Tehnički direktor Ripplea David Schwartz podijelio je svoje mišljenje o kontroverznoj usluzi Ledger Recover. Dobavljač hardverskih novčanika Ledger izazvao je komešanje u kripto zajednici nakon što su se detalji njegove novouvedene usluge Ledger Recover pojavili na internetu.
Prema posljednjem Twitter ažuriranju tvrtke, novi Ledger Recover šifrira verziju korisničkog privatnog ključa i dijeli ga na tri fragmenta (koristeći Shamir Secret Sharing); sve se to događa na čipu Secure Element.
Evo objašnjenja onoga što smo svi razumjeli (sve donedavno) da je Ledgerov sigurnosni model i ponuda vrijednosti.https://t.co/zxNAU0caJA
— David “JoelKatz” Schwartz (@JoelKatz) Neka 17, 2023
Izražena je sigurnosna zabrinutost zbog novog proizvoda jer mnogi ljudi vjeruju da bi hakeri mogli koristiti uslugu za "oporavak" početnih fraza korisnika.
Zabrinutost nije neutemeljena jer je Ledger 2020. doživio curenje podataka zbog čega je približno 300,000 telefonskih brojeva klijenata, fizičkih adresa i više od milijun adresa e-pošte postalo javnim.
Schwartz se pozvao na tweet od 15. studenog 2022. u kojem je Ledger dao do znanja da privatni ključevi nikada ne napuštaju čip Secure Element, koji nikada nije bio hakiran.
Ledger je u tweetu također spomenuo da je Secure Element certificiran od treće strane, što je ista tehnologija koja se koristi u putovnicama i kreditnim karticama te da ažuriranje firmvera ne može izdvojiti privatne ključeve iz Secure Elementa.
Rippleov tehnički direktor spomenuo je da je to ono što se do nedavno shvaćalo o Ledgerovom sigurnosnom modelu i ponudi vrijednosti.
Rippleov tehnički direktor i suosnivač Solane komentiraju
U drugoj niti tweetova u kojima je Rippleov tehnički direktor i suosnivač Solane Anatolij Jakovenko odgovorio na zabrinutost korisnika o novom Ledger proizvodu, Schwartz je ostao pri svom stavu: “Vjerovao sam im da će dizajnirati uređaj koji nije u stanju eksfiltrirati ključeve jer je to ono što oni eksplicitno tvrde rekao je."
Ispod tvita suosnivača Solane komentirao je: “Ako ste im prije vjerovali da neće izvući vaše ključeve, sada im možete vjerovati da to neće učiniti kada je ta značajka isključena. Mislim da je površina napada otprilike ista.”
Na Twitteru je korisnik izrazio svoje rezerve prema proizvodu, navodeći da istinski siguran hardverski novčanik ne bi trebao moći slati privatne ključeve korisnika. "Greška uređaja je njegova sposobnost slanja privatnog ključa", rekao je.
Prema pojedinostima koje pruža dobavljač hardverskog novčanika, Ledger Recover je izborna pretplata za korisnike koji žele sigurnosnu kopiju svoje tajne fraze za oporavak koja nije automatski omogućena bilo kojim ažuriranjem firmvera.
Izvor: https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details