Ano ang Susunod para sa Bitcoin Wallet Security?

Naging abala ang mga panahon sa mundo ng Bitcoin wallet kamakailan. Dalawang hardware wallet – Trezor at BTChip – ang sa wakas ay naipadala na, at ang seguridad ng wallet ay patuloy na lumalago.

Sa kabila ng lahat ng ito, gayunpaman, ang mga taong dapat na mas nakakaalam ay ninakawan pa dahil nabigo silang magdagdag ng karagdagang proteksyon sa kanilang mga Bitcoin holdings.

Upang matugunan ang isyu ng mga kahinaan sa Bitcoin wallet, mahalagang tingnan ang mga proteksyon sa seguridad na kasalukuyang magagamit para sa mga wallet, at upang tuklasin kung anong trabaho ang kailangan pang gawin sa hinaharap.

Multisig

Ang 2014 ay magiging taon ng maraming lagda (multisig), ayon sa Gavin Andresen sa kanyang 2014 State of Bitcoin speech, at nagkaroon ng maraming aktibidad sa harap na ito. Binibigyang-daan ng Multisig ang mga may-ari ng wallet na dagdagan ang seguridad sa pamamagitan ng pag-aatas sa isang third party na mag-sign off sa mga transaksyon bago sila ma-finalize.

Binibigyan nito ang daan para sa mga serbisyo sa panganib ng ikatlong partido, sabi ni Gary Rowe, CEO ng sikat na Bitcoin wallet na Multibit:

"Kung bibili ka ng £10,000 na kotse o katulad niyan gamit ang Bitcoin, maaaring magpadala ang mga tao ng text para kumpirmahin ang transaksyong iyon."

Ang Multibit ay batay sa Bitcoinj, isang Java-based na pagpapatupad ng Bitcoin. Ang Bitcoinj ay mayroon na ngayong multisig na suportang built-in, kasama ng mga pluggable na transaction signer. Ngunit alinman sa Multibit o Hive, na parehong batay sa Bitcoinj, ay kasalukuyang hindi sumusuporta sa multisig sa oras ng pagsulat.

Ang iba pang mga wallet, tulad ng BitGo at Armory, na higit na nakatuon sa mga user ng enterprise, ay may built in na multisig na suporta.

Ngunit T namin dapat i-pin ang lahat ng aming pag-asa sa seguridad sa multisig wallet.

"Hindi lahat ay bibili sa kanila bilang bahagi ng desentralisadong etos ng Bitcoin, kaya't T sila maaasahan bilang tanging solusyon sa problema," sabi ni Rowe, na idinagdag na ang mga multisig na wallet ay mas kumplikado ring gamitin kaysa sa mga deterministikong wallet.

Mga deterministikong wallet

Ang mga naunang Bitcoin wallet ay nakabuo ng mga address nang random. Ang mga address ng Bitcoin ay T dapat gamitin muli, na nangangahulugan na kapag ginamit nang maayos, dapat mayroong maraming mga address sa isang wallet. Ginagawa nitong mahirap na mabawi ang mga address na iyon kung nawala ang mga ito.

Ang mga deterministikong wallet ay gumagawa ng mga address gamit ang isang simpleng multi-word na parirala, na random na ginawa ng user. Ang parirala ay lilikha din ng parehong hanay ng mga address.

Ang lahat ng ito ay ginagawang mas madali upang malutas ang backup na problema, sabi ni Aaron Vosine, tagalikha ng Breadwallet na nakabase sa iOS:

"Kung deterministic ang wallet, ang iyong wallet seed lang ang kailangan mo. Dapat na i-record offline ang seed na ito gaya ng may mahabang password, o sa isang secure na hardware device na naka-lock na may madaling matandaan na pin code."

Ngayon, ang hierarchical deterministic (HD) na mga wallet ay nagdaragdag ng isa pang dimensyon. Lumilikha sila ng 'mga puno' ng mga address gamit ang isang pariralang binhi. Anumang sanga ng puno ay maaaring ibahagi sa ibang gumagamit, nang hindi ibinibigay ang buong puno. Na ginagawang madaling mapapalitan ang mga HD wallet sa iba nang hindi nakompromiso ang Privacy, at madaling makopya.

