Trezor vs Ledger (2021) – Όλα όσα πρέπει να γνωρίζετε

Εισαγωγή

Trezor εναντίον Ledger

Εάν είστε ένας από τους πολλούς επενδυτές κρυπτογράφησης εκεί έξω, σίγουρα θα έχετε ακούσει για πορτοφόλια υλικού που σας επιτρέπουν να αποθηκεύετε τα κρυπτονομίσματα σας με ασφάλεια και φυσικά, εμποδίζοντας τους χάκερ να κλέψουν το ιδιωτικό κλειδί και τα κέρματα σας. Αυτή η κριτική θα τοποθετήσει δύο από τα καλύτερα πορτοφόλια υλικού κρυπτογράφησης εκεί έξω τα οποία είναι τα πορτοφόλια Ledger και τα πορτοφόλια Trezor. Θα εξετάσουμε τα χαρακτηριστικά, τα υποστηριζόμενα νομίσματα και την ευκολία χρήσης και των δύο πορτοφολιών για να προσδιορίσουμε ποιο είναι καλύτερο.

Η κύρια διαφορά μεταξύ Trezor vs Ledger είναι ότι το Trezor είναι ανοιχτού κώδικα, ένα πορτοφόλι Ledger τρέχει το δικό του ιδιόκτητο υλικολογισμικό χρησιμοποιώντας εφαρμογές ανοιχτού κώδικα.

Πριν βυθίσουμε βαθιά την κριτική Trezor vs Ledger, είναι σημαντικό να γνωρίζουμε πώς λειτουργούν πραγματικά τα Πορτοφόλια υλικού?

Πώς λειτουργούν τα Πορτοφόλια υλικού?

Τα περισσότερα πορτοφόλια κρυπτογράφησης χωρίζονται σε δύο κύριους τύπους, όπως είναι τα καυτά πορτοφόλια, όπως το Exodus και το Jaxx, τα οποία είναι ευκολότερα στην εκτέλεση συναλλαγών, καθώς συνδέονται με το blockchain μέσω του Διαδικτύου. Ωστόσο, αυτό το γεγονός διευκολύνει επίσης τους διαδικτυακούς χάκερ να έχουν πρόσβαση σε καυτά πορτοφόλια, ώστε να είναι πιο επιρρεπείς σε επιθέσεις και κλοπή.

Τα κρύα πορτοφόλια από την άλλη πλευρά είναι πορτοφόλια που δεν είναι συνδεδεμένα στο Διαδίκτυο και μπορούν να έχουν πρόσβαση μόνο στη φυσική τους κατάσταση και είναι απομονωμένα από το blockchain και από οποιοδήποτε άλλο δίκτυο Διαδικτύου. Ως εκ τούτου, τα κρύα πορτοφόλια είναι στην πραγματικότητα ασφαλέστερα για να ασφαλιστούν μακροπρόθεσμα. Ωστόσο, είναι πιο περίπλοκο να ρυθμιστούν και λίγο πιο δύσκολο να πραγματοποιηθούν συναλλαγές σε σύγκριση με τα ζεστά πορτοφόλια.

Τα πορτοφόλια υλικού είναι περισσότερο μια επιλογή ανάμεσα σε ζεστά και κρύα πορτοφόλια που παρέχουν πολλά πλεονεκτήματα ευκολίας χρήσης, τα οποία περιλαμβάνουν την απλότητα της εκτέλεσης συναλλαγών συγκρίσιμων με ένα ζεστό πορτοφόλι, διατηρώντας παράλληλα χαρακτηριστικά ασφαλείας ενός ψυχρού πορτοφολιού. Τα πορτοφόλια υλικού δημιουργούν και αποθηκεύουν τυχαία το ιδιωτικό κλειδί μέσα σε ένα σύστημα που ονομάζεται μικροελεγκτής, το οποίο αποτρέπει την έκθεση των ιδιωτικών κλειδιών τους σε ένα εξωτερικό στοιχείο.

Ένα πορτοφόλι υλικού ολοκληρώνει μια συναλλαγή ξεκινώντας ένα υπογεγραμμένο μήνυμα είτε στον υπολογιστή σας είτε στο smartphone, ανάλογα με τον τρόπο έναρξης της συναλλαγής και δεν χρειάζεται να συνδεθεί στο Διαδίκτυο για να το πράξει..

Ένα άλλο επιπλέον πλεονέκτημα αυτού είναι ότι τα ιδιωτικά κλειδιά δεν εμφανίζονται ποτέ ανοιχτά στον χρήστη. Ως εκ τούτου, ο μόνος τρόπος για ένα άτομο να έχει πρόσβαση στα πορτοφόλια υλικού θα ήταν να εισαγάγει έναν ακροδέκτη 4-8 ψηφίων ανάλογα με τη μάρκα των πορτοφολιών υλικού. Εφαρμόζεται μια λειτουργία ασφαλείας στην οποία εάν ένα PIN δεν εισαχθεί σωστά για καθορισμένο αριθμό φορών που διαφέρει μεταξύ επωνυμιών και τύπων, το πορτοφόλι θα επαναφέρει τον εαυτό του, κλειδώνοντας την πρόσβασή του στους χρήστες και διαγράφοντας όλα τα δεδομένα των στοιχείων κρυπτογράφησης το. Αυτή η λειτουργία ασφαλείας προστατεύει το πορτοφόλι από βίαιη εισβολή PIN σε περίπτωση που πέσει σε λάθος χέρια.

