Ripple CTO David Schwartz har delt sit bud på den kontroversielle Ledger Recover-tjeneste. Hardware wallet-udbyderen Ledger vakte opsigt i kryptosamfundet, efter detaljerne om dens nyligt introducerede Ledger Recover-tjeneste dukkede op online.
Ifølge virksomhedens sidste Twitter-opdatering krypterer den nye Ledger Recover en version af brugerens private nøgle og opdeler den i tre fragmenter (ved hjælp af Shamir Secret Sharing); alt dette sker på Secure Element-chippen.
Her er en forklaring på, hvad vi alle forstod (indtil for nylig) var Ledgers sikkerhedsmodel og værdiforslag.https://t.co/zxNAU0caJA
— David "JoelKatz" Schwartz (@JoelKatz) Maj 17, 2023
Sikkerhedsbekymringer er blevet rejst over det nye produkt, da mange mennesker tror, at hackere kunne bruge tjenesten til at "gendanne" brugernes frøsætninger.
Bekymringerne er ikke ubegrundede, fordi Ledger oplevede et datalæk i 2020, der offentliggjorde cirka 300,000 klienttelefonnumre, fysiske adresser og mere end en million e-mailadresser.
Schwartz henviste til et tweet den 15. november 2022, hvor Ledger gjorde det kendt, at private nøgler aldrig forlader Secure Element-chippen, som aldrig er blevet hacket.
Ledger nævnte i tweetet også, at Secure Element er tredjepartscertificeret, idet det er den samme teknologi, der bruges i pas og kreditkort, og at en firmwareopdatering ikke kunne udtrække de private nøgler fra Secure Element.
Ripple CTO nævnte, at dette var det, man indtil for nylig har forstået om Ledgers sikkerhedsmodel og værdiforslag.
Ripple CTO og Solanas medstifter kommenterer
I en anden tråd af tweets, hvor Ripple CTO og Solanas medstifter Anatoly Yakovenko reagerede på en brugers bekymring over det nye Ledger-produkt, fastholdt Schwartz sin holdning: "Jeg stolede på, at de skulle designe en enhed, der ikke var i stand til at eksfiltrere nøgler, fordi det er, hvad de eksplicit sagde."
Han havde kommenteret under Solana-medstifterens tweet, "Hvis du stolede på dem før ikke at eksfiltrere dine nøgler, kan du stole på, at de nu ikke gør det, når denne funktion er slået fra. Jeg tror, at angrebsfladen er omtrent den samme."
På Twitter udtrykte en bruger sine forbehold over for produktet og udtalte, at en virkelig sikker hardwarepung ikke burde kunne sende brugernes private nøgler. "Enhedens fejl er dens evne til at sende den private nøgle," sagde han.
Ifølge oplysninger fra hardware wallet-udbyderen er Ledger Recover et valgfrit abonnement for brugere, der ønsker en sikkerhedskopi af deres hemmelige gendannelsessætning, som ikke automatisk aktiveres af nogen firmwareopdateringer.
Kilde: https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details