Selbstverwahrung ist bei Krypto wichtig, und Sicherheit ist für die Selbstverwahrung von entscheidender Bedeutung. Ledger, ein bekannter Hersteller von Hardware-Wallets, hat sich seinen Ruf auf die sichere Speicherung der privaten Schlüssel der Benutzer aufgebaut. Hardware-Wallets schaffen eine sichere Offline-Umgebung zum Speichern von Schlüsseln und zum Verwenden von Schlüsseln zur Ausführung von Transaktionen.
Die privaten Schlüssel des Benutzers werden im Gerät generiert und gespeichert und dürfen es niemals verlassen. Dieser „Cold Storage“ bietet im Vergleich zu „Hot Wallets“ oder Online-Wallets ein unübertroffenes Maß an Sicherheit. Das Problem ist, dass viele Menschen ihre Schlüssel verlieren.
Ledger hat diese Woche ein Seed-Phrase-Backup-Produkt namens Ledger Recover auf den Markt gebracht. Wenn Sie dem Unternehmen Ihre ID und Ihre persönlichen Daten geben, können Sie für einen Dienst bezahlen, der Ihre Seed-Phrase auf Ihrem Gerät speichert, sie in drei „Shards“ verschlüsselt und sie dann an verschiedene Verwahrer weitergibt.
Durch die Einführung einer dritten Partei wird die Kontrolle grundsätzlich zentralisiert und es entsteht ein Single Point of Failure, der von Hackern ausgenutzt werden oder behördlichen Maßnahmen unterliegen könnte.
Verwandt: Werfen Sie Ihre gelangweilten Affen in den Müll
Ich missgönne Ledger nicht seine Bemühungen, als Unternehmen zu wachsen, um Nicht-OG- und Nicht-Cypherpunk-Ethos-Benutzer zu erreichen. Millionen normaler Menschen, wie unsere skeptischen Schwiegereltern der Babyboomer-Generation, werden nur durch diese Art von Depot-Backup-Ansatz an Krypto herangeführt. Sein Fehler könnte darin bestanden haben, mit demselben Produkt sowohl Krypto-Selbstverwalter-OGs als auch die breiteren zukünftigen Kundennormen anzusprechen.
Die Einführung seines Backup-Produkts durch Ledger stieß in der Kundengemeinschaft auf heftige Reaktionen. Viele waren überrascht, als sie erfuhren, dass Ledger mit seinen Hardware-Updates schon immer die Möglichkeit hatte, Ihren geheimen Schlüssel zu berühren. Viele von uns betrachten unsere Hardwaregeräte als unantastbar. Ich war offensichtlich nicht gut genug über dieses Gerät informiert, dem ich vertrauen würde, um meine Krypto-Assets zu schützen.
Gestern habe ich mich über die Enthüllung geschockt @Hauptbuch könnte Ihren privaten Schlüssel mit einem Firmware-Update ausspucken.
Dennoch fiel mir auf, dass die klügsten Leute nicht ausrasteten. Habe ich etwas verpasst?
Ich habe den Abend damit verbracht, mich weiterzubilden, und jetzt bin ich im „NVM, es ist in Ordnung“-Lager.
— Haseeb >|< (@hosseeb) 17. Mai 2023
Haseeb Qureshi stimmte zu, dass er, obwohl er zunächst auch negativ reagierte, erkannte, dass dies immer auf Ledger zutraf. Wir haben immer darauf vertraut, dass es keine Malware in seine Firmware-Updates einfügt, um unsere Startphrasen zu stehlen. Er hat nicht unrecht, aber ich würde nicht sagen, dass das ein tröstlicher Gedanke ist.
Am Ende kann auf Ihrem Hardwaregerät nichts Schlimmes passieren, es sei denn, Sie unterzeichnen eine Transaktion. Sie behalten die Macht. Ich weiß nicht, wie es Ihnen geht, aber ich bin kein Programmierer – ich kann ein bösartiges Update nicht von einem legitimen unterscheiden, also vertraue ich Ledger auch in dieser Hinsicht. Und ich habe nicht unbedingt die Möglichkeit nicht um das neueste Firmware-Update zu genehmigen, das die Funktion „Ledger Recover“ enthält, da Ledger warnt, dass die Nichtaktualisierung Ihrer Firmware ein Sicherheitsrisiko darstellt.
Sie leisten jedoch einen Scheißjob, wenn es darum geht, Vertrauen in den Software-Stack zu schaffen. Ein besseres Design würde Funktionen wie Zertifikatstransparenz oder Schlüsseltransparenz beinhalten, sodass Sie nicht hoffen müssen, dass Ihnen nicht aus unerklärlichen Gründen eine fehlerhafte Firmware zugesandt wird
— Andrew Miller (@socrates1024) 17. Mai 2023
Ich vertraue Ledger – es ist ein großartiges Unternehmen. Es war der Dreh- und Angelpunkt im Technologie-Stack für die Krypto-Selbstverwaltung, zumindest auf meiner eigenen Krypto-Reise.