Προκειμένου να αποφευχθεί η κατά λάθος διαγραφή πληροφοριών σε πορτοφόλια υλικού, μια φράση σπόρου ανάκτησης συνήθως συνοδεύεται από τα πορτοφόλια υλικού που είναι μια ακολουθία λέξεων 12-24. Ο σπόρος ανάκτησης επιτρέπει στον χρήστη να επαναφέρει το πορτοφόλι στην προηγούμενη κατάσταση. Ωστόσο, αυτή η ακολουθία λέξεων παρουσιάζεται μόνο μία φορά και οι χρήστες αναμένεται να το σημειώσουν και να το κρατήσουν για ασφάλεια ή να απομνημονεύσουν τον σπόρο.

Τόσο το Trezor όσο και το Ledger χρησιμοποιούν αυτές τις βασικές αρχές και εξετάζουν τις φυσικές τους ιδιότητες κατά τη σύγκριση Trezor vs Ledger, αλλά δεν υπάρχουν πολλές διαφορές, καθώς και τα δύο πορτοφόλια υλικού τροφοδοτούνται μέσω θύρας USB και παρέχει αξιόπιστα κουμπιά οθόνης και οθόνης στα πορτοφόλια υλικού για επιβεβαίωση ή απόρριψη της υπογραφής συναλλαγών.

Ως εκ τούτου, αυτή η αναθεώρηση Trezor vs Ledger θα εξετάσει μερικές από τις σημαντικές διαφορές τόσο από την άποψη του υλικού όσο και από την εφαρμογή.

Υλοποίηση υλικού Trezor και Ledger

Τα πρώτα προϊόντα που κυκλοφόρησαν τόσο από το Trezor όσο και από το Ledger ήταν τα Trezor One, Trezor model T και το Ledger Nano S.

Τόσο το Trezor One όσο και το Trezor Model T έχουν σχεδιαστεί σε βάση ενός τσιπ και χρησιμοποιούν τυπικό μικροελεγκτή γενικής χρήσης ARM Cortex M 32-bit για τη δημιουργία, δημιουργία και αποθήκευση ιδιωτικών κλειδιών σε αντίθεση με μελλοντικά μοντέλα όπως το Ledger Nano S. Το Trezor One χρησιμοποιεί το STM32F205 ενώ το Trezor Model T χρησιμοποιεί το STM32F427, τα οποία διαφέρουν από τα τσιπ που χρησιμοποιούνται στο Ledger Nano S.

Τα μοντέλα Ledger Nano S, χρησιμοποιούν αρχιτεκτονική βάσης διπλού τσιπ. Το πρώτο τσιπ που έχει διαμορφωθεί για το Ledger Nano S είναι ο μικροελεγκτής 32 bit γενικής χρήσης που είναι το ίδιο είδος τσιπ με αυτό που βρέθηκε στο Trezor Model T, ενώ η δεύτερη αρχιτεκτονική chip είναι τράπεζα Secure Element (ST31H320) Ασφαλές στοιχείο βαθμού. Το πρώτο chip εστιάζει περισσότερο στη δημιουργία ιδιωτικών κλειδιών, ενώ το δεύτερο chip επικεντρώνεται περισσότερο στην αποθήκευση των ιδιωτικών κλειδιών.

Ένα πλεονέκτημα της κατοχής του Secure Element (SE) στη σύγκριση Trezor vs Ledger είναι ότι βαθμολογούν πιστοποίηση EAL6 + κοινών κριτηρίων (CC), ενώ εάν συμπεριλάβουμε την αρχιτεκτονική βάσης διπλού τσιπ στο Ledger Nano S, θα είναι χαμηλότερο EAL5 + πιστοποίηση. Σε αυτήν την περίπτωση, δεν μπορούμε να συγκρίνουμε το επίπεδο πιστοποιητικού των συσκευών Ledger Nano S έναντι Trezor, καθώς οι συσκευές Trezor δεν διαθέτουν Security Enclave.

Ως γενικός κανόνας κατά τη σύγκριση Trezor vs Ledger, το ST31 SE στο Ledger Nano S έχει σχεδιαστεί για να είναι πιο ανθεκτικό σε hacks ή επιθέσεις που βασίζονται σε υλικό σε σύγκριση με MCU γενικής χρήσης, όπως οι παραδοσιακοί μικροελεγκτές STM32 που δεν χρησιμοποιούνται από το Ledger Nano S. Μελέτες και ερευνητές από ειδικούς και ειδικούς ασφαλείας μπόρεσαν να προσδιορίσουν ότι η σειρά STM32 MCU χρησιμοποιεί συστήματα ασφαλείας που είναι πιο ευάλωτα σε επιθέσεις.

