Ledger представив пояснення роботи його прошивки після суперечки про видалення твітів

18 травня постачальник апаратного гаманця для криптовалюти Ledger пояснив, як працює його прошивка після того, як компанія видалила суперечливий твіт від 17 травня. У видаленому твіті, який, за словами Леджера, був написаний агентом служби підтримки клієнтів, було зазначено, що для Леджера «можливо» написати прошивку, яка могла б витягувати закриті ключі користувачів.

https://twitter.com/OlimpioCrypto/status/1658906101713182732?ref_src=twsrc%5Etfw

У новій темі Twitter від Guillemet стверджується, що прошивка гаманця, або ОС, є «відкритою платформою» в тому сенсі, що «будь-хто може написати власний додаток і завантажити його на пристрій». Перш ніж отримати доступ до програмного забезпечення Ledger Manager, команда спочатку перевіряє програми, щоб переконатися, що вони не шкідливі та не мають недоліків у безпеці.

За словами Леджера, навіть після схвалення програми ОС не дозволяє їй використовувати закритий ключ для мережі, для якої вона не створена. Компанія навела приклад, коли додаткам для біткойнів заборонено використовувати приватні ключі Ethereum пристрою, і навпаки для додатків Ethereum і ключів для біткойнів. Крім того, кожен раз, коли приватний ключ використовується програмою, Леджер каже, що ОС вимагає від користувачів підтвердити свою згоду на використання ключа. Здається, це означає, що програми сторонніх розробників, встановлені на Ledger, не повинні мати можливість використовувати закритий ключ особи без попередньої згоди користувача на його використання.

Гійме також підтвердив, що ця система є частиною поточної ОС, яка теоретично може бути змінена, якщо Ledger стане нечесним або якщо зловмисник якимось чином отримає контроль над комп’ютерами компанії:

«Якщо гаманець хоче запровадити бекдор, є багато способів зробити це, у генерації випадкових чисел, у криптографічній Library, у самому обладнанні. Можна навіть створити підписи, щоб приватний ключ можна було отримати лише шляхом моніторингу блокчейну».

За темою: «Надійний» ринок продавав підроблені апаратні гаманці Trezor, які крали криптовалюту

Тим не менш, технічний директор Ledger відкинув це занепокоєння, заявивши: «Використання гаманця вимагає мінімальної довіри. Якщо ваша гіпотеза полягає в тому, що ваш постачальник гаманця є зловмисником, ви приречені». Далі він сказав, що єдиний спосіб захистити себе від нечесного розробника гаманця — створити власний комп’ютер, компілятор, стек гаманця, вузол і синхронізатор, що, за словами виконавчого директора, є «мандрівкою всього життя».

Конкуруючий постачальник апаратного гаманця GridPlus запропонував відкрити вихідний код своєї мікропрограми, намагаючись залучити користувачів Ledger. З іншого боку, Guillemet заявив, що мікропрограмне забезпечення з відкритим кодом не захистить від нечесного постачальника гаманця, оскільки користувач не зможе дізнатися, чи дійсно опублікований код працює на пристрої.