Análise: Colocando o novo hardware Bitcoin da Ledger à prova

Jameson Lopp é engenheiro de software na BitGo, criador do statoshi.info e fundador do bitcoinsig.com.

Nesta análise de convidado, Lopp testa a recém-lançada carteira de Criptomoeda de hardware Ledger Blue para ver se seu alto preço é compatível com sua utilidade.

Nome: Ledger Azul

O que é isso: Um dispositivo de carteira de hardware de Criptomoeda portátil arquitetado em torno de um elemento seguro, apresentando uma tela sensível ao toque e conectividade USB/NFC/BLE para compatibilidade com PC e smartphone. Ele roda vários aplicativos como Bitcoin, Ethereum, FIDO U2F, SSH e GPG, e pode ser usado com várias moedas digitais, incluindo Bitcoin, DASH, Zcash, Litecoin e Dogecoin.

Quem está por trás disso: Ledger, uma startup francesa que cria dispositivos de segurança pessoal para usuários finais, módulos de segurança de hardware para servidores e oráculos de hardware para IoT.

Custo: € 229 + frete

Data de lançamento: Dezembro de 2016

Resumo: O Ledger Blue é o próximo passo na evolução das carteiras de hardware de Criptomoeda . Ele combina segurança de ponta com facilidade de uso. A maior desvantagem para os primeiros usuários é que os recursos completos do dispositivo ainda não estão disponíveis.

Onde comprar:Diretamente do Ledger

O básico

Por € 229, o Ledger Blue é o dispositivo de segurança de hardware de Bitcoin mais caro do mercado. A última vez que paguei tanto por uma carteira de hardware (US$ 200 por uma Carteira de estojo), Eu era principalmente decepcionado. Vamos nos aprofundar nos detalhes para ver se a utilidade do Blue corresponde ao seu preço.

Segurança

O Blue vem com uma impressionante variedade de recursos criptográficos e de segurança sobre os quais você pode ler em seuartigo de anúncioe nopágina do produto em si. Como a maioria deles está honestamente fora do meu escopo de testes, T farei uma análise técnica profunda ou desmontagem de hardware, pois T seria particularmente informativo.

Estou confiante na funcionalidade de segurança oferecida pelo Ledger e, em vez disso, vou me concentrar na experiência do usuário para esta análise.

Quando recebi meu Blue, ele chegou bem embalado, com fita inviolável em todas as bordas.

Ao abrir a caixa embalada em plástico, você encontrará uma nota mencionando que o dispositivo T precisa de selos invioláveis.

Ligar o dispositivo pela primeira vez e configurá-lo foi muito fácil.

Gerei minha frase-semente de backup, anotei-a, confirmei que a tinha escrito e o Blue estava pronto para uso!

Dentro da caixa, uma nota direciona você ao site do Ledger parainstruções de configuração. A Ledger também lançou umsérie de vídeos tutoriais que tornam muito simples Aprenda a configurar e usar o dispositivo.

Embora eu pessoalmente não tenha achado necessário utilizar esses recursos, tenho certeza de que muitos usuários irão apreciá-los.

Decidi usar meu Blue para testarBitGo'sIntegração do Ledger que estávamos desenvolvendo e temosacabou de ser lançado. Você pode ler mais sobre como usar o Ledger Blue ou Ledger NANO S com o BitGo neste guia <a href="https://bitgo.zendesk.com/hc/en-us/articles/115000357746">https://bitgo.zendesk.com/hc/en-us/articles/115000357746</a> .

O Blue funciona bem com o cliente web do BitGo, embora haja um problema pendente que a Ledger precisa corrigir com seu aplicativo Bitcoin para oferecer melhor suporte às transações P2SH.

No momento, os detalhes da transação não são exibidos no dispositivo, que exibe apenas 'P2SH'. A Ledger disse que espera lançar um novo aplicativo para consertar isso nas próximas semanas.

O Ledger Blue é um dispositivo leve, do tamanho de um pequeno smartphone. Com apenas 90g, ele tem apenas metade do peso do meu Nexus 6.

Com o Blue, quase não há risco para o usuário em caso de roubo ou perda do dispositivo. Um invasor encontrará o dispositivo inutilizável após três tentativas de login malsucedidas, enquanto um dispositivo perdido pode ser simplesmente substituído e um ONE reinicializado a partir da frase semente de 24 palavras.