Trezor vs Ledger – Ασφάλεια υλικού και μη ιδιοκτησιακό λογισμικό

Υπήρξε μια μακροχρόνια συζήτηση για τα πλεονεκτήματα και τα μειονεκτήματα της χρήσης είτε ασφαλούς υλικού είτε μη ιδιόκτητου λογισμικού. Συγκρίνοντας το Trezor vs Ledger, το πορτοφόλι υλικού Trezor χρησιμοποιεί την ιδεολογία του μη ιδιόκτητου λογισμικού και δεν εφαρμόζει κανένα κλειστό στοιχείο, όπως το θύλακα ασφαλείας και επίσης χρησιμοποιεί μη ιδιόκτητο υλικολογισμικό και εφαρμογές για το σχεδιασμό ενός πορτοφολιού Trezor.

Από την άλλη πλευρά, η Ledger πιστεύει ότι ένα μυστικό στοιχείο υλικού Secure element προσφέρει γενικά καλύτερη συνολική ασφάλεια σε σύγκριση με ένα πορτοφόλι Trezor με μη αποκλειστικό λογισμικό γενικής χρήσης MCU. Προκειμένου να διατηρηθεί η ακεραιότητα του Secure Enclave, το Ledger περιορίζει την πρόσβαση σε ορισμένα μέρη του υλικού και του λογισμικού του πορτοφολιού υλικού. Αυτό που κάνει είναι ότι τα Ledgers καταφέρνουν να προστατεύσουν τα μυστικά του πορτοφολιού υλικού από εξαγωγή ή κλοπή, ενώ παράλληλα εμποδίζουν την παραβίαση όλων των βασικών χαρακτηριστικών και λειτουργιών.

Trezor vs Ledger – Πλεονεκτήματα και μειονεκτήματα

Η χρήση μη ιδιόκτητου λογισμικού από την Trezor σημαίνει ότι οι εφαρμογές τους είναι διαθέσιμες στο κοινό και επιτρέπουν διεξοδικές και αυστηρές κριτικές από ομοτίμους σε όλη την κοινότητα των προγραμματιστών. Αυτό σφυρηλατεί τη συνεργασία για την πιθανή ανακάλυψη τυχόν κενών ή σφαλμάτων κατά τη διάρκεια της εφαρμογής και η διαδικασία είναι πιο γρήγορη για την πραγματοποίηση τυχόν επιδιορθώσεων και διορθώσεων.

Το μειονέκτημα είναι ότι θα εκθέσει τα βασικά σχέδια και τις πτυχές του Trezor κατά τη διάρκεια της υλοποίησης, το οποίο περιλαμβάνει οποιεσδήποτε λεπτομέρειες ή σχέδια που πρέπει να διατηρηθούν μυστικά. Αυτές οι πληροφορίες μπορεί να πέσουν σε λάθος χέρια και, επομένως, θα ανοίξουν δρόμο για οποιαδήποτε εκμετάλλευση των κενών στο σύστημα.

Η προσέγγιση του Ledger καθιστά πολύ δύσκολο για οποιονδήποτε να πραγματοποιήσει επιθέσεις με βάση το υλικό στο Secure Element, καθώς ο σχεδιασμός του κάτω από την κουκούλα SE, καθώς και στοιχεία του Ledger Firmware δεν διατέθηκαν σε δημόσιους χρήστες.

Από την άλλη πλευρά, τέτοια μυστικά στοιχεία που κρύβονται από τη γενική κοινότητα θα επιβραδύνουν οποιαδήποτε διαδικασία ανίχνευσης πιθανών κενών εντός της γενικής κοινότητας και θα παρέχουν πιθανές και κατάλληλες διορθώσεις.

Οι ειδικοί στον τομέα του πορτοφολιού υλικού κρυπτογράφησης έχουν επικρίνει αυτήν τη στρατηγική παροχής ασφάλειας μέσω της απόκρυψης πληροφοριών, καθώς οι χρήστες της οφείλουν να εμπιστεύονται τυφλά την εταιρεία για την ορθή εφαρμογή του υλικού και του λογισμικού χωρίς να έχουν καμία γνώση ή πληροφορίες σχετικά με το υλικολογισμικό.

Η εταιρεία που κατασκευάζει το Secret Enclave (STMicroelectronics) ενέκρινε μια τέτοια φιλοσοφία και ως εκ τούτου, η Ledger έδειξε την προθυμία της να υποστηρίξει και να χρησιμοποιήσει μη ιδιοκτησιακά στοιχεία στα προϊόντα τους. Ένα καλό παράδειγμα θα ήταν ότι όλες οι εφαρμογές που εκτελούνται σε συσκευές Ledger είναι στην πραγματικότητα μη ιδιόκτητες και σύμφωνα με τον Διευθύνοντα Σύμβουλο της Τεχνολογίας του Ledger, το μεγαλύτερο μέρος του μελλοντικού υλικολογισμικού τους θα είναι επίσης μη ιδιόκτητο.

