Ripple CTO David schwartz har delt sitt syn på den kontroversielle Ledger Recover-tjenesten. Maskinvarelommebokleverandør Ledger skapte oppsikt i kryptosamfunnet etter at detaljene om den nylig introduserte Ledger Recover-tjenesten dukket opp på nettet.
I henhold til selskapets siste Twitter-oppdatering, krypterer den nye Ledger Recover en versjon av brukerens private nøkkel og deler den opp i tre fragmenter (ved hjelp av Shamir Secret Sharing); alt dette skjer på Secure Element-brikken.
Her er en forklaring på det vi alle forsto (inntil nylig) var Ledgers sikkerhetsmodell og verdiforslag.https://t.co/zxNAU0caJA
— David «JoelKatz» Schwartz (@JoelKatz) Kan 17, 2023
Sikkerhetsbekymringer har blitt reist over det nye produktet siden mange mennesker tror hackere kan bruke tjenesten til å "gjenopprette" frøfrasene til brukere.
Bekymringene er ikke ubegrunnet fordi Ledger opplevde en datalekkasje i 2020 som offentliggjorde omtrent 300,000 XNUMX klienttelefonnumre, fysiske adresser og mer enn én million e-postadresser.
Schwartz refererte til en tweet 15. november 2022 der Ledger gjorde det kjent at private nøkler aldri forlater Secure Element-brikken, som aldri har blitt hacket.
Ledger, i tweeten, nevnte også at Secure Element er tredjepartssertifisert, og er den samme teknologien som brukes i pass og kredittkort, og at en fastvareoppdatering ikke kunne trekke ut de private nøklene fra Secure Element.
Ripple CTO nevnte at dette var det som inntil nylig ble forstått om Ledgers sikkerhetsmodell og verdiforslag.
Ripple CTO og Solanas medgründer kommenterer
I en annen tråd med tweets der Ripple CTO og Solanas medgründer Anatoly Yakovenko svarte på en brukers bekymring for det nye Ledger-produktet, opprettholdt Schwartz sin holdning: "Jeg stolte på at de skulle designe en enhet som ikke var i stand til å eksfiltrere nøkler fordi det er det de eksplisitt sa."
Han hadde kommentert under Solana-medgründerens tweet, "Hvis du stolte på at de før ikke eksfiltrerte nøklene dine, kan du stole på at de ikke gjør det nå når den funksjonen er av. Jeg tror angrepsflaten er omtrent den samme.»
På Twitter uttrykte en bruker sine forbehold om produktet, og uttalte at en virkelig sikker maskinvarelommebok ikke skal kunne sende brukernes private nøkler. "Enhetens feil er dens evne til å sende den private nøkkelen," sa han.
I henhold til detaljer gitt av maskinvarelommebokleverandøren, er Ledger Recover et valgfritt abonnement for brukere som ønsker en sikkerhetskopi av deres hemmelige gjenopprettingsfrase som ikke automatisk aktiveres av noen fastvareoppdateringer.
Kilde: https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details