A grande tela sensível ao toque que suporta um teclado QWERTY para entrada é superior aos dois botões do Ledger NANO S, que podem ser difíceis de clicar muitas vezes ao navegar pelo dispositivo.

Aliás, se você estiver configurando um dispositivo de hardware Ledger que T tenha uma tela, como o HW.1 ou o NANO, você deverá passar pelo incômodo de configurar um computador seguro para gerar a semente – isso é desnecessário com o NANO S e o Ledger Blue.

Na mesma linha, os dispositivos Ledger sem telas podem ser potencialmente vulneráveis a ataques do tipo man-in-the-middle se usados com um computador comprometido e, portanto, exigem uma camada adicional de segurança que exige que o usuário emparelhe o dispositivo com um smartphone ou insira um código de um cartão de segurança separado – um inconveniente adicional.

Ledger diz que o Blue tem uma “carcaça forte e durável, vidro antirrisco”, embora eu estivesse um pouco preocupado com arranhões na tela. Ao receber meu Ledger Blue, joguei-o na minha mochila de laptop com muitos outros eletrônicos soltos e fiz uma viagem de uma semana da América para a Europa. Até agora, a tela do Blue T sofreu nenhum dano visível.

Testei a duração da bateria do dispositivo colocando as configurações de hibernação automática no período máximo e deixando o dispositivo ligado com o brilho padrão de 75% da tela, despertando-o sempre que a tela desligava. O dispositivo durou mais de três horas continuamente, o que deve permitir que você faça algumas transações entre as cargas.

Contras

Ao escrever a frase-semente de 24 palavras durante a inicialização do dispositivo, é um pequeno incômodo (e possível causa de erro do usuário) que as entradas no cartão fornecido alternem para a esquerda e para a direita, enquanto na tela elas são listadas de cima para baixo.

Além disso, o tempo limite padrão da tela é de 30 segundos e você se vê tendo que ligá-lo novamente toda vez que quiser exibir a próxima página de palavras de recuperação. Fiquei surpreso quando a confirmação no final verifica apenas duas palavras aleatórias – eu me sentiria mais confortável se ela verificasse se eu escrevi corretamente todas as 24.

Você pode ver aquiVídeo do YouTubeque Kenneth Bosak experimentou a mesma cintilação com seu lote inicial Blue. Ledger me disse que esse problema já foi corrigido. Meu substituto não teve a cintilação no início, embora várias semanas depois eu tenha notado que ele também começou a apresentar a cintilação ao pressionar o botão liga/desliga.

O Ledger tem várias carteiras interessantes que são aplicativos do Chrome, embora qualquer pessoa que pretenda usá-las deva estar ciente de que o Google estádescontinuando o suporte ao aplicativo Chrome em 2018. A Ledger diz que já está trabalhando em uma plataforma substituta – cujos detalhes ainda não foram anunciados.

Também T ficou claro para mim como definir o PIN alternativo de 'negação plausível' que foi apregoado em esta postagem do blog. Ao entrar em contato com a Ledger, fui informado de que o Blue atualmente só suporta a opção de frase-senha usando o mesmo método de configuração do NANO S <a href="https://ledger.groovehq.com/knowledge_base/topics/how-to-setup-a-passphrase-and-an-alternate-pin which">https://ledger.groovehq.com/knowledge_base/topics/how-to-setup-a-passphrase-and-an-alternate-pin que</a> usa scripts Python. Infelizmente, há um bug na configuração do PIN alternativo, então agora ele pode ser usado apenas com uma frase-senha dinâmica. Eles esperam consertar isso com uma atualização de firmware no primeiro trimestre de 2017.

Na minha Opinião, esta é uma das poucas áreas em que o Ledger poderia melhorar a usabilidade do dispositivo, permitindo que os usuários ativem esse recurso no dispositivo ou por meio de um aplicativo de gerenciamento.

Eu também queria testar o Ledger Blue em uma carteira Mycelium no meu telefone, mas T sabia que precisaria de uma Adaptador OTG para fazer isso. Eu esperava poder adicioná-lo sem fio porque o Blue tem suporte a bluetooth, mas parece que o Mycelium ainda T o adicionou.