Ωστόσο, το γεγονός δεν μπορεί να αγνοηθεί ότι το Ledger είχε ιστορικό ότι δεν παρείχε πάντοτε σαφείς και συνοπτικές λεπτομέρειες όταν ανακαλύφθηκαν νέα τρωτά σημεία στο υλικολογισμικό τους. Σε απάντηση σε αυτό, η Ledger δήλωσε ότι αυτό γίνεται για να ελαχιστοποιηθούν οι πιθανές ευπάθειες του υλικολογισμικού και να αποφευχθούν τυχόν μελλοντικοί χάκερ από την εκμετάλλευση τους.

Trezor vs Ledger – Αντιμετώπιση διαφορετικών επιθέσεων

Ένα πορτοφόλι Trezor ή ένα πορτοφόλι Ledger και τα δύο πρέπει να ενσωματώσουν χαρακτηριστικά στα πορτοφόλια υλικού τους για να αποτρέψουν επιθέσεις από μια μεγάλη ποικιλία πηγών οι οποίες χωρίζονται κυρίως σε δύο τύπους.

Απομακρυσμένες επιθέσεις, όταν ο εισβολέας προσπαθεί να κλέψει πληροφορίες από το πορτοφόλι σας ή / και τα περιουσιακά στοιχεία κρυπτονομισμάτων, διακυβεύοντας ολόκληρο το σύστημα.

Οι άμεσες / φυσικές επιθέσεις είναι όταν ένας εισβολέας κατά κάποιον τρόπο καταφέρνει να αποκτήσει φυσική πρόσβαση στο πορτοφόλι υλικού και προσπαθεί να παραβιάσει ή να παραβιάσει το υλικό ή το λογισμικό της συσκευής.

Κατά τη σύγκριση του Trezor έναντι του Ledger, και τα δύο πορτοφόλια υλικού έχουν προστασία για να προστατεύσουν από αυτούς τους τύπους επιθέσεων. Το Trezor και το Ledger το κάνουν αυτό έχοντας ιδιωτικά κλειδιά αποθηκευμένα με ασφάλεια εντός του πορτοφολιού υλικού και δεν εκθέτουν τα κλειδιά σε υπολογιστή ή smartphone όταν είναι συνδεδεμένα στο πορτοφόλι υλικού.

Ως εκ τούτου, ο μόνος τρόπος για έναν χρήστη να πραγματοποιήσει μια συναλλαγή, θα πρέπει να επαληθεύσει τη διεύθυνση παραλήπτη μέσω της οθόνης στο πορτοφόλι υλικού και στη συνέχεια να χρησιμοποιήσει τα δύο κουμπιά που υπάρχουν στο πορτοφόλι υλικού είτε για επιβεβαίωση είτε απόρριψη της συναλλαγής.

Μόλις συνδεθεί σε έναν υπολογιστή ή smartphone, οι μόνες πληροφορίες που λαμβάνουν θα είναι ένα υπογεγραμμένο μήνυμα. Ως εκ τούτου, ακόμη και αν ο υπολογιστής ή το smartphone σας μολυνθεί από ιό ή άλλη μορφή απομακρυσμένης επίθεσης, τα περιουσιακά στοιχεία κρυπτογράφησης θα είναι 100% ασφαλή κατά τη χρήση ενός πορτοφολιού Trezor ή ενός πορτοφολιού Ledger, αρκεί να μην επηρεάζονται φυσικά.

Κατά τη σύγκριση Trezor vs Ledger, εάν και τα δύο πορτοφόλια έχουν αλλοιωθεί υλικό, τα στοιχεία σας θα είναι ευάλωτα σε μια εντελώς νέα ποικιλία επιθέσεων που μπορούν να συμβούν με δύο τρόπους.

Επιθέσεις αλυσίδας εφοδιασμού όπου πριν από την παραλαβή του πορτοφολιού σας, παραβιάστηκε κάπου κατά μήκος της αλυσίδας εφοδιασμού είτε κατά τη διάρκεια της διαμετακόμισης σε εταιρεία εφοδιαστικής είτε αποθηκευμένη σε αποθήκη εταιρείας.

Μη εξουσιοδοτημένες φυσικές επιθέσεις είναι όταν μετά την αρχική διαδικασία ρύθμισης και επαλήθευσης, ένας εισβολέας καταφέρνει να αποκτήσει πρόσβαση στο πορτοφόλι σας.

Κατά τη σύγκριση Trezor vs Ledger, και οι δύο έχουν λάβει μέτρα για να αποτρέψουν τις επιθέσεις αλυσίδας εφοδιασμού. Ένα πορτοφόλι trezor χρησιμοποιεί σφραγίδες που εμφανίζουν παραβίαση στις συσκευασίες τους για να δείξει πιθανές παραβιάσεις στην αλυσίδα εφοδιασμού τους. Αυτό σημαίνει ότι εάν σπάσει μια σφραγίδα, μπορεί να υποδηλώνει ότι η συσκευή μέσα στη συσκευασία ενδέχεται να είναι σε κίνδυνο. Επιπλέον, ένα πορτοφόλι Trezor είναι σφραγισμένο χρησιμοποιώντας βιομηχανική κόλλα που καθιστά δύσκολο για οποιονδήποτε εισβολέα να αντιγράψει και να επανατοποθετήσει τη σφραγίδα μετά την παραβίαση του πορτοφολιού Ledger.

