Základem ekosystému Web3 je peněženka, aplikace nebo rozšíření prohlížeče, které uživatelům umožňuje ověřit jejich webovou identitu a autorizovat transakce. Ale používání peněženky vždy zahrnovalo strmou křivku učení. Noví uživatelé se musí naučit kopírovat svá počáteční slova a ukládat je na bezpečné místo, vytvořit si silné heslo k zašifrování svého souboru úložiště klíčů, přesně kopírovat adresy při odesílání finančních prostředků a další věci, které se možná nikdy nebudou muset učit při používání aplikace Web2.
Pokud chce nový uživatel zpřístupnit onboarding, jednou z možností je použít poskytovatele úschovné peněženky, jako je například centralizovaná burza. Zkušení uživatelé kryptoměn je však před tím budou téměř vždy varovat z dobrého důvodu. Svět byl svědkem toho, že centralizované burzy jako Mt. Gox, QuadrigaX a FTX zkrachovaly kvůli hackům nebo přímým podvodům, což způsobilo, že někteří zákazníci přišli o všechny své prostředky kvůli používání peněženky.
Kvůli tomuto riziku mnoho uživatelů kryptoměn stále vidí necustodial peněženku zálohovanou sadou počátečních slov jako jediný bezpečný způsob, jak může uživatel chránit svou identitu Web3.
Musí ale uživatelé vždy volit mezi zabezpečením a pohodlím? Nebo existuje způsob, jak zkombinovat zabezpečení nezabezpečené peněženky s pohodlím burzy?
Několik společností Web3 se snaží vytvořit peněženky, které se snadno používají, ale také nevyžadují, aby uživatel vložil veškerou svou důvěru do centralizovaného správce. Společnosti jako Magic, Dfns, Kresus, Web3Auth, Immutable a další věří, že peněženku lze používat stejně snadno jako e-mailový účet a je dostatečně bezpečná, aby byla důvěryhodná, aby chránila identitu uživatele a finanční prostředky. Tyto společnosti používají různé typy nové infrastruktury peněženek, aby se tato myšlenka stala realitou.
Zde je přehled několika řešení používaných vývojáři peněženek:
Kouzlo
Jedním z nových systémů je sada pro vývojáře softwaru Magic (SDK), kterou vyrábí společnost Magic Labs. Jedná se o vývojářskou sadu a infrastrukturu peněženek, která umožňuje vývojářům vytvářet peněženky bez semen pro uživatele.
Namísto uložení soukromého klíče na zařízení uživatele je jeho šifrovaná kopie uložena v modulu Amazon Web Services Hardware Security Module (HSM). Šifrování se provádí pomocí hlavního klíče, který nemůže opustit HSM. Veškeré podepisování se provádí v rámci HSM, což zabraňuje vysílání klíče uživatele na internet.
Kouzelné peněženky nepoužívají hesla. Místo toho, když se uživatelé poprvé zaregistrují do magické peněženky, odešlou svou e-mailovou adresu do Magic relayeru. Převodník poté odešle uživateli prostřednictvím jeho e-mailu token pro jednorázové použití. Tento token bude fungovat pouze v případě, že jej používá zařízení, které požadavek odeslalo, a pouze po omezenou dobu.
Token se používá k ověření s Amazon Web Services, když uživatel klikne na odkaz v e-mailu. Soukromé a veřejné klíče účtu blockchainové peněženky jsou poté vygenerovány na zařízení uživatele a odeslány do HSM. Magic Labs tvrdí, že nemohou vidět vygenerovaný soukromý klíč, protože se nikdy nedostane na jejich servery.
Když uživatelé přestanou používat své peněženky a zavřou své prohlížeče, mohou své peněženky znovu otevřít opakováním procesu. Znovu odešlou svou e-mailovou adresu Magicu a obdrží nový jednorázový token. Tentokrát po ověření znovu získají přístup ke své peněžence.
Společnost Magic Labs vytvořila ukázku, která ukazuje, jak systém funguje. Zdá se, že umožňuje komukoli vytvořit peněženku bez stahování rozšíření prohlížeče nebo kopírování počátečních slov. Umožňuje také uživatelům zavřít své prohlížeče a vrátit se ke svým peněženkám později a znovu se přihlásit ke stejnému účtu Web3.
Demo aktuálně funguje pouze na testovacích sítích jako Goerli, Sepolia a Mumbai.
Peněženky založené na Magic
Několik různých peněženek bylo vydáno nebo je v současné době ve vývoji, které používají Magic. Jedním z pozoruhodných příkladů je peněženka Kresus, mobilní aplikace, která uživatelům umožňuje ukládat a držet bitcoiny (BTC), ether (ETH), Solana (SOL), polygon (MATIC) a tokeny z těchto sítí. Umožňuje také uživatelům posílat krypto pomocí názvů domén .kresus namísto krypto adres.
Kresus byl vydán v Apple App Store 11. května. Tým řekl Cointelegraphu, že verze pro Android přijde později v roce 2023.