Das Ziel eines Krypto-Self-Custody-Tools sollte jedoch darin bestehen, die Vertrauensanforderungen zu minimieren. Und das könnte bei Ledger durch Open-Sourcing von mehr Software und Hardware verbessert werden. Der Chief Technology Officer von Ledger wurde am 17. Mai dazu befragt Banklos Podcast und antwortete, dass Ledger Geheimhaltungsvereinbarungen unterzeichnet habe, die es daran hindern, und argumentierte, dass es ohnehin unwahrscheinlich sei, dass Menschen Sicherheitsüberprüfungen per Crowdsourcing durchführen würden.
Ich wette, dass Sicherheitsforscher wie Andrew Miller, der Schwachstellen im Secret Network aufgedeckt hat, diese Aufgabe übernehmen würden.
1/ Ledger „Recover“, ein Thread
Letzte Nacht hat Ledger versehentlich einige Informationen über seinen neuen Wiederherstellungs-Abonnementdienst durchsickern lassen, und heute haben sie die Details enthüllt.
Lassen Sie uns ihre vorgeschlagene „Lösung“ für die Verwahrung von Kryptowährungen durchgehen und wie gefährlich diese ist. pic.twitter.com/8GnCKv7hTH
— Seth für Privatsphäre (@sethforprivacy) 16. Mai 2023
Während die Kommunikation von Ledger bezüglich der Einführung eine Katastrophe war, waren die Krisenkommunikationen aufschlussreich. Mir ist auf jeden Fall klar geworden, dass ich nur unzureichende Kenntnisse darüber hatte, wie Hardware-Wallets funktionieren. Aber „Tut uns leid, wir können wegen Geheimhaltungsvereinbarungen nichts als Open Source veröffentlichen“ ist eine unzureichende Antwort für diejenigen in der Community, die befürchten, dass Ledger Recover von einem böswilligen Akteur dazu verwendet werden könnte, Benutzer mit einem gefälschten Update auszutricksen und ihre Startphrase zu stehlen .
Ledger könnte mir auch die Möglichkeit geben, meine Firmware weiter zu aktualisieren, ohne den Ledger Recover-Code zu meinem Gerät hinzuzufügen. Aber wenn die Firmware nicht offengelegt wird, wird es nicht viel bewirken, da wir keine Möglichkeit haben, seine Behauptungen zu überprüfen.
Dies könnte ein Branding-Gewinn sein, wenn Ledger sich darauf konzentriert, eine „Cypherpunk“-Markendimension in seine Hardware und Software einzuführen, die die OG-Krypto-Community so besänftigt, dass sie bereit sein könnte, sich dafür zu entscheiden, und bestehenden Hardware-Besitzern die Möglichkeit gibt, sich dafür zu entscheiden ihre zuvor gekaufte Hardware, sodass neue Updates mit dem Cypherpunk-Branding versehen und genehmigt sind, so Open Source wie möglich, mit Crowdsourcing-Sicherheitsüberprüfungen – das Gesamtpaket. Allen würde vergeben werden.
Im Moment sieht es so aus, als ob Ledger nicht vorhat, dies zu tun. Es besteht also die Möglichkeit, Open-Source-Hardware-Wallets zu verwenden, diese verfügen jedoch nicht über die weitreichende Interoperabilität von Ledger mit neuen Blockchains. Oder Sie können Ihr eigenes Portemonnaie erstellen oder einfach die neue generalüberholte Gameboy-Open-Source-Hardware-Wallet verwenden.
Derzeit und für viele Münzen ist es wahrscheinlich die sicherste Option, Ledger zu vertrauen und gleichzeitig für konkurrierende Entwickler von Open-Source-Hardware-Wallets offen zu bleiben.
JW Verret ist außerordentlicher Professor an der Antonin Scalia Law School der George Mason University. Er ist praktizierender Buchhalter für Krypto-Forensik und praktiziert außerdem Wertpapierrecht bei Lawrence Law LLC. Er ist Mitglied des Beirats des Financial Accounting Standards Board und ehemaliges Mitglied des SEC Investor Advisory Committee. Er leitet außerdem das Crypto Freedom Lab, eine Denkfabrik, die sich für Richtlinienänderungen einsetzt, um die Freiheit und Privatsphäre von Krypto-Entwicklern und -Benutzern zu wahren.
Dieser Artikel dient allgemeinen Informationszwecken und ist nicht als Rechts- oder Anlageberatung gedacht und sollte auch nicht als solche verstanden werden. Die hier geäußerten Ansichten, Gedanken und Meinungen stammen ausschließlich vom Autor und spiegeln nicht unbedingt die Ansichten und Meinungen von Cointelegraph wider.