Ang lahat ng ito ay mahusay na mga pag-unlad, ngunit marahil ang ONE sa mga pinakamalaking ebolusyon sa taong ito ay ang pagtaas ng hardware wallet. Pinuri ng pinuno ng proyekto ng Bitcoinj na si Mike Hearn ang pagpapadala ng Trezor:

"Kapaki-pakinabang na ulitin ito – wala nang mas sopistikadong financial authenticator device sa mundo, sa pagkakaalam ko. Ang pamantayang ginagamit ng mga bangko sa EU at saanman (CAP) ay T kasing daling gamitin, at sa sandaling isama ni Trezor ang suporta para sa protocol ng pagbabayad, magiging mas secure din ito kaysa sa CAP. T man lang lumalapit ang mga bangko sa US."

Ang iba pang mga wallet ay mabilis na naglalabas ng suporta para sa mga wallet ng hardware. Ang pagsasama ng Trezor ng Multibit ay dapat na live sa loob ng ilang linggo, sabi ni Rowe.

Silid para sa pagpapabuti

Sa kabila ng mga hakbang na ginawa ngayong taon, mayroon pa ring makabuluhang hamon para sa mga wallet.

ONE sa mga pinakamalaking alalahanin ay malware, sabi ng Breadwallet's Vosine. Ang banta mula sa malware ay malamang na tumaas lamang, at ang Android ay naging pugad ng aktibidad ng malware.

Ipinaliwanag ni Vosine:

"Malakas ang pakiramdam ko na ang malware sa pagnanakaw ng bitcoin ay ang pinakamalaking banta sa ngayon, lalo na para sa mga wallet sa desktop. Ang isang hindi gaanong bahagi ng malware na natuklasan ngayon ay ang pagnanakaw ng Bitcoin ng malware, ngunit napakaliit pa rin ng Bitcoin ."

Ito ay isa pang dahilan upang lumipat sa mga wallet ng hardware, sinabi ng mga komentarista, ngunit ang hardware, masyadong, ay may puwang para sa pagpapabuti.

Thomas Voegtlin, na lumikha ng sikat na Bitcoin wallet Electrum, sinabi na mayroon na siyang suporta para kay Trezor, at malapit na ang pagsasama ng BTChip. Ang yugto ay nakatakda para sa susunod na ebolusyonaryong hakbang sa mga wallet ng hardware, iminungkahi niya:

"Ang mga hardware wallet ay isang mahusay na pag-unlad sa web at desktop wallet, gayunpaman ang kasalukuyang henerasyon ay kailangan pa ring magtiwala sa isang host system para sa block chain data at mga address ng pagbabayad. Magiging mahusay ito kapag ang mga hardware wallet ay maaaring magpatakbo ng SPV verification at payment protocol validation sa secure na device."

Si Nicholas Bacca, tagalikha ng BTChip, ay lumikha ng isang smartcard wallet na sinabi niyang hindi madaling mabawi ng isang attacker na nakakakuha ng pisikal na access sa chip.

Sinabi ni Bacca na inaasahan niyang makitang may papel ang virtualization sa hinaharap:

"Maghanap ng higit pang hardware wallet na ipinapatupad sa mga secure na elemento, at pagkakaroon ng hardware wallet na na-virtualize sa mga secure na kapaligiran gaya ng TEEs [Mga Pinagkakatiwalaang Kapaligiran sa Pagpapatupad], gayunpaman T ako naniniwala na ang virtualization na ito ay magagamit o portable bago ang 2–3 taon."

Ang paggamit ng mga TEE at ang nauugnay na Trusted Platform Modules (TPMs) - na parehong nagbibigay ng mga protektadong lugar ng hardware para sa pagpapatupad ng sensitibong code - ay maaaring humantong sa pagtanggi sa pangangailangan para sa mga wallet ng hardware, ang argumento ni Wendell Davis, tagapagtatag ng Hive Wallet:

"Inaakala ko na ang mga mobile phone ay magkakaroon ng isang uri ng TPM sa ilang mga punto, kaya maaaring iyon ang pako sa kilalang-kilala na kabaong ng hardware wallet."

