Charles Guillemet, CTO firmy Ledger, podzielił się swoim ekspertem podczas wywiadu w BTC Praga na temat ewoluującego krajobrazu bezpieczeństwa w świecie blockchain i kryptowalut. Guillemet, którego ekspertyza w zakresie kryptografii i bezpieczeństwa sprzętowego definiuje jego podejście w Ledger, podkreślił różnice między bezpieczeństwem tradycyjnych metod bankowych a technologiami blockchain.
W świecie tradycyjnych finansów, banki i państwa są opiekunami kluczy bezpieczeństwa; w zupełnym przeciwieństwie, technologia blockchain umożliwia jednostkom zarządzanie swoimi własnymi. Ten przełom generuje swoje własne wyzwania, ponieważ staje się konieczne dla użytkowników ochronienie swoich cyfrowych aktywów przed dostępem osób niepożądanych i potencjalną utratą. Guillemet podkreślił konieczność specjalistycznych urządzeń, które zabezpieczają zarówno przed zagrożeniami oprogramowania, jak i fizycznymi.
Niezmienny charakter blokady intensyfikuje te obawy dotyczące bezpieczeństwa, a Ledger jest odpowiedzialny za ochronę około 20 procent całego kapitału rynkowego, co stanowi około 500 miliardów dolarów. Guillemet wyraził pewność siebie co do swoich metodyk, które udowodniły swoją skuteczność, i pozwalają mu spać spokojnie pomimo ogromności stawki.
W kontekście naruszeń bezpieczeństwa, Guillemet opowiedział o przypadku ataku na łańcuch dostaw za pośrednictwem luki w ConnectKit. Wyjaśnił, jak skompromitowane konto dewelopera doprowadziło do wstrzyknięcia złośliwego kodu i pochwalił szybką reakcję Ledger, która zneutralizowała zagrożenie w ciągu pięciu godzin. Pomimo naruszenia, projekt bezpieczeństwa urządzeń Ledger, który wymaga ręcznego potwierdzania transakcji przez użytkowników, pomógł ograniczyć szkody.
Szczegółowo omówiono również szerszy problem dotyczący bezpieczeństwa łańcucha dostaw oprogramowania, wskazując na trudności w całkowitym zapobieganiu takim zaawansowanym atakom, odnosząc się do incydentu dotykającego dystrybucję LG UNIX. Zasugerował, że portfele sprzętowe są bardziej bezpieczne, ponieważ mają mniej podatności i są poddawane intensywnym audytom.
Guillemet poruszył również kwestię elementu ludzkiego w bezpieczeństwie, zauważając, jak atakujący zmieniają strategie, przechodząc od prostszych technik phishingu do bardziej złożonych taktyk w miarę jak użytkownicy stają się bardziej świadomi bezpieczeństwa. Ostrzegł, że atakujący obecnie namawiają użytkowników do podpisywania złożonych transakcji, które opróżniają ich portfele, i przewidział przyszłe ryzyko, zwłaszcza dla portfeli oprogramowania na telefonach podatnych na podatności typu zero-day.
Z uwagi na podatności urządzeń mobilnych i komputerowych, Guillemet zalecił nie przechowywanie krytycznych danych, takich jak frazy początkowe lub pliki portfela, na tych urządzeniach. Podkreślił wieczne wyzwanie łączenia bezpieczeństwa z przyjaznością dla użytkownika w portfelach kryptowalutowych. Uznając debatę na temat funkcji odzyskiwania danych Ledger, zaprojektowanej w celu pomocy nowicjuszom w zarządzaniu frazami odzyskiwania, Guillemet potwierdził jej opcjonalny charakter, potwierdzając zaangażowanie Ledger w oferowanie bezpiecznych, ale elastycznych opcji, aby sprostać zróżnicowanej grupie użytkowników, nie rezygnując nigdy z bezpieczeństwa.
Bezpieczeństwo blockchain i zarządzanie kluczami kryptograficznymi są kluczowe dla zabezpieczenia aktywów cyfrowych. Wraz z przejściem z tradycyjnych finansów na zdecentralizowane systemy blockchain, jednostki są teraz odpowiedzialne za swoje własne bezpieczeństwo. Temat podkreśla znaczenie kluczy kontrolowanych przez użytkowników oraz wyzwania z tym związane.
Kluczowe Wyzwania Lub Kontrowersje Związane z Samodzielnie Zarządzanymi Kluczami:
– Odpowiedzialność Użytkownika: Obowiązek bezpiecznego przechowywania prywatnych kluczy spoczywa na jednostce, co wymaga głębokiego zrozumienia najlepszych praktyk bezpieczeństwa.
– Użyteczność vs. Bezpieczeństwo: Tworzenie systemów bezpiecznych, które pozostają przyjazne dla użytkownika, stanowi istotne wyzwanie; zbyt złożone systemy mogą prowadzić do błędów użytkownika.
– Phishing i Inżynieria Społeczna: Użytkownicy mający kontrolę nad swoimi kluczami są celem zaawansowanych ataków, które próbują oszukać ich w celu ujawnienia wrażliwych informacji.
– Opcje Odzyskiwania: Rozwiązania takie jak funkcja odzyskiwania Ledger mogą wywołać debatę, gdy starają się zrównoważyć bezpieczeństwo z łatwością odzyskiwania dla mniej doświadczonych użytkowników.
Zalety Samodzielnie Zarządzanych Kluczy:
– Pełna Kontrola: Użytkownicy mają ostateczną kontrolę nad swoimi aktywami, bez polegania na pośrednikach zewnętrznych.
– Zmniejszone Ryzyko Kontrahenta: Bez centralnej władzy, nie ma pojedynczego punktu awarii, który mógłby narażać aktywa użytkownika.
– Prywatność: Samodzielnie zarządzane klucze mogą zapewnić większą prywatność, ponieważ transakcje nie muszą koniecznie przechodzić przez regulowane instytucje finansowe.
Wady Samodzielnie Zarządzanych Kluczy:
– Złożone Wymagania Bezpieczeństwa: Użytkownicy muszą zapewnić bezpieczne tworzenie, przechowywanie i tworzenie kopii zapasowych swoich prywatnych kluczy.
– Niezwracalna Utrata: Jeśli klucze zostaną utracone lub skradzione, może być niemożliwe odzyskanie powiązanych aktywów.
– Wymagana Wiedza Techniczna: Stroma krzywa uczenia się dla bezpiecznego zarządzania prywatnymi kluczami może stanowić przeszkodę wejścia dla nowych użytkowników.
Ponieważ bezpieczeństwo aktywów opartych na technologii blockchain jest priorytetowe, zarówno jednostki, jak i firmy muszą być czujne na potencjalne podatności i wektory ataku. Inicjatywy edukacyjne oraz rozwój przyjaznych dla użytkownika rozwiązań z zakresu bezpieczeństwa będą kluczowe dla zapewnienia, że powszechne przyjęcie technologii blockchain nie wiąże się z kompromitacją bezpieczeństwa.
Dla osób zainteresowanych dowiedzeniem się więcej na temat ochrony aktywów cyfrowych lub podejścia Ledger do bezpieczeństwa, odwiedzenie oficjalnej strony internetowej firmy może dostarczyć dodatkowych informacji: Ledger.