فجوة الهواء؟ محفظة الأجهزة؟ مولتيسيج؟ يعني التخزين الذاتي للبيتكوين الخيارات الصعبة

من الصعب الحصول على أمان Bitcoin (BTC) بشكل صحيح: أي شكل من أشكال التخزين غير المتصل بالإنترنت أو التخزين "البارد" المتاح اليوم له مقايضات. أيهما أكثر أمانًا لا يزال محل نقاش بين مطوري برامج البيتكوين وصانعي المحافظ.

المال السيادي يأتي مع المسؤولية. سيخبرك عملاء البيتكوين ذوو الخبرة: لا يكفي شراء البيتكوين فقط - لبدء رحلتك إلى الاستقلال المالي حقًا ، يجب أن تكون متحكمًا بشكل كامل في مفاتيح التشفير الخاصة بك ، مما يعني أن عملة البيتكوين الخاصة بك يجب أن تبقى على جهازك الخاص.

ومع ذلك ، فإن اختيار جهاز لتخزين البيتكوين الخاص بك هو محاولة بحد ذاتها. على مدار السنوات الأخيرة ، توصلت الشركات العاملة في هذا المجال إلى مجموعة متنوعة من الخيارات ، وكلها لها مزايا وعيوب.

أسهل شيء تبدأ به هو تنزيل محفظة برامج ، أو تطبيق لتوليد مفاتيح البيتكوين على هاتفك أو حاسوبك المحمول. لكن الهواتف وأجهزة الكمبيوتر تُسرق أو تُفقد ، وتنكسر ويمكن أن تصاب بالبرامج الضارة. تقدم صناعة محافظ الأجهزة الحديثة حلاً مختلفًا: جهاز صغير مصمم للاحتفاظ بمفاتيح البيتكوين في ذاكرته وتوقيع المعاملات ، بدون ميزات أخرى وعدم وجود اتصال دائم بالإنترنت.

ومع ذلك ، فإن أفضل حل لعملة بيتكوين العادية لا يزال محل نقاش. ظهرت بعض هذه الحجج خلال جلسة نقاشية في مؤتمر Baltic Honeybadger المخصص لعملة البيتكوين فقط في ريغا ، لاتفيا ، في نهاية الأسبوع الماضي.

فيما يلي بعض النقاط البارزة.

أجهزة صعبة

جادل بافول روسناك ، الرئيس التنفيذي لشركة Trezor لتصنيع المحفظة ، بأن منتجًا مثل المنتج الذي تصنعه شركته هو الطريقة الأكثر أمانًا لتخزين البيتكوين لأنه يحتوي على "سطح هجوم محدود".

"إنه جهاز أقل تعقيدًا ، والبرنامج ليس معقدًا مثل Windows أو MacOS أو Android. وقال روسناك لـ CoinDesk ، إنه غير متصل بالإنترنت في معظم الأحيان ، مضيفًا أن "معظم الهجمات عبارة عن هجمات عن بُعد باستخدام برامج ضارة ، وهذا ما تحميك محفظة الأجهزة منه".

في حديثه في جلسة حول أمان البيتكوين ، اختلف مستشار التشفير بيتر تود مع هذا النهج ، قائلاً إنه لا يستخدم محافظ الأجهزة: "أفضل استخدام جهاز كمبيوتر محمول ، لأنه من غير المحتمل أن يكون مستهدفًا على وجه التحديد ، وأدخل [الكمبيوتر المحمول] خزنة. "

قد تضع محافظ الأجهزة ، التي تطلبها عادةً عبر الإنترنت ويتم شحنها إلى منزلك ، هدفًا على ظهرك كحامل بيتكوين. باستخدام كمبيوتر محمول ، قد لا يعرف الناس أبدًا ، أوضح تود التحدث إلى CoinDesk خارج المسرح.

وأضاف أن المصانع التي تصنع محافظ الأجهزة قد تصبح هدفًا لهجوم سلسلة التوريد. يمكن لأي شخص العبث بالأجهزة وإعادة تصميمها لسرقة البيتكوين من المستخدمين.

لذلك ، "نصيحتي لكثير من الأشخاص هي الحصول على هاتف ، وشراء محفظة جهازك وعدم استخدامه في أي شيء آخر. هاتفك ليس هدفًا. قال تود إن سلسلة التوريد الخاصة بهاتفك ليست هدفًا.

قال تود إن الإعداد المثالي هو استخدام محفظة متعددة التوقيعات ، عندما تستخدم عدة أجهزة في حوزتك للتوقيع على كل معاملة تنفق عملة البيتكوين الخاصة بك. ومع ذلك ، في الوقت الحالي ، "مجموعة البرامج الخاصة بتقنية multisig ليست جيدة جدًا وليست سهلة الاستخدام."