Ένα πορτοφόλι Ledger χρησιμοποιεί το Secure Element για να σχεδιάσει μια αξιόπιστη βάση υπολογιστή που μπορεί να υπογραφεί και να επικυρωθεί μέσω κρυπτογραφικών αποδείξεων. Ένας χρήστης μπορεί να επαληθεύσει την ακεραιότητα μιας συσκευής καθολικού πραγματοποιώντας έλεγχο βεβαίωσης χρησιμοποιώντας αυτήν την κρυπτογραφική απόδειξη. Πάνω από αυτήν τη δυνατότητα, το πορτοφόλι Ledger ελέγχει αυτόματα την ακεραιότητα ενός υπολογιστή εάν είναι συνδεδεμένος σε έναν και σας επιτρέπει να προχωρήσετε μόνο εάν ο έλεγχος βεβαίωσης γίνει επιτυχώς.

Αυτός είναι ο τρόπος με τον οποίο οι Trezor εναντίον Ledger χρησιμοποιούν και τα δύο αντίμετρα για τις επιθέσεις της αλυσίδας εφοδιασμού. Ωστόσο, είναι πιθανό το πορτοφόλι σας Trezor να παραβιαστεί μέσω κακόβουλων επιθέσεων τρίτων στη φυσική πρόσβαση του πορτοφολιού υλικού σας μετά τη ρύθμιση της συσκευής σας. Αυτές οι φυσικές επιθέσεις μπορούν να γίνουν κυρίως με δύο τρόπους.

Κλοπή, που συμβαίνει όταν το πορτοφόλι υλικού που περιέχει τα κρυπτογραφικά σας στοιχεία κλαπεί μόνιμα από εσάς.

Evil Maid Attack, δηλαδή όταν ένας εισβολέας αποκτά προσωρινά φυσική πρόσβαση στα πορτοφόλια σας χωρίς να το γνωρίζετε, προκειμένου να θέσει σε κίνδυνο τη συσκευή σας. Στη συνέχεια θα το αντικαταστήσουν με μια ψεύτικη συσκευή που μπορεί να έχει μια είσοδο ασύρματου πομπού και μόλις εισαγάγετε την καρφίτσα / τη φράση πρόσβασης για να αποκτήσετε πρόσβαση στο ιδιωτικό σας κλειδί, όλες οι εισόδους δεδομένων στην ψεύτικη συσκευή θα μπορούσαν να μεταδοθούν στον εισβολέα.

Εάν ένας εισβολέας επρόκειτο να κλέψει με επιτυχία τη συσκευή σας, θα είχε περισσότερο χρόνο να πραγματοποιήσει μια επίθεση χρησιμοποιώντας ακριβό εργαστηριακό εξοπλισμό.

Και στα δύο αυτά σενάρια, και τα δύο Trezor vs καθολικά έχουν τοποθετήσει τα κατάλληλα αντίμετρα για την ελαχιστοποίηση των κινδύνων. Το πρώτο στρώμα προστασίας και για τα δύο πορτοφόλια θα έχει ένα μυστικό PIN που απαιτείται να εισάγεται από έναν χρήστη πριν από την πρόσβαση στα περιεχόμενα των πορτοφολιών. Για να αποφευχθούν οι βίαιες επιθέσεις PIN στα πορτοφόλια τους, οι Trezor και Ledger έχουν σχεδιάσει το σύστημα PIN για προγραμματισμό για επαναφορά και σκουπίστε όλα τα περιεχόμενα εντός των πορτοφολιών τους εάν το λάθος PIN εισαχθεί λανθασμένα για x φορές.

Πάνω από το σύστημα Pin, τα πορτοφόλια από το Ledger και το Trezor χρησιμοποιούν πρωτόκολλα κρυπτογράφησης για την προστασία των πορτοφολιών τους από πιθανή εξαγωγή ενός ιδιωτικού κλειδιού μέσω φυσικών επιθέσεων. Αυτό το στοιχείο ασφάλειας ενισχύεται περαιτέρω από την αποθήκευση του ιδιωτικού κλειδιού ενός χρήστη σε ένα ασφαλές στοιχείο τραπεζικού επιπέδου.

Μια επίθεση Evil-Maid που έχει λιγότερο χρόνο για να εκτελέσει μια επίθεση και μπορεί να μην έχει πρόσβαση σε περίπλοκο εξοπλισμό μπορεί να θέσει σε κίνδυνο τη συσκευή σας προκειμένου να σας εξαπατήσει να δώσετε τα μυστικά της συσκευής.

Μέχρι πρόσφατα, ήταν δύσκολο για τους χρήστες να εντοπίσουν εάν το λογισμικό που εκτελείται στα πορτοφόλια Trezor One είναι γνήσια. Οι επιτιθέμενοι που γνωρίζουν αυτό το κενό θα μπορούν να το εκμεταλλευτούν και στη συνέχεια να προχωρήσουν σε συμβιβασμό της έκδοσης λογισμικού Trezor, ενώ κρύβουν αυτό το γεγονός από τον χρήστη.

