Що буде далі щодо безпеки Bitcoin гаманця?

Останнім часом у світі Bitcoin гаманців були напружені часи. Два апаратних гаманця – Trezor і BTChip – нарешті відвантажено, і безпека гаманця продовжує розвиватися.

Незважаючи на все це, люди, які повинні знати краще, є все ще грабують тому що вони не можуть додати більше захисту своїм Bitcoin .

Щоб вирішити проблему вразливості Bitcoin гаманця, важливо розглянути засоби захисту, які зараз доступні для гаманців, і дослідити, що ще потрібно зробити в майбутньому.

Мультисиг

2014 рік мав стати роком множинних підписів (multisig). Гевін Андресен у своїй промові про стан Bitcoin у 2014 році, і на цьому фронті було багато активності. Multisig дозволяє власникам гаманців посилити безпеку, вимагаючи від третьої сторони підписувати транзакції перед їх завершенням.

Це відкриває шлях для послуг сторонніх ризиків, сказав Гері Роу, генеральний директор популярного Bitcoin гаманця Multibit:

«Якщо ви купуєте автомобіль за 10 000 фунтів стерлінгів або щось подібне за Bitcoin, люди можуть надіслати SMS для підтвердження цієї транзакції».

Multibit базується на Bitcoinj, реалізації Bitcoin на основі Java. Bitcoinj тепер має вбудовану підтримку кількох підписів, а також підключаються підписувачі транзакцій. Але ні Multibit, ні Hive, які базуються на Bitcoinj, наразі не підтримують multisig на момент написання статті.

Інші гаманці, такі як BitGo та Armory, які більше орієнтовані на корпоративних користувачів, мають вбудовану підтримку кількох підписів.

Але ми T повинні покладати всі наші надії на безпеку на мультипідписні гаманці.

«Не всі приймуть їх як частину децентралізованого етоду Bitcoin, тому T можна покладатися на них як на єдине рішення проблеми», — сказав Роу, який додав, що мультисиг-гаманці також є більш складними у використанні, ніж детерміновані гаманці.

Детерміновані гаманці

Ранні Bitcoin -гаманці генерували адреси випадковим чином. Адреси Bitcoin T можна використовувати повторно, а це означає, що за правильного використання в одному гаманці має бути багато адрес. Це ускладнює відновлення цих адрес у разі їх втрати.

Детерміновані гаманці створюють адреси за допомогою простої багатослівної фрази, випадково створеної користувачем. Фраза також створить той самий набір адрес.

Все це полегшує вирішення проблеми резервного копіювання, сказав Аарон Восайн, творець Breadwallet на базі iOS:

«Якщо гаманець є детермінованим, то все, що вам потрібно, — це початкове значення гаманця. Це початкове значення має бути записане в автономному режимі, як за допомогою довгого пароля, або на захищеному апаратному пристрої, заблокованому пін-кодом, який легко запам’ятати».

Тепер ієрархічні детерміновані (HD) гаманці додають ще один вимір. Вони створюють «дерева» адрес, використовуючи початкову фразу. Будь-якою гілкою дерева можна поділитися з іншим користувачем, не віддаючи все дерево. Завдяки цьому гаманці HD можна легко обмінювати з іншими без шкоди для Політика конфіденційності та легко відтворювати.

Це все чудові розробки, але, мабуть, ONE з найбільших еволюцій цього року стало зростання апаратного гаманця. Керівник проекту Bitcoinj Майк Хірн високо оцінив доставку Трезор:

«Варто повторити це – наскільки мені відомо, у світі немає більш складного пристрою фінансової автентифікації. Стандарт, який використовують банки в ЄС та інших країнах (CAP) T такий простий у використанні, і коли Trezor інтегрує підтримку платіжного протоколу, він також буде безпечнішим, ніж CAP. Американські банки навіть близько T підходять».

Інші гаманці швидко розгортають підтримку апаратних гаманців. За словами Роу, інтеграція Multibit з Trezor має запрацювати через пару тижнів.

Простір для вдосконалення

Незважаючи на успіхи, досягнуті цього року, для гаманців все ще існують значні проблеми.

ONE з найбільших проблем викликає зловмисне програмне забезпечення, сказав Восіне з Breadwallet. The загроза шкідливого програмного забезпечення імовірно лише збільшуватиметься, а Android є осередком активності зловмисного програмного забезпечення.

Восіне пояснив:

«Я переконаний, що зловмисне програмне забезпечення, яке викрадає біткойни, зараз є найбільшою загрозою, особливо для гаманців для настільних комп’ютерів. Незначна частина зловмисного програмного забезпечення, яке зараз виявляється, — це зловмисне програмне забезпечення, яке викрадає Bitcoin , і все ж Bitcoin все ще дуже малий».

Це ще одна причина для переходу на апаратні гаманці, кажуть коментатори, але апаратне забезпечення також має місце для вдосконалення.

