原作者：ビットコインツール開発会社Foundationのコンテンツ責任者 @Sethforprivacy

元の編集: PANews

元の編集: PANews

Ledgerは5月16日、IDベースの鍵回復サービスとして、ユーザーの秘密鍵をバックアップして復元する鍵ニーモニック回復機能「Ledger Recover」を導入するNano Xコールドウォレット2.2.1ファームウェアアップデートをリリースした。これを有効にするにはサブスクリプション (月額 9.99 ドル) が必要です。現在、このサービスに加入するには EU、英国、カナダ、または米国が発行したパスポート/身分証明書が必要ですが、今後数か月のうちにさらに多くの国が対象となり、より多くの書類のサポートが追加される予定です。

しかし、この機能のリリースにより、多くの Web3 ユーザーがプライバシーとセキュリティについて心配するようになりました。特に、秘密鍵のニーモニック ワードを保存し、それらをパスポートや ID 文書に関連付ける場合、これは明らかに暗号化のプライバシー価値に違反します。コミュニティ。ビットコインツール開発会社Foundationのコンテンツ責任者は、レジャーの最新の仮想通貨保管ソリューションの「危険性」を批判する投稿を投稿した。

Ledgerの新製品の核心は、ユーザーのニーモニックを断片化し、暗号化する前にニーモニックを3つの部分に分割すると同時に、ユーザーは自分のIDとセルフィー記録を提供する必要があり、その後3人の管理者を信頼することであると言われているこれらの情報は人間が保護しています。

ただし、Ledger がこれを行うには問題があります。

まず第一に、この「ニーモニック フレーズ回復」システムを使用するには、ID 識別情報を Ledger アカウントに関連付ける必要があります。これにより、KYC の問題が発生し、データ漏洩、ハッキング、検閲と監視の問題が発生します。

次に、第三者を信頼し、自分のID情報や仮想通貨に関する情報を第三者に引き渡す必要もあります。この場合、データ漏洩またはハッキングが発生する可能性が非常に高くなります。結局のところ、Ledger ユーザー データは (現在も将来も) 非常に価値があり、「認定された第三者」がいつでもあなたのデータを収益源として使用することを決定する可能性があります。

さらに、Ledger Recover サービスはユーザーのプライバシーも侵害します。現在、ほとんどのLedgerユーザーは、Ledgerアカウントに自分のIDをバインドするのではなく、Ledgerノードを使用してすべてのウォレットを同期するLedger Liveソフトウェアサービスの使用を選択しています。これには、ウォレット内の暗号通貨アクティビティのすべての詳細が含まれています。 Ledger Live を使用する場合はリスクが高くなります。

公開された情報によると、すべてのKYCデータは「Onfido」という会社によって収集され、KYC情報の検証などを担当し、Ledgerユーザーが自分の身元をアップロード/検証する際に、ユーザーID、セルフィービデオ、写真/ビデオ/を保持します。サウンド、ユーザーのデバイスと現在のアクティビティの全体像。

これは、Onfido があなたの ID とあなたが Ledger ユーザーであるという事実を完全に制御できることを意味します。もちろん、彼らはあなたが暗号通貨を保有していることを確実に知っています。 Onfido は、ユーザーが認証に使用するデバイスについても完全に把握しているため、ID データに関して Ledger と「認定された第三者」を信頼するだけでなく、デバイスなどについても Onfido を信頼できるようになります。

これらの操作はすべて、簡単に新たな脅威につながる可能性があります。次に、技術的な観点からさらに分析してみましょう。

技術的な観点から見ると、プロセス全体のコードは閉じられており検証できないため、ユーザーは Ledger を「100%」信頼する必要があります。 Ledgerの共同創設者であるNicolas Bacca氏は、彼のチームは将来的にそのコードを公開して、Ledgerの回復サービスがどのようにユーザーデータを安全に暗号化し、内部で安全に動作するかをユーザーが確認できるようにする予定であると述べたが、Ledgerはその回復サービスに完全にアクセスできるようにもしている。サードパーティのカストディアンとのパートナーシップについては透明性を保つ必要がありますが、少なくともこの記事の執筆時点では、Ledger は関連するコードをオープンソース化していません。つまり、Ledger 自身以外の誰も、実際に何が起こっているか/セキュリティを検証できません。

すべてが説明どおりに進む場合、理論的には、ユーザーのシード フレーズが暗号化されていない状態でデバイスを離れることはありません。ただし、これを検証し、これらのシード フレーズが安全に完成していること、または適切に暗号化されていることを確認する方法はありません。しかし、1 つ確かなことは、コードがレジャー上で実行され、USB/BT 経由でニーモニックを送信できるようになったということです。別の観点から見ると、この時点であなたの財布はいわゆる「コールドウォレット」ではなく、「コールドウォレットからホットウォレットに変わる」ことになります。それだけでなく、数回のキーストロークでウォレットを「ホット」できることにより、フィッシングやマルウェアの新たな攻撃ベクトルが大量に開かれ、ハッカーが知らず知らずのうちにシード フレーズを入手する可能性があります。

現段階では、誰かが暗号化されたシャードニーモニックを 1 人または 3 人の異なる管理者に送信できないようにするためのセキュリティ対策が Ledger に組み込まれているかどうか、あるいはユーザーが復号化するユーザーのみがシャードニーモニックを送信できるのかどうかを判断することはできません。それは自分自身で。

ここには別の問題があり、ニーモニックの回復プロセスや復号化プロセスがどのように機能するかを知ることができません。ユーザーは台帳にログインして身元を確認する必要がありますが、復号化が自分のデバイスでのみ実行できる場合、新しいデバイスはどのようにして復号化キーを取得するのでしょうか?

エンドツーエンド暗号化 (E2EE) スキームでは、通常、新しいデバイスを承認して復号キーを送信する方法がありますが、台帳を紛失した場合、ユーザーは実際にはそれを行うことができないため、他の誰かがそれを行うことができます。ニーモニックの回復には、送信されたレジャー復号化キーのコピーが必要です。

この場合、これらの復号化キーは誰が所有するのでしょうか?レジャーですか？それともLedger RecoverにログインしてID認証した後、暗号化されてどこかに置かれるのでしょうか？もしそうなら、復号化キーはどのように保存され、どのような技術で暗号化され、どのように認証されるのでしょうか?

最初のレベルのタイトル

要約する

要約する