O que vem por aí para a segurança da carteira Bitcoin ?

Os tempos têm sido movimentados no mundo das carteiras de Bitcoin ultimamente. Duas carteiras de hardware – Trezor e BTChip – finalmente foram enviadas, e a segurança das carteiras continua a amadurecer.

Apesar de tudo isso, porém, as pessoas que deveriam saber melhor sãoainda sendo roubado porque eles não conseguem adicionar mais proteção aos seus ativos de Bitcoin .

Para lidar com o problema das vulnerabilidades das carteiras de Bitcoin , é importante analisar as proteções de segurança que estão disponíveis atualmente para carteiras e explorar o trabalho que ainda precisa ser feito no futuro.

Multisig

2014 seria o ano das assinaturas múltiplas (multisig), segundoGavin Andresen em seu discurso sobre o estado do Bitcoin em 2014, e tem havido muita atividade nessa frente. O Multisig permite que os donos de carteiras aumentem a segurança ao exigir que um terceiro assine as transações antes que elas sejam finalizadas.

Isso abre caminho para serviços de risco de terceiros, disse Gary Rowe, CEO da popular carteira de Bitcoin Multibit:

"Se você estiver comprando um carro de £ 10.000 ou algo assim com Bitcoin, as pessoas podem enviar uma mensagem de texto para confirmar a transação."

O Multibit é baseado no Bitcoinj, uma implementação baseada em Java do Bitcoin. O Bitcoinj agora tem suporte multisig integrado, junto com signatários de transação plugáveis. Mas nem o Multibit nem o Hive, ambos baseados no Bitcoinj, atualmente suportam multisig no momento da escrita.

Outras carteiras, como BitGo e Armory, que são mais focadas em usuários corporativos, têm suporte multisig integrado.

Mas T devemos depositar todas as nossas esperanças de segurança em carteiras multiassinatura.

"Nem todo mundo vai acreditar que elas fazem parte do ethos descentralizado do Bitcoin, então T podemos confiar nelas como a única solução para o problema", disse Rowe, que acrescentou que as carteiras multiassinatura também são mais complexas de usar do que as carteiras determinísticas.

Carteiras determinísticas

As primeiras carteiras de Bitcoin geravam endereços aleatoriamente. Endereços de Bitcoin T devem ser reutilizados, o que significa que, quando usados ​​corretamente, devem haver muitos endereços em uma única carteira. Isso dificulta a recuperação desses endereços se eles forem perdidos.

Carteiras determinísticas criam endereços usando uma frase simples de várias palavras, criada aleatoriamente pelo usuário. A frase também criará o mesmo conjunto de endereços.

Tudo isso torna mais fácil resolver o problema de backup, disse Aaron Vosine, criador do Breadwallet baseado em iOS:

"Se uma carteira for determinística, então sua seed de carteira é tudo o que você precisa. Essa seed deve ser registrada offline, como com uma senha longa, ou em um dispositivo de hardware seguro bloqueado com um código PIN fácil de lembrar."

Agora, carteiras determinísticas hierárquicas (HD) estão adicionando outra dimensão. Elas criam 'árvores' de endereços usando uma frase semente. Qualquer ramo da árvore pode ser compartilhado com outro usuário, sem revelar a árvore inteira. Isso torna as carteiras HD facilmente trocáveis ​​com outras sem comprometer a Política de Privacidade e facilmente replicáveis.

Todos esses são grandes desenvolvimentos, mas talvez uma das maiores evoluções deste ano tenha sido a ascensão da carteira de hardware. O líder do projeto Bitcoinj, Mike Hearn, elogiou o envio de Trezor:

"Vale a pena repetir isso – não há dispositivo autenticador financeiro mais sofisticado no mundo, até onde eu saiba. O padrão usado por bancos na UE e em outros lugares (CAP) T é tão fácil de usar e, quando o Trezor integrar suporte ao protocolo de pagamento, ele também será mais seguro que o CAP. Os bancos dos EUA T chegam perto."

Outras carteiras estão rapidamente implementando suporte para carteiras de hardware. A integração Trezor da Multibit deve estar ativa em algumas semanas, disse Rowe.

Espaço para melhorias

Apesar dos avanços feitos neste ano, ainda há desafios significativos para os bolsos.

Uma das maiores preocupações é o malware, disse Vosine da Breadwallet. O ameaça de malwaresó tende a aumentar, e o Android tem sido um foco de atividade de malware.

Vosine explicou:

"Eu acredito fortemente que o malware de roubo de bitcoin é a maior ameaça agora, especialmente para carteiras de desktop. Uma porção não insignificante do malware que está sendo descoberto agora é malware de roubo de Bitcoin , e ainda assim o Bitcoin ainda é muito pequeno."

Esse é outro motivo para migrar para carteiras de hardware, disseram os comentaristas, mas o hardware também tem espaço para melhorias.

