لجر توضیح می‌دهد که پس از بحث توییت‌های پاک‌شده، سیستم‌افزار چگونه کار می‌کند


توسعه دهندگان می گویند که برنامه های شخص ثالث نمی توانند بدون رضایت صاحب دستگاه به کلیدهای کاربران لجر دسترسی داشته باشند.

در 18 مه، ارائه‌دهنده کیف پول سخت‌افزاری کریپتو، لجر، پس از حذف یک توییت بحث‌برانگیز توسط این شرکت در 17 می، نحوه عملکرد سیستم‌افزار را توضیح داد. توییت حذف شده، که لجر گفته است توسط یک نماینده پشتیبانی مشتری نوشته شده است، اظهار داشت که این امکان وجود دارد که لجر سفت‌افزاری بنویسد که بتواند کلیدهای خصوصی کاربران را استخراج کند.

چارلز گیله، مدیر ارشد فناوری لجر روشن شد در یک تاپیک جدید توییتر که در آن سیستم عامل کیف پول (OS) به رضایت کاربر نیاز دارد “زمانی که یک کلید خصوصی توسط سیستم عامل ضربه می خورد”. به عبارت دیگر، سیستم عامل نباید قادر به کپی کردن کلید خصوصی دستگاه بدون رضایت کاربر باشد – اما Guillemet همچنین گفت که استفاده از Notebook به «حداقل اعتماد» نیاز دارد.

توییت اصلی از خدمات مشتریان لجر چنین بود: “از لحاظ فنی، نوشتن سفت‌افزاری که استخراج کلید را تسهیل می‌کند، ممکن است و همیشه امکان‌پذیر است. شما همیشه به لجر اعتماد کرده‌اید که چنین سیستم‌افزاری را توزیع نکند، چه می‌دانید یا ندانید.”

توییت 17 می از Ledger Support که بعداً حذف شد. منبع: توییتر

این توییت طوفانی از جنجال را در توییتر به راه انداخت، زیرا بسیاری از کاربران این شرکت را به ارائه نادرست امنیت کیف پول خود متهم کردند. منتقدان در ماه نوامبر یک پست لجر را به اشتراک گذاشتند که ادعا می‌کرد: «به‌روزرسانی میان‌افزار نمی‌تواند کلیدهای خصوصی را از عنصر امن استخراج کند»، به این معنی که این شرکت با خود مخالف است.

اگرچه توییت حذف شده به بحث دامن زد، اما این موضوع برای اولین بار در 16 مه هنگامی که شرکت سرویس جدید “Ledger Recovery” را معرفی کرد که به کاربران اجازه می دهد عبارات بازیابی مخفی خود را با تقسیم آنها به سه قسمت و ارسال آنها به فروشگاه های داده مختلف پشتیبان تهیه کنند، شعله ور شد. . خدمات. توییت حذف شده در واکنش به انتشار ویژگی جدید منتشر شد.

در تاپیک جدید Guillemet در توییتر آمده است که سیستم عامل یا سیستم عامل کیف پول یک “پلتفرم باز” است به این معنا که “هر کسی می تواند برنامه خود را بنویسد و آن را روی دستگاه نصب کند.” قبل از اینکه برنامه‌ها در نرم‌افزار Ledger Manager مجاز شوند، توسط تیم ارزیابی می‌شوند تا مطمئن شوند که مخرب نیستند و آسیب‌پذیری امنیتی ندارند.

به گفته لجر، حتی پس از تایید یک برنامه، سیستم عامل به آن اجازه نمی دهد از کلید خصوصی برای شبکه ای استفاده کند که برای آن ساخته نشده است. این شرکت مثالی را بیان کرد که در آن برنامه های بیت کوین مجاز به استفاده از کلیدهای خصوصی اتریوم دستگاه نیستند و برعکس برای برنامه های اتریوم و کلیدهای بیت کوین. علاوه بر این، هر زمان که یک کلید خصوصی توسط یک برنامه کاربردی استفاده می شود، لجر می گوید سیستم عامل از کاربران می خواهد که رضایت خود را برای استفاده از کلید تأیید کنند. به نظر می رسد این بدان معناست که برنامه های شخص ثالث نصب شده در Ledger نباید قادر به استفاده از کلید خصوصی شخص بدون اجازه استفاده از آن به کاربر باشد.

Guillemet همچنین تأیید کرد که این سیستم بخشی از سیستم عامل فعلی است و اگر لجر نادرست باشد یا اگر یک مهاجم به نحوی کنترل رایانه‌های شرکت را در دست بگیرد، می‌تواند از نظر تئوری جایگزین شود:

“اگر کیف پول بخواهد یک Backdoor پیاده سازی کند، راه های زیادی برای انجام آن وجود دارد؛ تولید اعداد تصادفی، در کتابخانه رمزنگاری، در خود سخت افزار. حتی می توان امضاهایی تولید کرد تا کلید خصوصی را فقط با تماشای آن بازیابی کرد. بلاک چین.”

مرتبط با: بازار «معتمد» کیف‌پول‌های سخت‌افزاری جعلی Trezor را می‌فروشد که رمزارزها را سرقت می‌کنند

با این حال، مدیر ارشد فناوری Ledger گفت: “استفاده از کیف پول به حداقل اعتماد نیاز دارد. اگر این فرض را دارید که مهاجم ارائه دهنده کیف شما است، کار شما تمام شده است.” او ادامه داد که تنها راه برای محافظت کاربران در برابر توسعه‌دهنده کیف پول ناصادق، ساختن رایانه‌ها، کامپایلرها، پشته‌های کیف پول، گره‌ها و نقشه‌برداران خود است و مدیر اجرایی می‌گوید این یک «سفر یک عمر» است.

رقیب ارائه دهنده کیف پول سخت افزاری GridPlus برای جذب کاربران لجر پیشنهاد داده است که سیستم عامل خود را منبع باز کند. از سوی دیگر، Guillemet خاطرنشان کرد که سیستم عامل منبع باز در برابر ارائه‌دهنده کیف پول نادرست محافظت نمی‌کند، زیرا کاربر هیچ راهی نخواهد داشت که بداند آیا کد صادر شده واقعاً روی دستگاه اجرا می‌شود یا خیر.

مجله: جو لوبین: حقیقت در مورد تقسیم بنیانگذاران ETH و “کریپتو گوگل”




نویسنده: Tom Blackstone

اشتراک گذاری و حمایت

تصویر امیر کرمی

امیر کرمی

کارشناس تولید محتوا و علاقه مند به ارز دیجیتال و دنیای فناوری 😉

دیدگاهتان را بنویسید