Análise: Ledger Wallet NANO oferece segurança premium com orçamento limitado

O básico

Segurança

Usando o dispositivo

Prós

Contras

Concorrentes

Conclusão

O básico

O Carteira Ledger NANO é uma nova carteira de hardware multisig determinística hierárquica para usuários de Bitcoin que visa eliminar uma série de vetores de ataque por meio do uso de uma segunda camada de segurança. Essa descrição pesada em tecnologia não significa muito para o consumidor médio, no entanto, é por isso que vou explicá-la em linguagem simples, descrevendo o que faz a Ledger Wallet NANO funcionar. A carteira foi lançada no início de dezembro e para mais informações sobre o projeto, você pode acompanhe nossa cobertura de lançamento.

Em termos de hardware, o Ledger Wallet NANO é um dispositivo USB compacto baseado em um smartcard. Ele tem aproximadamente o tamanho de um pequeno pen drive, medindo 39 x 13 x 4 mm (1,53 x 0,51 x 0,16 pol.) e pesando apenas 5,9 g.

A caixa também contém um manual simples, uma folha de recuperação e um cartão de segurança em uma bolsa de couro sintético preta.

Unidade flash USB à direita incluída para referência

Não tenho grandes reclamações sobre a qualidade da construção, embora algumas arestas sejam visíveis após um exame mais detalhado. O dispositivo de plástico apresenta uma tampa giratória de alumínio com acabamento escovado, como muitas unidades USB. Na verdade, o design LOOKS assustadoramente semelhante aos pen drives da série Pico-A da Super Talent.

Conceito de segurança Ledger Wallet NANO

O design familiar do Ledger é onde suas semelhanças com drives USB tradicionais terminam, no entanto. Como ele não usa memória NAND barata como o drive USB médio, o Ledger deve ser mais confiável. O fabricante da memória EEPROM usada noCC EAL5+O cartão inteligente compatível oferece garantia de 30 anos na retenção de dados e 500.000 ciclos de leitura/gravação.

O cartão inteligente é um padrão da indústria há décadas e elimina uma série de problemas de segurança que podem surgir em dispositivos baseados em microcontroladores multifuncionais.

A carteira obviamente não foi projetada como um dispositivo autônomo, pois depende do computador host para configurar e executar transações. Como o computador host é o ponto mais provável de falha, a Ledger Wallet NANO foi projetada para tornar computadores vulneráveis ​​ou mesmo comprometidos seguros, introduzindo outra camada de segurança.

A carteira assina transações de Bitcoin internamente e visa evitar ataques man-in-the-middle (MITM) empregando um cartão de segurança. Sem essa camada de segurança adicional, a carteira ficaria exposta a ataques MITM, pois um hacker poderia, em teoria, obter controle do computador e comprometer a carteira. O cartão de segurança torna esse ataque menos provável ao fornecer autenticação física de dois fatores.

Nenhuma transação pode ser assinada sem interação Human – cada transação requer que o usuário escaneie visualmente o cartão de segurança quando solicitado pelo aplicativo da carteira. A carteira exibe o endereço de pagamento e pede que o usuário insira códigos para quatro partes aleatórias do endereço. Se o código correto não for inserido, uma transação não pode ocorrer.

Cartão de segurança em vez de display dedicado

A carteira de hardware Trezor, que nósrevisado há alguns meses, emprega uma tela para lidar com esse problema, solicitando que o usuário insira o PIN em um teclado numérico pseudoaleatório, visível apenas para o usuário. A equipe do Ledger optou por uma abordagem diferente na forma de um cartão de segurança com 58 pares de caracteres.

A ideia básica é a mesma, mas a implementação é um BIT diferente. Usar um cartão no lugar de uma tela obviamente permite um dispositivo menor e mantém o custo geral baixo.

A desvantagem é que isso também resulta em menos permutações possíveis do código do segundo fator. Um invasor persistente com controle completo sobre o PC do usuário poderia, em teoria, reconstruir o cartão de segurança após algumas dezenas de transações. Cada transação forneceria ao invasor mais "profundidade" até que informações suficientes fossem coletadas para mapear e reconstruir completamente o conteúdo do cartão de segurança.

Por mais estranho que pareça, usar a carteira em vários PCs diferentes infestados de malware seria, em teoria, mais seguro do ponto de vista anti-MITM do que usá-la para fazer algumas dezenas de transações no seu próprio computador.

A Ledger está ciente dessas limitações e está trabalhando para desenvolver um aplicativo complementar móvel que essencialmente permitirá que outro dispositivo atue como uma tela para a carteira. O aplicativo será pareado com a carteira usando o cartão de segurança, permitindo que a carteira exiba o desafio no dispositivo móvel, junto com o endereço de destino e a quantidade de BTC. O usuário poderá então assinar o desafio de segurança e facilitar a transação. A empresa planeja lançar o aplicativo complementar em janeiro de 2015.

Usando o dispositivo

A carteira é projetada para uso em sistemas operacionais de desktop no navegador Chrome do Google. Usei um tablet Asus Windows 8.1 com um dock de teclado como banco de testes.

Instalando o Ledger Wallet NANO

O processo de instalação é relativamente simples, mas requer o uso de um aplicativo do Google Chrome. O usuário precisa apenas conectar o Ledger Wallet NANO em uma porta USB e ir para my.ledgerwallet.com para instalar automaticamente o aplicativo do Chrome, que se conecta ao servidor API do Ledger para acessar o blockchain.

Embora relativamente popular, o Chrome não é o único navegador no mercado e milhões de usuários ainda dependem do Firefox, Safari e até mesmo do Internet Explorer. Uma abordagem independente de plataforma teria sido preferível, mas por uma série de razões, incluindo certificados de segurança, ela simplesmente não é viável. Usuários do Linux também precisamcrie um conjunto de regras udevpara permitir acesso ao dispositivo.

