Quanto o código aberto contribui para a segurança? - Ellipal
Há um debate de que o código aberto/fechado da carteira criptográfica afetará a segurança na web. Aqui vamos explicar um pouco sobre a segurança da carteira.
O código aberto é realmente útil para usuários e especialistas realizarem auditorias e revisões. No entanto, o código aberto não leva a soluções mais seguras naturalmente.
Ocasionalmente, o código aberto pode ser facilmente invadido por hackers porque os recursos, códigos e utilitários estão prontamente disponíveis. Existem muitas vulnerabilidades em produtos de código aberto, como o Trezor, a mais famosa carteira de hardware de código aberto.
Neste artigo, exploraremos os fundamentos da avaliação da segurança de uma carteira de hardware e por que o código aberto pode não estar necessariamente relacionado à segurança.
Quando consideramos a segurança de uma carteira de criptomoedas, existem quatro níveis de problemas de segurança que podem impactar fundamentalmente se você perderá seus criptoativos:
1) Aleatoriedade e segurança na geração de chaves/sementes.
2) Segurança e proteção da chave privada/seed.
3) Evite brechas durante o processo de gastos ou assinatura de transações usando a chave privada.
4) Proteção de engenharia social. Por exemplo, o produto deve ter métodos poderosos para evitar a exposição do PIN.
A seguir estão exemplos de casos de uso das quatro camadas de segurança:
1. Geração de chave/semente
Todos deveriam ter ouvido uma frase famosa de Andreas Antonopoulos: "Not your keys, Not your bitcoin." O que é uma chave, ou mais precisamente, o que é uma chave privada? A chave privada é um número aleatório significativo de 256 bits. Se a geração da chave tiver um bug ou backdoor, sua criptografia pode ser facilmente roubada pela pessoa que criou esse backdoor.
Os usuários podem verificar explicitamente um código-fonte aberto de uma carteira de código-fonte aberto para ver se a carteira gera chaves confiáveis.
No entanto, o ELLIPAL Titan possui uma solução especial que outras carteiras de código fechado não possuem. Os usuários podem importar suas chaves privadas ou sementes (via palavras mnemônicas) que eles geraram usando um software em que confiam. Os usuários não precisam confiar na carteira porque as chaves são geradas em outro lugar. É uma confiança sem confiança.
"ELLIPAL permite a importação de chaves privadas para superar qualquer preocupação originada por ser de código fechado."
Informações adicionais para novos usuários: em uma carteira de criptografia com função completa, haverá muitas chaves privadas filhas para várias moedas calculadas a partir de uma semente. Isso foi definido como carteira HD por BIP32, BIP39 e BIP44. Quando você perde sua carteira, as palavras mnemônicas podem recuperar sua semente e recriar suas chaves privadas de todas as suas moedas em uma nova carteira. Portanto, lembre-se de que "palavras mnemônicas" são outra forma de suas chaves privadas. Por favor, NÃO dê a ninguém; caso contrário, você perde seus ativos.
2) Proteção de chave/seed
A base da proteção de chaves privadas é o isolamento e o acesso formatado. Um chip SE (Secure Element) é uma escolha comum para os engenheiros usarem ao tentar proteger chaves privadas dentro de uma carteira de hardware. Outra alternativa que também é muito eficaz é isolar a carteira de hardware de qualquer conexão externa, ou seja, mantê-la isolada.
Como nenhuma conexão é permitida para uma carteira com gap de ar, carteiras como a ELLIPAL Titan usam códigos QR como interface de comunicação em vez de USB ou Bluetooth. Durante a leitura do código QR, os dados ficam visíveis e o usuário precisa escanear o código manualmente. O formato é aberto, documentado e o conteúdo pode ser facilmente verificado para que nenhum dado vaze. Ao contrário das carteiras de código aberto, o formato de dados abertos do código QR do ELLIPAL é mais fácil e natural de verificar.
"O código QR de formato de dados aberto do ELLIPAL é ainda mais fácil de verificar do que o código-fonte aberto."
Além de proteger as chaves privadas usando software contra adulteração e ataques, os engenheiros podem atualizar o hardware para garantir ainda mais proteção. Por exemplo: Os recursos anti-adulteração e anti-desmontagem foram adicionados ao hardware do ELLIPAL Titan para proteger contra ataques à cadeia de suprimentos e ataques de empregadas malvadas.
Considerando uma carteira de hardware de fonte fechada com software robusto e proteção de hardware, os hackers precisarão de anos para quebrar o sistema. Por outro lado, é fácil para os hackers recompilar e conhecer os pontos de ataque de uma carteira de código aberto.
“Para uma carteira de código fechado bem protegida como a ELLIPAL Titan, os hackers podem levar anos para quebrar o sistema em comparação com carteiras de código aberto onde o código está prontamente disponível para ser explorado”.
3) Processo de gastos
O processo de gasto de criptografia (transação) geralmente é esquecido pelos usuários quando se fala em proteção de chaves privadas. Durante os gastos, o ponto de ataque está focado na parte online, que é o APP. Devido à natureza online do APP, é fácil ser atacado por hackers. Uma transação falsa pode enviar suas moedas para o endereço do hacker em vez do seu.
Uma função simples que pode proteger o usuário é mostrar o endereço do destinatário decodificando os dados completos da transação. Não importa se sua carteira é de código aberto ou fechado; Se não puder mostrar claramente todas as partes dos dados da transação, não é seguro.
"ELLIPAL Titan mostra todos os dados da transação claramente em sua tela grande e no APP para os usuários verificarem antes de enviar."
4) Engenharia social
Independentemente de quão tecnicamente segura uma carteira possa ser, muitas pessoas perdem seus ativos porque são vítimas de ataques de engenharia social. Espiar o código PIN ou um golpista se impondo como suporte ao cliente, o ataque de engenharia social é principalmente a razão pela qual as pessoas perdem suas moedas.
Um produto com design de segurança deve ajudar os usuários a evitar esse tipo de problema. Estes não estão relacionados à carteira sendo aberta ou fechada. Se você usar dígitos simples como PIN e ficar vulnerável a espionagem, o código aberto não poderá ajudá-lo. Se uma carteira tiver proteção de 2 fatores como a ELLIPAL Titan, é mais difícil de espiar e mais segura do que de código aberto.
"ELLIPAL Titan foi projetado para proteger sua criptomoeda dos ataques mais simples e inimagináveis."
Caso haja alguma dúvida, nossa equipe está preparada para te atender.
A Cash Fort é Revenda Oficial das melhores marcas de ColdWallet e segurança digital do mercado. Todos nossos produtos são novos, lacrados e originais. Nossos clientes contam com garantia e suporte direto conosco.
