Es gibt eine Debatte darüber, dass die offene/geschlossene Quelle des Krypto-Wallets Auswirkungen auf die Sicherheit im Web haben wird. Hier erklären wir etwas über die Wallet-Sicherheit.
Open-Source ist in der Tat für Benutzer und Experten nützlich, um Audits und Überprüfungen durchzuführen. Allerdings führt Open Source nicht zwangsläufig zu sichereren Lösungen.
Gelegentlich kann Open-Source von Hackern leicht geknackt werden, da die Ressourcen, Codes und Dienstprogramme leicht verfügbar sind. Es gibt viele Schwachstellen bei Open-Source-Produkten wie dem Trezor, dem bekanntesten Open-Source-Hardware-Wallet. *Ref. 1. Unfixable Seed Extraction auf Trezor – Ein praktischer und zuverlässiger Angriff. **Ref. 2. Knacken Sie Trezor in 15 Minuten.
In diesem Artikel werden wir die Grundlagen der Bewertung der Sicherheit einer Hardware-Wallet untersuchen und erklären, warum Open Source nicht unbedingt mit Sicherheit verbunden ist.
Wenn wir die Sicherheit eines Kryptowährungs-Wallets betrachten, gibt es vier Ebenen von Sicherheitsproblemen, die sich grundlegend darauf auswirken können, ob Sie Ihre Krypto-Assets verlieren:
1) Zufälligkeit und Sicherheit der Schlüssel-/Seed-Generierung.
2) Sicherheit und Schutz des privaten Schlüssels/Seeds.
3) Vermeiden Sie Verstöße während des Ausgabenvorgangs oder der Signierung von Transaktionen mithilfe des privaten Schlüssels.
4) Social-Engineering-Schutz. Beispielsweise sollte das Produkt über leistungsstarke Methoden verfügen, um die Offenlegung der PIN zu verhindern.
Im Folgenden finden Sie Beispielanwendungsfälle der vier Sicherheitsebenen:
1.Schlüssel-/Seed-Generierung
Jeder hätte einen berühmten Satz von Andreas Antonopoulos gehört: „Nicht deine Schlüssel, nicht dein Bitcoin.“„Was ist ein Schlüssel, oder genauer gesagt, was ist ein privater Schlüssel? Der private Schlüssel ist eine signifikante Zufallszahl von 256 Bit. Wenn die Schlüsselgenerierung einen Fehler oder eine Hintertür aufweist, kann Ihr Krypto leicht von der Person gestohlen werden, die diese Hintertür erstellt hat.
Benutzer können einen Open-Source-Code eines Open-Source-Wallets explizit prüfen, um zu sehen, ob das Wallet vertrauenswürdige Schlüssel generiert.
Der ELLIPAL Titan verfügt jedoch über eine spezielle Lösung, die andere Closed-Source-Wallets nicht haben. Benutzer können ihre privaten Schlüssel oder Seeds (über mnemonische Wörter) importieren, die sie mit einer vertrauenswürdigen Software generiert haben. Benutzer müssen dem Wallet nicht vertrauen, da die Schlüssel woanders generiert werden. Es ist vertrauensloses Vertrauen.
"ELLIPAL ermöglicht den Import privater Schlüssel, um alle Bedenken zu überwinden, die sich aus der geschlossenen Quelle ergeben.„
Zusätzliche Informationen für neue Benutzer: In einer voll funktionsfähigen Krypto-Wallet gibt es viele untergeordnete private Schlüssel für verschiedene Münzen, die aus einem Seed berechnet werden. Dies wurde von BIP32, BIP39 und BIP44 als HD-Wallet definiert. Wenn Sie Ihr Wallet verlieren, können die mnemonischen Wörter Ihren Seed wiederherstellen und dann die privaten Schlüssel aller Ihrer Münzen in einem neuen Wallet wiederherstellen. Denken Sie also daran, dass „mnemonische Wörter“ eine andere Form Ihrer privaten Schlüssel sind. Bitte geben Sie es NICHT an Dritte weiter; Andernfalls verlieren Sie Ihr Vermögen.
