Atnaujintos kriptovaliutų piniginės „Ledger“ gali būti prieinamos valstybinėms institucijoms

Kripto, SaugumasDovilė Barauskaitė
Suprasti akimirksniu
Kripto saugumas
Privačių kriptovaliutų raktų saugumas nėra toks aiškus. Tima Miroshnichenko/ Pexels nuotrauka

Ar tikrai kriptovaliutų privatumas ir saugumas toks pat, kaip žadama?

Kriptovaliutos, kaip skaitmeninė arba virtuali valiuta, kurios saugumui užtikrinti naudojama kriptografija, sukėlė revoliuciją finansų srityje. Svarbiausia kriptovaliutų kontrolės ir nuosavybės dalis yra kriptografinio privataus rakto sąvoka. Šis raktas yra panašus į slaptažodį, kuris suteikia jo turėtojui galimybę išleisti arba pervesti savo kriptovaliutas, laikomas atitinkamu viešuoju adresu. Todėl privataus rakto saugumas yra itin svarbus.

Privatusis raktas yra sudėtinga kriptografijos forma, leidžianti naudotojui pasiekti savo kriptovaliutą. Tai unikali raidinė-skaitmeninė eilutė, suteikianti jos savininkui galimybę kontroliuoti savo skaitmeninį turtą. Jei kas nors kitas gauna prieigą prie privataus rakto, jis visiškai kontroliuoja susijusias lėšas. Ir atvirkščiai, jei raktas prarandamas, kriptovaliutos faktiškai taip pat prarandamos[1].

Kodėl privataus rakto saugumas yra svarbus?

  • Sandorių negrįžtamumas: Kriptovaliutų sandoriai yra negrįžtami. Jei kas nors neteisėtai gauna prieigą prie jūsų privataus rakto ir perveda lėšas, nėra jokio būdo jas susigrąžinti.
  • Visiška kontrolė: Bet kuris asmuo, turintis jūsų privatų raktą, turi tokią pačią jūsų lėšų kontrolę kaip ir jūs. Nėra jokių antrinių priemonių, kurios neleistų jiems išleisti tų lėšų.
  • Reguliavimo trūkumas: Kriptovaliutos dažnai nepatenka į tradicinių bankininkystės taisyklių jurisdikciją, todėl paprastai nėra institucijos, kuri galėtų įsikišti vagystės ar praradimo atveju.
Kriptovaliutos
Virtualių valiutų privatūs raktai gali būti prieinami kitiems. Rdne stock project/ Pexels nuotrauka

Geriausia privačių raktų saugumo praktika, naudojama tiek įmonių ir biržų, tiek vartotojų, turėtų padėti užtikrinti šį reikalingą suagumą. Aparatinės piniginės yra fiziniai įrenginiai, kuriuose privatūs raktai saugomi neprisijungus prie interneto, todėl jie yra atsparūs internetiniams įsilaužimo bandymams. Tai vienas iš būdų saugumui užtikrinti.

Laikant raktą visiškai neprisijungus prie interneto, rizika, kad jis bus atskleistas, sumažinama iki minimumo. Panašus tikslas yra ir naudojant debesų saugyklas. Saugant privačius raktus debesų saugyklose, jie tampa potencialiai pažeidžiami dėl galimų įsilaužimų ir neteisėtos prieigos. Visada laikykite privačius raktus neprisijungę prie interneto arba itin saugioje skaitmeninėje aplinkoje.

Kai privatūs raktai saugomi skaitmeninėse piniginėse, stiprūs slaptažodžiai ir dviejų veiksnių autentifikavimas gali suteikti dar vieną saugumo lygį. Kelių parašų piniginės reikalauja kelių privačių raktų, kad būtų galima autorizuoti sandorį. Tai suteikia papildomą saugumo lygį, nes įsilaužėliui reikėtų gauti visus susijusius privačius raktus, kad įgytų turto kontrolę. Reguliariai kurkite atsargines privačių raktų kopijas keliose saugiose vietose. Tai gali būti fizinės kopijos, laikomos seife, arba saugios skaitmeninės kopijos užšifruotame diske.

Privatūs kripto raktai po nekaltų atnaujinimų gali būti pasiekiami vyriausybės institucijoms

Žinomas Paryžiuje įsikūręs kriptovaliutų piniginės gamintojas „Ledger“ pristatė naują raktų atkūrimo funkciją, kuri kriptovaliutų bendruomenėje sukėlė ir entuziazmo, ir ginčų. Šis pasirinktinis atnaujinimas, skirtas specialiai „Nano X“ modeliams, skirtas tam, kad naudotojai galėtų susigrąžinti savo privačius raktus, panašiai kaip susigrąžinti pamirštus slaptažodžius.

Nors šia funkcija siekiama palengvinti prisijungimą prie sistemos ir suteikti papildomo komforto, kai kurie ją laiko potencialia grėsme saugumui, nesuderinama su kriptovaliutų pasaulio savikontrolės principais. „Ledger“ manė, kad leidimas naudotojams susigrąžinti privačius raktus, atitiktų kriptovaliutų filosofiją kai ne tavo raktai, ne tavo monetos.

