Charles Guillemet, CTO firmy Ledger, podzielił się swoimi ekspertyzami podczas wywiadu podczas BTC Prague na temat ewoluującego krajobrazu bezpieczeństwa w świecie blockchain i kryptowalut. Guillemet, którego wiedza z zakresu kryptografii i bezpieczeństwa sprzętowego definiuje jego podejście w Ledgerze, podkreślił różnice między bezpieczeństwem tradycyjnych metod bankowych a technologiami blockchain.
W świecie tradycyjnych finansów, banki i państwa są opiekunami kluczy bezpieczeństwa; w przeciwieństwie do tego, technologia blockchain umożliwia osobom zarządzanie swoimi własnymi kluczami. Ta zmiana niesie ze sobą własny zestaw wyzwań, ponieważ staje się ważne, aby użytkownicy chronili swoje cyfrowe aktywa przed nieautoryzowanym dostępem i możliwą utratą. Guillemet podkreślił konieczność specjalistycznych urządzeń, które zabezpieczają przed zagrożeniami zarówno oprogramowania, jak i fizycznymi.
Natura niemożliwa do zmiany blockchianu nasila te obawy związane z bezpieczeństwem, z Ledgerem odpowiedzialnym za zabezpieczanie około 20 procent całej kapitalizacji rynkowej, czyli około 500 miliardów dolarów. Guillemet wyraził pewność w skuteczność ich metod, które udowodniły swoją skuteczność i pozwalają mu spać spokojnie pomimo olbrzymości stawki.
Na temat naruszeń bezpieczeństwa, Guillemet wspomniał o spotkaniu Ledgera z atakiem łańcucha dostaw za pomocą exploita ConnectKit. Wyjaśnił, jak skompromitowane konto dewelopera prowadziło do wstrzyknięcia złośliwego kodu i pochwalił szybką reakcję Ledgera, która zneutralizowała zagrożenie w ciągu pięciu godzin. Pomimo naruszenia, projekt bezpieczeństwa urządzeń Legdera, który wymaga ręcznego podpisywania transakcji przez użytkowników, pomógł ograniczyć szkody.
Szerszy problem dostaw łańcuchowego bezpieczeństwa oprogramowania również został poruszony, z Guillemet wskazując na wyzwania związane z całkowitym przeciwdziałaniem takim zaawansowanym atakom, odnosząc się do incydentu dotykającego dystrybucję UNIX LG. Wskazał, że portfele sprzętowe są bardziej bezpieczne, ponieważ mają mniej podatności i są otwarte na szerokie audyty.
Guillemet poruszył również element ludzki w kwestiach bezpieczeństwa, zauważając, jak atakujący zmieniają strategie z prostszych prób phishingu na bardziej złożone taktyki, gdy użytkownicy stają się bardziej świadomi zagrożeń. Ostrzegł, że atakujący teraz namawiają użytkowników do podpisywania złożonych transakcji, które opróżniają ich portfele, i przewidział przyszłe ryzyko, zwłaszcza dla portfeli programowych na telefonach podatnych na podatności zero-day.
Mając na uwadze podatność urządzeń mobilnych i stacjonarnych, Guillemet zalecał unikanie przechowywania krytycznych danych, takich jak frazy seed czy pliki portfeli, na tych urządzeniach. Podkreślił trudności w łączeniu bezpieczeństwa z przyjaznością dla użytkownika w portfelach kryptowalutowych. Uznając dyskusję na temat funkcji odzyskiwania Ledgera, zaprojektowanej dla pomoc dla początkujących w zarządzaniu frazami odzyskiwania, Guillemet potwierdził jej opcjonalny charakter, potwierdzając zaangażowanie Ledgera w oferowanie bezpiecznych, a zarazem elastycznych opcji, aby sprostać różnorodnej grupie użytkowników bez narażania bezpieczeństwa.
Bezpieczeństwo blockchainowych aktywów i zarządzanie kluczami kryptograficznymi są na pierwszym miejscu w zabezpieczaniu aktywów cyfrowych. Wraz z przesunięciem z tradycyjnych finansów na zdecentralizowane systemy blockchain, jednostki są teraz odpowiedzialne za własne bezpieczeństwo. Temat podkreśla znaczenie kluczy kontrolowanych przez użytkownika i związane z tym wyzwania.
Podstawowe Wyzwania Lub Kontrowersje Związane z Samodzielnie Zarządzanymi Kluczami:
– Odpowiedzialność Użytkownika: Obowiązek spoczywa na jednostce, by zabezpieczyć swoje klucze prywatne, co wymaga dogłębnego zrozumienia najlepszych praktyk z zakresu bezpieczeństwa.
– Użyteczność kontra Bezpieczeństwo: Tworzenie bezpiecznych systemów, które są przyjazne dla użytkownika, stanowi znaczne wyzwanie; zbyt skomplikowane systemy mogą prowadzić do błędów użytkownika.
– Phishing i Inżynieria Społeczna: Użytkownicy, posiadający kontrolę nad swoimi kluczami, są celem zaawansowanych ataków, które próbują wprowadzić ich w błąd, aby ujawnili wrażliwe informacje.
– Opcje odzyskiwania: Rozwiązania, jak funkcja odzyskiwania Legdera, mogą wywołać dyskusje w związku z poszukiwaniem równowagi między bezpieczeństwem a łatwością odzyskiwania dla mniej doświadczonych użytkowników.
Zalety Samodzielnie Zarządzanych Kluczy:
– Pełna Kontrola: Użytkownicy mają ostateczną kontrolę nad swoimi aktywami, bez polegania na pośrednikach zewnętrznych.
– Zredukowane Ryzyko Kontrahenta: Bez centralnej władzy, nie ma jednego punktu awarii, który mógłby zagrozić aktywom użytkownika.
– Prywatność: Samodzielnie zarządzane klucze mogą zapewnić zwiększoną prywatność, ponieważ transakcje nie muszą koniecznie przechodzić przez regulowane instytucje finansowe.
Wady Samodzielnie Zarządzanych Kluczy:
– Złożone Wymagania Bezpieczeństwa: Użytkownicy muszą zagwarantować bezpieczne tworzenie, przechowywanie i tworzenie kopii zapasowych swoich kluczy prywatnych.
– Bezzwrotna Utrata: Jeśli klucze zostaną utracone lub skradzione, może być niemożliwe odzyskanie związanych aktywów.
– Wymagana Wiedza Techniczna: Stroma krzywa uczenia się w zakresie bezpiecznego zarządzania kluczami prywatnymi może stanowić przeszkodę wejścia dla nowych użytkowników.
Ponieważ bezpieczeństwo opartych na blockchain aktywów jest najważniejsze, zarówno jednostki, jak i firmy muszą być czujne na potencjalne podatności i wektory ataku. Inicjatywy edukacyjne i rozwijanie przyjaznych użytkownikowi rozwiązań bezpieczeństwa będą kluczem, aby zapewnić, że szerokie przyjęcie blockchain nie idzie w parze z kompromitowanym bezpieczeństwem.
Dla tych, którzy chcą dowiedzieć się więcej na temat ochrony aktywów cyfrowych lub podejścia Ledgera do bezpieczeństwa, odwiedzenie oficjalnej strony internetowej może dostarczyć dodatkowych informacji: Ledger.