Účetní kniha se dostala pod palbu kvůli fiasku služby obnovy počátečních frází

Společnost Ledger se dostala pod ostrou kritiku ze strany své komunity kvůli svému nejnovějšímu nápadu na obnovu počátečních frází, přičemž členové na sociálních sítích vyjádřili svůj nesouhlas.
Ledger se proti kritice odrazil a uvedl, že existuje několik nepřesností.
 Služba obnovení nové počáteční fráze společnosti Ledger
Nová služba pro obnovu počátečních frází společnosti Ledger se nazývá Ledger Recover a nabízí uživatelům další zabezpečení pro případ, že by svou počáteční frázi zaměnili. Služba byla vydána v nejnovější peněžence firmwaru Ledger a je předplatitelskou službou, která uživatelům poskytuje další vrstvu ochrany jejich soukromých klíčů. Ledger Recover používá techniku, která rozděluje počáteční frázi uživatele na tři zašifrované fragmenty, kterým důvěřují tři správci, jmenovitě Ledger, Coinover a třetí entita. Mluvčí Ledgeru to rozvedl a uvedl,
„Každý fragment je stranami uložen na hardwarových bezpečnostních modulech (HSM), což jsou v podstatě supervýkonné účetní knihy. To je to, co používáme pro Ledger Enterprise. Každý fragment je sám o sobě k ničemu a lze jej dešifrovat pouze v účetní knize. Jsou naprosto v bezpečí."
Uživatelé mohou rekonstruovat původní viz frázi, jakmile jsou jednotlivé fragmenty zkombinovány a dešifrovány. Společnost také uvedla, že služba je volitelná a že uživatelé Ledger nemusí službu používat, pokud si to nepřejí.
"Nemusíte to používat a můžete pokračovat ve správě své obnovovací fráze sami, pokud jste si koupili knihu."
 Takže kde je problém?
Zatímco se zdá, že Ledger je z nové aktualizace nadšený, reakce komunity byla zcela opačná. Je tomu tak proto, že pro použití služby musí uživatelé poskytnout národní průkaz totožnosti nebo cestovní pas, aby mohli službu používat, a počáteční frázi uživatele by museli důvěřovat „externím správcům“. Několik prominentních členů kryptokomunity a majitelů peněženek Ledger se obrátilo na sociální média, aby kritizovali Ledger za to, co někteří uživatelé nazývali „katastrofa čekající na to, až se stane“. Jeden uživatel Reddit vysvětlil,
"Je to katastrofa, která čeká, až se stane." Vlastně nemůžu uvěřit tomu, co čtu; to se zdá být naprosto šílené, když vás poskytovatel hardwarové peněženky povzbuzuje, abyste si zálohovali svou počáteční frázi online A dali jim svůj pas/ID – zvláště ten, který již dříve utrpěl únik dat!“
Ledger utrpěl v roce 2020 vážný únik dat, který odhalil telefonní čísla a fyzické adresy více než 300 000 zákazníků. Narušení také zahrnovalo e-mailové adresy více než milionu uživatelů. Jiní, jako investor Chris Dunn a kryptoinvestor DCinvestor, také odkazovali na nechvalně známý únik dat a zároveň kritizovali Ledgerovu novou službu pro obnovu seed Phrase Recovery Service. Dunn uvedl,
„Nejprve odhalili poštovní adresy, telefonní čísla a e-mailové adresy svých zákazníků... A teď dali zadní vrátka do počátečních frází. Je čas rozloučit se s @Ledger.”
DCinvestor se také nedržel zpátky a uvedl,
„Připomeňme, že před několika lety společnost Ledger prozradila jména a adresy domů všech svých zákazníků prostřednictvím úniku dat. [T]Absolutně poslední věc, kterou chcete na jejich serverech, je váš soukromý klíč.“
Šéf informační bezpečnosti Polygonu Mudit Gupta to označil za hrozný nápad a naléhal na Ledgera, aby se zdržel povolení nové funkce. Ve vláknu Twitteru Gupta vysvětlil, že zašifrované klíče budou zaslány třem společnostem, které by mohly rekonstruovat soukromé klíče, což vedlo k velkým bezpečnostním problémům. Generální ředitel Binance Changpeng Zhao odpověděl Guptovi a dodal:
"Takže semeno teď může opustit zařízení?" Zní to jako jiný směr než „vaše klíče nikdy neopouštějí zařízení“.
Vedoucí technik v ImmuneFi, Adrian Hetman, označil novou funkci za špatnou bezpečnostní pozici a uvedl,
„Odhalení vaší počáteční fráze a následné umožnění komukoli s vaším průkazem totožnosti nebo pasem znovu získat přístup k uzamčeným prostředkům je špatný bezpečnostní postoj. Krádež ID je běžná a to by vystavilo uživatele kryptoměn nové formě útoku.“
 Ledger tlačí zpět proti kritice
Společnost Ledger se odrazila od přívalu kritiky proti své nové službě a uvedla, že v kritice, které čelila, bylo „spousta nepřesností“ a že neexistovala žádná zadní vrátka nebo bezpečnostní zranitelnost. V reakci na Hetmana Ledger uvedl, že vládní ID je pouze jednou součástí kompletního procesu a nepředstavuje bezpečnostní riziko.
„Máme také plnou detekci živosti, kde používáte kameru, a poskytuje vám náhodné výzvy, které nelze zfalšovat ani předem nahrát. To je přezkoumáno technologií a také lidmi, aby byla zajištěna shoda před zahájením procesu obnovy. Takže někdo, kdo ukradne vaše ID, nebude schopen obnovit váš SRP [Secret Recovery Phrase].“
Ledger nazval novou službu vysoce bezpečnou službou, kterou jeho tým Donjon testoval. Tým Donjon již dříve zjistil porušení v řadě peněženek, včetně TrustWallet.
„Pokud chcete více klidu nebo považujete správu frází pro obnovení za překážku, máte nyní k dispozici vysoce bezpečnou službu, testovanou naším týmem Donjon, která odhalila narušení TrustWallet a mnoha dalších peněženek, jak softwarových, tak hardwarových.“
Společnost také dodala, že nová služba je volitelná a že pokud si ji uživatel nepřeje používat, může se rozhodnout ji nepovolit. Dodal, že ti, kteří chtějí službu používat, by museli zahájit schvalovací proces, který využívá zabezpečené zobrazení jejich peněženky Ledger.
Upozornění: Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.