قال تود على خشبة المسرح ، في النهاية ، لا توجد طريقة لشخص عادي للتحقق مما إذا كان الجهاز المستخدم يعمل كما هو مزعوم. "هل سبق لي أن أزعجت نفسي في الحصول على جهاز Trezor ، الذي لا أستخدمه لأسباب مختلفة ، وأقوم بالفعل بكل العمل للتحقق من أنه يعمل بالطريقة التي تدعيها؟ لا ، إنها مجموعة كاملة من الأعمال ، وهناك احتمالات بأنها لا تعمل "، قال.

وأضاف أن الأمر يزداد سوءًا: إذا كانت المحفظة تستخدم برنامجًا مفتوح المصدر - بمعنى أنه تم نشر كودها على الإنترنت - فقد تتمكن من التحقق من هذا الرمز ، ولكن بعد ذلك يوجد مترجمون - نوع آخر من البرامج التي تتحول إلى مستوى عالٍ رمز إلى لغة الآلة التي يمكن أن يفهمها الكمبيوتر العادي - وهو أمر يصعب التحقق منه.

قال تود: "هذه الأنظمة معقدة للغاية" ، مضيفًا أن هؤلاء المجمعين يشبهون "المصانع العملاقة" للتعليمات البرمجية ، ومن الصعب جدًا المرور بها ، وعادة لا تكون جميع أجزاء كود المجمعين مفتوحة المصدر.

لفجوة الهواء أو عدم وجود فجوة هوائية

سؤال آخر مثير للجدل هو كيف يجب أن تتحدث محافظ الأجهزة مع الأجهزة الأخرى.

لتلقي معلومات حول معاملة توشك على التوقيع عليها ، يجب توصيل محفظة الأجهزة في وقت ما بجهاز متصل بالإنترنت أو كمبيوتر محمول أو هاتف جوال. يمكنهم الاتصال عبر سلك بمنفذ USB أو بطاقة ذاكرة microSD أو التواصل عبر رموز QR التي تنشئها المحفظة لكاميرا الهاتف لقراءتها.

تعمل بعض الشركات المصنعة لمحافظ الأجهزة على تجنب الاتصال السلكي بين المحفظة والكمبيوتر ، بحيث يكون لديهم فجوة هوائية - وهي ميزة أمان حيث لا يكون الجهاز متصلاً بالإنترنت مطلقًا.

قال رودولفو نوفاك ، الشريك المؤسس والرئيس التنفيذي لشركة Coinkite ، الشركة المصنعة لمحفظة أجهزة Coldcard ، في بريد إلكتروني إلى CoinDesk. (لم يحضر Coinkite مؤتمر ريغا).

باستخدام USB ، يتمتع المهاجمون بوصول مباشر إلى الأجهزة ، مما يجعل الهجمات عن بُعد أسهل. أوضح نوفاك أن حقيقة أن نظام تشغيل الكمبيوتر يجب أن يختار برنامج التشغيل الصحيح لأجهزة USB استنادًا إلى أرقامها التسلسلية ، مما يؤدي إلى مشكلة عدم الكشف عن هويته لأجهزة مثل Trezor التي تتضمن بياناتها بوضوح رقمًا تسلسليًا عند التشغيل ". قد يتمكن أي فاعلين ضارين قد اخترقوا اتصال الإنترنت بجهاز الكمبيوتر الخاص بك من الوصول إلى المفاتيح الخاصة بك إذا كنت متصلاً عن طريق USB ".

قال نوفاك إنه من خلال الكشف عن وجود المحفظة والرقم التسلسلي الفريد على الإنترنت ، فإن اتصال USB يجعلها عرضة للخطر. وأضاف أنه مع بطاقة micro-SD ، على العكس من ذلك ، لا يتم اختراق أي معلومات مهمة عند وجود اتصال مباشر بالإنترنت.

ومع ذلك ، لم يوافق المشاركون في لوحة Baltic Honeybadger على أن بطاقة SD أكثر أمانًا من سلك USB.

قال تود على خشبة المسرح: "السلك بين محفظتك وجهاز الكمبيوتر الخاص بك ليس بالضرورة أمرًا سيئًا". "السؤال هو كيف تصمم هذا السلك ، وكم التيار ، وكم عدد الإلكترونات ، حرفيا ، في الثانية ، التي تتدفق عبر هذا السلك وكيف يمكن أن يتغير هذا الرقم بسرعة."

وأضاف أن بطاقات SD الحديثة المستخدمة لإصدارات المحافظ ليست بسيطة كما تبدو: بطاقة SD هي "معالج دقيق كامل 32 بت".

ردد روسناك من تريزور الفكرة. قال: "تستخدم بطاقات SD في هذه الأيام قوة حوسبة أكثر من جهاز الكمبيوتر الأول". "أخشى أن بطاقة SD هذه قد تقوم بسحب بعض البيانات من جهاز الكمبيوتر الخاص بي."

نوفاك لا يوافق. قال لـ CoinDesk: "من الصعب تحقيق هجوم MicroSD مقارنة بهجوم USB بعامل من عدة أوامر من حيث الحجم" ، مضيفًا أن بطاقات microSD التي توفرها Coldcard مع محافظها تستخدم "كمية أقل بكثير من الرموز" ، مقارنةً بـ USB ، "مما يسهل عملية التدقيق بحثًا عن الأخطاء القابلة للاستغلال".

