Ripple CTO Дэвид Шварц поделился своим мнением о скандальном сервисе Ledger Recover. Поставщик аппаратных кошельков Ledger вызвал ажиотаж в криптосообществе после того, как в сети появились подробности его недавно представленного сервиса Ledger Recover.
Согласно последнему обновлению компании в Твиттере, новый Ledger Recover шифрует версию закрытого ключа пользователя и разбивает его на три фрагмента (используя Shamir Secret Sharing); все это происходит на чипе Secure Element.
Вот объяснение того, что мы все понимали (до недавнего времени) как модель безопасности и ценностное предложение Ledger. https://t.co/zxNAU0caJA.
— Дэвид «JoelKatz» Шварц (@JoelKatz) 17 мая 2023
В отношении нового продукта были высказаны опасения по поводу безопасности, поскольку многие люди считают, что хакеры могут использовать сервис для «восстановления» начальных фраз пользователей.
Опасения небезосновательны, поскольку в 2020 году в Ledger произошла утечка данных, в результате которой стало известно около 300,000 XNUMX телефонных номеров клиентов, физических адресов и более миллиона адресов электронной почты.
Шварц сослался на твит от 15 ноября 2022 года, в котором Леджер сообщил, что закрытые ключи никогда не покидают чип Secure Element, который никогда не был взломан.
Леджер в твите также упомянул, что Secure Element сертифицирован третьей стороной, поскольку это та же технология, которая используется в паспортах и кредитных картах, и что обновление прошивки не может извлечь закрытые ключи из Secure Element.
Технический директор Ripple упомянул, что до недавнего времени именно так понимали модель безопасности и ценностное предложение Ledger.
Комментарий технического директора Ripple и соучредителя Solana
В другой ветке твитов, где технический директор Ripple и соучредитель Solana Анатолий Яковенко ответил на беспокойство пользователя по поводу нового продукта Ledger, Шварц сохранил свою позицию: «Я доверил им разработку устройства, не способного извлекать ключи, потому что это то, что они явно сказал."
Он прокомментировал твит соучредителя Solana: «Если вы раньше доверяли им, что они не будут эксфильтровать ваши ключи, теперь вы можете доверять им, что они не сделают этого, когда эта функция отключена. Я думаю, что поверхность атаки примерно такая же».
В Твиттере пользователь выразил сомнения по поводу продукта, заявив, что действительно безопасный аппаратный кошелек не должен отправлять закрытые ключи пользователей. «Недостаток устройства — его способность отправлять закрытый ключ», — заявил он.
Согласно информации, предоставленной поставщиком аппаратного кошелька, Ledger Recover — это дополнительная подписка для пользователей, которым нужна резервная копия их секретной фразы восстановления, которая не активируется автоматически какими-либо обновлениями прошивки.
Источник: https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details