Что ждет безопасность Bitcoin кошельков дальше?

В последнее время в мире Bitcoin -кошельков наступили напряженные времена. Два аппаратных кошелька — Trezor и BTChip — наконец-то были выпущены, а безопасность кошельков продолжает совершенствоваться.

Но, несмотря на все это, люди, которые должны знать лучше,все еще грабят потому что они не могут обеспечить дополнительную защиту своих Bitcoin сбережений.

Чтобы решить проблему уязвимостей Bitcoin -кошельков, важно рассмотреть средства защиты, доступные в настоящее время для кошельков, а также изучить, какую работу еще необходимо проделать в будущем.

Мультиподпись

По словамГэвин Андресен в своей речи «Состояние Bitcoin» в 2014 году, и на этом фронте было много активности. Multisig позволяет владельцам кошельков повысить безопасность, требуя, чтобы третья сторона подписывала транзакции перед их завершением.

По словам Гэри Роу, генерального директора популярного Bitcoin -кошелька Multibit, это открывает путь для сторонних сервисов управления рисками:

«Если вы покупаете автомобиль стоимостью 10 000 фунтов стерлингов или что-то в этом роде за Bitcoin, люди могут отправить вам текстовое сообщение для подтверждения этой транзакции».

Multibit основан на Bitcoinj, реализации Bitcoin на основе Java. Теперь Bitcoinj имеет встроенную поддержку multisig, а также подключаемые подписывающие устройства транзакций. Но ни Multibit, ни Hive, оба основаны на Bitcoinj, на момент написания статьи не поддерживают multisig.

Другие кошельки, такие как BitGo и Armory, которые больше ориентированы на корпоративных пользователей, имеют встроенную поддержку мультиподписей.

Но T стоит возлагать все надежды на безопасность только на кошельки с мультиподписью.

«Не все верят в них как в часть децентрализованной идеи Bitcoin, поэтому на них T полагаться как на единственное решение проблемы», — сказал Роу, добавив, что кошельки с мультиподписью также сложнее в использовании, чем детерминированные кошельки.

Детерминированные кошельки

Ранние Bitcoin кошельки генерировали адреса случайным образом. Bitcoin адреса T должны использоваться повторно, что означает, что при правильном использовании в одном кошельке должно быть много адресов. Это затрудняет восстановление этих адресов в случае их утери.

Детерминированные кошельки создают адреса, используя простую фразу из нескольких слов, случайно созданную пользователем. Фраза также создаст тот же набор адресов.

Все это упрощает решение проблемы резервного копирования, говорит Аарон Восин, создатель Breadwallet на базе iOS:

«Если кошелек детерминирован, то ваш ключ-семя — это все, что вам нужно. Этот ключ-семя должен быть записан офлайн, как с длинным паролем, или на защищенном аппаратном устройстве, заблокированном легко запоминающимся пин-кодом».

Теперь иерархические детерминированные (HD) кошельки добавляют еще одно измерение. Они создают «деревья» адресов, используя начальную фразу. Любая ветвь дерева может быть передана другому пользователю, не раскрывая все дерево. Это делает HD-кошельки легко обмениваемыми с другими без ущерба для Политика конфиденциальности и легко воспроизводимыми.

Все это замечательные разработки, но, возможно, ONE из самых больших изменений в этом году стал рост популярности аппаратного кошелька. Руководитель проекта Bitcoinj Майк Хирн похвалил поставку Трезор:

«Стоит повторить — насколько мне известно, в мире нет более совершенного устройства для финансовой аутентификации. Стандарт, используемый банками в ЕС и других странах (КЭП) T так прост в использовании, и как только Trezor интегрирует поддержку платежного протокола, он станет безопаснее, чем CAP. Банки США даже близко T подходят».

Другие кошельки быстро развертывают поддержку аппаратных кошельков. Интеграция Trezor от Multibit должна быть запущена через пару недель, сказал Роу.

Возможности для улучшения

Несмотря на достигнутые в этом году успехи, кошельки по-прежнему сталкиваются с серьезными проблемами.

По словам Восина из Breadwallet, ONE из самых больших проблем является вредоносное ПО. угроза от вредоносного ПОскорее всего, будет только расти, а Android стал рассадником вредоносной активности.

Восин объяснил:

«Я твердо уверен, что вредоносное ПО для кражи биткоинов является самой большой угрозой на данный момент, особенно для кошельков для настольных компьютеров. Значительная часть вредоносного ПО, обнаруженного сейчас, — это вредоносное ПО для кражи Bitcoin , и все же Bitcoin по-прежнему очень мал».

По словам комментаторов, это еще одна причина перейти на аппаратные кошельки, однако аппаратное обеспечение также требует усовершенствования.

