forklog.com
Новый продукт Ledger под названием Recover является преднамеренным «компромиссом», который позволяет извлекать зашифрованные приватные ключи из аппаратных кошельков. Об этом заявил CTO производителя Шарль Гиллеме.
По словам топ-менеджера, Ledger Recover ориентирован на людей, которые хотят большей безопасности, чем та, которую обеспечивают онлайн-биржа или горячий кошелек. Эта категория пользователей все еще слишком неопытна, чтобы у нее возникло желание владеть аппаратным кошельком, пароль от которого никогда не может быть восстановлен в случае утраты, добавил он.
«Когда вы не разбираетесь в технике, эта штука может быть пугающей. Нам нужно найти способ для привлечения новичков, чтобы обеспечить массовое принятие [технологии]», — пояснил Гиллеме
16 мая 2023 года компания представила инструмент, позволяющий создать резервную копию seed-фразы для возобновления доступа к устройству Nano X.
Решение о согласии на Ledger Recover пользователь принимает самостоятельно. Инструмент разбивает Secret Recovery Phrase на три фрагмента, которые в зашифрованном виде хранят три различные стороны.
При необходимости владелец кошелька получает доступ к резервной копии фразы для восстановления закрытого ключа через подтверждение персональных данных. Инициативу раскритиковали сообщество и эксперты.
Компания постаралась объяснить, что устройство остается безопасным, несмотря на появление новой функциональности.
«Некоторые пользователи немного удивились, осознав это. ПО, работающее внутри защищенного элемента, — то, что можно изменить, то, что имеет доступ к паролю», — признал CTO компании.
Гиллеме напомнил, что Ledger Recover не является обязательной. Продукт не служит заменой традиционному предложению компании.
Специалист подчеркнул, что покидает кошелек не оригинальная seed-фраза, а ее зашифрованные фрагменты.
«Это на шаг приближает к некастодиальному хранению и суверенитету. Когда вы используете эту функцию, вы идете на небольшой компромисс, говоря: „Я не полностью независим, я не единственный, кто может управлять своей резервной копией”. Но компромисс приемлем, потому что […] у вас должно быть по крайней мере два из трех фрагментов, чтобы иметь возможность объединить пароль», — объяснил CTO Ledger.
По словам Гиллеме, криптографический элемент работает только внутри защищенного модуля кошелька. Для восстановления seed-фразы никогда не потребуется выходить из устройства, если пользователи не хотят активировать Ledger Recover.
«Эта часть действительно важна, и она никогда не менялась», — заверил он.
В день выхода подкаста служба поддержки компании указала, что ПО «всегда разрешало извлечение ключей». Впоследствии твит удалили.
Подобное высказывание привело к резкой реакции пользователей. Для ее смягчения представители компании выпустили уточнение, указав, что предыдущее сообщение было «вырвано из контекста».
Part 1 of this two-part Tweet is getting taken out of context.
— Ledger Support (@Ledger_Support) May 17, 2023
To elaborate, code can be written to make it do whatever you want it to.
But with Ledger firmware, there are layers of protection and governance in place to ensure that no attacker (even internal) has the ability…
«При использовании встроенного ПО Ledger существуют уровни защиты и управления, гарантирующие, что ни один злоумышленник (даже внутренний) не сможет встроить малварь», — заверили в компании.
Напомним, в марте 2023 года Ledger объявил о расширении раунда финансирования Серии C на фоне роста продаж после коллапса FTX. Предположительно, оценка производителя аппаратных кошельков составит €1,3 млрд.