Recensione: Ledger Wallet NANO offre sicurezza premium a un prezzo contenuto

Le basi

Sicurezza

Utilizzo del dispositivo

Professionisti

Contro

Concorrenti

Conclusione

Le basi

IL Portafoglio Ledger NANO è un nuovo portafoglio hardware multisig deterministico gerarchico per utenti Bitcoin che mira a eliminare una serie di vettori di attacco tramite l'uso di un secondo livello di sicurezza. Questa descrizione ricca di tecnologia non significa molto per il consumatore medio, tuttavia, motivo per cui la spiegherò in parole semplici, descrivendo cosa fa funzionare il Ledger Wallet NANO . Il portafoglio è stato lanciato all'inizio di dicembre e per maggiori informazioni sul progetto puoi Recupera la nostra copertura del lancio.

In termini di hardware, il Ledger Wallet NANO è un dispositivo USB compatto basato su una smartcard. Ha all'incirca le dimensioni di una piccola unità flash, misura 39 x 13 x 4 mm (1,53 x 0,51 x 0,16 pollici) e pesa solo 5,9 g.

La scatola contiene anche un semplice manuale, un foglio di recupero e una scheda di sicurezza in una custodia nera in similpelle.

Chiavetta USB inclusa a destra per riferimento

Non ho grandi lamentele sulla qualità costruttiva, anche se alcune asperità sono visibili a un esame più attento. Il dispositivo in plastica presenta una copertura girevole in alluminio con finitura spazzolata come molte unità USB. In effetti, il design LOOKS stranamente simile alle unità flash della serie Pico-A di Super Talent.

Concetto di sicurezza Ledger Wallet NANO

Tuttavia, il design familiare di Ledger è il punto in cui finiscono le sue somiglianze con le unità USB tradizionali. Poiché non utilizza una memoria NAND economica come l'unità USB media, Ledger dovrebbe essere più affidabile. Il produttore della memoria EEPROM utilizzata inCertificato EAL5+La smartcard conforme offre una garanzia di 30 anni sulla conservazione dei dati e 500.000 cicli di lettura/scrittura.

La smartcard è uno standard del settore da decenni ed elimina una serie di problemi di sicurezza che possono presentarsi sui dispositivi basati su microcontrollori multiuso.

Il portafoglio ovviamente non è progettato come un dispositivo autonomo, poiché si basa sul computer host per impostare ed eseguire le transazioni. Poiché il computer host è il punto di errore più probabile, il Ledger Wallet NANO è progettato per rendere sicuri i computer vulnerabili o addirittura compromessi, introducendo un ulteriore livello di sicurezza.

Il portafoglio firma le transazioni Bitcoin internamente e mira a prevenire gli attacchi man-in-the-middle (MITM) utilizzando una scheda di sicurezza. Senza questo ulteriore livello di sicurezza, il portafoglio sarebbe esposto ad attacchi MITM, poiché un hacker potrebbe, in teoria, ottenere il controllo del computer e procedere a compromettere il portafoglio. La scheda di sicurezza rende un attacco del genere meno probabile fornendo un'autenticazione fisica a due fattori.

Nessuna transazione può essere firmata senza interazione Human : ogni transazione richiede che l'utente esegua una scansione visiva della carta di sicurezza quando richiesto dall'app wallet. Il wallet visualizza l'indirizzo di pagamento e chiede all'utente di immettere codici per quattro parti casuali dell'indirizzo. Se non viene immesso il codice corretto, la transazione non può aver luogo.

Scheda di sicurezza al posto del display dedicato

Il portafoglio hardware Trezor, che noirecensito qualche mese fa, impiega uno schermo per affrontare questo problema, chiedendo all'utente di inserire il PIN su un tastierino numerico pseudo-casuale, visibile solo all'utente. Il team Ledger ha optato per un approccio diverso sotto forma di una carta di sicurezza con 58 coppie di caratteri.

L'idea di base è la stessa, ma l'implementazione è un BIT' diversa. Usare una scheda al posto di uno schermo ovviamente consente di avere un dispositivo più piccolo e di mantenere bassi i costi complessivi.

