بررسی سرویس Ledger Recover و خطرات امنیتی آن

Ledger، سازنده کیف پول سخت افزاری، پس از معرفی سرویس جدیدی به نام “Ledger Recover” با هجمه انتقادات کاربران مواجه شد. “لجر ریکاوری» سرویسی برای پشتیبان گیری از دستورات بازیابی است و کاربران می توانند با استفاده از این ویژگی یک لایه حفاظتی برای کلیدهای خصوصی ایجاد کنند. اما ظاهراً این شرکت اصل اساسی کیف پول های رمزنگاری شده را فراموش کرده است. زیرا اولاً کاربران این سرویس ملزم به احراز هویت (KYC) هستند، ثانیاً اظهارات بازیابی کیف پول کاربر به 3 قسمت رمزگذاری شده تقسیم می شود و هر قسمت به 3 سرور جداگانه ارسال می شود. در این مقاله از کشور بلاک چین راه حل بحث برانگیز دفتر کل درخواست می کنیم عبارات بازیابی کیف پول را ذخیره کنید بررسی کنید و ببینید آیا استفاده می کنید لجر ریکاوری آیا حریم خصوصی کاربران در خطر است؟

خدمات Ledger Recover چیست؟

این هفته سرویس کیف پول سخت افزاری جدید لجر با نام “لجر ریکاوری“Seed Pharse” به بیانیه های بازیابی پشتیبان معرفی شد. مکانیزم اصلی سرویس به این صورت است که علاوه بر درخواست ثبت هویت و ضبط فیلم سلفی کاربر، عبارت بازیابی به 3 قسمت رمزگذاری شده تقسیم شده و هر قسمت به 3 سرور مجزا ارسال می شود.

واریز و برداشت نامحدود در صرافی Etrax

با ثبت نام در Etrax 50000 بیت شبا و 500000 بیت تورنت دریافت کنید!

هدیه بگیر!

نحوه عملکرد سرویس Ledger Recover

• مرحله اول: هویت کاربر با استفاده از مدارک شناسایی و ضبط ویدیوی سلفی تایید می شود.
• مرحله 2: کیف پول Ledger Nano X عبارت بازیابی کاربر را بازسازی و رمزگذاری می کند. این عبارت بازسازی شده و رمزگذاری شده پشتیبان عبارت بازیابی است.
• مرحله 3: پشتیبان گیری رمز عبور بازیابی به هویت احراز هویت شده کاربر متصل می شود.
• مرحله چهارم: بک آپ به سه قسمت تقسیم می شود. هر بخش به طور مستقل توسط سرورهای Ledger، Coincover و یک سرور شخص ثالث نگهداری می شود.

بنابراین کاربر به استفاده از خدمات بازیابی لجر او باید هویت خود را به دفتر کل نشان دهد. این الزام برای تأیید هویت مشتری (KYC) به معنای مواجهه با خطراتی مانند نشت اطلاعات، هک، سانسور یا نظارت دولتی است. از سوی دیگر، کاربر اطلاعات هویتی و اطلاعات مربوط به دارایی های دیجیتال خود را در اختیار شخص ثالث قرار می دهد. در این روش نه تنها امکان افشای یا هک اطلاعات کاربران وجود دارد. اما امکان فروش داده های کاربران در حال حاضر یا در آینده نیز افزایش می یابد. هر شخص ثالث مجاز ممکن است در هر زمانی تصمیم بگیرد که از داده های کاربر لجر به عنوان جریانی برای کسب درآمد استفاده کند.

آیا اطلاعات شخصی کاربر در سرویس Ledger Recover ذخیره می شود؟

اطلاعات هویت کاربر توسط ارائه دهندگان خدمات تأیید ID Ledger Recover جمع آوری می شود. دو شرکت Coin Cover و Ledger به بخش های رمزگذاری شده این اطلاعات دسترسی دارند و فقط یک “شخص ثالث مجاز” به اطلاعات کاربر دسترسی دارد.

اکثر کاربران دفتر کل برنامه Ledger Live استفاده کنید. نرم افزار Ledger Live کیف پول ها را با استفاده از گره های لجر همگام می کند و تمام جزئیات فعالیت های ارز دیجیتال کاربر را نشان می دهد. به همین دلیل نیازی به اتصال حساب دفتر کل کاربر به هویت وی نیست.

تمام اطلاعات احراز هویت مشتری توسط شرکتی به نام Onfido که KYC را مدیریت می کند جمع آوری می شود. این شرکت علاوه بر نگهداری تمامی مدارک شناسایی آپلود شده و جزئیات فیلم سلفی کاربر مانند صدا و تصویر، یک سری اطلاعات کلی در مورد دستگاه و فعالیت کاربر را در همان لحظه در حین آپلود و تایید هویت وی ثبت می کند. .