Ωστόσο, η Trezor κυκλοφόρησε πρόσφατα το υλικολογισμικό της Έκδοσης 1.6.1, το οποίο επιβεβαιώνει την αυθεντικότητα ενός φορτωτή εκκίνησης, το οποίο με τη σειρά του επαληθεύει την υπογραφή του υλικολογισμικού για να διασφαλίσει ότι και τα δύο μέρη του λογισμικού χρησιμοποιούν έναν γνήσιο και ανεμπόδιστο κώδικα. Επιπλέον, μια Μονάδα Προστασίας Μνήμης ή MPU στη συσκευή Trezor θα επιβάλει τώρα μια εύχρηστη προστασία εγγραφής στο MCU με τρόπο ώστε μόνο ένα υλικολογισμικό που υπογράφεται από την Satoshilabs (Η μητρική εταιρεία της Trezor) να επιτρέπεται να τροποποιεί τυχόν μέρη της μνήμης.

Επιπλέον, η Ledger χρησιμοποιεί πρωτόκολλα για να αποτρέψει μια κακή επίθεση υπηρέτριας όπως ο αυτοματοποιημένος έλεγχος βεβαίωσης. Το Ledger το κάνει αυτό με τα πορτοφόλια του να ανιχνεύουν πιθανό παραβιασμένο λογισμικό ή υλικό όποτε συνδέεται με υπολογιστή ή smartphone.

Εκμετάλλευση ασφαλείας και μέτρα που έχουν λάβει οι Ledger και Trezor για να τα μετριάσουν.

Τόσο οι ερευνητές ασφαλείας όσο και οι ειδικοί συμφώνησαν ότι τόσο οι συσκευές Ledger όσο και οι συσκευές Trezor εξακολουθούν να είναι ευάλωτες σε πολλούς τύπους εκμεταλλεύσεων ασφαλείας. Κάθε φορά που ανακαλύπτεται ένα κενό ή ένα κενό, τόσο οι ομάδες προγραμματιστών Ledger όσο και Trezor παρέχουν έγκαιρες και γρήγορες διορθώσεις μέσω ενημερώσεων λογισμικού υλικολογισμικού για κάθε μεμονωμένο ζήτημα. Ορισμένες από τις διορθώσεις ασφαλείας που παρέχονται τόσο από το Ledger όσο και από το Trezor είναι οι παρακάτω.

Η ευπάθεια του Trezor – Προστασία εγγραφής ελαττωματικού Bootloader

Η συσκευή Trezor One χρησιμοποιεί ένα τσιπ STMicroelectronics STM32F205 που είναι ελαττωματικό. Αυτό που κάνει είναι ότι η προστασία εγγραφής στη συσκευή είναι απενεργοποιημένη, η οποία είχε σχεδιαστεί για την προστασία του bootloader της συσκευής. Αυτό σημαίνει ότι ένας κακόβουλος εισβολέας θα μπορεί να αποκτήσει πρόσβαση, να τροποποιήσει και να αντικαταστήσει το bootloader μέσω μιας ψεύτικης κακόβουλης ενημέρωσης υλικολογισμικού. Αυτό με τη σειρά του θέτει σε κίνδυνο τη δημιουργία λέξεων σπόρου για το Trezor One και αυτή η ευπάθεια αξιοποιείται περαιτέρω από το γεγονός ότι το Trezor One δεν επιτρέπει την εξαγωγή ενός ιδιωτικού κλειδιού από πορτοφόλια όπου έχει ήδη δημιουργηθεί ένας σπόρος ανάκτησης.

Η Trezor ως απάντηση, έχει ρυθμίσει την ακόλουθη ενημέρωση λογισμικού για να μετριάσει το ζήτημα του υλικού, ενώ ταυτόχρονα παρέχει έναν νέο τρόπο επαλήθευσης της αυθεντικότητας του υλικολογισμικού.

Πρώτον, ο bootloader που είναι ελαττωματικός με την προστασία εγγραφής από την STMicroelectronics έχει συμπληρωθεί με προστασία εγγραφής και επιβάλλεται επιπλέον από τη μονάδα προστασίας μνήμης (MPU)

Το νέο και βελτιωμένο υλικολογισμικό ελέγχει επίσης την αυθεντικότητα του bootloader πριν από την ενημέρωση του bootloader της συσκευής στην τελευταία έκδοση. Η τελευταία ενεργοποιημένη μονάδα προστασίας μνήμης αποτρέπει επίσης την εκτέλεση κώδικα από τη μνήμη.