Ši nauja funkcija, pavadinta „Ledger Recover“, sukuria užšifruotas naudotojo pradinės frazės (seka, naudojama prarastai piniginei susigrąžinti) atsargines kopijas ir dalijasi jomis su patikimais saugotojais, tokiais kaip „Ledger“. Atkūrimo sąranka veikia padalijant 24 žodžių atkūrimo frazę į tris užšifruotas dalis, saugomas trijose skirtingose vietose. Atskiros dalys yra nenaudingos, o norint jas atkurti, reikia visų trijų[2].

Tai reiškia, kad jei naudotojas praranda arba pamiršta savo pradinę frazę, jis gali prašyti saugyklos pagalbos ir įrodyti savo tapatybę, kad būtų atkurtas jo privatus raktas. Procesas apima naudotojo tapatybės patvirtinimą, atsarginės kopijos sukūrimą įrenginyje, tada atsarginės kopijos užšifravimą ir padalijimą. Užšifruotos dalelės perduodamos saugotojams, o kiekvienas saugotojas pasilieka po vieną dalelę.

Saugumo klausimai
Kriptovaliutų fondams ir jų privatumui kyla grėsmės kai privatūs raktai nėra pilnai apsaugoti. Worldspectrum/ Pexels nuotrauka

„Ledger“ vadovai išduoda, kad nauja funkcija sukelia saugumo sprągų

Pasak įmonės komunikacijos vadovo Philip Costigan, atstatymo frazės šifravimas, skaidymas ir iššifravimas saugiai vyksta „Ledger“ saugaus elemento luste. Pats įrenginys nepalaiko ryšio per internetą, o perduodant dalelytes saugotojams reikia „Ledger“ piniginę bluetooth ryšiu prijungti prie naudotojo telefono. Ši funkcija sulaukė kritikos, daugiausia susijusios su jos suderinamumu su aparatinės piniginės paskirtimi, apsaugoti privačius raktus nuo neteisėtos prieigos[3].

Konkuruojančios aparatinės piniginės gamintojai abejoja, kad sėklų arba akcijų perdavimas internetu iš esmės keičia aparatinės piniginės saugumo modelį. Jie išreiškė rimtų abejonių dėl šio pakeitimo perspektyvumo. Kritikai nerimauja dėl galimos rizikos, susijusios su programinės įrangos atnaujinimu ir visa atkūrimo sąranka, abejoja jos saugumu. Tačiau „Ledger“ ir toliau primygtinai pabrėžia funkcijos saugumą.

Viename interviu „Ledger“ generalinis direktorius Pascalis Gauthier patvirtino, kad vyriausybė galėtų gauti prieigą prie klientų privačių raktų per šią atkūrimo funkciją teismo šaukimo atveju. Nors P. Gauthier paaiškino, kad šaukimai į teismą skirti ne visiems ir paprastai išduodami kraštutiniais atvejais, pavyzdžiui, atliekant su terorizmu susijusius tyrimus, jo komentarai sukėlė kriptovaliutų bendruomenės susirūpinimą. Kriptovaliutų bendruomenės nuomonės dėl šios funkcijos ir toliau nesutampa: vieni ją laiko patogia galimybe naudotojams, pametusiems privačius raktus, o kiti mano, kad tai yra potencialios užpakalinės durys, pro kurias vyriausybė gali gauti prieigą be įgaliojimų.

Šis susiskaldymas atspindi platesnę diskusiją apie kriptovaliutų ekosistemos saugumą, privatumą ir patogumą naudotojams. Kai kurie kriptovaliutų turėtojai išreiškė abejonių dėl naujosios Ledger funkcijos, teigdami, kad ji kenkia savikontrolės ir decentralizacijos principams, už kuriuos pasisako kriptovaliutos ir blokų grandinės. Tačiau kiti ją laiko labai reikalingu bendros problemos sprendimu, pabrėždami, kad paslauga yra neprivaloma ir skirta naudotojams, kuriems reikia greito monetų susigrąžinimo.

Saugumas ir atakų galimybė kelia dar daugiau klausimų

Kriptovaliutų pasaulyje netrūksta ginčų, iššūkių ir diskusijų, o neseniai pasirodęs žinomo aparatinių piniginių gamintojo „Ledger“ atnaujinimas dar kartą išjudino diskusijų sūkurį. Pranešime, kuris daugelį naudotojų privertė kraipyti galvas, o kitus net ir atvirai piktintis, įmonė pristatė naują atnaujinimą, kuris, regis, prieštarauja jų ankstesnėms pozicijoms dėl privačių raktų ir interneto saugumo.

Į bendrovę pasipylė kritika, kaltinant „Ledger“, kad naujasis pasiūlymas prieštarauja jos ankstesniems teiginiams apie privačių raktų laikymą atokiau nuo interneto. Ne vienas kriptovlaiutų entuziastas klausė, kaip klientai gali būti užtikrinti, kad įrenginyje esantys privatūs raktai nebus nutekinti per programinės įrangos atnaujinimą, ypač jei kas nors bendrovėje ketina tai padaryti[4].

