ビットコイン (BTC) のセキュリティを正しく理解するのは困難です。今日利用可能なオフラインまたは「コールド」ストレージの形式にはトレードオフがあります。どちらが最も安全かは、ビットコイン ソフトウェア開発者とウォレット メーカーの間でまだ議論されている問題です。
自己主権のお金には責任が伴います。経験豊富なビットコイナーは、「ビットコインを購入するだけでは十分ではありません。実際に経済的自立への旅を始めるには、暗号化された秘密鍵を完全に制御する必要があります。つまり、ビットコインは自分のデバイスに保存する必要があります。
ただし、ビットコインを保存するデバイスを選択することは、それ自体が努力です。近年、この分野に携わる企業はさまざまな選択肢を考え出しましたが、そのすべてに長所と短所があります。
最も簡単な方法は、ソフトウェア ウォレット、またはビットコインのキーを生成するアプリを携帯電話またはラップトップにダウンロードすることです。しかし、電話やコンピューターが盗まれたり紛失したりすると、壊れてマルウェアに感染する可能性があります。新しいハードウェア ウォレット業界は、別のソリューションを提供しています。メモリにビットコイン キーを保持し、トランザクションに署名するように設計された小型デバイスであり、他の機能や永続的なインターネット接続はありません。
ただし、平均的なビットコイナーにとって最善の解決策は何かについては、まだ議論の余地があります。これらの議論のいくつかは、先週末、ラトビアのリガで開催されたビットコインのみの Baltic Honeybadger カンファレンスのパネルで出てきました。
以下にいくつかのハイライトを示します。
トリッキーなハードウェア
ハードウェア ウォレット メーカー Trezor の CEO である Pavol Rusnak 氏は、彼の会社が製造しているような製品は、「攻撃面が限られている」ため、ビットコインを保管する最も安全な方法であると主張しました。
「これはそれほど複雑でないハードウェアであり、ソフトウェアは Windows、MacOS、または Android ほど複雑ではありません。 Rusnak 氏は CoinDesk に対し、「攻撃のほとんどはマルウェアを使用したリモート攻撃であり、それがハードウェア ウォレットによって保護されている」と CoinDesk に語った。
ビットコインのセキュリティに関するパネルで講演した暗号コンサルタントのピーター・トッド氏は、このアプローチに反対し、ハードウェアウォレットを使用していないと述べた。金庫。」
通常、インターネット経由で注文して自宅に配送されるハードウェア ウォレットは、ビットコイン ホルダーとしてのターゲットになる可能性があります。ラップトップを使用していると、人々は決して知らないかもしれない、とToddはステージ外でCoinDeskに話した.
また、ハードウェア ウォレットを製造する工場がサプライ チェーン攻撃の標的になる可能性があると彼は付け加えました。誰かがデバイスを改ざんして再設計し、ユーザーからビットコインを盗む可能性があります。
したがって、「多くの人への私のアドバイスは、電話を手に入れ、ハードウェアウォレットを手に入れ、それ以外には使用しないことです.あなたの電話はターゲットではありません。携帯電話のサプライ チェーンはターゲットではありません」とトッド氏は言います。
トッド氏によると、ビットコインを使用するすべてのトランザクションに署名するために所有している複数のデバイスを使用する場合、マルチ署名ウォレットを使用するのが理想的な設定です。ただし、現時点では「マルチシグ テクノロジのソフトウェア スタックはあまり良くなく、使いやすいものでもありません」。
最終的に、使用されているデバイスが主張どおりに機能しているかどうかを一般の人が確認する方法はないと、Todd 氏はステージで述べました。 「さまざまな理由で使用していない Trezor を手に入れて、実際にすべての作業を行って、それが主張どおりに機能することを確認したことがありますか?いいえ、それはたくさんの作業であり、うまくいかない可能性があります」と彼は言いました.
さらに悪いことに、ウォレットがオープンソース ソフトウェアを使用している場合、つまり、そのコードがインターネット上で公開されている場合、そのコードを検証できるかもしれませんが、コンパイラーが存在します。コードを通常のコンピューターが理解できる機械語に変換します。これは検証がさらに困難です。
「これらのシステムは非常に複雑です」と Todd 氏は述べ、これらのコンパイラはコードの「巨大な工場」のようなものであり、実行するのが非常に難しく、通常、コンパイラのコードのすべての部分がオープン ソースであるとは限らないと付け加えました。
エアギャップするかエアギャップしないか
もう 1 つの物議を醸す問題は、ハードウェア ウォレットが他のデバイスと通信する方法です。
署名しようとしているトランザクションに関する情報を受け取るには、ハードウェア ウォレットがインターネットに接続されたデバイス、ラップトップ、または携帯電話に接続されている必要があります。それらは USB ポートや microSD メモリ カードに有線で接続するか、携帯電話のカメラが読み取れるようにウォレットが生成する QR コードを介して通信できます。
一部のハードウェア ウォレット メーカーは、ウォレットとコンピューター間の有線接続を回避することを強調しているため、デバイスがインターネットに接続されないセキュリティ機能であるエア ギャップを設けています。
コールドカード ハードウェア ウォレットのメーカーであるコインカイトの共同創設者兼 CEO であるロドルフォ ノヴァク (Rodolfo Novak) は、次のように述べています。 CoinDeskへのメール。 (Coinkite はリガ会議に出席しませんでした。)
「USB を使用すると、攻撃者はハードウェアに直接アクセスできるため、リモート攻撃が容易になります。コンピューターのオペレーティング システムがシリアル番号に基づいて USB デバイスの正しいドライバーを選択する必要があるという事実は、Trezor のようなデバイスのデータに明らかに起動時のシリアル番号が含まれている場合、匿名性の問題を引き起こします」と Novak 氏は説明し、次のように付け加えました。 USB で接続している場合、コンピュータのインターネット接続に侵入した可能性のある悪意のある人物がキーにアクセスできる可能性があります。」
ウォレットの存在と固有のシリアル番号がインターネット上に公開されることで、USB 接続が脆弱になると Novak 氏は述べています。それどころか、マイクロSDカードを使用すると、ライブインターネット接続が関係しているときに重要な情報が危険にさらされることはありません.
