が宣伝した機能が最近かなりの騒ぎを引き起こしました 元帳、接続されたハードウェアウォレットの有名なメーカーであり、これにより、 シード 目的のために バックアップ.
したがって、私が行っていることの概要を簡単に理解することが有益であると考えています。 クリプトウォレット、それらがどのように機能するか、市場に出回っているさまざまなタイプと関連する安全上のリスクについて説明します。
Un 財布暗号通貨のコンテキストでは、ユーザーが暗号通貨を安全に管理、保存、転送できるようにするアプリケーションまたはデバイスです。 それは次のように機能します デジタルウォレット ユーザーは、自分の暗号通貨にアクセスして制御するために必要な独自の暗号キー (秘密キーと公開キー) を保持できます。
通常、 財布 いわゆる「シード」をインポートまたは生成できます。
Il シード (シードフレーズ、「ニーモニック」とも呼ばれます)は、特定のアルゴリズムを使用して生成された、通常 12 または 24 の単語で構成されるランダムな単語のシーケンスです。 の シード の作成プロセスの開始時に生成されます。 財布 を表します 秘密キーを表す簡略化された形式。 本 シード 通常は関数を使用して生成されます ハッシュ 暗号的に安全であり、秘密キーのバックアップの一種と考えることができます。
より正確には、 シード は秘密キーを簡略化してニーモニックに表現したものですが、秘密キーは暗号化キーの元の完全な形式です。
の大きな利点は、 シード 複数の秘密鍵を生成する機能です。 を使用して、 シード、一連の派生秘密キー、つまり「子キー」を生成することが可能で、これによりウォレット内で複数のアドレスを管理できるようになります。 また、 シード の回復に使用できます。 財布 デバイスの紛失または破損の場合。
Il シード 実際、それは私たちの暗号通貨へのアクセスキーです。 を所持している人は誰でも、 シード に預けられた資金を自由に処分できます 財布.
Un 財布 また、取引を行ったり、暗号通貨の残高を表示したり、取引履歴を監視したりするためのユーザー インターフェイスも提供します。
大きく分けてXNUMXつのタイプがあり、 財布:
-
ウォレットソフトウェア モバイルデバイスまたはコンピュータ用
-
ハードウェアウォレット 物理的 (接続されたものまたは エアギャップ)
オンライン ウォレットについては話したくありません。なぜなら、「キーではなく、コインではない」という原則により、オンライン ウォレットでは仮想通貨の制御が実際に失われ、外部サービスに完全に委任されてしまうからです。
I ウォレットソフトウェア これらは PC または電話にインストールされるプログラムであり、秘密キーの生成と保存、およびトランザクションへの署名を可能にします。
I ハードウェアウォレット 同じ機能を実行しますが、いくつかの違いがあります。
-
秘密キーの生成と保存: ハードウェア ウォレットは秘密キーを安全に生成し、デバイス自体の内部に保存します。 このデバイスは、秘密キーを抽出することを目的とした外部攻撃に耐えられるように設計されています。 財布;
-
オフライン トランザクション署名: トランザクションを行う必要がある場合、 ハードウェアウォレット デバイス内で安全にトランザクションに署名できます。
Un ハードウェアウォレット それよりも確実に安全です ウォレットソフトウェア 従来型は常にインターネットに接続されているため、攻撃にさらされる可能性が非常に高くなります。
I ハードウェアウォレット さらに、それらは XNUMX つの大きなカテゴリに分類されます。接続" それらの "エアギャップ"。
I 接続されたウォレット これらは、USB ポートや Bluetooth などの物理接続を介してコンピュータまたはモバイル デバイスに接続し、この接続を介してデータを交換するように設計されています。
I エアギャップウォレット代わりに、これらはインターネットや他のネットワーク接続から完全に分離されたデバイスです。 その主な目的は、秘密キーをオフラインに保ち、外部の脅威から保護することで、暗号通貨のセキュリティを最大限に確保することです。
エアギャップウォレットはどのように機能するのでしょうか?
秘密鍵の生成は、秘密鍵の生成とまったく同じ方法で行われます。 接続されたウォレット。 オフライントランザクションの署名に関する限り、 エアギャップウォレット 隔離されたデバイス内でオフラインでトランザクションを作成します。 宛先住所や金額などの取引情報は、QR コードや SD カードを使用するなどの安全な方法でデバイスに入力され、取引はオフライン秘密キーで署名されます。
署名が完了すると、トランザクションは上記で使用したのと同じ方法でインターネットに接続されたデバイスに転送できます。
これが私を作るものです エアギャップウォレット 非常に安全です。ウォレットとネットワーク間の情報の転送は、カメラで読み取った QR コードや SD カードの挿入によって仲介されません。
私の意見では、XNUMX つのシステムのうち、QRコードの方が明らかに安全です。 マルウェア これは、ハードウェア デバイス内に持ち込まれると、秘密キーを侵害し、秘密キーを抽出して同じ SD カードにコピーし、これがソース PC に導入されるとサーバーに送信されることを可能にします。 コマンド&コントロール.
理論的には、QR コードに悪意のあるコードを挿入することでこれを実行できますが、技術的には次の XNUMX つの理由により非常に困難です。
-
QR コードに含めることができる情報は SD カードよりもはるかに少ないです。
-
QR コードはデバイスによって読み取られるため、読み取られたコードを効果的に再利用できます。 一方、SDCard は、一度挿入されると、デバイスを「知らなくても」コードをより簡単に実行できます。
結論に達する前に、さらに XNUMX つの重要な点について言及する価値があります。
XNUMXつ目は、次のように使用できることです。 エアギャップハードウェアウォレット 最初からインストールされた、インターネットに接続されていない PC。
XNUMX つ目は、長年にわたって再発してきた弱点が、 シード。 このアルゴリズムには神々が登場することもありました バグ そのため、本来よりもランダム性が低くなりました。 この問題を克服するために、今日では多くの人々が ハードウェアウォレット のインポート機能を提供します シード.
したがって、 シード (必要なエントロピーを生成するためにマイクによって録音された環境音を使用するアルゴリズムから、何百ものサイコロを振ることを伴うアルゴリズムまで、いくつかのシステムがあります)。 財布.
させて エアギャップウォレット その 接続されたハードウェアウォレット に比べて高いレベルのセキュリティを提供します。 従来のソフトウェアウォレット 常にインターネットに接続されているもの。 しかし エアギャップウォレット (特に QR コードを介して通信するもの) は、ネットワークや潜在的な外部の脅威から完全に隔離されているため、セキュリティが強化される傾向があります。 秘密キーの生成とトランザクション署名はエアギャップされたデバイス内で行われるため、秘密キーが侵害されるリスクが軽減されます。
Il ハードウェアウォレット USB接続でさらに便利に使えます。 ただし、USB 接続を使用すると、マルウェアまたはハードウェア デバイスのファームウェアの脆弱性による攻撃の潜在的なリスクが生じます。
したがって、結論として、最大限のセキュリティが最優先事項であり、利便性を犠牲にする場合は、 エアギャップウォレット それが最良の選択です。 セキュリティと使いやすさのバランスが必要な場合は、 ハードウェアウォレット USB 接続が適切なソリューションになる可能性があります。 使いやすさにすべてを賭けて少額を管理する場合は、 ウォレットソフトウェア.
レビューと提案をしてくださった SICYNT (サイバー文化と新技術普及のためのイタリア協会) のすべてのメンバー (および友人) に心から感謝します。
画像:作者