Ledger: Новая прошивка криптокошельков не скомпрометирует сид-фразы пользователей
В Ledger заявили, что подписка на сервисLedger Recovery добровольна, а компания лишена любых возможностей удаленного управления и обновления устройств. Последнее обновление аппаратного криптокошелька Ledger Nano X позволяет пользователям подписаться на инструмент восстановления Ledger Recovery, который дает возможность восстановить исходную фразу после прохождения проверки личности. «Обновление не является обязательным» Представители компании Ledger уверяют, что сервис Ledger Recovery разбивает исходную фразу на три зашифрованные части, используя Shamir Secret Sharing, и рассылает эти части на хранение трем сторонним компаниям. Объединение частей и их расшифровка возможнытолько после того, как пользователь подтвердит на устройстве Ledger свою личность. «Сторонние компании не имеют доступа к вашей исходной фразе, она не хранится в облаке, а сами резервные копии шифруются, фрагментируются и расшифровываются только непосредственно в вашем Ledger», – уверяют представители компании. Генеральный директор Ledger Паскаль Готье (Pascal Gauthier) написал в Твиттере, что слухи о создании компанией бэкдора для злоумышленников необоснованны. Обновление не является обязательным, заверил гендиректор, и клиентам никто не запрещает оставаться на предыдущих версиях прошивки, самостоятельно обеспечивая хранение данных. «Мы не контролируем устройства Ledger и не способны запускать автоматические обновления. Только вы можете использовать функции устройства, и никто другой не может ввести ваш пин-код», – написал Паскаль Готье. Клиенты Ledger оказались такнапуганыновостью об обновлении прошивки, что стали активно критиковать в социальных сетях компанию и открывающийся простор для злоупотреблений. Самые экзальтированные участники криптосообществапризваливладельцев Ledger Nano отказаться от услуг компании и вообще от использования аппаратных криптокошельков, поскольку нововведение Ledger может открыть дверь для потенциальной кражи личных данных. «Ключи могут попасть в небезопасную среду» Воспринимать наверу успокаивающие слова отпредставителей Ledger не стоит, уверен основатель Bits.media Иван Тихонов: «Надо дождаться технического описания процесса для полного понимания, нопока вижу триспособа, которыми может быть передан seed, ивсе они мне ненравятся. Изустройства Ledger после обновления прошивки. Тоесть предыдущие заверения отом, что ключ хранится всекьюр элементе, иникак неможет его покинуть— миф. Пользователь сам введет фразу вкошелек Ledger Life, там она будет разбита начасти ивзашифрованном виде отправлена. Новтаком случае сид-фраза будет введена накомпьютере, тоесть внебезопасной среде, что лишает всякого смысла использование внешнего аппаратного кошелька. Пользователь сам введет фразу насайте Ledger Recover, что еще хуже: фраза целиком уйдет онлайн через интернет для последующего разбиения, шифрования иневажно, чего там насамом деле еще. Потому что seed уже ушел онлайн. Основная идея аппаратного кошелька подразумевает, что ключи никогда непопадут внебезопасную среду, что транзакции уходят наподпись ваппаратный кошелек ивозвращаются накомпьютер проверенными иподписанными, аключи никогда непокидают аппаратный кошелек. Поэтому аппаратные кошельки часто используют как холодные кошельки для длительного хранения больших сумм. Если ключ может покинуть аппаратный кошелек, доверять такому кошельку нельзя, онбудет ничем нелучше обычной программы накомпьютере.Так что для компании, производящей аппаратные кошельки, первый вариант самый плохой. Вмоем понимании, компания Ledger убьет весь смысл своего продукта вугоду удобства неквалифицированных пользователей или регуляторных требований. Второй итретий варианты хотябы подразумевают, что аппаратным кошельком Ledger можно продолжать пользоваться, если неприменять сервис Ledger Recover». В апреле американский деловой журнал Fortune сформировал рейтинг Crypto 40, куда вошли компании, «оказывающие наиболее значимое влияние на криптоиндустрию». Лидером в категории провайдеров аппаратных кошельков был назван Ledger. Источник
Трудоустройство Сегодня: Поможем найти вам работу!
