технічний директор Ripple Девід Шварц поділився своїм поглядом на суперечливу службу Ledger Recover. Постачальник апаратних гаманців Ledger викликав ажіотаж у криптоспільноті після того, як деталі його нещодавно представленої послуги Ledger Recover з’явилися в мережі.
Відповідно до останнього оновлення Twitter компанії, новий Ledger Recover шифрує версію закритого ключа користувача та розділяє його на три фрагменти (за допомогою Shamir Secret Sharing); все це відбувається на чіпі Secure Element.
Ось пояснення того, що ми всі розуміли (донедавна) як модель безпеки та ціннісну пропозицію Ledger.https://t.co/zxNAU0caJA
— Девід «JoelKatz» Шварц (@JoelKatz) Травень 17, 2023
Новий продукт викликає занепокоєння щодо безпеки, оскільки багато людей вважають, що хакери можуть використати службу для «відновлення» вихідних фраз користувачів.
Занепокоєння не безпідставні, оскільки в 2020 році в Ledger стався витік даних, у результаті якого було оприлюднено приблизно 300,000 XNUMX номерів телефонів клієнтів, фізичних адрес і понад мільйон адрес електронної пошти.
Шварц посилався на твіт від 15 листопада 2022 року, в якому Леджер повідомив, що приватні ключі ніколи не залишають чіп Secure Element, який ніколи не був зламаний.
У твіті Леджер також згадав, що Secure Element сертифікований третьою стороною, це та сама технологія, яка використовується в паспортах і кредитних картках, і що оновлення мікропрограми не може витягти закриті ключі з Secure Element.
Технічний директор Ripple зазначив, що це те, що донедавна розуміли про модель безпеки та ціннісну пропозицію Ledger.
Коментар технічного директора Ripple і співзасновника Solana
В іншій темі твітів, де технічний директор Ripple і співзасновник Solana Анатолій Яковенко відповів на занепокоєння користувачів щодо нового продукту Ledger, Шварц залишив свою позицію: «Я довіряв їм розробити пристрій, який не здатний викрадати ключі, тому що вони явно це зробили. сказав».
Під твітом співзасновника Solana він прокоментував: «Якщо ви довіряли їм раніше, що вони не викрадуть ваші ключі, тепер ви можете довіряти їм, що вони не зроблять цього, коли цю функцію вимкнено. Я думаю, що поверхня атаки приблизно однакова».
У Twitter користувач висловив свої застереження щодо продукту, заявивши, що справді захищений апаратний гаманець не повинен мати можливість надсилати особисті ключі користувачів. «Недоліком пристрою є його здатність надсилати закритий ключ», — заявив він.
Згідно з деталями, наданими постачальником апаратного гаманця, Ledger Recover є додатковою підпискою для користувачів, яким потрібна резервна копія секретної фрази відновлення, яка не вмикається автоматично будь-якими оновленнями прошивки.
Джерело: https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details