しかし、Baltic Honeybadger パネルの参加者は、SD カードが USB コードよりも安全であることに同意しませんでした。
「財布とコンピューターの間の配線は、必ずしも悪いことではありません」とトッドはステージで言いました。 「問題は、そのワイヤーをどのように設計するか、どのくらいの電流、文字通り、1 秒あたり何個の電子がそのワイヤーを流れているか、そしてその数がどれだけ速く変化するかです。」
彼は、ウォレットのエア ギャップ バージョンに使用される最新の SD カードは、見かけほど単純なデバイスではないと付け加えました。SD カードは「完全な 32 ビット マイクロプロセッサ」です。
Trezor の Rusnak 氏は、この考えに賛同しました。 「最近の SD カードは、私の最初のコンピューターよりも多くの計算能力を使用します」と彼は言いました。 「このSDカードが私のコンピューターからデータを盗み出すのではないかと心配しています。」
ノバクは同意しません。 「MicroSD攻撃は、USB攻撃に比べて数桁も困難です」と彼はCoinDeskに語り、Coldcardがウォレットで提供するmicroSDカードは、 USB、「これにより、悪用可能なバグの監査が容易になります。」
最終的には、何でもハッキングされる可能性があります。
「ハードウェア ウォレット メーカーの仕事は、攻撃者の時間に見合った価値のないものにすることです。時間やお金の面でコストがかかりすぎます。
ハードウェア ウォレットが攻撃される可能性のあるレベルはいくつかあるとバックム氏はプレゼンテーションで説明し、10 月の会社のブログ投稿で指摘された点を繰り返しました。ポート、QR コード、または SD カードが危険にさらされる)、ロジック層 (悪意のあるソフトウェアが挿入される)、および物理層 (攻撃者がデバイスを壊して開き、プローブを接続して改ざんする)。
Rusnak 氏によると、サプライ チェーン攻撃の脅威は、USB 接続デバイスと SD カードの両方に影響を与える可能性があります。
「USB を介してあなたを攻撃しようとする攻撃者がいる場合、何らかの形で悪意のある SD カードを提供する可能性があります。攻撃者が通常の泥棒である場合は問題ではなく、攻撃者が FBI やその他の連邦機関である場合、SD カードでさえ役に立ちません」と彼は CoinDesk に語った。
「何も信用できないうさぎの穴を下るときは、砂のどこかに線を引く必要があります」とラスナックは言いました。
全体像
ビットコインを保護するときは、物事を複雑にしすぎないようにすることが重要だとラスナック氏は述べています。ビットコイン ストレージに複雑なセキュリティ セットアップを設計することを選択した人は、たとえば、シード フレーズ (紛失したウォレットを回復するための鍵) を間違った順序で書くなど、正しい順序を忘れた場合、「自分自身を撃つ」可能性があります。またはその相続人はそれを再構築することができません。
「あなたのセットアップは、10 年後、15 年後でも使用できるはずです」と Rusnak 氏はステージで語り、将来のためにセキュリティ構築プロセスを常に文書化することをユーザーに勧めました。
「自分の頭脳を信用するな」バックムは反論した。
ニュージーランドの元警察官で、現在はクライアントがビットコインで節約するのを支援するカリフォルニアに本拠を置く会社である Swan Bitcoin の開発者である Rigel Walshe 氏は、どのような技術的ソリューションが使用されても、身体の安全を守ることが重要であることを聴衆に思い出させました。 –つまり、あなた(およびあなたのビットコイン)がどこにあるかを人々に知らせないでください.
たとえば、私書箱や LLC 会社を郵送先住所として使用して、実際の場所を隠すことができます。公共料金の請求書でさえ、実際にいる場所以外の住所に送られる可能性がある、と Walshe 氏は述べた。この場合、人々がインターネット上であなたの個人情報を見つけたとしても、あなた (およびあなたのビットコイン) を取得することはできません.
「あなたの情報が公開され、そこにあると仮定してください」とウォルシェは言いました.
トッド氏はCoinDeskとのインタビューで、ハードコアなビットコイナーがより悪い技術と見なしているイーサリアムブロックチェーンに注目して、別のセキュリティ要因の可能性について言及した。
「セキュリティがひどいイーサリアムのようなエコシステムが存在するため、ビットコイナーは実際にはそれほど危険にさらされていません」とトッドは言いました。 「もしあなたが悪者で、何かを解読する方法を知っているとしたら、何に集中しますか?ビットコインを盗むよりも簡単な [分散型金融] から盗むことに集中します。ハッカーを私たちから遠ざけてくれます。」