Assim que o aplicativo estiver pronto, o usuário será solicitado a digitar o PIN. O usuário pode escolher o PIN ou usar um sugerido pelo instalador. Então vem a semente de recuperação – quando a carteira é inicializada, ela gera uma semente mnemônica de 24 palavras que deve ser armazenada, de preferência na folha de recuperação incluída.

Não T fazer isso em casa - a semente deve ser anotada e armazenada com segurança

A semente é exibida apenas uma vez e não deve ser armazenada no seu computador, em formato digital. A semente é a única maneira de restaurar a carteira em caso de perda ou falha de hardware. Isso pode ser feito usando uma carteira Ledger de substituição, mas o processo também funciona em carteiras BIP39 alternativas, como a Electrum.

O Ledger NANO deve ser inicializado em um computador não comprometido. Uma maneira de fazer isso é através do entreferro, usando um sistema operacional ativo como o Chromium em um pendrive, e o processo não deve demorar muito, embora envolva BIT ajustes no BIOS (por exemplo, alteração da sequência de inicialização).

Além da frase de recuperação de 24 palavras, a folha de recuperação organizada de forma organizada também inclui o código QR de recuperação do cartão de segurança, que pode ser usado para criar uma nova cópia do cartão de segurança de segundo fator em caso de perda ou roubo. Se você digitar o PIN errado três vezes seguidas, a carteira será redefinida para a condição de fábrica. Esta também é a maneira mais fácil de limpar o dispositivo caso você queira vendê-lo ou presenteá-lo.

Usando a carteira

Após a conclusão da instalação, o usuário só precisa inserir o dispositivo em uma porta USB e digitar o PIN para acessar a carteira.

No entanto, todas as transações devem ser validadas usando o cartão de segurança. A carteira emitirá um desafio e o usuário precisa Siga as instruções e inserir o código de quatro caracteres para validar a transação. Isso é feito inserindo os caracteres correspondentes do cartão de segurança.

A carteira em si é fácil de usar e qualquer pessoa familiarizada com carteiras de Bitcoin deve se sentir em casa. A única diferença é a camada adicional de validação com o cartão de segurança. Felizmente, todo o processo é simples e rápido – geralmente não leva mais do que 15-20 segundos por transação.

A carteira também possui um scanner de QR. Apesar do fato de que o escaneamento de QR tem aplicações limitadas em plataformas de desktop, eu o usei para simular o carregamento de uma carteira móvel e funcionou bem. Pode ser uma grande economia de tempo em algumas situações.

No geral, não há muito a dizer sobre a carteira – e isso é bom – é mais ou menos uma carteira de Bitcoin comum com uma camada adicional de autenticação, o que T toma muito tempo.

Prós

• Design muito compacto e elegante. O Ledger pode caber em qualquer chaveiro, mas T se esqueça do cartão de segurança.
• Custo-benefício – por € 29,90, a Ledger Wallet NANO é bem barata no que diz respeito a carteiras de hardware.
• O uso de um cartão inteligente em vez de um microcontrolador de uso geral deve aumentar a segurança e a confiabilidade a longo prazo
• A validação por meio de cartão de segurança não exige muito esforço ou tempo

Contras

• O dispositivo deve ser instalado em um computador perfeitamente seguro e nem todo usuário estará interessado em usar a abordagem de "air gap".
• A abordagem do cartão de segurança tem seus prós e contras. Embora ajude a KEEP o custo baixo e permita que os designers criem um dispositivo verdadeiramente de bolso, ele também fornece níveis de segurança ligeiramente mais baixos do que um dispositivo com uma tela dedicada. No entanto, esse problema pode, até certo ponto, ser resolvido pelo próximo aplicativo complementar.
• T pode ser usado em dispositivos móveis; o suporte está atualmente limitado ao navegador Chrome.

Alternativas

A carteira Trezor possui uma tela para um nível adicional de imunidade, mas custa US$ 119.

Conclusão

Não existe segurança absoluta, mas o objetivo das carteiras de hardware é tornar qualquer ataque potencial mais difícil e intensivo em recursos. Ledger não é exceção – ele é projetado para tornar os ataques impraticáveis ao elevar o nível.

Por € 29,90, o Ledger Wallet NANO tem um bom custo-benefício, o que significa que ele vai agradar a entusiastas que querem manter Bitcoin, mas T querem gastar muito dinheiro com segurança, e é isso que o torna especial no meu livro. Não é um hardware caro e especializado para poucos selecionados, ele é voltado para o usuário diário de Bitcoin .

O dispositivo pode caber em um chaveiro e o cartão de segurança em praticamente qualquer carteira física, o que torna o Ledger muito prático. Se você perder qualquer um dos componentes, ainda poderá recuperar sua carteira usando sua semente mnemônica. O próximo aplicativo móvel complementar deve aumentar a segurança e colocar o Ledger em pé de igualdade com soluções mais caras.

Atualização 31-03-2015: A Ledger Wallet NANO já está disponível em Excesso de estoque.

Isenção de responsabilidade: A CoinDesk obtém hardware para testar as alegações dos fabricantes e produzir avaliações informadas. A CoinDesk não recebe pagamento por essas avaliações.

Este artigo não deve ser visto como um endosso de nenhuma das empresas ou produtos mencionados. Por favor, faça sua própria pesquisa extensiva antes de considerar investir quaisquer fundos.

Onde comprar:Direto deLivro-razão ou Overstock.com

Quer que o CoinDesk analise seu produto de hardware? Envie um e-mail para contato@ CoinDesk.