Rimpel CTO David Schwartz heeft zijn kijk op de controversiële Ledger Recover-service gedeeld. Hardware wallet provider Ledger veroorzaakte opschudding in de cryptogemeenschap nadat de details van zijn nieuw geïntroduceerde Ledger Recover-service online opdoken.
Volgens de laatste Twitter-update van het bedrijf versleutelt de nieuwe Ledger Recover een versie van de privésleutel van de gebruiker en splitst deze op in drie fragmenten (met behulp van Shamir Secret Sharing); dit gebeurt allemaal op de Secure Element-chip.
Hier is een uitleg van wat we allemaal begrepen (tot voor kort) was het beveiligingsmodel en de waardepropositie van Ledger.https://t.co/zxNAU0caJA
— David "JoelKatz" Schwartz (@JoelKatz) 17 mei 2023
Er zijn beveiligingsproblemen geuit over het nieuwe product, omdat veel mensen denken dat hackers de service kunnen gebruiken om de seed-zinnen van gebruikers te "herstellen".
De zorgen zijn niet ongegrond, want Ledger kreeg in 2020 te maken met een datalek waardoor ongeveer 300,000 telefoonnummers van klanten, fysieke adressen en meer dan een miljoen e-mailadressen openbaar werden.
Schwartz verwees naar een tweet van 15 november 2022 waarin Ledger bekend maakte dat privésleutels nooit de Secure Element-chip verlaten, die nooit is gehackt.
Ledger vermeldde in de tweet ook dat het Secure Element door derden is gecertificeerd, omdat het dezelfde technologie is die wordt gebruikt in paspoorten en creditcards, en dat een firmware-update de privésleutels niet uit het Secure Element kon halen.
De CTO van Ripple zei dat dit was wat tot voor kort werd begrepen over het beveiligingsmodel en de waardepropositie van Ledger.
Ripple CTO en Solana mede-oprichter commentaar
In een andere reeks tweets waar de CTO van Ripple en mede-oprichter van Solana, Anatoly Yakovenko, reageerden op de bezorgdheid van een gebruiker over het nieuwe Ledger-product, handhaafde Schwartz zijn standpunt: "Ik vertrouwde hen om een apparaat te ontwerpen dat niet in staat is om sleutels te exfiltreren, want dat is wat ze expliciet gezegd."
Hij had gereageerd onder de tweet van de mede-oprichter van Solana: 'Als je ze eerder vertrouwde om je sleutels niet te exfiltreren, kun je er nu op vertrouwen dat ze het niet doen als die functie is uitgeschakeld. Ik denk dat het aanvalsoppervlak ongeveer hetzelfde is.”
Op Twitter uitte een gebruiker zijn bedenkingen bij het product en stelde dat een echt veilige hardware wallet geen privésleutels van gebruikers zou moeten kunnen versturen. "De fout van het apparaat is de mogelijkheid om de privésleutel te verzenden", verklaarde hij.
Volgens details verstrekt door de hardware wallet provider, is Ledger Recover een optioneel abonnement voor gebruikers die een back-up willen van hun geheime herstelzin die niet automatisch wordt ingeschakeld door firmware-updates.
Bron: https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details