Томас Фёгтлин, создатель популярного Bitcoin кошелька Электрум, сказал, что у него уже есть поддержка Trezor, и что интеграция BTChip скоро произойдет. Сцена готова для следующего эволюционного шага в аппаратных кошельках, предположил он:

«Аппаратные кошельки — это большой шаг вперед по сравнению с веб- и десктопными кошельками, однако нынешнему поколению все еще приходится доверять хостовой системе данные блокчейна и платежные адреса. Будет здорово, когда аппаратные кошельки смогут выполнять проверку SPV и проверку платежного протокола на защищенном устройстве».

Николас Бакка, создатель BTChip, создал кошелек для смарт-карт, который, по его словам, не может быть легко восстановлен злоумышленником, получившим физический доступ к чипу.

Бакка заявил, что ожидает увидеть, как виртуализация сыграет свою роль в будущем:

«Ищите больше аппаратных кошельков, реализованных в защищенных элементах, и виртуализацию аппаратных кошельков в защищенных средах, таких как TEE [Надежные среды выполнения], однако я T верю, что эта виртуализация станет доступной или переносимой раньше, чем через 2–3 года».

Использование TEE и связанных с ними доверенных платформенных модулей (TPM), которые предоставляют защищенные аппаратные области для выполнения конфиденциального кода, может в конечном итоге свести на нет необходимость в аппаратных кошельках, утверждает Уэнделл Дэвис, основатель Hive Wallet:

«Я полагаю, что в какой-то момент в мобильных телефонах появится своего рода TPM, и это может стать последним гвоздем в гроб аппаратного кошелька».

Он также заявил, что люди хотят носить с собой меньше устройств, а не больше, добавив, что они склонны выбирать менее безопасные, но более удобные варианты.

Биометрия

Производители мобильных телефонов уже пытаются объединить безопасность и удобство с помощью биометрии; по словам Восина, Breadwallet вскоре получит поддержку TouchID от Apple.

Роу из Multibit T большой поклонник биометрии. Он сказал, что беспокоится, что отпечатки пальцев, распознавание голоса и даже сканирование радужной оболочки глаза могут быть скомпрометированы. В любом случае, уровень точности T идеален, предупредил он, что затрудняет широкое внедрение.

С другой стороны, Восин устанавливает на телефоне пин-код ограничения, чтобы избежать людейкопирование отпечатков пальцеви взлом телефона. Хирн также рассматривал возможность использования NFC-«бейджа», который можно носить в кармане, чтобы помочь проверить используемый телефон.

Поскольку все эти меры безопасности проникают в кошельки в ONE или иной форме, где это оставляет Bitcoin-Qt, эталонный кошелек, созданный CORE разработчиками? В прошлом ведущий разработчик Bitcoin указывал, что Bitcoin-Qt будет выделен из CORE проекта.

Примечательно, что недавние версии Bitcoin демона — базового кода Bitcoin , обеспечивающего работу сети, — теперь могут быть скомпилированы вообще без функциональности Bitcoin .

Хирн предупредил, что разница между эталонной реализацией и другими кошельками в этой области растет:

«Bitcoin-Qt все еще T является даже HD, не говоря уже о подключаемом мультиподписном HD, так что я думаю, мы увидим, как этот кошелек будет все больше и больше отставать».

Удобство использования

В довершение всего этого, нам все еще приходится бороться с проблемой удобства использования. Всегда есть компромисс между безопасностью и удобством, и то же самое касается защищенных кошельков, предупредил Хирн:

"Например Аутентификатор Bitcoinдовольно просто, но вам все равно придется сканировать QR-код с телефона, записать пару 12-словных фраз для кошелька и так далее. Это можно сделать проще, но это постоянная проблема».

По словам Дэвиса из Hive Wallet, ONE из самых больших проблем является то, что люди по-прежнему не Социальные сети даже элементарные правила безопасности при использовании кошельков.

«Мы знаем, что абсолютно ужасающее количество пользователей просто игнорируют две строки инструкций о том, как записать свою начальную фразу. Они просто идут вперед и игнорируют предупреждение, отмеченное красным», — объяснил Дэвис.

Кошельки Bitcoin стали безопаснее, чем когда-либо прежде, а во многих случаях они уже намного безопаснее, чем загадочная система кредитных карт в банковской отрасли, в которой вы сообщаете продавцам свое имя, данные кредитной карты и даже свой Secret код — часто через Интернет.

Тем не менее, предстоит еще много работы. Инструменты можно улучшить, да – всегда можно добавить еще один технический трюк. Но на данном этапе, когда техническая безопасность опережает традиционную финансовую индустрию, возможно, нужно улучшить поведение пользователя.

Изображение безопасности Bitcoin с CoinDesk