Charles Guillemet, dyrektor techniczny firmy Ledger, podzielił się swoimi ekspertami podczas wywiadu na konferencji BTC Prague na temat ewoluującego krajobrazu bezpieczeństwa w świecie blockchain i kryptowalut. Guillemet, którego ekspertyza w zakresie kryptografii i bezpieczeństwa sprzętowego definiuje podejście firmy Ledger, podkreślił kontrasty między bezpieczeństwem tradycyjnych metod bankowych a bezpieczeństwem technologii blockchain.
W świecie tradycyjnych finansów, banki i państwa pełnią funkcję stróżów kluczy bezpieczeństwa; w wyraźny kontraście, technologia blockchain umożliwia jednostkom zarządzanie nimi samodzielnie. Ten zwrot niesie ze sobą swoje własne wyzwania, ponieważ staje się niezbędne dla użytkowników zabezpieczenie swoich aktywów cyfrowych przed nieautoryzowanym dostępem i potencjalną utratą. Guillemet podkreślił konieczność specjalistycznych urządzeń, które chronią przed groźbami zarówno programowymi, jak i fizycznymi.
Niezmienny charakter blockchainu zaostrza te obawy bezpieczeństwa, z Ledger odpowiedzialny za ochronę szacowanej 20 procent całej kapitalizacji rynkowej, około 500 miliardów dolarów. Guillemet wyraził pewność co do skuteczności ich metod, które udowodniły się być efektywne i pozwalają mu spać spokojnie pomimo ogromu stawki.
W kontekście naruszeń bezpieczeństwa, Guillemet opowiedział o spotkaniu Ledgera z atakiem na łańcuch dostaw za pośrednictwem exploitu ConnectKit. Wyjaśnił, jak skompromitowane konto dewelopera doprowadziło do wstrzyknięcia złośliwego kodu i pochwalił szybką reakcję Ledgera, która unieszkodliwiła zagrożenie w ciągu pięciu godzin. Pomimo naruszenia, projekt bezpieczeństwa urządzeń Ledgera, który wymaga ręcznego podpisywania transakcji przez użytkowników, pomógł ograniczyć szkody.
Szeroki problem dostaw bezpieczeństwa łańcucha programów również został podniesiony, z Guillemet wskazując na trudności w całkowitym udaremnianiu takich zaawansowanych ataków, odnosząc się do incydentu dotykającego dystrybucję LG’s UNIX. Wskazał, że portfele sprzętowe są bardziej bezpieczne, ponieważ mają mniej podatności i podlegają obszernym audytom.
Guillemet poruszył także kwestię ludzkiej roli w bezpieczeństwie, zauważając, jak atakujący zmieniają strategie z prostych prób wyłudzenia danych na bardziej skomplikowane taktyki w miarę jak użytkownicy stają się bardziej świadomi bezpieczeństwa. Ostrzegł, że teraz atakujący nakłaniają użytkowników do podpisywania złożonych transakcji, które opróżniają ich portfele oraz przewidział przyszłe ryzyka, zwłaszcza dla portfeli programowych na telefonach podatnych na podatności „zero-day”.
Mając na uwadze podatność urządzeń mobilnych i biurkowych, Guillemet zalecił nie przechowywanie krytycznych danych, takich jak frazy ziarn, czy pliki portfeli na tych urządzeniach. Podkreślił wieczne wyzwanie łączenia bezpieczeństwa z przyjaznością użytkownikowi w portfelach kryptowalutowych. Uznając dyskusję na temat funkcji odzyskiwania Ledgera, mającej pomóc początkującym w zarządzaniu frazami odzyskiwania, Guillemet potwierdził jej opcjonalny charakter, potwierdzając zaangażowanie Ledgera w oferowanie bezpiecznych, a zarazem elastycznych opcji, które zaspokoją zróżnicowaną grupę użytkowników bez narażania bezpieczeństwa.
Bezpieczeństwo blockchainowych aktywów i zarządzanie kluczami kryptograficznymi są priorytetem w zabezpieczaniu aktywów cyfrowych. Z przesunięciem z tradycyjnych finansów na zdecentralizowane systemy blockchain, jednostki są teraz odpowiedzialne za swoje własne bezpieczeństwo. Temat podkreśla wagę kluczy kontrolowanych przez użytkowników i związane z nimi wyzwania.
Główne wyzwania lub kontrowersje związane z samodzielnymi kluczami:
– Odpowiedzialność użytkownika: Ciężar odpowiedzialności spoczywa na jednostce, aby zabezpieczyć swoje klucze prywatne, co wymaga głębokiego zrozumienia praktyk najlepszego zabezpieczenia.
– Użyteczność w stosunku do bezpieczeństwa: Tworzenie bezpiecznych systemów, które pozostaną przyjazne dla użytkownika, stanowi istotne wyzwanie; nadmiernie złożone systemy mogą prowadzić do błędów użytkowników.
– Phishing i inżynieria społeczna: Użytkownicy kontrolujący swoje klucze są celem zaawansowanych ataków, które próbują oszukać ich, aby ujawnili wrażliwe informacje.
– Opcje odzyskiwania: Rozwiązania, takie jak funkcja odzyskiwania Ledgera, mogą wywołać dyskusje, ponieważ dążą do równowagi między bezpieczeństwem a łatwością odzyskiwania dla mniej doświadczonych użytkowników.
Zalety samodzielnego zarządzania kluczami:
– Pełna kontrola: Użytkownicy mają ostateczną kontrolę nad swoimi aktywami, bez polegania na trzecich pośrednikach.
– Zmniejszone ryzyko kontrahenta: Bez centralnego organu, nie ma pojedynczego punktu awarii, który mógłby zagrozić aktywom użytkownika.
– Prywatność: Samodzielne klucze mogą zapewnić zwiększoną prywatność, ponieważ transakcje nie muszą koniecznie przechodzić przez regulowane instytucje finansowe.
Wady samodzielnego zarządzania kluczami:
– Złożone wymagania dotyczące bezpieczeństwa: Użytkownicy muszą zagwarantować bezpieczne tworzenie, przechowywanie i tworzenie kopii zapasowych swoich kluczy prywatnych.
– Bezpowrotna utrata: Jeśli klucze zostaną zgubione lub skradzione, może być niemożliwe odzyskanie powiązanych aktywów.
– Wymagane umiejętności techniczne: Stroma krzywa uczenia się zarządzania bezpiecznymi kluczami prywatnymi może stanowić przeszkodę dla nowych użytkowników.
Ponieważ bezpieczeństwo opartych na blockchain aktywów jest niezmiernie ważne, zarówno jednostki, jak i firmy, muszą być czujne na potencjalne podatności i wektory ataku. Inicjatywy edukacyjne i rozwój przyjaznych użytkownikom rozwiązań bezpieczeństwa będą kluczem do zapewnienia, że powszechne przyjęcie blockchaina nie nastąpi kosztem kompromitacji bezpieczeństwa.
Dla tych, którzy chcą dowiedzieć się więcej na temat sposobów zabezpieczania aktywów cyfrowych lub o podejściu Ledger do bezpieczeństwa, odwiedzenie oficjalnej strony internetowej firmy mogłoby dostarczyć dodatkowych informacji: Ledger.