如何选择硬件钱包:以开源/闭源问题为视角
-
如何选择硬件钱包:以开源/闭源问题为视角
(一)
硬件钱包,我曾经用过 Trezor One 和 Trezor Model T 。没用Ledger的原因是,Ledger虽然使用了更好的安全元件,但它不是完全开源的。 我的不成熟想法是,硬件钱包主要防范的是黑客远程攻击而非物理攻击。 那么,就此而言,是否开源会更加安全?还是没有差别?
非常期待和大家就这个问题深入学习和思考。我并不认为硬件钱包是万能且完全安全的,但是,没有硬件钱包是万万不能的。 更充分地认识硬件钱包的优劣,可以让我们更加安全。比如防范各种物理攻击。 关于Trezor和Ledger的对比,以及二者分别存在的漏洞,可以参考下面这篇文章: https://7labs.io/tips-tricks/trezor-vs-ledger.html
我的初步想法: 1)是否硬件钱包其实也无法绝对避免远程攻击?如果是这样的话,可能开源的话更安全一些吧? 2)就防范物理攻击的话,硬件安全给力的话,确实Ledger可能效果更好。 3)我主要防范远程攻击,至于防范物理攻击,我觉得很难,总能被黑掉。 我还没有比较成熟的想法,欢迎大家讨论讨论。
(二)
补充一句:我觉得想要彻底防范物理攻击的话,就是连硬件钱包也不用,这笔钱平时也不花。然后结合密码学知识做更为彻底、只有自己能解密的加密手段。 否则被人拿到硬件钱包了,特别是懂技术的部门或大佬,大概率能被破解。
根据硬件钱包Trezor的说法,Trezor的硬件和软件都是开源的: 1)关于硬件开源的信息: https://wiki.trezor.io/Security:Hardware 2)关于软件开源的信息: https://wiki.trezor.io/Security:Software 3)关于安全威胁的提示: 主要包括网络钓鱼、暴力破解、恶意固件重刷、邪恶女仆攻击 (中间人攻击)。 https://wiki.trezor.io/Security:Threats DYOR!
(三)与网友的互动
R: 硬件钱包最怕中间人攻击,比如出现物流渠道更换硬件事件,到终端用户的钱包已经是植入硬件木马的钱包。随着solana事件的发生,这种可能性至少增加了25%。 因此急需一种可双向验证的保障机制让用户确信硬件钱包的可用性。 这种攻击无论开源与否都会是最易实现的攻击方式。
Brave: 物流过程等中间人攻击,这确实是个大问题。目前有一些验证机制,但都难以让人完全信赖。 当然我的钱包买的早。如果现在买,这个风险确实就比较大了。
R: 是的,供应链应该有能力复刻出假的硬件钱包,若真的出事一定又是大规模的,这种影响就很恐怖了
Brave: 是的,所以一个事实就是:硬件钱包可能也不是百分百安全的。建议硬件钱包买回来放一段时间,重置和升级了固件再用。
R: 感觉纸钱包还是更靠谱一些,特别是用一些特殊方式增强的纸钱包,但操作困难也会阻碍用户群体增长。这里必然潜藏着一个大市值的市场
Brave: 是的,所以归根到底,自己存私钥离不开密码学。自己要学一些密码学知识,才能存的更好。存私钥必须要多途径备份。
R: 同意,这个是必须要学习的东西。另外纸钱包新手也别轻易尝试,因为创建纸钱包的过程也比较繁琐,每个步骤都有可能造成私钥丢失,先全部看一遍,再重复几次实验,最后小额测试,直到最终投入使用,那时候才是相对安全的钱包。 从这个角度来看,实际上更是要注重操作流程的安全,而并不是买一劳永逸
Brave: 是的,还要结合使用场景来设置安全规则。脑钱包或者运用了多重密码学手段的可靠的云上加密,可能是最好的,任何设备都不靠谱。当然,这就离普通人的使用场景比较远了。
R: 目前我的方案是: 用硬件钱包存放冷资产,软件钱包小额做交互。 经过最近这些事件,计划升级; 使用两种品牌的硬件钱包存放冷资产,1-2个月不定期交换一下钱包(每次重置生成新的钱包)。降低软件钱包交互的额度,或者参照硬件钱包策略-使用两款以上不定期交换。当然这样会非常麻烦,习惯了会好一些
(四)
通过以上讨论不难发现,硬件钱包是必须的,但不是万能的。现在所有的硬件钱包都宣传自己是安全的。但实际是怎样的,需要多留个心眼。个人主权场景下,没有人给你我兜底。
应当把硬件钱包当成交易钱包。 至于不会动用的资金,也可以密码学手动加密、离线存储和多重备份。
币安也是用的硬件钱包+热钱包。自己多花心思学习研究,相信自己,最安全。是设备,就可能有后门,还是选主流的更好。
风险随着加密市场的价值提升,会不断增加。现在风险可控,还是小概率事件,但只要有利益,就可能有人干。我们应该能看到出事儿的那天。
(五)
这里还有个大家可以放宽心的问题是,只要不是中间人攻击,直接远程攻击的话,还要过电脑这一关。 也就是说,如果你的电脑是安全的,也没有乱点各种链接,则攻击到硬件钱包的概率很小很小。相当于是双保险。 所以硬件钱包可以较好地防范远程攻击,概率几乎是100%,所以薅羊毛做交易时推荐用硬件钱包。
但是,如果硬件钱包厂家自己在钱包固件里做后门,那么即便电脑安全,也不是100%了。 所以,要彻底杜绝直接远程攻击,硬件钱包厂家必须开源。否则至少我感觉还有那么点风险。
所以,我现在不完全相信Ledger,害怕它不开源的话会有后门。当然,我不是传播FUD,只是不成熟的考虑吧。对这个问题有研究的话,大家可以推翻我的假设。
主要怕硬件钱包开发者做恶。这个风险可能是存在的。硬件钱包,其实也不是完全的个人主权。硬件钱包的软硬件提供者就是中介。
Ledger的话,我印象中不是完全开源的,应用程序应该开源了,固件部分开源,硬件没有开源。大家可以自己研究。
(推友:昨天看了看主用的bk钱包,好像也没开源)
(六)
在技术突飞猛进的时代,技术本身就是一种权力。 开源是普通人为数不多的用以制衡技术权力的武器。 开源以后,代码可查,即便大部分人不会去查,但由于代码被公之于众,如果有阴谋,暴露的概率也会更大。
不开源,就不能确保,这些开发者会不会倒转枪口,向普通人开炮。 我甚至对苹果保持警惕,也是基于这个原因。 以防范未成年人性侵犯罪为名义,苹果现在都主动扫描每个人的图片库了。 这是一种悲哀。
所以,不能过于相信iPhone。iPhone也有后门,这个是网络安全常识。不仅可以被物理攻击,也可以被直接远程攻击。Linux比手机更安全。 iPhone的意义,仅仅在于可以部分对冲隐私风险。
-
0 回复
歡迎留言回复交流。
Log in to reply.