به این ترتیب شرکت اونفیدو اطلاعات کاملی از هویت شما دارد و با توجه به اینکه شما کاربر دفتر کل هستید، می داند که مقدار قابل توجهی ارز دیجیتال در اختیار دارید. همچنین این شرکت در حین احراز هویت اطلاعات کاملی از دستگاه کاربر به دست می آورد.

اطلاعاتی که Onfido به دست می آورد بسته به در دسترس بودن نظرات در مکان فعلی کاربر و خدماتی که او انتخاب می کند متفاوت است. این اطلاعات ممکن است شامل شماره موبایل، آدرس ایمیل، آدرس IP، جزئیات دستگاه مانند شناسه‌ها و تعاملات کاربر مانند زمان آپلود، نسخه نرم‌افزار مورد استفاده، نام و مدل دوربین مورد استفاده برای ضبط ویدیوی سلفی باشد. علاوه بر این، Onfido همچنین ممکن است نحوه تعامل کاربر با دستگاه را تجزیه و تحلیل کند تا از صحت کاربر اطمینان حاصل کند.

به این ترتیب، برای استفاده از سرویس جدید Ledger Recover، نه تنها باید به Ledger و اشخاص ثالث مجاز اعتماد کنید. شما همچنین باید به Onfido اعتماد کنید. شرکتی که علاوه بر داشتن اطلاعات هویتی شما، می داند که شما کاربر دفتر کل هستید و مقدار زیادی ارز دیجیتال دارید.

خطرات امنیتی استفاده از سرویس Ledger Recover چیست؟

نکته مهم این است که کدهای این سرویس متن بسته و غیرقابل تایید هستند و باید به لجر 100% اعتماد کنیم. بنابراین هیچ کس به جز آنها نمی تواند وقایع و امنیت روند را تایید کند.

اگر روند به این صورت پیش برود، از نظر تئوری عبارت بازیابی کاربر هرگز به صورت رمزگذاری نشده به سرورها ارسال نخواهد شد. اما تایید این موضوع و اطمینان از صحت مراحل رمزگذاری عبارت بازیابی امکان پذیر نیست.

مسئله دیگر این است که حتی اگر این فرآیند به درستی انجام شود، در واقع کدی را در دفتر کل کاربر برای ارسال عبارت بازیابی از طریق USB/BT اجرا می کند. این کار کیف پول سخت افزاری را که به آن اعتماد داشتید و مطمئن بودید که عبارات بازیابی شما هرگز به یک کیف پول “گرم” در معرض خطر قرار نمی گیرند، تنها با چند کلیک تبدیل می کند. در نتیجه فرصت های بیشتری برای حملات برداری مانند فیشینگ و بدافزار ایجاد می شود. حملاتی که شما را مجبور می کند تا عبارات بازیابی خود را ناخواسته برای آنها ارسال کنید.

واقعاً مشخص نیست که آیا لایه امنیتی دفتر کل بخش های رمزگذاری شده را فقط برای یک نفر ارسال می کند یا واقعاً این بخش ها را به 3 سرور مختلف نگهبانی ارسال می کند. همچنین نمی توان مشخص کرد که آیا این بخش ها فقط قابل رمزگشایی توسط کاربر هستند یا خیر.

نحوه عملکرد فرآیند رمزگشایی در حین بازیابی انجماد بذر یک موضوع کاملاً نامشخص است. در واقع کاربر برای بازیابی عبارت اولیه باید وارد سیستم شده و هویت خود را تایید کند. حال سوال این است که اگر رمزگشایی عبارت بازیابی فقط در همان دستگاه انجام شود. پس چگونه دستگاه جدید عبارت رمزگشایی شده را دریافت می کند؟

نحوه ریکاوری

• مرحله 1: وارد سرویس Ledger Recover شوید.
• مرحله 2: Ledger Nano X خود را متصل کرده و اطلاعات شخصی خود را تأیید کنید.
• مرحله 3: خدمات تأیید هویت و شناسایی الکترونیکی Onfido دستورالعمل های لازم را برای تأیید هویت برای شما ارسال می کند.
• مرحله 4: نسخه پشتیبان بیانیه بازیابی دوباره در دفتر Nano X ذخیره می شود.

معمولاً در طرح‌های رمزگذاری سرتاسر (E2EE) روش‌هایی برای احراز هویت دستگاه جدید و ارسال کلید رمزگشایی وجود دارد. اما اگر کاربر دستگاه دفتر خود را گم کرده باشد، نمی تواند از این روش استفاده کند. زیرا وقتی کلید رمزگشایی را ارسال می کنید، ممکن است شخص دیگری آن را دریافت کند.