في النهاية ، يمكن اختراق أي شيء.

قال دوجلاس باكوم ، مؤسس شركة BitBox لمحفظة الأجهزة ، "إن مهمة الشركة المصنعة لمحفظة الأجهزة هي جعل الأمر لا يستحق وقت المهاجم ، ومكلفًا للغاية من حيث الوقت أو المال".

هناك عدة مستويات يمكن من خلالها مهاجمة محافظ الأجهزة ، كما أوضح باكوم في عرضه التقديمي ، والذي تكرر النقاط الواردة في منشور مدونة للشركة اعتبارًا من أكتوبر: الهجمات على طبقة الاتصال (بمعنى ، البروتوكول الذي يربط المحفظة بجهاز كمبيوتر محمول ، سواء كان USB تم اختراق المنفذ أو رمز الاستجابة السريعة أو بطاقة SD) ، والطبقة المنطقية (يتم حقن البرامج الضارة) والطبقة المادية (يقوم المهاجم بفتح الجهاز وإرفاق المجسات والعبث به).

قال روسناك إن تهديد هجوم سلسلة التوريد يمكن أن يصيب كل من الأجهزة المتصلة بـ USB وبطاقات SD.

"إذا كان هناك مهاجم يريد مهاجمتك عبر USB ، فقد يمنحك أيضًا بطاقة SD ضارة إلى حد ما. إذا كان مهاجمك لصًا عاديًا ، فهذه ليست مشكلة ، وإذا كان المهاجم هو مكتب التحقيقات الفيدرالي أو أي وكالة فيدرالية أخرى ، فلن تساعدك حتى بطاقة SD "، كما قال لـ CoinDesk.

قال روسناك: "تحتاج إلى رسم خط على الرمال في مكان ما عندما تنزل في حفرة الأرانب حيث لا يمكنك الوثوق بأي شيء".

الصورة الاكبر

قال روسناك عند تأمين عملات البيتكوين الخاصة بك ، من المهم ألا تجعل الأمور معقدة للغاية بالنسبة لك. الأشخاص الذين يختارون تصميم إعداد أمان معقد لتخزين البيتكوين الخاص بهم ، على سبيل المثال ، كتابة العبارة الأولية (مفتاح لاستعادة المحفظة المفقودة) بالترتيب الخاطئ ، قد "يطلقون النار على أنفسهم" إذا نسوا الترتيب الصحيح أو أن ورثتهم غير قادرين على إعادة بنائه.

قال روسناك على خشبة المسرح ، "يجب أن يكون إعدادك قابلاً للاستخدام حتى في غضون 10 سنوات ، في غضون 15 عامًا" ، ويوصي المستخدمين دائمًا بتوثيق عمليات بناء الأمان الخاصة بهم في المستقبل.

ردد باكوم صدى "فقط لا تثق في عقلك".

قام ريجل والش ، ضابط شرطة سابق في نيوزيلندا وهو الآن مطور في Swan Bitcoin ، وهي شركة مقرها كاليفورنيا تساعد العملاء على الادخار بعملة البيتكوين ، بتذكير الجمهور بأنه بغض النظر عن الحل التقني المستخدم ، فمن المهم الاهتمام بسلامتك الجسدية - بمعنى ، لا تدع الناس يعرفون مكانك (وعملات البيتكوين الخاصة بك).

على سبيل المثال ، يمكنك استخدام صندوق بريد أو حتى شركة ذات مسؤولية محدودة للحصول على عنوان بريدي لحماية موقعك الفعلي ؛ قال والش إنه حتى فواتير الخدمات العامة الخاصة بك يمكن إرسالها إلى عنوان آخر غير مكان وجودك بالفعل. في هذه الحالة ، حتى إذا عثر الأشخاص على معلوماتك الشخصية على الإنترنت ، فلن يتمكنوا من الحصول عليك (وعملة البيتكوين الخاصة بك).

قال والش: "افترض أن معلوماتك سيتم جمعها وستكون موجودة هناك".

في حديثه إلى CoinDesk ، ذكر تود عامل أمان آخر محتملاً ، حيث أخذ لقطة في Ethereum blockchain ، والتي يعتبرها عملاء البيتكوين المتشددون تقنية أسوأ.

قال تود: "نظرًا لوجود أنظمة بيئية مثل Ethereum ، حيث يكون الأمان فظيعًا ، فإن عملات البيتكوين ليست في الواقع معرضة للخطر بقدر ما يمكن أن تكون". "إذا كنت رجلاً سيئًا وتعرف كيفية كسر الأشياء ، فما الذي ستركز عليه؟ ستركز على السرقة من [التمويل اللامركزي] ، وهو أسهل من سرقة البيتكوين. إنه يبعد المتسللين عنا ".