Ledger: Новая прошивка криптокошельков не скомпрометирует сид-фразы пользователей
В Ledger заявили, что подписка на сервисLedger Recovery добровольна, а компания лишена любых возможностей удаленного управления и обновления устройств.
Последнее обновление аппаратного криптокошелька Ledger Nano X позволяет пользователям подписаться на инструмент восстановления Ledger Recovery, который дает возможность восстановить исходную фразу после прохождения проверки личности.
«Обновление не является обязательным»
Представители компании Ledger уверяют, что сервис Ledger Recovery разбивает исходную фразу на три зашифрованные части, используя
Shamir Secret Sharing, и рассылает эти части на хранение трем сторонним компаниям. Объединение частей и их расшифровка возможнытолько после того, как пользователь подтвердит на устройстве Ledger свою личность.
«Сторонние компании не имеют доступа к вашей исходной фразе, она не хранится в облаке, а сами резервные копии шифруются, фрагментируются и расшифровываются только непосредственно в вашем Ledger», – уверяют представители компании.
Генеральный директор Ledger Паскаль Готье (Pascal Gauthier) написал в Твиттере, что слухи о создании компанией бэкдора для злоумышленников необоснованны. Обновление не является обязательным, заверил гендиректор, и клиентам никто не запрещает оставаться на предыдущих версиях прошивки, самостоятельно обеспечивая хранение данных.
«Мы не контролируем устройства Ledger и не способны запускать автоматические обновления. Только вы можете использовать функции устройства, и никто другой не может ввести ваш пин-код», – написал Паскаль Готье.
Клиенты Ledger оказались такнапуганыновостью об обновлении прошивки, что стали активно критиковать в социальных сетях компанию и открывающийся простор для злоупотреблений. Самые экзальтированные участники криптосообществапризваливладельцев Ledger Nano отказаться от услуг компании и вообще от использования аппаратных криптокошельков, поскольку нововведение Ledger может открыть дверь для потенциальной кражи личных данных.
«Ключи могут попасть в небезопасную среду»
Воспринимать наверу успокаивающие слова отпредставителей Ledger не стоит, уверен основатель Bits.media Иван Тихонов:
«Надо дождаться технического описания процесса для полного понимания, нопока вижу триспособа, которыми может быть передан seed, ивсе они мне ненравятся.
Изустройства Ledger после обновления прошивки. Тоесть предыдущие заверения отом, что ключ хранится всекьюр элементе, иникак неможет его покинуть— миф.
Пользователь сам введет фразу вкошелек Ledger Life, там она будет разбита начасти ивзашифрованном виде отправлена. Новтаком случае сид-фраза будет введена накомпьютере, тоесть внебезопасной среде, что лишает всякого смысла использование внешнего аппаратного кошелька.
Пользователь сам введет фразу насайте Ledger Recover, что еще хуже: фраза целиком уйдет онлайн через интернет для последующего разбиения, шифрования иневажно, чего там насамом деле еще. Потому что seed уже ушел онлайн.
Основная идея аппаратного кошелька подразумевает, что ключи никогда непопадут внебезопасную среду, что транзакции уходят наподпись ваппаратный кошелек ивозвращаются накомпьютер проверенными иподписанными, аключи никогда непокидают аппаратный кошелек. Поэтому аппаратные кошельки часто используют как холодные кошельки для длительного хранения больших сумм. Если ключ может покинуть аппаратный кошелек, доверять такому кошельку нельзя, онбудет ничем нелучше обычной программы накомпьютере.Так что для компании, производящей аппаратные кошельки, первый вариант самый плохой. Вмоем понимании, компания Ledger убьет весь смысл своего продукта вугоду удобства неквалифицированных пользователей или регуляторных требований. Второй итретий варианты хотябы подразумевают, что аппаратным кошельком Ledger можно продолжать пользоваться, если неприменять сервис Ledger Recover».
В апреле американский деловой журнал Fortune сформировал
рейтинг Crypto 40, куда вошли компании, «оказывающие наиболее значимое влияние на криптоиндустрию». Лидером в категории провайдеров аппаратных кошельков был назван Ledger.
Источник