Immutable Passport je dalším příkladem. Je to aplikační programovací rozhraní (API), které vytvořil web3 herní vývojář Immutable. Když zúčastněné hry integrují své webové stránky s Passport, umožňuje hráčům vytvářet peněženky přímo prostřednictvím herního webu.
Immutable řekl Cointelegraph, že peněženky Passport se připojují k síti Immutable X, což je protokol Ethereum vrstvy 2, který hráčům umožňuje ukládat všechny své Immutable herní sběratelské předměty na jeden účet, bez ohledu na to, ke které hře se původně zaregistrovali.
Immutable nedávno implementoval Passport jako výchozí přihlašovací metodu pro svůj vývojářský portál a do léta 2023 ho plánují používat pro alespoň jednu přihlašovací stránku hry, uvedl tým.
Bezpečnostní problémy s Magic
Sada Magic SDK obsahuje jednu známou bezpečnostní chybu, kterou vývojáři podnikli ke zmírnění. Protože se při ověřování uživatele spoléhá na e-mailové tokeny, může útočník potenciálně získat přístup k HSM uživatele nabouráním se do jeho e-mailového účtu a poté požádáním o ověření z vlastního zařízení útočníka. Jakmile získají přístup k HSM, mohou autorizovat jakékoli transakce z uživatelského účtu.
Z tohoto důvodu Immutable Passport i Kresus plánují používat dvoufaktorovou autentizaci (2FA) jako další vrstvu zabezpečení pro případ, že dojde ke kompromitaci e-mailového účtu uživatele.
Peněženky založené na Magic nemají hesla, takže je nelze hacknout běžným způsobem krádeže a prolomení hash hesla.
Web3Auth
Další novou infrastrukturou peněženek, kterou vývojáři často používají, je Web3Auth.
Web3Auth je síť pro správu klíčů, která spoléhá na multiparty computing (MPC), aby bylo možné soukromé klíče obnovit. Když si uživatelé zaregistrují účet pomocí Web3Auth, vygenerují si soukromý klíč jako obvykle. Poté je tento klíč rozdělen do tří „sdílení“.
První sdílená položka je uložena na jejich zařízení, druhá je uložena sítí Web3Auth prostřednictvím poskytovatele přihlášení a třetí je záložní sdílená položka, která by měla být uložena na samostatném zařízení nebo offline. Třetí sdílení může být také generováno z bezpečnostních otázek, pokud to uživatel preferuje.
Vzhledem k tomu, jak funguje vícestranný výpočet, může uživatel vygenerovat soukromý klíč a potvrdit transakce pouze se dvěma ze tří sdílení. To znamená, že uživatel může stále obnovit svou peněženku, pokud se jeho zařízení zhroutí nebo ztratí svůj záložní klíč. Poskytovatel přihlášení zároveň nemůže provádět transakce bez svolení uživatele, protože poskytovatel má pouze jeden podíl.
Poskytovatel také nemůže cenzurovat transakce. Pokud poskytovatel odmítne uživateli poskytnout jeho druhou sdílenou položku poté, co se správně autentizoval, může uživatel vygenerovat svůj soukromý klíč pomocí kombinace sdílené položky uložené na jeho zařízení a záložní sdílené položky.
Na Web3Auth je sdílená složka poskytovatele přihlášení dále rozdělena do devíti různých fragmentů a distribuována v síti uzlů úložiště, přičemž k rekonstrukci sdílené složky poskytovatele je potřeba pět fragmentů. To brání poskytovateli přihlášení ukládat své sdílené položky ve vlastní infrastruktuře.
Peněženky Web3Auth
Web3Auth byl integrován do několika maloobchodních peněženek, včetně Binance Wallet a uzavřené beta verze Trust Wallet. Ve verzi rozšíření Binance Wallet mohou uživatelé vytvářet účty peněženky pomocí svých přihlašovacích údajů Google. Podle oficiálního videa z twitterového účtu Web3Auth jsou ve verzi Trust Wallet možnosti poskytovatelů přihlášení Google, Apple, Discord a Telegram.
V obou případech musí uživatel zkopírovat počáteční slova. Účet však lze obnovit, i když se tato slova ztratí, pokud má uživatel stále přístup ke svému zařízení i účtu poskytovatele přihlášení.
Generální ředitel Web3Auth Zhen Yu Yong v rozhovoru pro Cointelegraph tvrdil, že přechod na používání více klíčových sdílení ve Web3 je podobný vývoji 2FA na webech Web2 a uvedl:
„Uživatelská jména a hesla na začátku 21. století nebo na konci 90. let bylo neuvěřitelně snadné ztratit. Tehdy jsme si mysleli, že finanční aplikace nikdy nebudou postaveny na internetu.“
„S uživatelskými jmény a hesly jsme nakonec postoupili k dvoufaktorové autentizaci,“ pokračoval Yong. „Myslím, že je to stejný přechod, který se zde snažíme prosadit [...] Místo abychom používali frázi s jediným faktorem, rozdělujeme to na několik různých faktorů [...] a děláme to tak, že je to celý váš přístup bodů, takže je to všechno stále samovazné.“
Dfns
Dfns, vyslovováno jako „obrana“, je síť pro správu klíčů MPC, která umožňuje institucím, vývojářům a koncovým uživatelům vytvářet peněženky bez hesel a bez semen. Drží soukromý klíč každého blockchainu, protože se mezi uzly šíří několik úlomků v síti Dfns.