Atsakydama „Ledger“ bandė sumažinti susirūpinimą pabrėždama, kad privatūs raktai niekada nepalieka saugaus lusto, gyrėsi trečiosios šalies sertifikatu ir lygino šią technologiją su pasuose ir kredito kortelėse naudojama technologija. Jie teigė, kad programinės įrangos atnaujinimai negali ištraukti privačių raktų iš „Secure Element“ lusto. Tačiau naudotojai greitai atkreipė dėmesį į susirūpinimą keliantį aspektą: pasirodė, kad atnaujinimai daro beveik tai, ko „Ledger“ teigė nedarysianti. Atkūrimo proceso metu, kaip aiškina įmonė, išgaunamas ne pats privatus raktas, o jį koduojanti pradinė frazė.

Tai daugeliui sukėlė nerimą, priversdamas susirūpinti, kad tai, kas anksčiau buvo laikoma saugiai laikoma, dabar potencialiai gali palikti jų aparatinę piniginę ir keliauti kitur. Kilo klausimų dėl įmonės ketinimų ir galimybės išgauti ir rinkti naudotojų sėklines frazes be tinkamos apsaugos. Buvo klausiama: jei „Ledger“ gali atnaujinti programinę įrangą, kad galėtų manipuliuoti raktais, ar jie negali to paties padaryti, kad išgautų neužšifruotus duomenis. Vėliau ištrintame atsakyme įmonės buvo pripažinta, kad techniškai įmanoma parašyti programinę įrangą, kuri palengvina rakto išgavimą.

Negalima nepaisyti galimų pavojų ir buvusių „Ledger“ pažeidimų

Archyvuotose temose socialiniuose tinkluose matyti daugybė dabar jau ištrintų „Ledger“ atstovų žinučių, kuriomis bandoma paaiškinti savo poziciją, pabrėžiama naudotojo vykdoma atnaujinimų kontrolė ir primygtinai teigiama, kad PIN atrakinimo įrenginio patvirtinimas neleidžia išgauti rakto, net jei įrenginys yra jų žinioje. Tačiau klausimai ir toliau išlieka. Diskusijų centre ir susirūpinimas dėl bendrovės galimybių ir įrenginių patikimumo.

Kriptovaliutų kūrėjas ir tyrėjas Laurence E. Day atkreipė dėmesį į pagrindinę problemą: „Ledger“ kodas yra uždaro kodo principo, todėl neįmanoma peržiūrėti, ką iš tikrųjų daro atnaujinimas. Atrodo, kad didžiausią nerimą kelia tai, kad buvo pažeistas „Ledger“ ir jos naudotojų pasitikėjimas. Įmonės pareiškimų prieštaravimai sukėlė nerimą, be to, kilo kitų susirūpinimą keliančių klausimų, susijusių su privatumu, galimu duomenų nutekėjimu, įsilaužimais, vyriausybine cenzūra ar stebėjimu. Be to, pasirinkus atkūrimo funkcijos atnaujinimą, tapatybės gali būti susietos su kriptovaliutų piniginėmis, taip sukuriant scenarijų, artimesnį centralizuotoms biržoms su KYC patikrinimais.

Ankstesni „Ledger“ saugumo pažeidimai, tokie kaip 2020 m. liepos mėn. įvykęs pažeidimas, kai buvo pavogta 272 000 naudotojų informacija, nekelia pasitikėjimo[5]. Taip pat buvo iškeltas pavojus, kad naująja sistema gali būti žaidžiama. Kaip perspėjo ne vienas saugumo ekspertas, visada yra rizika, kad naudojant dirbtinio intelekto technologijas bus apsimetama siekiant gauti pradinių akcijų.

Kai kurie nerimauja, kad ateityje „Ledger“ gali padaryti šią funkciją privalomą, galbūt dėl reguliavimo priežasčių. Atrodo, kad visa ši situacija prieštarauja kriptovaliutų etosui, kuris kalba apie galimybę būti savo banku, nepriklausyti nuo tarpininkų. Nors patikimų saugotojų naudojimas kriptovaliutose nėra naujiena, aparatinės piniginės visada simbolizavo asmeniškesnį ir saugesnį požiūrį į skaitmeninio turto valdymą.

Šis „Ledger“ atnaujinimas atskleidė pasitikėjimo sprągas ir išprovokavo didelius kriptovaliutų bendruomenės neramumus. Ši situacija reikalauja daugiau skaidrumo, didesnio įsitraukimo ir galbūt pakartotinio įvertinimo, kaip tokios bendrovės suderina naujoves su savo naudotojų bazės giliai puoselėjamomis vertybėmis. Dabartinė pasipiktinimo banga pabrėžia faktą, kad kriptovaliutų pasaulyje pasitikėjimas yra sunkiai įgyjamas ir lengvai prarandamas, todėl įmonės turi elgtis atsargiai, kad išlaikytų savo klientų pasitikėjimą.