Il compromesso è che comporta anche un minor numero di possibili permutazioni del codice di secondo fattore. Un aggressore persistente con controllo completo sul PC dell'utente potrebbe in teoria ricostruire la scheda di sicurezza dopo poche decine di transazioni. Ogni transazione fornirebbe all'aggressore maggiore "profondità" finché non vengono raccolte informazioni sufficienti per mappare e ricostruire completamente il contenuto della scheda di sicurezza.

Per quanto possa sembrare strano, utilizzare il portafoglio su diversi PC infettati da malware sarebbe, in teoria, più sicuro dal punto di vista anti-MITM rispetto al suo utilizzo per effettuare alcune decine di transazioni sul proprio computer.

Ledger è consapevole di queste limitazioni e sta lavorando per sviluppare un'app mobile companion che essenzialmente consentirà a un altro dispositivo di fungere da schermo per il portafoglio. L'app sarà associata al portafoglio tramite la carta di sicurezza, consentendo al portafoglio di visualizzare la sfida sul dispositivo mobile, insieme all'indirizzo di destinazione e all'importo di BTC. L'utente sarà quindi in grado di firmare la sfida di sicurezza e facilitare la transazione. La società prevede di rilasciare l'app companion a gennaio 2015.

Utilizzo del dispositivo

Il portafoglio è progettato per l'uso su sistemi operativi desktop sul browser Chrome di Google. Ho utilizzato un tablet Asus Windows 8.1 con dock per tastiera come banco di prova.

Installazione del Ledger Wallet NANO

Il processo di installazione è relativamente semplice, ma richiede l'uso di un'app di Google Chrome. L'utente deve semplicemente collegare il Ledger Wallet NANO a una porta USB e andare su my.ledgerwallet.com per installare automaticamente l'applicazione Chrome, che si collega al server API di Ledger per accedere alla blockchain.

Sebbene relativamente popolare, Chrome non è l'unico browser sul mercato e milioni di utenti si affidano ancora a Firefox, Safari e persino Internet Explorer. Un approccio indipendente dalla piattaforma sarebbe stato preferibile, ma per una serie di motivi, tra cui i certificati di sicurezza, non è semplicemente fattibile. Gli utenti Linux devono anchecreare un set di regole udevper consentire l'accesso al dispositivo.

Una volta che l'app è pronta, all'utente viene chiesto di inserire il PIN. L'utente può scegliere il PIN o utilizzarne ONE suggerito dall'installatore. Poi arriva il seed di recupero: quando il portafoglio viene inizializzato, genera un seed mnemonico di 24 parole che deve essere memorizzato, preferibilmente sul foglio di recupero incluso.

T provateci a casa: il seme deve essere annotato e conservato in modo sicuro.

Il seed viene visualizzato solo una volta e non deve essere memorizzato sul tuo computer, in formato digitale. Il seed è l'unico modo per ripristinare il portafoglio in caso di smarrimento o guasto hardware. Questo può essere fatto utilizzando un portafoglio Ledger sostitutivo, ma il processo funziona anche su portafogli BIP39 alternativi come Electrum.

Il Ledger NANO deve essere inizializzato su un computer non compromesso. ONE modo per farlo è tramite intercapedine d'aria, utilizzando un sistema operativo live come Chromium su una chiavetta USB; il processo non dovrebbe richiedere molto tempo, anche se richiede BIT modifica al BIOS (ad esempio la modifica della sequenza di avvio).

Oltre alla frase di recupero di 24 parole, il foglio di recupero ordinato include anche il codice QR di recupero della carta di sicurezza, che può essere utilizzato per creare una nuova copia della carta di sicurezza di secondo fattore in caso di smarrimento o furto. Se digiti il PIN sbagliato per tre volte di seguito, il portafoglio si ripristinerà alle condizioni di fabbrica. Questo è anche il modo più semplice per cancellare il dispositivo nel caso in cui desideri venderlo o regalarlo.

Utilizzo del portafoglio

Una volta completata l'installazione, l'utente deve semplicemente inserire il dispositivo in una porta USB e digitare il PIN per accedere al portafoglio.

