Зачем нужен экран для аппаратного кошелька

Есть причина, по которой современные аппаратные кошельки имеют экран.

Аппаратные кошельки — это устройства для безопасного хранения и использования биткоина и других криптовалют. Они избавляют от необходимости полагаться на компьютер или смартфон для обеспечения сохранности личных ключей.

Производители стараются сделать использование аппаратного кошелька более простым и доступным. Отказ от дисплея, одной из самых дорогих частей, на первый взгляд кажется хорошим способом сокращения расходов. Однако если разобраться в этом немного подробнее, то быстро становится ясно, что аппаратный кошелёк не может защитить пользователя от простых атак даже таким способом.

Давайте рассмотрим основы настройки аппаратного кошелька:

Принимающее устройство

Аппаратный кошелёк — это «холодный кошелёк», то есть он никогда не подключается напрямую к Интернету по соображениям безопасности. Однако кошельку необходимо взаимодействовать с блокчейном, чтобы проверить баланс адресов или отправить транзакцию. Поскольку аппаратный кошелёк сам по себе не может напрямую подключаться к Интернету, он полагается на приложение, работающее на главном устройстве (например, компьютере), для передачи информации через Интернет.

Хотя для установки требуется хост — устройство, приложение и хост — устройство не заслуживают доверия. Вся конфиденциальная информация (например, закрытые ключи) надежно хранится на аппаратном кошельке и никогда его не покидает.

Аппаратный кошелёк

Причина, по которой конфиденциальная информация не должна покидать аппаратный кошелёк, заключается в том, что важные задачи выполняются на встроенном в него миниатюрном компьютере (также называемом микроконтроллером), например, подписание транзакции вашими закрытыми ключами.

Принимающее устройство отправляет данные транзакции, такие как адрес получателя и комиссия за транзакцию, в крипто кошелёк, который затем одобряет и подписывает транзакцию, после чего подписанная транзакция отправляется обратно на принимающее устройство.

Верификация

Если кошелёк подписывает все отправленные ему данные транзакций, как пользователь может убедиться, что он подписывает только те транзакции, которые он намеревался отправить?

Экран на устройстве позволяет проверить, что делает аппаратный кошелёк. Он может отобразить данные транзакции и попросить пользователя подтвердить их, например, вручную нажав кнопку на устройстве, а затем подписать данные и отправить их обратно на основное устройство. Таким образом, пользователь может убедиться, что транзакция была подписана с нужной суммой для нужного адреса получения биткоина (и с нужной комиссией за транзакцию).

Доверие

Без экрана и явного подтверждения на устройстве пользователь должен доверять тому, что хост — устройство отправляет правильную информацию в аппаратный кошелёк.

Точнее, если вы используете компьютер и холодный кошелёк без экрана, вредоносная программа может визуально выглядеть и действовать как приложение подлинного кошелька. Но вместо того, чтобы создать транзакцию с вашим предполагаемым адресом получения биткоина, он отправляет аппаратному кошельку транзакцию с совершенно другим адресом и суммой. Устройство подписывает транзакцию и отправляет её обратно на компьютер, который затем публикует ее в сети Bitcoin.

холодный кошелёк bitbox2

Никакие меры безопасности на главном устройстве не могут изменить тот факт, что аппаратный кошелёк должен доверять главному устройству, если он не может самостоятельно подтвердить данные транзакции.

В связи с этим возникает вопрос: Если пользователь в любом случае должен доверять главному устройству, есть ли дополнительные преимущества перед кошельком, работающим только с программным обеспечением?

Мы говорим на собственном опыте. Наш первоначальный аппаратный кошелек BitBox01 не имел дисплея, а полагался на дополнительный фактор аутентификации через приложение для смартфона. Зашифрованный канал связи между аппаратным кошельком и приложением для смартфона позволит последнему служить в качестве «защищенного удаленного экрана».

Чтобы скомпрометировать эту систему, необходимо было атаковать как главный компьютер, так и приложение для смартфона. Однако такая система была сложной и имела много недостатков. Если зашифрованный канал связи был взломан, то для кражи денег достаточно было атаковать только главный компьютер, но не приложение для смартфона.

Это явно противоречит цели аппаратного кошелька. Даже при защищенном канале связи безопасность так же высока, как и при использовании кошелька с несколькими подписями, разделенного между смартфоном и компьютером.

Это уроки, которые мы усвоили. Именно поэтому разработчики оснастили BitBox02 большим OLED — дисплеем.

Заключение

Удаление дисплея из аппаратного кошелька сводит на нет его преимущества в плане безопасности. Мы настоятельно рекомендуем пользователям и разработчикам принципиально отказываться от продуктов без дисплея.

Оставить комментарий

Ваш адрес email не будет опубликован.