CTO do Ripple David Schwartz compartilhou sua opinião sobre o controverso serviço Ledger Recover. O provedor de carteira de hardware Ledger causou um rebuliço na comunidade cripto depois que os detalhes de seu recém-introduzido serviço Ledger Recover surgiram online.
De acordo com a última atualização do Twitter da empresa, o novo Ledger Recover criptografa uma versão da chave privada do usuário e a divide em três fragmentos (usando Shamir Secret Sharing); tudo isso acontece no chip Secure Element.
Aqui está uma explicação do que todos nós entendíamos (até recentemente) era o modelo de segurança e a proposta de valor da Ledger. https://t.co/zxNAU0caJA
- David “JoelKatz” Schwartz (@JoelKatz) 17 de maio de 2023
Preocupações de segurança foram levantadas sobre o novo produto, pois muitas pessoas acreditam que os hackers podem usar o serviço para “recuperar” as frases iniciais dos usuários.
As preocupações não são infundadas porque a Ledger sofreu um vazamento de dados em 2020 que tornou públicos aproximadamente 300,000 números de telefone de clientes, endereços físicos e mais de um milhão de endereços de e-mail.
Schwartz referiu-se a um tweet de 15 de novembro de 2022, no qual Ledger informou que as chaves privadas nunca saem do chip Secure Element, que nunca foi hackeado.
Ledger, no tweet, também mencionou que o Secure Element é certificado por terceiros, sendo a mesma tecnologia usada em passaportes e cartões de crédito e que uma atualização de firmware não poderia extrair as chaves privadas do Secure Element.
O CTO da Ripple mencionou que isso era o que se entendia até recentemente sobre o modelo de segurança e a proposta de valor da Ledger.
Comentário do co-fundador da Ripple CTO e Solana
Em outro tópico de tweets onde o CTO da Ripple e o cofundador da Solana, Anatoly Yakovenko, responderam à preocupação de um usuário sobre o novo produto Ledger, Schwartz manteve sua posição: “Eu confiei neles para projetar um dispositivo não capaz de exfiltrar chaves porque é isso que eles explicitamente disse."
Ele comentou no tweet do cofundador da Solana: “Se você confiava neles antes para não exfiltrar suas chaves, agora pode confiar neles para não fazer isso quando esse recurso estiver desativado. Acho que a superfície de ataque é quase a mesma.”
No Twitter, um usuário expressou suas reservas sobre o produto, afirmando que uma carteira de hardware verdadeiramente segura não deveria ser capaz de enviar as chaves privadas dos usuários. “A falha do dispositivo é a capacidade de enviar a chave privada”, afirmou.
De acordo com os detalhes fornecidos pelo provedor de carteira de hardware, o Ledger Recover é uma assinatura opcional para usuários que desejam um backup de sua frase de recuperação secreta que não é ativada automaticamente por nenhuma atualização de firmware.
Fonte: https://u.today/ripple-cto-weighs-in-on-ledger-controversy-details