Ripple CTO David schwartz je podijelio svoje mišljenje o kontroverznoj usluzi Ledger Recover. Provajder hardverskog novčanika Ledger izazvao je uzbunu u kripto zajednici nakon što su se na internetu pojavili detalji o njegovoj novouvedenoj usluzi Ledger Recover.
Prema posljednjem ažuriranju na Twitteru kompanije, novi Ledger Recover šifrira verziju privatnog ključa korisnika i dijeli ga na tri fragmenta (koristeći Shamir Secret Sharing); sve se ovo dešava na Secure Element čipu.
Evo objašnjenja onoga što smo svi shvatili (donedavno) je Ledgerov sigurnosni model i vrijednost.https://t.co/zxNAU0caJA
— David “JoelKatz” Schwartz (@JoelKatz) Može 17, 2023
Izražena je zabrinutost zbog sigurnosti u vezi s novim proizvodom jer mnogi ljudi vjeruju da bi hakeri mogli koristiti uslugu da „oporave“ izvorne fraze korisnika.
Brige nisu neutemeljene jer je Ledger 2020. doživio curenje podataka koje je učinilo oko 300,000 telefonskih brojeva klijenata, fizičkih adresa i više od milion adresa e-pošte javnim.
Schwartz se pozvao na tweet od 15. novembra 2022. u kojem je Ledger stavio do znanja da privatni ključevi nikada ne napuštaju čip Secure Element, koji nikada nije hakovan.
Ledger je u tvitu također spomenuo da je Secure Element certificiran od treće strane, jer je ista tehnologija koja se koristi u pasošima i kreditnim karticama i da ažuriranje firmvera ne može izvući privatne ključeve iz Secure Elementa.
Tehnički direktor Ripplea spomenuo je da se to donedavno shvaćalo o Ledgerovom sigurnosnom modelu i vrijednosnom prijedlogu.
Komentar Ripple CTO-a i suosnivača Solane
U drugom nizu tvitova u kojima su Ripple CTO i suosnivač Solane Anatolij Jakovenko odgovorili na zabrinutost korisnika u vezi sa novim Ledger proizvodom, Schwartz je zadržao svoj stav: „Vjerovao sam im da dizajniraju uređaj koji nije sposoban eksfiltrirati ključeve jer je to ono što su eksplicitno rekao.”
On je komentirao ispod tvita suosnivača Solane: „Ako ste im prije vjerovali da neće eksfiltrirati vaše ključeve, sada im možete vjerovati da to neće učiniti kada je ta funkcija isključena. Mislim da je površina napada otprilike ista.”
Na Twitteru je korisnik izrazio rezervu prema proizvodu, navodeći da istinski siguran hardverski novčanik ne bi trebao moći slati privatne ključeve korisnika. „Manjak uređaja je njegova sposobnost da pošalje privatni ključ“, rekao je on.
Prema detaljima koje je dao dobavljač hardverskog novčanika, Ledger Recover je opciona pretplata za korisnike koji žele rezervnu kopiju svoje tajne fraze za oporavak koja nije automatski omogućena nijednim ažuriranjem firmvera.
Izvor: https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details