Coin Lab

0 496 0
Уязвимость оборудования «может угрожать закрытым ключам Bitcoin»

Уязвимость оборудования «может угрожать закрытым ключам Bitcoin»Пользователи, хранящие биткоины при помощи оборудования ведущей компании по защите информации, были вынуждены обновить свои устройства под риском потери сбережений.
В публикации в блоге компании Gemoni в пятницу ее генеральный директор Сем Пайя подробно рассказал о слабых сторонах оборудования, с которыми они столкнулись, и которые позволяют взломщикам подавлять секретные ключи модулей защиты оборудования  SafeNet или ‘HSM’.
Эти специальные защитные устройства используются для защиты  всех видов криптографических ключей, используемых правительствами, банками и платежными компаниями.  Их назвали «следующим этапов» защиты биткоина.
Во время тестирования устройства  SafeNet Luna G5 . применяющегося для холодного хранения на бирже, Пайя обнаружил в их программном обеспечении конструктивный недостаток, означающий, что как открытые, так и закрытые ключи могут быть извлечены – даже не смотря на то, что они были разработаны, чтобы никогда не покидать устройство.    По его словам, клиенты, использующие одно из трех  HSM устройств  Safenet для управления своими биткоин ключами, могут оказаться в зоне риска. Он добавил:
[box type=»info» style=»rounded»]«Bitcoin  — это платежная технология, при которой обладание деньгами можно свести к чисто криптографической возможности: создание подписи при помощи закрытого ключа  ECDSA  — это деньги. Если вы теряете контроль над этим закрытым ключом, вы теряете возможность тратить свои средства, все просто».  [/box]
Сама компания SafeNet оценивает степень уязвимости как «высокую».
Крис Данн, вице президент отдела технологии и крипто управления Gemalto, компании, которая приобрела оборудование SafeNet в январе, рассказал   CoinDesk , что пока они не встречались со случаями компьютерного взлома. Он добавил, что этим они частично обязаны специализированному характеру оборудования, доступ к которому может получить только надежный клиент.
«Случаи уязвимости при использовании оборудования HSM довольно редки, осуществить вторжение сложно, все зависит от того, как и где пользователи используют модули HSM.  Оборудование HSM также включает несколько способов использования и политику контроля доступа, которые можно использовать для защиты данных типов уязвимостей».
Устройства HSM необходимо хранить отключенными от сети, в закрытых местах, известных только избранным членам штата компании. Определенные модели даже программируются на саморазрушение в случае угрозы.

Bitcoin и HSM

Хотя компания защищает около 750 миллионов кодированных ключей, относительно малая часть из их общего числа клиентов (25 000) используют данные устройства для защиты своих биткоинов.
«В настоящее время у нас есть некоторая часть ориентированных на биткоин клиентов, тем не менее, это новый случай применения для наших модулей HSM», — говорит Данн.
Данные устройства все еще остаются относительным и дорогим продуктом для Bitcoin отрасли. Однако венчурные компании, такие как Gemini и разработчик приложений API Gem, большей частью использующие традиционные стандарты безопасности, в настоящее время применяют данные устройства в качестве частичного off-line (или холодного) хранения.
«Есть вещи (у биткоина), которые мы можем выполнять лучше, чем Visa, MasterCard и American Express, но они прекрасно справляются с защитой закрытых ключей. Как они это делают? Они это делают через модули HSM», — рассказал CoinDesk исполнительный директор Gem Кен Миллер.

Уязвимость оборудования «может угрожать закрытым ключам Bitcoin»
SafeNet Luna SA

8 месяцев его компания работала с Thales, производителем модулей HSM военного назначения, это потребовало от команды разработчиков создания нового программного оборудования, позволяющего компьютерам использовать протокол для биткоина, а не  RSA.
«Мы поняли, что многие действительно известные компании в биткоин пространстве сошли с этого пути и решили не использовать его по причине того, что необходимо выполнять очень много работы», — говорит Миллер, добавляя, что если к ним будет обращаться достаточное количество  людей, Gem возможно рассмотрит перепродажу своих устройств.
В то же время Пайя говорит, что Gemini не обнаружила каких-либо проблем в плане совместимости при использовании оборудования SafeNet для хранения биткоин ключей.  «Их модули HSM без каких-либо проблем поддерживали алгоритм ECDSA», — говорит он, и добавляет:
«Хотя я не знаком со специфическими проблемами, с которыми столкнулись Gem, я могу сказать, что каждый продукт имеет свои уникальные достоинства и недостатки. Некоторые ценные для нас приборы до сих пор не поддерживают биткоин, тогда как другие имеют проблемы, требующие дополнительной разработки».

Будущее применение

Из-за своей редкости, говорит Пайя, уязвимость – на данный момент исправленная – не влияет на планы  Gemini по использованию  модулей HSM как части своей защиты, в частности оборудования Safenet.
«Данная уязвимость действует в качестве напоминания, что иногда даже дополнительные уровни защиты (например, применение  устройств HSM для управления ключами) могут не сработать», — говорит он.
Тем не менее, он добавляет: «Модули HSM остаются лучшими для управления криптографическими ключами».
Исполнительный директор Gem соглашается с ним.  Пока не найдено идеального решения для защиты биткоинов и предотвращения атак, лучшей стратегией, по его словам, является та, которая основана на множественных уровнях защиты – в том числе использование оборудования HSM.
[box type=»info» style=»rounded»]«Любое решение по оборудованию или программному обеспечению будет настолько ценным, насколько ценно его применение, поэтому необходимо, чтобы это решение было  точным и обдуманным в отношении применения, управления и обзора. Но иметь лучшее оборудование из доступного – гораздо лучше, чем не иметь ничего».[/box]

оригинал статьи

 

Теги

Внутри движения по созданию управляемого биткоином Reddit Фурор по поводу решений менеджмента, внезапный уход генерального директора, развивающийся…
by April
0 658 0
Исследовательская работа изучает соответствие ценных бумаг на основе блокчейна Коммерческому законодательству США Согласно последним данным исследования, проведенного школой Cardozo…
by April
0 699 0
Мнение читателя: “Beta” платформа Bitfinex надувает конечных пользователей …а поддержка исчезает! Подобно покупкам для поддержания цен на рынке…
by April
0 739 0

Leave a Reply

Войти
Регистрация
Отправить сообщение