Tuttavia, tutte le transazioni devono essere convalidate utilizzando la carta di sicurezza. Il portafoglio emetterà una sfida e l'utente dovrà Seguici le istruzioni e immettere il codice di quattro caratteri per convalidare la transazione. Ciò avviene immettendo i caratteri corrispondenti dalla carta di sicurezza.

Il portafoglio in sé è facile da usare e chiunque abbia familiarità con i portafogli Bitcoin dovrebbe sentirsi a casa. L'unica differenza è il livello di convalida aggiunto con la carta di sicurezza. Fortunatamente l'intero processo è semplice e veloce, di solito non richiede più di 15-20 secondi per transazione.

Il portafoglio è dotato anche di uno scanner QR. Nonostante il fatto che la scansione QR abbia applicazioni limitate sulle piattaforme desktop, l'ho utilizzato per simulare la ricarica di un portafoglio mobile e ha funzionato bene. Potrebbe far risparmiare parecchio tempo in alcune situazioni.

Nel complesso non c'è molto da dire sul portafoglio, e questa è una cosa positiva: è più o meno un normale portafoglio Bitcoin con un ulteriore livello di autenticazione, che T richiede molto tempo.

Professionisti

• Design molto compatto ed elegante. Il Ledger può essere inserito in qualsiasi portachiavi, ma T dimenticare la tessera di sicurezza.
• Rapporto qualità-prezzo: a 29,90 €, il Ledger Wallet NANO è piuttosto economico tra i portafogli hardware.
• L'uso di una smartcard al posto di un microcontrollore generico dovrebbe aumentare la sicurezza e l'affidabilità a lungo termine
• La convalida tramite carta di sicurezza non richiede molto sforzo o tempo

Contro

• Il dispositivo deve essere installato su un computer perfettamente sicuro e non tutti gli utenti saranno propensi a utilizzare l'approccio "air gap".
• L'approccio della scheda di sicurezza ha i suoi pro e contro. Mentre aiuta a KEEP bassi i costi e consente ai designer di creare un dispositivo veramente tascabile, fornisce anche livelli di sicurezza leggermente inferiori rispetto a un dispositivo con uno schermo dedicato. Tuttavia, questo problema potrebbe in una certa misura essere risolto dalla prossima app complementare.
• T può essere utilizzato su dispositivi mobili, il supporto è attualmente limitato al browser Chrome.

Alternative

Il portafoglio Trezor è dotato di uno schermo per un ulteriore livello di immunità, ma costa 119 $.

Conclusione

Non esiste una sicurezza assoluta, ma l'obiettivo dei portafogli hardware è rendere qualsiasi potenziale attacco più difficile e dispendioso in termini di risorse. Ledger non fa eccezione: è progettato per rendere gli attacchi impraticabili alzando l'asticella.

A 29,90 €, il Ledger Wallet NANO ha un buon rapporto qualità-prezzo, il che significa che piacerà agli appassionati che vogliono detenere Bitcoin ma T vogliono spendere troppi soldi in sicurezza, ed è questo che lo rende speciale secondo me. Non è un costoso pezzo di hardware specializzato per pochi eletti, è orientato all'utente Bitcoin di tutti i giorni.

Il dispositivo può essere inserito in un portachiavi e la scheda di sicurezza in praticamente qualsiasi portafoglio fisico, il che rende il Ledger molto pratico. Se perdi uno dei componenti, puoi comunque recuperare il tuo portafoglio usando il tuo seed mnemonico. La prossima app mobile companion dovrebbe aumentare la sicurezza e portare il Ledger alla pari con soluzioni più costose.

Aggiornamento 31-03-2015: Il Ledger Wallet NANO è ora disponibile da Sovrapprezzo.

Disclaimer: CoinDesk ottiene hardware per testare le affermazioni dei produttori e produrre recensioni informate. CoinDesk non riceve alcun pagamento per queste recensioni.

Questo articolo non deve essere visto come un'approvazione di nessuna delle aziende o dei prodotti menzionati. Si prega di effettuare una ricerca approfondita prima di considerare di investire fondi.

Dove acquistare:Direttamente daLibro mastro O Overstock.com

Vuoi che CoinDesk esamini il tuo prodotto hardware? Inviaci un'e-mail a CoinDesk.