Το Trezor Blog έχει επίσης δηλώσει ότι το ελαττωματικό πρόβλημα προστασίας εγγραφής Option Bytes μπορεί να ξεπεραστεί μέσω της χρήσης ενός άλλου συστήματος προστασίας που ήταν το προαναφερθέν MPU (Memory Protection Unit) και είναι ένα διαφορετικό μέρος του chip. Όταν το Trezor χρησιμοποιεί αυτό το τσιπ στο bootloader, είναι σε θέση να προσδιορίσει αποτελεσματικά ποιες περιοχές μνήμης πρέπει να έχουν πρόσβαση ή όχι ποιες με τη σειρά τους μπορούν να φτάσουν στο επιδιωκόμενο επίπεδο προστασίας (η MPU περιορίζει την πρόσβαση σε ευαίσθητα μέρη της μνήμης της συσκευής που περιλαμβάνει ο bootloader είναι και ο καταχωρητής FLASH_OPTCR). Η STMicroelectronics επιβεβαιώνει επίσης ότι με τη χρήση του MPU, αυτό το προηγούμενο ζήτημα έχει επιλυθεί.

Ευπάθεια Ledger – MCU Fooling και άλλα

Όπως αναφέρθηκε προηγουμένως, ένας από τους σίγουρους τρόπους επαλήθευσης της γνησιότητας ενός υλικολογισμικού Ledger θα είναι η πραγματοποίηση ελέγχου βεβαίωσης στη συσκευή. Ωστόσο, υπήρχε ένα ελάττωμα σε αυτόν τον έλεγχο συστήματος. Το Ledger έχει εφαρμόσει τη σχεδίαση με τρόπο που επιτρέπει σε μια επίθεση να εκτελεί φόρτωση ενός τροποποιημένου υλικολογισμικού στη συσκευή, αλλά εξακολουθεί να είναι σε θέση να περάσει τον έλεγχο βεβαίωσης.

Στη συνέχεια, ο Ledger δημοσίευσε ένα blogpost σχετικά με το θέμα που εξηγεί τη φύση και το αποτέλεσμα της ευπάθειας, ενώ ταυτόχρονα προσδιορίζει τις λεπτομέρειες των διορθώσεων που εφαρμόστηκαν. Η Ledger έχει επίσης την ευκαιρία να διευκρινίσει ότι αυτή η ευπάθεια δεν διευκολύνει την εξαγωγή ιδιωτικών κλειδιών σε πορτοφόλια υλικού Ledger που έχουν προηγουμένως διαμορφωθεί.

Έτσι, βασικά, το Ledger εκτελεί τον έλεγχο βεβαίωσης σε ένα πορτοφόλι, έχοντας το Secure Element (SE) να ζητήσει πληροφορίες από το MCU για να του στείλει έναν κωδικό υλικολογισμικού για λόγους επαλήθευσης. Εάν ο κώδικας υλικολογισμικού επρόκειτο να παραβιαστεί, το MCU θα έπρεπε να στείλει ολόκληρο το επίσημο υλικολογισμικό, έτσι ώστε το MCU να μπορεί να το μεταβιβάσει στο Secure Element για λόγους επαλήθευσης.

Η Ledger δήλωσε ότι το MCU στο πορτοφόλι δεν είχε αρκετή διαθέσιμη μνήμη και χώρο αποθήκευσης για να συμπεριλάβει και να στείλει ολόκληρο το επίσημο υλικολογισμικό στο Secure Element καθώς και τυχόν κακόβουλο κώδικα.

Προηγουμένως, το Ledger MCU περιελάμβανε το bootloader και το firmware σε δύο ξεχωριστά τμήματα της μνήμης πορτοφολιού. Και οι δύο ενότητες μνήμης περιλαμβάνουν ένα μέρος του κώδικα που ήταν πανομοιότυπο σε όλες τις πτυχές. Ο κώδικας αυτός ονομάστηκε εγγενής μεταγλωττιστή. Ως εκ τούτου, καθιστά τη δυνατότητα πιθανής αποθήκευσης κώδικα που είχε ως αποτέλεσμα την απόκρυψη κακόβουλου κώδικα στο επίσημο υλικολογισμικό.

Ένας ερευνητής ασφάλειας, ο Saleem Rashid εξήγησε πώς το σύστημα ασφαλείας του Ledger στις συσκευές τους τροποποιεί το επίσημο υλικολογισμικό με τέτοιο τρόπο ώστε να αντικαταστήσει ένα αντίγραφο του κώδικα εγγενούς μεταγλωττιστή με κακόβουλο. Αυτό με τη σειρά του επιτρέπει να συνδεθεί με τα εγγενή του bootloader κατά την εκτέλεση του ελέγχου βεβαίωσης.

Αφού μπορούσε να επαληθεύσει τον εαυτό του στο στοιχείο Secure μέσω της κακόβουλης αντικατάστασης κώδικα, θα μπορούσε τώρα να εκμεταλλευτεί τα επικαλυπτόμενα στοιχεία που περιλαμβάνουν τα δύο κουμπιά στη συσκευή Ledger καθώς και την οθόνη της.