Thomas Voegtlin, que criou a popular carteira Bitcoin Eletro, disse que já tem suporte para Trezor, e que a integração do BTChip está chegando em breve. O cenário está pronto para o próximo passo evolutivo em carteiras de hardware, ele sugeriu:

"Carteiras de hardware são um grande avanço em relação às carteiras da web e de desktop, no entanto, a geração atual ainda precisa confiar em um sistema host para dados de blockchain e endereços de pagamento. Será ótimo quando as carteiras de hardware puderem executar a verificação SPV e a validação do protocolo de pagamento no dispositivo seguro."

Nicholas Bacca, criador do BTChip, criou uma carteira de cartão inteligente que, segundo ele, não pode ser facilmente recuperada por um invasor que obtenha acesso físico ao chip.

Bacca disse que espera ver a virtualização desempenhar um papel no futuro:

“Procure por mais carteiras de hardware implementadas em elementos seguros e tenha carteiras de hardware virtualizadas em ambientes seguros, como TEEs [Ambientes de execução confiáveis], no entanto, T acredito que essa virtualização estará disponível ou portátil antes de 2 a 3 anos."

O uso de TEEs e dos Trusted Platform Modules (TPMs) associados – ambos os quais fornecem áreas de hardware protegidas para a execução de código sensível – pode acabar negando a necessidade de carteiras de hardware, argumentou Wendell Davis, fundador da Hive Wallet:

"Imagino que os celulares terão uma espécie de TPM em algum momento, o que pode ser o prego no caixão proverbial da carteira de hardware."

As pessoas também querem carregar menos dispositivos, em vez de mais, afirmou ele, acrescentando que tendem a optar por opções menos seguras, mas mais convenientes.

Biometria

As empresas de telefonia já estão tentando unir segurança e conveniência, na forma de biometria; a Breadwallet em breve terá suporte para o TouchID da Apple, disse Vosine.

Rowe, da Multibit, T é um grande fã de biometria. Ele disse que se preocupa que impressões digitais, reconhecimento de voz e até mesmo escaneamentos de íris possam ser comprometidos. Em qualquer caso, a taxa de precisão T é perfeita, ele alertou, o que dificulta a adoção generalizada.

Vosine, por outro lado, está colocando um código PIN de limite no telefone para evitar que as pessoascopiando impressões digitaise hackear um telefone. Hearn também considerou usar um "emblema" NFC que alguém pode usar no bolso para ajudar a verificar o telefone que está usando.

À medida que todas essas medidas de segurança chegam às carteiras de uma forma ou de outra, onde isso deixa o Bitcoin-Qt, a carteira de referência criada pelos desenvolvedores CORE ? No passado, o desenvolvedor líder do Bitcoin indicou que Bitcoin-Qt seria desmembrado do projeto CORE .

Pode ser significativo que versões recentes do daemon do Bitcoin – o código subjacente do Bitcoin que mantém a rede funcionando – agora possam ser compiladas sem nenhuma funcionalidade do Bitcoin .

O delta entre a implementação de referência e outras carteiras no campo está crescendo, alertou Hearn:

"O Bitcoin-Qt ainda T é nem HD, muito menos multisig HD plugável, então acho que veremos essa carteira ficar cada vez mais para trás."

Usabilidade

Acima de tudo isso, ainda temos o problema da usabilidade para lidar. Há sempre uma troca entre segurança e conveniência, e o mesmo é verdade com carteiras seguras, Hearn alertou:

"Por exemplo Autenticador Bitcoiné bem direto, mas você ainda tem que escanear um código QR do seu telefone, escrever algumas sementes de carteira de 12 palavras, e assim por diante. Pode ser simplificado, mas este é um desafio contínuo."

Um dos maiores problemas, de acordo com Davis, da Hive Wallet, é que as pessoas ainda não Siga nem as diretrizes básicas de segurança com carteiras.

"Sabemos que um número absolutamente assustador de usuários simplesmente ignora as duas linhas de instruções sobre como anotar sua frase semente. Eles simplesmente seguem em frente e ignoram o aviso, marcado em vermelho", explicou Davis.

As carteiras de Bitcoin estão mais seguras do que nunca e, em muitos casos, muito mais seguras do que o sistema de cartão de crédito do setor bancário, no qual você fornece aos comerciantes seu nome, detalhes do cartão de crédito e até mesmo seu código Secret — geralmente pela Internet.

No entanto, há mais trabalho a ser feito. As ferramentas podem ser melhoradas, sim – sempre há outro truque técnico a ser adicionado. Mas neste ponto, quando a segurança técnica está ultrapassando a do setor financeiro convencional, pode ser o comportamento do usuário que precisa ser aprimorado.

Imagem de segurança do Bitcoin via CoinDesk