Am 18. Mai stellte der Krypto-Hardware-Wallet-Anbieter Ledger klar, wie seine Firmware funktioniert, nachdem das Unternehmen einen umstrittenen Tweet vom 17. Mai gelöscht hatte. In dem gelöschten Tweet, von dem Ledger sagte, dass er von einem Kundendienstmitarbeiter verfasst worden sei, hieß es, dass es für Ledger „möglich“ sei, Firmware zu schreiben, mit der die privaten Schlüssel der Benutzer extrahiert werden könnten.
[1/3] Möglicherweise haben Sie einen Tweet von unserem Ledger-Support-Konto gesehen, der bezüglich Ledger-Firmware-Updates geteilt wurde.
Leider hat ein Kundendienstmitarbeiter bei unserem Versuch zu klären, wie Ledger und alle Wallets mit der Firmware funktionieren, einen Tweet mit verwirrender Formulierung gepostet. https://t.co/cL6UrBzxWr
— Ledger-Unterstützung (@Ledger_Support) 18. Mai 2023
Charles Guillemet, Chief Technology Officer von Ledger geklärt In einem neuen Twitter-Thread heißt es, dass das Betriebssystem (OS) der Wallet jedes Mal die Zustimmung des Benutzers erfordert, wenn „ein privater Schlüssel vom Betriebssystem berührt wird“. Mit anderen Worten: Das Betriebssystem sollte nicht in der Lage sein, den privaten Schlüssel des Geräts ohne die Zustimmung des Benutzers zu kopieren – obwohl Guillemet auch sagte, dass die Verwendung eines Ledgers „ein Mindestmaß an Vertrauen“ erfordert.
Im Original-Tweet des Ledger-Kundendienstes heißt es: „Technisch gesehen ist und war es schon immer möglich, Firmware zu schreiben, die die Schlüsselextraktion erleichtert.“ Sie haben Ledger immer darauf vertraut, dass er keine solche Firmware bereitstellt, ob Sie es wussten oder nicht.“
Der Tweet löste auf Twitter einen Feuersturm der Kontroversen aus, da viele Nutzer dem Unternehmen vorwarfen, die Sicherheit seiner Wallet falsch darzustellen. Kritiker teilten einen angeblichen Ledger-Beitrag vom November, in dem es hieß: „Ein Firmware-Update kann die privaten Schlüssel nicht aus dem Secure Element extrahieren“, was darauf hindeutet, dass das Unternehmen sich selbst widersprochen habe.
Obwohl der gelöschte Tweet die Kontroverse anheizte, entfachte die Angelegenheit erstmals am 16. Mai, als das Unternehmen einen neuen „Ledger Recover“-Dienst vorstellte, der es Benutzern ermöglicht, ihre geheime Wiederherstellungsphrase zu sichern, indem sie sie in drei Shards aufteilt und an verschiedene Datenverwahrstellen sendet Dienstleistungen. Der gelöschte Tweet war eine Reaktion auf die Veröffentlichung der neuen Funktion.
Nov. 2022: Ein Firmware-Update kann die privaten Schlüssel nicht aus dem Secure Element – Ledger extrahieren
Mai 2023: Technisch gesehen ist und war es schon immer möglich, Firmware zu schreiben, die die Schlüsselextraktion erleichtert – Ledger@Hauptbuchverstehst du jetzt das Problem? pic.twitter.com/czG53SuCOu
– Olimpio (@OlimpioCrypto) 17. Mai 2023
Im neuen Twitter-Thread von Guillemet heißt es, dass die Firmware bzw. das Betriebssystem des Wallets „eine offene Plattform“ in dem Sinne sei, dass „jeder seine eigene App schreiben und auf das Gerät laden kann“. Bevor Apps für die Ledger Manager-Software zugelassen werden, werden sie zunächst vom Team bewertet, um sicherzustellen, dass sie nicht bösartig sind und keine Sicherheitslücken aufweisen.
Laut Ledger erlaubt das Betriebssystem einer App auch nach der Genehmigung nicht, den privaten Schlüssel für ein Netzwerk zu verwenden, für das sie nicht erstellt wurde. Das Unternehmen führte das Beispiel an, dass Bitcoin-Apps die privaten Ethereum-Schlüssel des Geräts nicht verwenden dürfen und umgekehrt für Ethereum-Apps und Bitcoin-Schlüssel. Darüber hinaus verlangt das Betriebssystem jedes Mal, wenn ein privater Schlüssel von einer App verwendet wird, dass Benutzer ihre Zustimmung zur Verwendung des Schlüssels bestätigen, so Ledger. Dies scheint zu implizieren, dass auf Ledger installierte Drittanbieter-Apps nicht in der Lage sein sollten, den privaten Schlüssel einer Person zu verwenden, ohne dass der Benutzer zuvor seiner Verwendung zugestimmt hat.
Guillemet bestätigte außerdem, dass dieses System Teil des aktuellen Betriebssystems ist, das theoretisch geändert werden könnte, wenn Ledger unehrlich wird oder ein Angreifer irgendwie die Kontrolle über die Computer des Unternehmens erlangt:
„Wenn das Wallet eine Hintertür implementieren möchte, gibt es viele Möglichkeiten, dies zu tun, in der Zufallszahlengenerierung, in der kryptografischen Bibliothek, in der Hardware selbst.“ Es ist sogar möglich, Signaturen zu erstellen, sodass der private Schlüssel nur durch Überwachung der Blockchain abgerufen werden kann.“
Verwandt: „Vertrauenswürdiger“ Marktplatz verkaufte gefälschte Trezor-Hardware-Wallets und stahl Krypto
Der Chief Technology Officer von Ledger wies diese Bedenken jedoch zurück und erklärte: „Die Verwendung einer Wallet erfordert ein Mindestmaß an Vertrauen.“ Wenn Ihre Hypothese lautet, dass Ihr Wallet-Anbieter der Angreifer ist, sind Sie verloren.“ Er fuhr fort, dass die einzige Möglichkeit für Benutzer, sich vor einem unehrlichen Wallet-Entwickler zu schützen, darin bestehe, ihren eigenen Computer, Compiler, Wallet-Stack, Knoten und Synchronisierer zu bauen, was laut der Führungskraft „eine lebenslange Reise“ sei.
Der konkurrierende Hardware-Wallet-Anbieter GridPlus hat angeboten, seine Firmware als Open-Source-Version bereitzustellen, um Ledger-Benutzer anzulocken. Andererseits erklärte Guillemet, dass Open-Source-Firmware keinen Schutz vor einem unehrlichen Wallet-Anbieter bieten würde, da der Benutzer keine Möglichkeit hätte zu wissen, ob der veröffentlichte Code tatsächlich auf dem Gerät ausgeführt wird.
Magazin: Joe Lubin: Die Wahrheit über die Spaltung der ETH-Gründer und „Crypto Google“