Ledger odnosi się do kontrowersyjnego wpisu dot. bezpieczeństwa kluczy prywatnych

Jeden z liderów rynku zewnętrznych portfeli sprzętowych na kryptowaluty – Ledger – odniósł się do kontrowersyjnego wpisu pracownika działu supportu. Chodzi bowiem o kwestię bezpieczeństwa kluczy prywatnych użytkowników. Rozbieżność treści pochodzących z różnych wpisów mogła nadszarpnąć zaufanie wobec firmy. 

---

Czy zewnętrzne strony mogą przejąć klucze prywatne do naszego portfela na kryptowaluty? Tak sugerował opublikowany w dniu 17 maja wpis jednego z pracowników działu wsparcia klienta firmy Ledger. Tweet wywołał momentalnie kontrowersje w społeczności cyfrowych aktywów. Teraz do całej sytuacji odniosła się firma, która stara się uspokoić sytuację.

Dyrektor ds. technologii Ledgera – Charles Guillemet – wyjaśnił, że ich system operacyjny potrzebuje wyrażenia zgody przez użytkownika, by nawiązać interakcję z jego kluczem prywatnym, co oznacza że oprogramowanie samo z siebie nie jest w stanie skopiować jego treści. CTO firmy podkreśla, że jej klienci muszą jednak wykazać ”minimalne zaufanie” do oferowanej usługi, jeśli chcą korzystać z systemu księgi rachunkowej.

[1/3] You may have seen a tweet from our Ledger Support account being shared regarding Ledger firmware updates.

Unfortunately, in our attempt to clarify how Ledger and all wallets work with the firmware, a customer support agent posted a tweet with confusing wording. https://t.co/cL6UrBzxWr

— Ledger Support (@Ledger_Support) May 18, 2023

Wpis pracownika supportu rzucił bowiem cień wątpliwości na kwestię prawdomówności firmy w stosunku do zapewnień o bezpieczeństwie naszych kluczy prywatnych:

Technicznie rzecz biorąc, jest i zawsze było możliwe napisanie oprogramowania układowego, które ułatwia wydobywanie kluczy. Zawsze ufałeś Ledgerowi, że nie wdroży takiego oprogramowania, niezależnie od tego, czy o tym wiedziałeś, czy nie – napisano w usuniętym już poście.

Ledger gubi się w zeznaniach?

Burza w Internecie toczy się o to, że wcześniejszy wpis Ledgera z listopada 2022 roku zapewniał o innym stanie rzeczy, więc firmie zarzucono gołosłowność i wprowadzanie swoich klientów w błąd. W zeszłym roku przekazano bowiem, że ”aktualizacja oprogramowania układowego nie może wyodrębnić kluczy prywatnych z bezpiecznego elementu”. W odniesieniu do najnowszych twierdzeń w tej kwestii, wielu członków społeczności kryptowalut posądziło firmę o to, że zaprzecza własnym słowom.

Hi – your private keys never leave the Secure Element chip, which has never been hacked. The Secure Element is 3rd party certified, and is the same technology as used in passports and credit cards. A firmware update cannot extract the private keys from the Secure Element.

— Ledger (@Ledger) November 15, 2022

Przypomnijmy, że w tym tygodniu Ledger zaprezentował nam nową usługę ”Ledger Recover”, która umożliwia tworzenie specjalnej kopii zapasowej frazy seed, która jest dzielona na trzy części, gdzie każda byłaby przechowywana przez osobne podmioty. Kontrowersyjny wpis pracownika supportu, który wywołał całe zamieszanie, nawiązywał właśnie do nowej funkcji.

Nov 2022: A firmware update cannot extract the private keys from the Secure Element — Ledger

May 2023: Technically speaking it is and always has been possible to write firmware that facilitates key extraction — Ledger@Ledger, do you now understand the problem? pic.twitter.com/czG53SuCOu

— olimpio (@OlimpioCrypto) May 17, 2023

”Musicie nam zaufać”

CTO Ledgera zapewnia, że używanie aplikacji nie wiąże się z tym, że jej system operacyjny pozwoli używać naszych kluczy prywatnych innym stronom. Jako przykładu użyto portfeli BTC, które nie mogą używać kluczy ETH i odwrotnie. Co więcej, wspomniano o tym, że gdy aplikacja prosi o dostęp do naszego klucza prywatnego, to użytkownicy muszą wyrazić na to zgodę. To ma bowiem stanowić argument, że zewnętrze aplikacje, za którymi stoją inne firmy, nie posiadają dostępu do nich, chyba że dany użytkownik samodzielnie by im go udzielił.

Charles Guillemet podkreślił, że decydując się na korzystanie z produktów ofertowanych przez Ledgera ”wymaga się minimalnego zaufania”.

Jeśli twoja hipoteza zakłada, że ​​atakującym jest twój dostawca portfela, jesteś skazany na porażkę – stwierdza CTO firmy.