El Ledger Recover recién lanzado de Ledger, ¿por qué fue regañado?

Clave de custodia multiparte, ¿es realmente segura?

Escrito por: Leo

El 16 de mayo, el fabricante de billeteras de hardware Ledger lanzó una actualización de su versión que presenta un servicio llamado “Ledger Recover”. Se informa que Ledger Recover es un servicio de recuperación de claves de “suscripción” basado en ID que puede proporcionar copias de seguridad para las palabras mnemotécnicas de recuperación de claves privadas de los usuarios. Actualmente, Ledger Recover es compatible con Ledger Nano X y está disponible en Android e iOS con la última versión de Ledger Live. Los usuarios que pueden suscribirse al servicio ahora deben tener un pasaporte/documento de identidad emitido por la Unión Europea, el Reino Unido, Canadá o los Estados Unidos. En un futuro cercano, el alcance de la suscripción de este usuario cubrirá más países.

Y Ledger también explicó los detalles del servicio, que divide la mnemónica de la billetera (clave) en tres partes (tecnología de fragmentación cifrada) y la distribuye a tres custodios: Ledger, la empresa de custodia de criptomonedas Coincover y la empresa de alojamiento de códigos EscrowTech. Si alguien pierde sus llaves, dos de los tres fragmentos pueden combinarse (controles de identidad pendientes) para recuperar el acceso a los fondos bloqueados. El precio para suscribirse al servicio es de $ 9.99 por mes.

En primer lugar, permítanme popularizar las billeteras de hardware. Generalmente, la clave privada se almacena en un dispositivo de hardware seguro, que está aislado del entorno, como las computadoras de la red. Conciencia de la billetera.

Objeciones del usuario

Después de que se publicó la información sobre el servicio, provocó una gran cantidad de oposición y boicots de los usuarios. BlockBeats resumió algunas de las opiniones de los usuarios contra el servicio:

• Como billetera de hardware, es fundamental que la clave no salga de la billetera, y el nuevo servicio de Ledger obviamente es inaceptable para muchos usuarios que pueden conservar la clave por sí mismos, y después de suscribirse al servicio, debe confiar su clave y identidad personal a otros usuarios Instituciones, una vez que hay un problema con estas instituciones (piratería, robo de información), existe una alta probabilidad de que la información bajo custodia no esté intacta;
• La suscripción a este servicio requiere pasaporte nacional y verificación de identidad. Cualquier cosa protegida por “verificación de identidad” es intrínsecamente insegura. La identidad es demasiado fácil de falsificar y se requiere verificación de identidad para confirmar la solicitud de reconstrucción de clave del usuario. Hoy en día, el fraude y el robo de verificación de identidad son demasiado raros y comunes, por lo que esta no es una forma segura;
• El servicio dividirá la clave en tres partes, lo cual está bien, pero el problema es que el servicio envía las tres partes de la clave de cifrado del usuario a tres entidades, que pueden reconstruir completamente la clave del usuario. En términos de probabilidad matemática, cuantas más organizaciones de terceros se alojen, la probabilidad de problemas aumentará exponencialmente;
• La mayoría de los usuarios de Ledger usan Ledger Live, que usa nodos de Ledger para toda la sincronización de billetera, revelando cada detalle de las actividades de encriptación del usuario, sus activos y detalles de transacciones están expuestos a terceros, además de sus claves y claves después de suscribirse al servicio. La identidad también es alojado por un tercero, entonces, ¿su criptomoneda sigue siendo suya?
• No podemos estar seguros de si Ledger tiene medidas de seguridad integradas para evitar que alguien envíe las tres partes de la clave a una entidad, ni cómo la distribuyen a las tres entidades, por lo que es aún menos claro el proceso de descifrado durante la recuperación. en realidad se hizo;
• En teoría, sé que usó Ledger Recover y obtuvo información de identidad. No es difícil pasar la verificación de identidad con los medios técnicos actuales, y sus activos cifrados también pueden pertenecer a otros;
• Desde un punto de vista macro, se deben considerar las condiciones regulatorias. EscrowTech y Ledger son empresas estadounidenses, y Coincover es una empresa británica. Estas instituciones están bajo la jurisdicción del Reino Unido y los Estados Unidos. Sin embargo, la supervisión del cifrado en los Estados Unidos y Gran Bretaña siempre ha sido un problema Es fácil que el gobierno venga a solicitar las identidades de todos los titulares y luego incautar los fondos a voluntad.