O Blue também tem a capacidade de suportar NFC, mas a versão atual do firmware T suporta. Após contatar a Ledger sobre esse recurso, eles responderam que estão planejando lançar a atualização do firmware NFC por volta do final do Q2 de 2017.

Como acabei tendo algum tempo de inatividade enquanto esperava para receber um Blue de substituição (veja abaixo o motivo pelo qual precisei de um), comprei este adaptador OTGda Amazon e posteriormente testamos com sucesso que o Blue funciona com Mycelium nesta configuração.

Em uma nota relacionada, uma peculiaridade que notei (com a qual apenas os desenvolvedores se importam) é que ao usar o Ledger Blue na rede de teste, ele ainda exibe endereços da rede principal no dispositivo para confirmação.

Ledger me disse que o bug do formato de endereço é esperado – eles precisam construir um aplicativo Bitcoin compilado para testnet no dispositivo para suportá-lo. O aplicativo Bitcoin testnet ainda não é oferecido no gerenciador de aplicativos Ledger.

Em vez disso, ao conectar o Blue e digitar meu PIN, meu telefone Android me solicitaria “Login” com o Blue, momento em que o GreenBits abriria minha carteira baseada em Ledger.

Mais tarde, percebi que, como não há como abrir uma carteira GreenBits Ledger sem o dispositivo presente, isso significa que não é possível receber transações em sua carteira sem o Blue conectado e desbloqueado. Acontece que a solução para isso é criar um login somente para assistir enquanto você tem a carteira Ledger Blue aberta. Você pode configurar um login somente para assistir acessando Configurações => Informações e configurações => Login somente para assistir.

Deixei-o cair (de cabeça para cima) de uma altura de menos de 15 cm sobre uma mesa próxima. Ao pegar o dispositivo e tentar ligá-lo, percebi que o botão liga/desliga estava faltando e quando sacudi o Blue, houve um barulho que era claramente o botão liga/desliga. Meu Blue agora estava perfeitamente seguro – mesmoEUnão conseguiu acessar seu conteúdo!

Enviei um e-mail para o suporte da Ledger e eles responderam prontamente, observando que era um problema conhecido de qualidade de construção e que eles estavam substituindo o primeiro lote de unidades. Uma semana depois, eu tinha minha substituição em mãos, junto com uma garantia de que o processo de montagem do botão havia sido modificado para que ele T fosse desalojado. Eu realizei o mesmo teste de queda na substituição várias vezes e ela não está danificada.

Ao ligar minha unidade de substituição, notei imediatamente que ela emite um zumbido extremamente alto, que lembra algumas TVs e monitores CRT mais antigos. Achei isso estranho, já que o primeiro Blue T fazia nenhum som. Depois de entrar em contato com a Ledger, eles explicaram que isso vem de uma indutância que vibra em uma frequência audível por ouvidos Human e é um problema conhecido que será corrigido com uma atualização de firmware.

Como você pode ver, o Blue tem uma série de pequenos problemas de software e hardware que precisam ser resolvidos. Espero que todos eles sejam corrigidos a tempo de serem aplicados ao próximo lote produzido.

Concorrentes

Os concorrentes mais próximos para este nível de segurança e usabilidade de hardware sãoTREZOR,Manter chave, e o próprio LedgerNANO S. Todos eles parecem ter boas avaliações e você provavelmente T vai errar ao usar qualquer um deles.

Conclusão

Embora eu tenha encontrado alguns problemas de qualidade, isso é de certa forma esperado com uma primeira execução de hardware completamente novo. Não vejo razão para os usuários se preocuparem com problemas de hardware porque recebi excelente suporte e o CEO da Ledger, Eric Larchevêque, me disse por e-mail:

"A Ledger está altamente comprometida em fornecer o melhor suporte ao cliente possível, e assumimos 100% dos nossos erros. Nossa Política é reembolsar ou trocar qualquer dispositivo com o menor problema."

O Ledger Blue é de longe o produto Ledger mais amigável que já usei. Em comparação com o HW.1, NANO e NANO S, o Blue é mais versátil e fácil de usar.

Se você é um usuário técnico ou um adotante precoce de novas Tecnologia , então deve ser bom Para Você comprar um Blue hoje. Se você é menos técnico e quer um produto mais testado em batalha e com mais recursos, você pode querer esperar alguns meses para que os problemas de hardware e software sejam resolvidos.

Revise as imagens através do autor