2) Schlüssel-/Seed-Schutz
Die Grundlage des Schutzes privater Schlüssel ist Isolation und formatierter Zugriff. Ein SE-Chip (Secure Element) ist eine häufige Wahl für Ingenieure, wenn sie versuchen, private Schlüssel in einer Hardware-Wallet zu schützen. Eine weitere Alternative, die ebenfalls sehr effektiv ist, besteht darin, die Hardware-Wallet von allen externen Verbindungen zu isolieren, also
Da für eine
"Der QR-Code im offenen Datenformat von ELLIPAL ist noch einfacher zu überprüfen als Open-Source-Code.„
Neben dem Schutz der privaten Schlüssel mithilfe von Software vor Manipulationen und Angriffen können Ingenieure auch die Hardware aufrüsten, um noch mehr Schutz zu gewährleisten. Beispielsweise wurden der Hardware des ELLIPAL Titan Anti-Manipulations- und Anti-Demontage-Funktionen hinzugefügt, um sie vor Angriffen auf die Lieferkette und bösen Dienstmädchen zu schützen.
Angesichts einer Close-Source-Hardware-Wallet mit robustem Software- und Hardwareschutz werden Hacker Jahre brauchen, um das System zu knacken. Andererseits ist es für Hacker einfach, eine Open-Source-Wallet neu zu kompilieren und kennt die Angriffspunkte.
"Bei einem gut geschützten Closed-Source-Wallet wie dem ELLIPAL Titan können Hacker im Vergleich zu Open-Source-Wallets, in denen sich der Code befindet, Jahre brauchen, um das System zu knacken leicht verfügbar, um ausgenutzt zu werden.„
3) Ausgabenprozess
Der Krypto-Ausgabeprozess (Transaktion) wird von Benutzern normalerweise vergessen, wenn es um den Schutz privater Schlüssel geht. Beim Ausgeben konzentriert sich der Angriffspunkt auf den Online-Teil, also die APP. Aufgrund des Online-Charakters der APP ist es leicht, von Hackern angegriffen zu werden. Eine gefälschte Transaktion kann Ihre Münzen an die Adresse des Hackers statt an Ihre senden.
Eine einfache Funktion, die den Benutzer schützen kann, besteht darin, die Adresse des Empfängers durch Dekodierung der vollständigen Transaktionsdaten anzuzeigen. Es spielt keine Rolle, ob Ihr Wallet geschlossen oder Open Source ist; Wenn es Ihnen nicht jeden Teil Ihrer Transaktionsdaten klar anzeigen kann, ist es nicht sicher.
"ELLIPAL Titan zeigt alle Transaktionsdaten deutlich auf seinem großen Bildschirm und in der APP an, damit Benutzer sie vor dem Absenden überprüfen können.„
4) Social Engineering
Unabhängig davon, wie technisch sicher ein Wallet sein mag, verlieren viele Menschen ihr Vermögen, weil sie Opfer von Social-Engineering-Angriffen werden. Das Ausspionieren eines PIN-Codes oder ein Betrüger, der sich als Kundensupport ausgibt, ist ein Social-Engineering-Angriff, der hauptsächlich dafür verantwortlich ist, dass Menschen ihre Münzen verlieren.
Ein Produkt mit gutem Sicherheitsdesign sollte Benutzern helfen, diese Art von Problemen zu vermeiden. Diese stehen in keinem Zusammenhang mit der Öffnung oder Schließung der Wallet. Wenn Sie einfache Ziffern als PIN verwenden und sich dadurch angreifbar machen, kann Open-Source Ihnen nicht weiterhelfen. Wenn ein Wallet wie das ELLIPAL Titan über einen 2-Faktor-Schutz verfügt, ist es schwieriger zu erkennen und sicherer als Open Source.
"ELLIPAL Titan wurde entwickelt, um Ihre Kryptowährung vor den einfachsten, aber unvorstellbaren Angriffen zu schützen.„
----------------
Wir haben im Wesentlichen über Wallet-Sicherheit und Open Source gesprochen. Daraus kann geschlossen werden, dass sie nicht unbedingt miteinander verbunden sind.
Unter einem anderen Gesichtspunkt bietet Open Source der gesamten Community die Möglichkeit, das Produkt in Bezug auf Softwarefunktionen und Sicherheit zu verbessern. Allerdings beschränkt sich dies nur auf den Softwareteil. Wie die Hardware und die Anwendung gestaltet sind, kann noch nicht kontrolliert werden. Für Benutzer ist es immer wichtig, Sicherheit und Kryptowährung zu verstehen, um Hardware-Wallets mit höchstem Sicherheitspotenzial nutzen zu können.
reference
1) https://donjon.ledger.com/Unfixable-Key-Extraction-Attack-on-Trezor/
3) https://github.com/ELLIPAL/js-ellipal
4) https://github.com/ELLIPAL/
5) https://github.com/ELLIPAL/upgrade-file-verification-tool