Томас Вогтлін, який створив популярний Bitcoin гаманець Електрум, сказав, що він уже підтримує Trezor і що незабаром буде інтеграція BTChip. Він припустив, що наступний крок еволюції апаратних гаманців готовий:

«Апаратні гаманці є великим прогресом у порівнянні з веб-гаманцями та гаманцями для настільних комп’ютерів, однак нинішнє покоління все ще має довіряти хост-системі для даних ланцюга блоків і платіжних адрес. Це буде чудово, коли апаратні гаманці зможуть виконувати перевірку SPV і перевірку платіжного протоколу на безпечному пристрої».

Ніколас Бакка, творець BTChip, створив гаманець для смарт-карт, який, за його словами, не може бути легко відновлений зловмисником, який отримує фізичний доступ до чіпа.

Бакка сказав, що очікує, що віртуалізація відіграватиме певну роль у майбутньому:

«Шукайте більше апаратних гаманців, реалізованих у захищених елементах, і віртуальних апаратних гаманців у безпечних середовищах, таких як TEE [Довірені середовища виконання], однак я T вірю, що ця віртуалізація стане доступною або переносимою раніше ніж через 2–3 роки».

За словами Венделла Девіса, засновника Hive Wallet, використання TEE та пов’язаних модулів довіреної платформи (TPM), які забезпечують захищені апаратні зони для виконання конфіденційного коду, може звести нанівець потребу в апаратних гаманцях:

«Я припускаю, що в якийсь момент мобільні телефони матимуть свого роду TPM, тож це може стати цвяхом у труну апаратного гаманця».

Люди також хочуть носити з собою менше пристроїв, а не більше, стверджував він, додаючи, що вони, як правило, вибирають менш безпечні, але більш зручні варіанти.

Біометрія

Телефонні компанії вже намагаються поєднати безпеку та зручність у формі біометрії; За словами Восіне, Breadwallet незабаром матиме підтримку TouchID від Apple.

Роу з Multibit T є великим шанувальником біометрії. Він сказав, що хвилюється, що відбитки пальців, розпізнавання голосу та навіть сканування райдужної оболонки ока можуть бути скомпрометовані. У будь-якому випадку, рівень точності T ідеальний, попередив він, що ускладнює його широке впровадження.

Vosine, з іншого боку, розміщує лімітний пін-код на телефоні, щоб уникнути людей копіювання відбитків пальців і злом телефону. Гірн також розглянув можливість використання «значка» NFC, який хтось може носити в кишені, щоб допомогти перевірити телефон, яким вони користуються.

Оскільки всі ці заходи безпеки в ONE чи іншій формі потрапляють у гаманці, де залишиться Bitcoin-Qt, еталонний гаманець, створений CORE розробниками? У минулому провідний розробник Bitcoin вказував на це Bitcoin-Qt буде виділено з CORE проекту.

Це може бути важливим, що останні випуски демона Bitcoin – основного коду Bitcoin , який підтримує роботу мережі – тепер можна скомпілювати взагалі без функціональності Bitcoin .

Хірн попередив, що різниця між еталонною реалізацією та іншими гаманцями в галузі зростає:

«Bitcoin-Qt досі T є навіть HD, не кажучи вже про підключаємий мультисиг HD, тому я думаю, що ми побачимо, як цей гаманець буде відставати все далі».

Юзабіліті

Крім усього цього, у нас ще є проблема зручності використання, з якою потрібно боротися. Завжди існує компроміс між безпекою та зручністю, і те саме стосується безпечних гаманців, попередив Хірн:

«Наприклад Bitcoin -автентифікатор це досить просто, але вам все одно потрібно відсканувати QR-код зі свого телефону, записати пару символів гаманця з 12 слів і так далі. Це можна зробити простіше, але це постійний виклик».

ONE з найбільших проблем, за словами Девіса з Hive Wallet, полягає в тому, що люди все ще не Соціальні мережі навіть основних вказівок щодо безпеки гаманців.

«Ми знаємо, що абсолютно жахлива кількість користувачів просто ігнорує два рядки інструкцій щодо запису початкової фрази. Вони просто йдуть вперед і ігнорують попередження, позначене червоним», — пояснив Девіс.

Bitcoin -гаманці безпечніші, ніж будь-коли раніше, і в багатьох випадках вже набагато безпечніші, ніж таємнича система кредитних карток банківської індустрії, у якій ви повідомляєте продавцям своє ім’я, дані кредитної картки та навіть Secret код – і часто через Інтернет.

Тим не менш, роботи ще багато. Інструменти можна вдосконалити, так – завжди є ще один технічний прийом, який можна додати. Але на даний момент, коли технічна безпека випереджає, ніж у звичайній фінансовій галузі, можливо, потребує покращення поведінка користувачів.

Зображення безпеки Bitcoin через CoinDesk