, не будет неповрежденной;
• Для подписки на эту услугу требуется проверка национального паспорта и удостоверения личности. Все, что защищено «проверкой личности», по своей сути небезопасно. Идентификацию слишком легко подделать, и для подтверждения запроса на восстановление ключа пользователя требуется проверка личности. В настоящее время мошенничество и кража с проверкой личности слишком редки и распространены, так что это не безопасный способ;
• Служба разделит ключ на три части, и это нормально, но проблема в том, что служба отправляет три части ключа шифрования пользователя трем объектам, которые могут полностью восстановить ключ пользователя. С точки зрения математической вероятности, чем больше размещено сторонних организаций, тем экспоненциально возрастает вероятность возникновения проблем;
• Большинство пользователей Ledger используют Ledger Live, который использует узлы Ledger для синхронизации всех кошельков, раскрывая каждую деталь действий пользователя по шифрованию, ваши активы и детали транзакций доступны третьим лицам, а также ваши ключи и ключи после подписки на услугу. размещается третьей стороной, так что ваша криптовалюта по-прежнему принадлежит вам?
• Мы не можем быть уверены, есть ли в Ledger встроенные средства защиты, чтобы предотвратить отправку кем-либо всех трех частей ключа одному объекту, а также то, как они распространяют его всем трем объектам, поэтому еще менее ясен процесс дешифрования во время восстановления, как это действительно было сделано;
• Теоретически я знаю, что вы воспользовались Ledger Recover и получили идентификационную информацию.Пройти верификацию личности современными техническими средствами несложно, и ваши зашифрованные активы также могут принадлежать другим;
• С макро точки зрения необходимо учитывать нормативные условия. EscrowTech и Ledger — американские компании, а Coincover — британская компания. Эти учреждения находятся под юрисдикцией Соединенного Королевства и Соединенных Штатов. Однако надзор за шифрованием в Соединенных Штатах и Великобритании всегда была проблема.Правительству легко прийти и запросить личность всех держателей, а затем конфисковать средства по своему усмотрению.

Более глубокое мышление после восстановления Ledger

Интересно, что одна часть контента была удалена после того, как Леджер только что написал об услуге. Содержание означает, что «Ledger и наши доверенные третьи стороны не имеют доступа к ключам пользователей». Хотя позже Леджер объяснил, что формулировка статьи была неточной, это объяснение несколько надуманное.

Источник изображения: Твиттер

В сочетании с отзывами пользователей возникает наводящий на размышления вопрос: стоит ли сервис за погоней за прибылью после подписки пользователей или какие-то регуляторы вынуждают Ledger делать это?Если это функция, запущенная по запросу регуляторов, то они легко могут очень страшно легко получить пользовательский KYC и данные и восстановить пользовательские активы.

Другой момент заключается в том, что использование и восстановление трех частей ключа должны быть проверены на официальном сайте Ledger (электронная почта, идентификационная информация, Onfido KYC), Эта компания под названием Onfido обрабатывает процесс KYC и требует, чтобы пользователи загружали / подтверждали свою личность. , Идентификаторы пользователей, изображение/видео/звук из селфи-видео, а также общее изображение устройства и текущей активности также сохраняются. Onfido полностью знает личность пользователя и тот факт, что вы являетесь пользователем Ledger, поэтому, когда у вас есть значительное количество криптовалюты, они также имеют полную информацию об устройстве, которое вы используете для аутентификации.Как упоминалось выше, звук/изображение/видео эти Не могут быть имитированы.

А это точно безопасно?

Другие аппаратные кошельки на рынке

Таким образом, сервис Ledger полностью сломал традиционный механизм аппаратного кошелька, и было много лазеек косвенно.На самом деле, проблема аппаратных кошельков не бросается в глаза.Ранее у гиганта аппаратного кошелька Trezor было несколько минут, чтобы взломать ключ через физический методы. Итак, какие еще аппаратные кошельки доступны на рынке? Сегодня BlockBeats отсортировал аппаратные кошельки с хорошими отзывами следующим образом:

Один ключ

OneKey — это аппаратный кошелек с полностью открытым исходным кодом, исходный код его внутренней системы можно найти на GitHub, и проблем с бэкдором нет. И опыт использования аппаратного кошелька OneKey очень хороший, форма как у банковской карты, цена не особо дорогая, легко помещается в кошелек.

Keystone

Keystone — это аппаратный кошелек, основанный на QR-коде для передачи данных, который может реализовать мнемонические слова, а закрытые ключи никогда не выходят в Интернет.В отношении аппаратных кошельков легко атаковать, но Keystone разработала многоуровневый механизм самоуничтожения. Чтобы предотвратить атаку на устройство, то есть когда устройство обнаруживает, что кто-то его разбирает, механизм самоуничтожения немедленно удалит информацию о вашем секретном ключе и другую конфиденциальную информацию, поэтому злоумышленник не сможет получить конфиденциальную информацию пользователя. Keystone и MetaMask (расширенная и мобильная версии) и другие популярные программные кошельки, такие как Solflare, Sender, Fewcha и т. д.

Заключение

Конечно, есть и положительные мнения.Сервис не является обязательным для обновления, и у пользователей есть дополнительные опции, поэтому вы можете продолжать использовать свой Ledger.Есть также мнения о том, что кража зашифрованных активов слишком распространена, и вероятность потеря ключей далеко.Более вероятность кражи ключей,и всего 9,99$ в месяц,почему бы и не сделать. Вам решать продолжать использовать или переключиться на другие аппаратные кошельки.