Cippe Ondulation David Schwartz a partagé son point de vue sur le service controversé Ledger Recover. Le fournisseur de portefeuilles matériels Ledger a fait sensation dans la communauté crypto après que les détails de son nouveau service Ledger Recover ont fait surface en ligne.
Selon la dernière mise à jour Twitter de l'entreprise, le nouveau Ledger Recover crypte une version de la clé privée de l'utilisateur et la divise en trois fragments (à l'aide de Shamir Secret Sharing) ; tout cela se passe sur la puce Secure Element.
Voici une explication de ce que nous comprenions tous (jusqu'à récemment) était le modèle de sécurité et la proposition de valeur de Ledger.https://t.co/zxNAU0caJA
– David "JoelKatz" Schwartz (@JoelKatz) 17 mai 2023
Des problèmes de sécurité ont été soulevés concernant le nouveau produit, car de nombreuses personnes pensent que les pirates pourraient utiliser le service pour "récupérer" les phrases de départ des utilisateurs.
Les inquiétudes ne sont pas sans fondement car Ledger a connu une fuite de données en 2020 qui a rendu publics environ 300,000 XNUMX numéros de téléphone de clients, adresses physiques et plus d'un million d'adresses e-mail.
Schwartz a fait référence à un tweet du 15 novembre 2022 dans lequel Ledger a fait savoir que les clés privées ne quittent jamais la puce Secure Element, qui n'a jamais été piratée.
Ledger, dans le tweet, a également mentionné que le Secure Element est certifié par un tiers, étant la même technologie utilisée dans les passeports et les cartes de crédit et qu'une mise à jour du micrologiciel ne pourrait pas extraire les clés privées du Secure Element.
Le Ripple CTO a mentionné que c'était ce qui était compris jusqu'à récemment à propos du modèle de sécurité et de la proposition de valeur de Ledger.
Commentaire du CTO de Ripple et du co-fondateur de Solana
Dans un autre fil de tweets où le co-fondateur de Ripple CTO et Solana, Anatoly Yakovenko, a répondu à l'inquiétude d'un utilisateur concernant le nouveau produit Ledger, Schwartz a maintenu sa position : "Je leur ai fait confiance pour concevoir un appareil incapable d'exfiltrer des clés parce que c'est ce qu'ils ont explicitement a dit."
Il avait commenté sous le tweet du co-fondateur de Solana : « Si vous leur faisiez confiance auparavant pour ne pas exfiltrer vos clés, vous pouvez leur faire confiance maintenant pour ne pas le faire lorsque cette fonctionnalité est désactivée. Je pense que la surface d'attaque est à peu près la même.
Sur Twitter, un utilisateur a exprimé ses réserves sur le produit, déclarant qu'un portefeuille matériel vraiment sécurisé ne devrait pas être en mesure d'envoyer les clés privées des utilisateurs. "Le défaut de l'appareil est sa capacité à envoyer la clé privée", a-t-il déclaré.
Selon les détails fournis par le fournisseur de portefeuille matériel, Ledger Recover est un abonnement facultatif pour les utilisateurs qui souhaitent une sauvegarde de leur phrase de récupération secrète qui n'est pas automatiquement activée par les mises à jour du micrologiciel.
Source : https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details