Ведутся споры о том, что открытый или закрытый исходный код криптокошелька повлияет на безопасность в сети. Здесь мы немного расскажем о безопасности кошелька.
Открытый исходный код действительно полезен для пользователей и экспертов, чтобы проводить аудит и делать обзоры. Однако открытый исходный код не приводит к более безопасным решениям естественным образом.
Иногда открытый исходный код может быть легко взломан хакерами, поскольку ресурсы, коды и утилиты легко доступны.
В этой статье мы рассмотрим основы оценки безопасности аппаратного кошелька и то, почему открытый исходный код не обязательно связан с безопасностью.
Безопасность холодного кошелька
Когда мы рассматриваем безопасность криптовалютного кошелька, существует четыре уровня безопасности, которые могут в корне повлиять на то, потеряете ли вы свои криптоактивы:
- Случайность и безопасность генерации ключей
- Безопасность и защита закрытого ключа
- Избегайте нарушений в процессе расходования средств или подписания транзакций с использованием закрытого ключа
- Защита от социальной инженерии. Например, продукт должен иметь мощные методы, позволяющие избежать раскрытия PIN — кода
Ниже приведены примеры использования четырех уровней безопасности:
Генерация ключей
Все должны были слышать знаменитую фразу Андреаса Антонопулоса: «Не ваши ключи, не ваш биткоин». Что такое ключ, а точнее, что такое закрытый ключ?
Закрытый ключ — это значимое случайное число длиной 256 бит. Если в генерации ключа есть ошибка или бэкдор, ваша криптовалюта может быть легко украдена человеком, создавшим этот бэкдор.
Пользователи могут явно проверить код кошелька с открытым исходным кодом, чтобы узнать, генерирует ли холодный кошелёк надежные ключи.
У кошелька ELLIPAL Titan есть решение. Пользователи могут импортировать свои закрытые ключи или сид — фразу (Via mnemonic words), которые они сгенерировали с помощью программного обеспечения.
Пользователям не нужно доверять кошельку, потому что ключи генерируются в другом месте. Это без доверия.
При потере холодного кошелька, с помощью мнемонических слов можно восстановить закрытые ключи всех ваших монет в новом кошельке. Поэтому, имейте в виду, что «мнемонические слова» — это еще одна форма ваших закрытых ключей. Пожалуйста, НЕ давайте их никому, иначе вы потеряете свои активы.
Защита ключей
Основой защиты закрытых ключей является изоляция и форматированный доступ. Чип SE (Secure Element) — это обычный выбор инженеров, который они используют при попытке защитить закрытые ключи внутри аппаратного кошелька. Другая альтернатива, которая также очень эффективна, — изолировать аппаратный кошелёк от любых внешних соединений, другими словами, держать его в воздушном пространстве (air-gapped).
Поскольку для кошелька, изолированного от внешнего мира, не допускается никаких соединений, в кошельке ELLIPAL Titan, используются QR — коды в качестве интерфейса связи вместо USB или Bluetooth. При сканировании QR — кода данные становятся видимыми, и пользователю приходится сканировать код вручную. Формат является открытым, документированным, и содержимое можно легко проверить, чтобы избежать утечки данных.
Помимо защиты закрытых ключей с помощью программного обеспечения от взлома и атак, инженеры могут модернизировать аппаратное обеспечение для обеспечения еще большей защиты. В аппаратное обеспечение ELLIPAL Titan были добавлены функции Anti-Tampering и Anti-Disassembling для защиты от атак.
Если рассматривать аппаратный кошелёк с надежной программной и аппаратной защитой, то хакерам потребуются годы, чтобы взломать систему. С другой стороны, хакерам легко перекомпилировать и узнать точки атаки кошелька с открытым исходным кодом.
Процесс расходования
Процесс расходования криптовалюты (транзакция) обычно забывается пользователями, когда речь заходит о защите приватных ключей. Во время транзакций точка атаки сосредоточена на on-line части, которой является APP. Из — за того, что APP является онлайн, он легко подвергается атакам хакеров. Поддельная транзакция может отправить ваши монеты на адрес хакера, а не на ваш.
Простая функция, которая может защитить пользователя, — это показать адрес получателя, расшифровав полные данные транзакции. Неважно, является ли ваш холодный кошелёк закрытым или с открытым исходным кодом; если он не может четко показать вам каждую часть данных вашей транзакции, он небезопасен.
В кошельке ELLIPAL Titan четко отображаются все данные транзакции на большом экране и в APP, чтобы пользователи могли проверить их перед отправкой».
Социальная инженерия
Независимо от того, насколько технически безопасным может быть кошелёк, многие люди теряют свои средства из-за того, что становятся жертвами атак социальной инженерии. Подглядывание PIN — кода или мошенник, выдающий себя за службу поддержки, — атаки социальной инженерии в основном являются причиной того, что люди теряют свои монеты.
Продукт с хорошо продуманной системой безопасности должен помочь пользователям избежать подобных проблем. Они не связаны с тем, что кошелёк является открытым или закрытым. Если вы используете простые цифры в качестве PIN — кода и делаете себя уязвимым для подглядывания, открытый исходный код вам не поможет. Если холодный кошелёк имеет двухфакторную защиту, как ELLIPAL Titan, его сложнее подсмотреть и он более безопасен, чем open — source.
Безопасность холодного кошелька — это необходимость в наше время.