Недавно запущенный Ledger Recover от Ledger, почему его ругали?

Многопартийный ключ условного депонирования, действительно ли это безопасно?

Автор: Лео

16 мая производитель аппаратных кошельков Ledger выпустил обновление своей версии, в котором представлена услуга под названием «Восстановление Ledger». Сообщается, что Ledger Recover — это служба восстановления «подписки» на основе идентификатора, которая может предоставлять резервные копии мнемонических слов восстановления закрытого ключа пользователей. В настоящее время Ledger Recover совместим с Ledger Nano X и доступен на Android и iOS с последней версией Ledger Live. Пользователи, которые могут подписаться на услугу, теперь должны иметь паспорт/удостоверение личности, выданное Европейским союзом, Великобританией, Канадой или США. В ближайшем будущем объем подписки этого пользователя будет охватывать больше стран.

А Ledger также объяснил специфику сервиса, который делит мнемоник (ключ) кошелька на три части (зашифрованная технология шардинга) и распределяет его между тремя хранителями: Ledger, компанией по хранению криптовалюты Coincover и код-хостинговой компанией EscrowTech. Если кто-то потеряет свои ключи, два из трех осколков могут объединиться — в ожидании проверки личности — для восстановления доступа к заблокированным средствам. Стоимость подписки на услугу составляет $9,99 в месяц.

Прежде всего, позвольте мне популяризировать аппаратные кошельки.Как правило, закрытый ключ хранится на защищенном аппаратном устройстве, которое изолировано от окружающей среды, такой как сетевые компьютеры.Знание кошелька.

###Возражения пользователей

После того, как информация об услуге была обнародована, она вызвала протесты и бойкоты большого количества пользователей.BlockBeats резюмировал некоторые мнения пользователей о сервисе:

• В качестве аппаратного кошелька принципиально, чтобы ключ не покидал кошелек, а новый сервис Ledger явно неприемлем для многих пользователей, которые могут хранить ключ самостоятельно, а после подписки на сервис нужно доверить свой ключ и личная идентичность для других пользователей Учреждения, как только возникает проблема с этими учреждениями (взлом, кража информации), существует высокая вероятность того, что информация, находящаяся под стражей, не будет неповрежденной;
• Для подписки на эту услугу требуется проверка национального паспорта и удостоверения личности. Все, что защищено «проверкой личности», по своей сути небезопасно. Идентификацию слишком легко подделать, и для подтверждения запроса на восстановление ключа пользователя требуется проверка личности. В настоящее время мошенничество и кража с проверкой личности слишком редки и распространены, так что это не безопасный способ;
• Служба разделит ключ на три части, и это нормально, но проблема в том, что служба отправляет три части ключа шифрования пользователя трем объектам, которые могут полностью восстановить ключ пользователя. С точки зрения математической вероятности, чем больше размещено сторонних организаций, тем экспоненциально возрастает вероятность возникновения проблем;
• Большинство пользователей Ledger используют Ledger Live, который использует узлы Ledger для синхронизации всех кошельков, раскрывая каждую деталь действий пользователя по шифрованию, ваши активы и детали транзакций доступны третьим лицам, а также ваши ключи и ключи после подписки на услугу. размещается третьей стороной, так что ваша криптовалюта по-прежнему принадлежит вам?
• Мы не можем быть уверены, есть ли в Ledger встроенные средства защиты, чтобы предотвратить отправку кем-либо всех трех частей ключа одному объекту, а также то, как они распространяют его всем трем объектам, поэтому еще менее ясен процесс дешифрования во время восстановления, как это действительно было сделано;
• Теоретически я знаю, что вы воспользовались Ledger Recover и получили идентификационную информацию.Пройти верификацию личности современными техническими средствами несложно, и ваши зашифрованные активы также могут принадлежать другим;
• С макро точки зрения необходимо учитывать нормативные условия. EscrowTech и Ledger — американские компании, а Coincover — британская компания. Эти учреждения находятся под юрисдикцией Соединенного Королевства и Соединенных Штатов. Однако надзор за шифрованием в Соединенных Штатах и Великобритании всегда была проблема.Правительству легко прийти и запросить личность всех держателей, а затем конфисковать средства по своему усмотрению.