Gusto rin ng mga tao na magdala ng mas kaunting mga device, sa halip na higit pa, iginiit niya, at idinagdag na may posibilidad silang mag-opt para sa hindi gaanong secure ngunit mas maginhawang mga opsyon.

Biometrics

Sinusubukan na ng mga kumpanya ng telepono na pakasalan ang seguridad at kaginhawahan, sa anyo ng biometrics; Malapit nang magkaroon ng suporta ang Breadwallet para sa TouchID ng Apple, sabi ni Vosine.

Ang Multibit's Rowe ay T isang malaking tagahanga ng biometrics. Nag-aalala daw siya na maaaring makompromiso ang fingerprints, voice recognition at maging ang iris scan. Sa anumang kaso, ang rate ng katumpakan ay T perpekto, babala niya, na nagpapahirap sa malawakang pag-aampon.

Si Vosine, sa kabilang banda, ay naglalagay ng limitasyon sa pin code sa telepono upang maiwasan ang mga tao pagkopya ng mga fingerprint at pag-hack ng telepono. Isinaalang-alang din ni Hearn ang paggamit ng isang 'badge' ng NFC na maaaring isuot ng isang tao sa kanilang bulsa upang makatulong na i-verify ang telepono na kanilang ginagamit.

Habang ang lahat ng mga hakbang sa seguridad na ito ay pumapasok sa mga wallet sa ONE anyo o iba pa, saan ito nag-iiwan sa Bitcoin-Qt, ang reference na wallet na nilikha ng mga CORE developer? Sa nakaraan, ang nangungunang developer ng Bitcoin ay nagpahiwatig na Mawawala ang Bitcoin-Qt mula sa CORE proyekto.

Maaaring makabuluhan na ang mga kamakailang paglabas ng Bitcoin daemon - ang pinagbabatayan na Bitcoin code na nagpapanatili sa network na tumatakbo - ay maaari na ngayong i-compile nang walang paggana ng Bitcoin .

Ang delta sa pagitan ng pagpapatupad ng reference at iba pang mga wallet sa field ay lumalaki, binalaan ni Hearn:

"Ang Bitcoin-Qt ay T pa rin HD, pabayaan ang pluggable na multisig HD, kaya sa palagay ko ay makikita natin ang wallet na ito na mas mahuhuli pa."

Usability

Higit sa lahat ng ito, mayroon pa rin kaming problema sa kakayahang magamit upang labanan. Palaging may tradeoff sa pagitan ng seguridad at kaginhawahan, at totoo rin ito sa mga secure na wallet, babala ni Hearn:

"Halimbawa Bitcoin Authenticator ay medyo prangka, ngunit kailangan mo pa ring mag-scan ng QR code mula sa iyong telepono, magsulat ng ilang 12-salitang buto ng wallet, at iba pa. Maaari itong gawing mas simple ngunit ito ay isang patuloy na hamon."

ONE sa mga pinakamalaking problema, ayon sa Hive Wallet's Davis, ay nabigo pa rin ang mga tao na Social Media kahit ang mga pangunahing alituntunin sa seguridad na may mga wallet.

"Alam namin na ang isang ganap na kakila-kilabot na bilang ng mga gumagamit ay binabalewala lamang ang dalawang linya ng mga tagubilin tungkol sa pagsusulat ng kanilang seed na parirala. Sila ay mabilis na pasulong at binabalewala ang babala, na minarkahan ng pula," paliwanag ni Davis.

Ang mga wallet ng Bitcoin ay mas secure kaysa dati, at sa maraming pagkakataon, mas ligtas na kaysa sa arcane na sistema ng credit card ng industriya ng pagbabangko, kung saan ibibigay mo sa mga mangangalakal ang iyong pangalan, mga detalye ng credit card, at maging ang iyong Secret code – at madalas sa Internet.

Gayunpaman, marami pang dapat gawin. Ang mga tool ay maaaring mapabuti, oo - palaging may isa pang teknikal na trick na idaragdag. Ngunit sa puntong ito, kapag ang teknikal na seguridad ay higit pa kaysa sa kumbensyonal na industriya ng pananalapi, maaaring ito ay ang pag-uugali ng gumagamit na nangangailangan ng pagpapahusay.

Larawan ng seguridad ng Bitcoin sa pamamagitan ng CoinDesk