Pro autorizaci transakce musí uzly Dfns společně vytvořit podpis pomocí každého fragmentu.
Na rozdíl od Web3Auth, Dfns neuchovává podíl soukromého klíče blockchainu na zařízení uživatele ani jako zálohu. Všechny úlomky jsou uloženy v samotné síti.
Uzly Dfns používají protokol nazvaný „WebAuthn“ k ověření, že uživatel autorizoval transakci. Tento protokol byl vytvořen konsorciem World Wide Web, aby umožnil uživatelům přihlašovat se na webové stránky bez hesla. Na Dfns jsou uzly naprogramovány pouze k podepsání transakce se svým fragmentem, pokud se koncový uživatel autentizoval pomocí tohoto protokolu.
Když se uživatel zaregistruje pro web pomocí WebAuthn, web vytvoří soukromý klíč na zařízení uživatele. Tento soukromý klíč se nepoužívá v žádném blockchainu. Existuje pouze proto, aby umožnil uživateli přihlásit se na web.
Při vytvoření klíče je uživatel vyzván k ochraně klíče pomocí kódu PIN nebo biometrického zámku. Na počítači se systémem Windows lze tento zámek vytvořit prostřednictvím Windows Hello, který je součástí operačního systému, nebo prostřednictvím samostatného zařízení, jako je mobilní telefon nebo Yubikey. Na mobilním zařízení je zámek generován pomocí vestavěného zabezpečení zařízení.
Příklad výzvy k registraci WebAuthn. Zdroj: WebAuthn.io
Na webu, který implementuje registraci WebAuthn, uživatel k registraci nepotřebuje e-mailovou adresu ani heslo. Místo toho zařízení používá k identifikaci uživatele svůj vlastní bezpečnostní systém.
Když vývojový tým peněženky vytvoří peněženku pomocí Dfns, může tuto metodu ověřování předat koncovému uživateli. V tomto případě je peněženka považována za nezabezpečenou, protože poskytovatel peněženky nemá zařízení uživatele, kód PIN ani biometrická data, a proto nemůže autorizovat transakce.
Koncový uživatel může také přidat zařízení do peněženky, pokud první z nich selže.
Vývojáři peněženek mohou vytvářet úschovné peněženky také pomocí Dfns. V tomto případě se musí vývojář peněženky ověřit v síti pomocí WebAuthn. Mohou použít jakoukoli metodu k ověření uživatele u sebe, včetně uživatelských jmen a hesel.
Peněženky, které používají Dfns
Zakladatelka Dfns Clarisse Hagège v rozhovoru pro Cointelegraph uvedla, že mnoho klientů platformy jsou instituce a vývojové týmy na trhu mezi podniky.
Tým však v poslední době začal přitahovat více poskytovatelů peněženek mezi podniky a spotřebiteli. Maloobchodní aplikace pro úspory kryptoměn SavingBlocks používá Dfns a společnost jedná s několika decentralizovanými burzami, aby pomohla vytvořit peněženky i pro jejich zákazníky, řekla.
Hagège tvrdil, že aby došlo k masové adopci kryptoměn, uživatelé by si při provádění transakcí neměli ani uvědomovat, že existuje soukromý klíč blockchainu.
„Zaměřujeme se na stovky tisíc vývojářů, kteří budou vytvářet případy použití zaměřené na hromadné přijetí blockchainu, zaměřené na lidi, kteří nechtějí vědět, že mají soukromý klíč,“ vysvětlila. „Máme síť serverů, která provozuje toto generování klíčů […], a důležité je, že ve skutečnosti nevlastníme soukromý klíč nebo sdílený klíč, ale vlastníme přístup k API.“
Přijmou nové technologie peněženek masy?
Zda tyto nové technologie peněženek povedou k masovému přijetí nebo je dokonce přijmou současní uživatelé, se teprve uvidí. Navzdory své jednoduchosti mohou být stále příliš složité pro uživatele, kteří raději drží své krypto na burze. Na druhou stranu uživatelé, kteří věří v mantru „ne vaše klíče, ne vaše krypto“, mohou být podezřelí z toho, že důvěřují síti MPC nebo hardwarovému bezpečnostnímu modulu ve vlastnictví Amazonu, aby pro ně autorizoval transakce.
Přesto se někteří uživatelé mohou rozhodnout, že výhody MPC nebo magických odkazů jsou příliš dobré na to, aby je přehlédli. Pouze čas ukáže.
Mezitím tyto nové technologie pravděpodobně vyvolají diskusi o tom, jak zajistit, aby si uživatelé udrželi kontrolu nad svými finančními prostředky nebo co skutečně znamená „vlastní péče“.