###Более глубокое мышление после восстановления Ledger

Интересно, что одна часть контента была удалена после того, как Леджер только что написал об услуге. Содержание означает, что «Ledger и наши доверенные третьи стороны не имеют доступа к ключам пользователей». Хотя позже Леджер объяснил, что формулировка статьи была неточной, это объяснение несколько надуманное.

Источник изображения: Твиттер

В сочетании с отзывами пользователей возникает наводящий на размышления вопрос: стоит ли сервис за погоней за прибылью после подписки пользователей или какие-то регуляторы вынуждают Ledger делать это?Если это функция, запущенная по запросу регуляторов, то они легко могут очень страшно легко получить пользовательский KYC и данные и восстановить пользовательские активы.

Другой момент заключается в том, что использование и восстановление трех частей ключа должны быть проверены на официальном сайте Ledger (электронная почта, идентификационная информация, Onfido KYC), Эта компания под названием Onfido обрабатывает процесс KYC и требует, чтобы пользователи загружали / подтверждали свою личность. , Идентификаторы пользователей, изображение/видео/звук из селфи-видео, а также общее изображение устройства и текущей активности также сохраняются. Onfido полностью знает личность пользователя и тот факт, что вы являетесь пользователем Ledger, поэтому, когда у вас есть значительное количество криптовалюты, они также имеют полную информацию об устройстве, которое вы используете для аутентификации.Как упоминалось выше, звук/изображение/видео эти Не могут быть имитированы.

А это точно безопасно?

###Другие аппаратные кошельки на рынке

Таким образом, сервис Ledger полностью сломал традиционный механизм аппаратного кошелька, и было много лазеек косвенно.На самом деле, проблема аппаратных кошельков не бросается в глаза.Ранее у гиганта аппаратного кошелька Trezor было несколько минут, чтобы взломать ключ через физический методы. Итак, какие еще аппаратные кошельки доступны на рынке? Сегодня BlockBeats отсортировал аппаратные кошельки с хорошими отзывами следующим образом:

####Один ключ

OneKey — это аппаратный кошелек с полностью открытым исходным кодом, исходный код его внутренней системы можно найти на GitHub, и проблем с бэкдором нет. И опыт использования аппаратного кошелька OneKey очень хороший, форма как у банковской карты, цена не особо дорогая, легко помещается в кошелек.

####Keystone

Keystone — это аппаратный кошелек, основанный на QR-коде для передачи данных, который может реализовать мнемонические слова, а закрытые ключи никогда не выходят в Интернет.В отношении аппаратных кошельков легко атаковать, но Keystone разработала многоуровневый механизм самоуничтожения. Чтобы предотвратить атаку на устройство, то есть когда устройство обнаруживает, что кто-то его разбирает, механизм самоуничтожения немедленно удалит информацию о вашем секретном ключе и другую конфиденциальную информацию, поэтому злоумышленник не сможет получить конфиденциальную информацию пользователя. Keystone и MetaMask (расширенная и мобильная версии) и другие популярные программные кошельки, такие как Solflare, Sender, Fewcha и т. д.

###Заключение

Конечно, есть и положительные мнения.Сервис не является обязательным для обновления, и у пользователей есть дополнительные опции, поэтому вы можете продолжать использовать свой Ledger.Есть также мнения о том, что кража зашифрованных активов слишком распространена, и вероятность потеря ключей далеко.Более вероятность кражи ключей,и всего 9,99$ в месяц,почему бы и не сделать. Вам решать продолжать использовать или переключиться на другие аппаратные кошельки.