Βέλτιστες πρακτικές για την ασφάλεια του πορτοφολιού

Πρέπει πάντα να διασφαλίζετε ότι το πορτοφόλι του υλικού σας είναι γνήσιο. Ανάλογα με τη συσκευή Trezor ή Ledger της επιλογής σας, υπάρχουν τρόποι για να ελέγξετε την ακεραιότητα του προϊόντος, αν είναι το Ledger Nano X ή το Nano S Trezor. Κατά τη σύγκριση του Trezor έναντι του Ledger, η Trezor έχει εμφανείς παραβιάσεις στη συσκευασία τους, τα οποία λείπουν προϊόντα όπως το Ledger Nano S. Από την άλλη πλευρά, οι συσκευές Ledger όπως το Ledger Nano X βασίζονται σε ελέγχους κρυπτογραφικής βεβαίωσης λογισμικού. Παρόλο που μπορεί να συμβαίνει αυτό, συνιστάται πάντα να αγοράσετε ένα Ledger Nano X ή Trezor Model T από εξουσιοδοτημένους μεταπωλητές και να απευθυνθείτε στην επίσημη υποστήριξη πελατών για εύχρηστους τρόπους ελέγχου γνησιότητας και αποφυγής μεταπωλητών τρίτων.

Ο χρήστης θα πρέπει επίσης να ενημερώσει το πορτοφόλι του στο πιο πρόσφατο υλικολογισμικό πριν τα χρησιμοποιήσει. Κατά τη σύγκριση των ενημερώσεων και των δύο Trezor vs Ledger, θα πρέπει να αναζητήσετε τις ενημερώσεις από ένα επίσημο κανάλι, είτε πρόκειται για τον ιστότοπό τους, καθώς είναι πιθανό ότι το υλικολογισμικό είτε των πορτοφολιών Trezor είτε των Ledger θα παραβιαζόταν ή θα ήταν παλιό.

Ρυθμίστε τον δικό σας σπόρο ανάκτησης

Όταν χρησιμοποιείτε προϊόντα Ledger ή Trezor, όπως το Ledger nano S Trezor, είναι καλή ιδέα να χρησιμοποιήσετε ένα νέο, προ-διαμορφωμένο πορτοφόλι σε περίπτωση που ο προηγούμενος ιδιοκτήτης είχε μετριάσει το σπόρο ανάκτησης. Επομένως, είναι καλή ιδέα να δημιουργήσετε το δικό σας σπόρο ανάκτησης.

Υποστηριζόμενα νομίσματα για το Ledger και το Trezor

Το Ledger και το Trezor παρέχουν υποστήριξη στον κύριο τύπο κρυπτονομισμάτων όπως Bitcoin, Litecoin και Ethereum. Η Trezor έχει την ακόλουθη λίστα υποστηριζόμενων νομισμάτων: Bitcoin, Bitcoin Cash, Bitcoin Gold, Litecoin, Ethereum, Ethereum Classic, Dash, Zcash, Zcash, Namecoin, Dogecoin, NEM, Expanse, UBIQ και ERC 20 tokens.

Το Ledger από την άλλη πλευρά παρέχει υποστήριξη για Bitcoin, Bitcoin Cash, Bitcoin GOld, Digibyte, HCash, Qtum, PIVX, Vertcoin, Viacoin, Ubiq, Expanse, Dash, Dogecoin, Litecoin, Ethereum, Ethereum Classic, Stratis, Ripple, Zcash, Komodo , PoSW, Ark, Neo, Stellar, Stealthcoin, BTCP, Zencash και ERC-20 tokens.

Ως εκ τούτου, το Ledger είναι ένα από τα καλύτερα πορτοφόλια κρυπτογράφησης για χρήση. Επιπλέον, η Trezor έχει ελαφρώς υψηλότερη τιμή σε σύγκριση με το Ledger. Το Trezor One είναι προς το παρόν διαθέσιμο σε λιανική τιμή 89 ευρώ, ενώ ο τελευταίος διάδοχός του, το Trezor T διατίθεται περίπου στα 159 ευρώ. Και τα δύο αυτά προϊόντα Trezor σε σύγκριση με το Ledger Nano S, είναι φθηνότερα σε 79 ευρώ. Ως εκ τούτου, αν ψάχνετε για τα φθηνότερα πορτοφόλια υλικού καθολικού, θα πρέπει να επιλέξετε το Ledger Nano S

Trezor vs Ledger – Συχνές Ερωτήσεις

Ερ: Το Trezor έχει παραβιαστεί?

Τα gadget Trezor μπορούν να παραβιαστούν, αλλά μόνο μέσω εξειδικευμένου υλικού για την εξαγωγή τυχόν εμπιστευτικών κλειδιών.

Ε: Ποιο είναι το καλύτερο πορτοφόλι υλικού κρυπτογράφησης?

Ledger και Trezor ή και τα δύο καλύτερα πορτοφόλια υλικού crypto που διατίθενται σήμερα στην αγορά

Ε: Μπορούν να παραβιαστούν πορτοφόλια όπως το Ledger Nano X ή το Trezor Model T?

Έρευνες τόσο από το Ledger όσο και από το Trezor έχουν δηλώσει ότι έχουν πιθανότητα παραβίασης και εναπόκειται τόσο στους χρήστες όσο και στους κατασκευαστές να κάνουν βήματα για την ελαχιστοποίηση των πιθανών κινδύνων κλοπής.