Почему криптовалюту лучше хранить в аппаратных кошельках?

Многие криптоинвесторы вполне обоснованно предпочитают для большей безопасности хранить свои монеты в аппаратных кошельках (обо всех способах хранения криптовалют можно прочитать в нашем отдельном большом материале).

Большинство подобного рода оффлайн-хранилищ практически не имеют уязвимостей. Однако, есть такое понятие, как MITM (Man In The Middle) — атака посредника, или атака «человек посередине» — вид атаки в криптографии и компьютерной безопасности, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые полагают, что они непосредственно общаются друг с другом.

В ходе атаки MITM злоумышленник получает ретранслятор секретных ключей устройства либо путем извлечения, либо во время процесса доставки информации.

Какие гарантии в этом контексте предлагают наиболее известные производители аппаратных кошельков? А также возможна ли компрометация в процессе доставки устройств конечному пользователю?

В Trezor заявляют, что крайне серьезно подходят к вопросам безопасности. Как отмечается на их сайте, поскольку компания очень прозрачна в моментах предоставления информации и вопросах открытого исходного кода, она считает правильным подробно описать процесс отправки и методы доставки.

После получения оплаты за устройство Trezor компания готовится к отправке единицы и по умолчанию пользуется услугами логистической компании DHL. Также они предлагают доставку обычной почтой, которая, однако, может занять гораздо больше времени, в зависимости от местоположения адресата. Первая часть обработки начинается в команде логистики, которая проверяет надежность упаковки товара и его готовность к отправке.

Как подчеркивают разработчики, у устройств Trezor нет встроенных программ на момент отправки товара. В устройстве запускается только записанная программа начальной загрузки, и при загрузке дальнейших ПО и обновлений устройство выдаст предупреждение, если протокол подписан неверно. Также отмечается, что корпус сварен с помощью ультразвуковой сварки, поэтому в случае внешних повреждений его сложно восстановить.

Если кошелек Ledger сломается, «это будет просто небольшое неудобство» 

В прошлом компания Ledger Wallet тоже рассказала о принципах защиты своих устройств. Компания, главный офис которой находится во Франции, говорит, что используемый в ее продуктах протокол применяет «систему децентрализованного кошелька». Как и Trezor, Ledger Wallet генерирует секретные ключи во время процесса инициализации, которые затем сохраняются на безопасном чипе в корпусе продукта.

«У Ledger нет никакой возможности скопировать ваши секретные ключи», − объясняет компания.

И Ledger Wallet, и Trezor во время процесса инициализации используют идентификационные парольные фразы (последовательность из 24 случайных слов), которые могут применяться и для восстановления ключа. Это означает, что если вы потеряете или повредите свой кошелек, или если ваш кошелек украдут, то вы сможете использовать парольную фразу для получения доступа к вашим средствам. Кроме того, такие фразы могут быть использованы для получения цифровых активов, используя другой кошелек, если компания закрылась и прекратила работу. Ledger Wallet объясняет, что делать клиентам, если компания прекратит функционировать.

«Если компания Ledger прекратит работу, скорее всего, приложение Ledger Chrome перестанет работать, так как наши API серверы также отключатся», − подчеркивается на сайте компании.

Однако, по заверениям разработчиков, это будет просто небольшое неудобство, поскольку ваши биткоины останутся в полной безопасности, пока у вас есть пароль для восстановления из 24 слов. Имея пароль, пользователь в любой момент сможет восстановить свой баланс.

Ответственное предоставление информации и вознаграждения 

Генерация секретного кода кошелька и процесс доставки очень важны для заказчиков, особенно если в кошельке будут храниться ценные криптовалюты. Эти компании предоставляют информацию о возможных уязвимостях MITM и предлагают вознаграждение за тестирование и выявление багов их продуктов. Полезно также знать, что если компания-производитель закроется, вы всегда сможете восстановить свои криптовалюты без использования устройств, или с помощью ПО кошелька компании. Любой может проверить пароли, используя другой кошелек, просто чтобы убедиться в безопасности.

Спорить не приходится — аппаратные кошельки в разы надежнее онлайн-хранилищ, а тем более криптовалютных бирж. Поэтому держать большие суммы лучше в физических кошельках.

P.S. Данная статья носит исключительно ознакомительный характер и не является инструкцией/рекомендацией.