Pensamiento más profundo después de Ledger Recover

Curiosamente, se eliminó una parte del contenido después de que Ledger acababa de publicar sobre el servicio. El contenido significa que “Ledger y nuestros terceros de confianza no tienen acceso a las claves de los usuarios”. Aunque Ledger explicó más tarde que la redacción del artículo era inexacta, esta explicación es algo exagerada.

Imagen fuente Twitter

En combinación con los comentarios de los usuarios, surge una pregunta que invita a la reflexión: ¿el servicio está detrás de la búsqueda de ganancias después de las suscripciones de los usuarios, o algunos reguladores obligan a Ledger a hacerlo? da mucho miedo obtener fácilmente el KYC y los datos del usuario y recuperar los activos del usuario.

Otro punto es que el uso y la recuperación de las tres partes de la clave deben verificarse en el sitio web oficial de Ledger (correo electrónico, información de identidad, Onfido KYC).Esta empresa llamada Onfido maneja el proceso KYC y requiere que los usuarios carguen/verifiquen sus identidades. También se conservan las identificaciones de usuario, la imagen, el video y el sonido de los videos selfie y la imagen general del dispositivo y la actividad actual. Onfido tiene pleno conocimiento de la identidad del usuario y del hecho de que usted es un usuario de Ledger, por lo que cuando tiene una cantidad considerable de criptomonedas, también tiene pleno conocimiento del dispositivo que utiliza para la autenticación. no son No pueden ser imitados.

¿Es realmente seguro?

Otras carteras de hardware en el mercado

Por lo tanto, el servicio de Ledger ha roto por completo el mecanismo tradicional de la billetera de hardware, y ha habido muchas lagunas indirectamente. De hecho, el problema de las billeteras de hardware no es prominente. Anteriormente, el gigante de la billetera de hardware Trezor tuvo unos minutos para descifrar la clave a través de medios físicos. métodos. Entonces, ¿qué otras carteras de hardware están disponibles en el mercado? BlockBeats resolvió algunas billeteras de hardware con buenas críticas hoy de la siguiente manera:

Una llave

OneKey es una billetera de hardware completamente de código abierto. El código fuente de su sistema interno se puede encontrar en GitHub y no hay ningún problema de puerta trasera. Y la experiencia de usar la billetera de hardware OneKey es muy buena, la forma es del mismo tamaño que una tarjeta bancaria, el precio no es particularmente caro y se puede poner fácilmente en la billetera.

Clave

Keystone es una billetera de hardware basada en un código QR para la transmisión de datos, que puede realizar palabras mnemotécnicas y claves privadas que nunca tocan Internet. Para las billeteras de hardware, es fácil ser atacado, pero Keystone ha diseñado un mecanismo de autodestrucción de múltiples capas. Para evitar que el dispositivo sea atacado, es decir, cuando el dispositivo detecta que alguien lo está desarmando, el mecanismo de autodestrucción borrará inmediatamente la información de su clave privada y otra información confidencial, para que el atacante no pueda obtener la información confidencial del usuario. Keystone y MetaMask (versiones extendidas y móviles) y otras carteras de software importantes como Solflare, Sender, Fewcha, etc.

Conclusión

Por supuesto, también hay algunas opiniones positivas. No es obligatorio actualizar el servicio, y los usuarios tienen opciones opcionales, por lo que puede continuar usando su Ledger. También hay opiniones de que el robo de activos cifrados es demasiado común y la probabilidad de perder llaves está muy lejos Más que la probabilidad de robo de llaves, y solo $ 9.99 por mes, ¿por qué no hacerlo? Depende de usted elegir continuar usando o cambiar a otras billeteras de hardware.