لجر نحوه عملکرد سفت‌افزار را پس از بحث بر سر توییت‌های حذف شده نشان می‌دهد

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

توسعه دهندگان می گویند که برنامه های شخص ثالث نمی توانند بدون رضایت صاحب دستگاه به کلیدهای کاربران لجر دسترسی داشته باشند.

Ledger، ارائه‌دهنده کیف پول سخت‌افزار ارزهای دیجیتال، در ۱۸ مه نحوه عملکرد سفت‌افزار خود را پس از حذف توییت بحث‌برانگیز ۱۷ می توسط این شرکت فاش کرد. توییتی که اکنون حذف شده است بیان می‌کند که Ledger توسط یک نماینده پشتیبانی مشتری نوشته شده است و این امکان وجود دارد که Ledger سفت‌افزاری ایجاد کند که بتواند کلید خصوصی کاربر را استخراج کند.

[۱/۳] ممکن است توییت هایی از حساب پشتیبانی Ledger را دیده باشید که در مورد به روز رسانی سیستم عامل Ledger به اشتراک گذاشته شده است.

متأسفانه، در تلاش برای روشن کردن نحوه کار Ledger و همه کیف پول ها با سیستم عامل، یک نماینده پشتیبانی مشتری یک توییت گمراه کننده منتشر کرد. https://t.co/cL6UrBzxWr

– پشتیبانی Ledger (@Ledger_Support) ۱۸ مه ۲۰۲۳

چارلز گیله، مدیر ارشد فناوری لجر روشن شد یک موضوع جدید در توییتر می گوید که سیستم عامل کیف پول (OS) همیشه به رضایت کاربر نیاز دارد “زمانی که سیستم عامل کلید خصوصی را لمس می کند.” به عبارت دیگر، سیستم عامل نباید بدون رضایت کاربر، کلید خصوصی دستگاه را کپی کند. با این حال، Guillemet همچنین گفت که استفاده از Ledger به “حداقل میزان اعتماد” نیاز دارد.

توییت اصلی از خدمات مشتریان لجر می‌گوید: “از نظر فنی، ایجاد سفت‌افزاری که استخراج کلید را تسهیل می‌کند، همیشه ممکن بوده و خواهد بود. می‌دانید، چه می‌دانید چه ندانید. من همیشه به لجر اعتماد داشتم که چنین سیستم‌افزاری را نصب نکند.”

این توییت بحث داغی را در توییتر به راه انداخت و بسیاری از کاربران این شرکت را به جعل امنیت کیف پول متهم کردند. منتقدان پیشنهاد کردند که این شرکت ناسازگار است و یک پست ادعایی در نوامبر لجر را به اشتراک گذاشتند که بیان می‌کرد «به‌روزرسانی میان‌افزار نمی‌تواند کلید خصوصی را از عنصر امن استخراج کند».

یک توییت حذف شده به این جنجال دامن زد، اما این موضوع برای اولین بار در ۱۶ می شروع شد. در آن زمان، این شرکت یک سرویس جدید “Ledger Recover” را معرفی کرد که به کاربران اجازه می‌دهد از عبارت بازیابی مخفی خود با تقسیم آن به سه قطعه و ارسال آنها به مکان‌های ذخیره‌سازی اطلاعات جداگانه، نسخه پشتیبان تهیه کنند. سرویس. توییت های حذف شده در پاسخ به انتشار ویژگی های جدید بود.

نوامبر ۲۰۲۲: عنصر امن به‌روزرسانی میان‌افزار – نمی‌توان کلید خصوصی را از لجر استخراج کرد

می ۲۰۲۳: از نظر فنی، نوشتن سفت‌افزار برای تسهیل استخراج کلید – Ledger وجود داشت و هنوز هم وجود دارد.@دفتر کل، آیا مشکل را متوجه شدید؟ pic.twitter.com/czG53SuCOu

— Olimpio (@OlimpioCrypto) ۱۷ مه ۲۰۲۳

Guillemet در یک موضوع جدید توییتر گفت که سیستم عامل یا سیستم عامل کیف پول یک “پلتفرم باز” است به این معنا که “هر کسی می تواند برنامه های خود را بنویسد و آنها را در دستگاه خود بارگذاری کند.” قبل از اینکه یک برنامه برای استفاده با نرم‌افزار Ledger Manager تأیید شود، ابتدا توسط تیم ما ارزیابی می‌شود تا از غیر مخرب بودن و عاری از نقص‌های امنیتی اطمینان حاصل شود.

به گفته لجر، حتی پس از تأیید یک برنامه، سیستم عامل به برنامه اجازه نمی دهد از کلید خصوصی در شبکه هایی استفاده کند که برای آن در نظر گرفته نشده است. این شرکت گفت که اپلیکیشن بیت کوین اجازه استفاده از کلید خصوصی اتریوم دستگاه و بالعکس را برای اپلیکیشن اتریوم و کلید بیت کوین نمی دهد. لجر گفت، علاوه بر این، هر بار که یک برنامه از کلید خصوصی استفاده می کند، سیستم عامل از کاربر می خواهد که رضایت خود را برای استفاده از آن کلید تأیید کند. به نظر می رسد این بدان معناست که برنامه های شخص ثالث نصب شده در لجر نمی توانند از کلید خصوصی شخصی شما استفاده کنند مگر اینکه ابتدا با استفاده از آن موافقت کنید.

Guillemet همچنین گفت که این سیستم بخشی از سیستم عامل فعلی است و از نظر تئوری می تواند تغییر کند اگر لجر به خطر بیفتد یا اگر یک مهاجم به نحوی کنترل کامپیوترهای شرکت را در دست بگیرد. من نیز چیزی را تصدیق کردم.

“اگر می خواهید یک Backdoor را در کیف پول خود پیاده سازی کنید، راه های زیادی وجود دارد، مانند تولید اعداد تصادفی، کتابخانه های رمزنگاری یا حتی خود سخت افزار. ممکن است.”

مربوط: بازار «معتمد» کیف‌پول‌های سخت‌افزاری جعلی Trezor را می‌فروشد که ارزهای دیجیتال را می‌دزدند

با این حال، مدیر ارشد فناوری لجر این نگرانی را رد کرد و گفت: “استفاده از کیف پول نیاز به حداقل اعتماد دارد. اگر فرضیه شما این است که ارائه دهنده کیف شما مهاجم است، شما محکوم به فنا هستید.” او همچنین گفت که تنها راه برای کاربران برای محافظت از خود است. از توسعه دهندگان کیف پول سرکش این است که کامپیوتر، کامپایلر، پشته کیف پول، گره و همگام ساز خود را بسازند. مدیران گفتند: “این سفر یک عمر است.”

رقیب ارائه دهنده کیف پول سخت افزاری GridPlus برای جذب کاربران لجر، سیستم عامل خود را منبع باز پیشنهاد کرده است. در همین حال، Guillemet گفت سیستم عامل منبع باز نمی تواند در برابر ارائه دهندگان کیف پول سرکش محافظت کند زیرا هیچ راهی برای کاربران وجود ندارد که بدانند آیا کد منتشر شده واقعاً روی دستگاه اجرا می شود یا خیر.

مجله: جو روبین: حقیقت درباره تقسیم بنیانگذاران ETH و “کریپتو گوگل”

نویسنده: Tom Blackstone