حال سوال این است که چه کسی در جهان این کلید رمزگشایی را دارد؟ آیا در دسترس لجر است؟ آیا این کلید به نوعی با ورود به سرویس Ledger Recover و احراز هویت کاربر مرتبط است؟ اگر چنین است، چه مکانیزم رمزگذاری استفاده می‌شود و چگونه می‌توانیم این مراحل را تأیید و تأیید کنیم؟

نکته دیگر این است که اگر کسی بداند که شما از سرویس Ledger Recover استفاده می کنید و اطلاعات هویتی شما را ارائه کرده است، حتی اگر دفتر کل خود را در مکانی امن دارید، از نظر تئوری می تواند تمام ارز دیجیتال شما را بدزدد. .

آخرین خطر احتمالی، خطر مصادره دارایی های دیجیتال شما توسط دولت یا اشخاص حقوقی است. زیرا حداقل یک موسسه نگهداری (CoinCover) و یک ارائه دهنده خدمات تأیید هویت (Onfido) مستقر در بریتانیا اطلاعات شما را دارند. اگرچه در اسناد رسمی مربوطه سومین نهاد نگهداری ذکر نشده است، اما بر اساس اطلاعات قبلی احتمالاً EscrowTech است. اگر شرکت مستقر در ایالات متحده سومین متولی مورد بحث باشد، دو سوم شرکت ها را در پنج حوزه قضایی ایالات متحده، بریتانیا، کانادا، استرالیا و نیوزلند هدایت خواهد کرد. بنابراین دولت ها می توانند به راحتی اطلاعات هویتی همه دارندگان ارزهای دیجیتال را درخواست کنند و بنا به صلاحدید خود وجوه آنها را توقیف کنند.

سوالات متداول

• خدمات بازیابی لجر چیست؟
  سرویس جدید Ledger Wallet است که عبارت بازیابی کیف پول کاربر را به 3 قسمت رمزگذاری شده تقسیم می کند و هر قسمت را به یک سرور جداگانه ارسال می کند. با کنار هم قرار دادن این قطعات، می توان از رمزگشایی آنها برای بازسازی عبارت بازیابی استفاده کرد.

• خطرات بازیابی دفترچه چیست؟
  افشای اطلاعات هویتی کاربران، دسترسی دیگران به دارایی ها و کاهش امنیت کیف پول از معایب این روش بازیابی است.

حرف پایانی

Ledger Recover یک سرویس جدید است که یک لایه حفاظتی اضافی برای اظهارات بازیابی کاربران فراهم می کند. این سرویس عبارت بازیابی کیف پول کاربر را به 3 قسمت رمزگذاری شده تقسیم می کند و هر قسمت را به یک سرور جداگانه ارسال می کند. با کنار هم قرار دادن این قطعات، می توان از رمزگشایی آنها برای بازسازی عبارت بازیابی استفاده کرد. اگرچه لجر تصور می کند خدمات بازیابی لجر این ایده خوبی است؛ اما ظاهراً او تمام اصول اولیه خود و همه استدلال های استفاده را فراموش کرده است کیف پول سخت افزاری (ذخیره سرد) نقض می کند زیرا ابتدا مستقیماً KYC را از کاربران این سرویس درخواست می کند. ثانیاً، علاوه بر دفتر کل، باید به شرکت‌ها و شرکت‌های شخص ثالث مجاز که اطلاعات KYC را به دست می‌آورند نیز اعتماد کنید. علاوه بر این، ماهیت متن بسته بودن دفتر، اعتماد به ادعاهای آنها را دشوار می کند. آیا شما هم کاربر هستید؟ کیف پول های سخت افزاری ارز دیجیتال لجر آیا شما نظر شما در مورد امنیت سرویس جدید Ledger Recover چیست؟

{ “@context”: “https://schema.org”، “@type”: “FAQPage”، “mainEntity”: [
{
“@type”: “Question”,
“name”: “سرویس Ledger recover چیست؟ “,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “سرویس جدید کیف پول لجر است که عبارت بازیابی کیف پول کاربر را به ۳ بخش رمزگذاری‌شده تقسیم می‌کند و هر قسمت را برای یک سرور جداگانه می‌فرستد. با قرار دادن دوباره این قطعات در کنار هم می‌‌توان از رمزگشایی آن‌ها برای بازسازی عبارت بازیابی استفاده کرد.”
}
},
{
“@type”: “Question”,
“name”: “لجر ریکاور چه خطراتی دارد؟ “,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “افشای اطلاعات هویتی کاربران، دسترسی به دارایی‌ها توسط دیگران و کاهش امنیت کیف پول از معایب این روش بازیابی است. ”
}
}
]
}

خبر فوق به نقل از رسانه اسمارتک نیوز در وبسایت اسمارتک نوشته شده است در تاریخ 2023-05-18 21:03:00