Niedawna wpadka producenta portfeli sprzętowych Ledger związana z bezpieczeństwem i prywatnością stworzyła dla marki problem z którego próbuje się ona wykaraskać. Dyrektor technologiczny firmy, Charles Guillemet, stworzył specjalny wątek na Twitterze gdzie pokazuje on kierunek w którym urządzenia będą podążać: okazuje się, iż portfele będą od dzisiaj naciskać na otwartoźródłowość.
Ledger: przyspieszamy naszą roadmapę open source
W dzisiejszym (tj. 23/05/2023 – przyp.red.) komunikacie Ledger, renomowany dostawca zaufanego sprzętu dla aplikacji blockchain, ujawnił swoje plany przyspieszenia roadmapy w kwestii otwartoźródłowości. Głównym celem firmy jest zaoferowanie użytkownikom niezbędnych narzędzi do bezpiecznego przechowywania ich cyfrowej wartości, przy jednoczesnym zapewnieniu przejrzystości i weryfikowalności dla całej swojej działalności.
Przypomnijmy: nowa funkcja Ledger Recover wywołała konsternację i oburzenie wśród społeczności krypto, umożliwiała ona bowiem opcjonalny, kontrolowany fragmentów fraz seed służącej jako hasło do portfela do „zaufanych trzecich stron”. Ludzie następnie zaczęli się zastanawiać czy firma posiada wbudowanego backdoora w swoim sprzęcie który w ogóle umożliwia taki dostęp. Padały zarzuty, iż wcześniej nie zgadzało się z to z materiałami marketingowymi i wypowiedziami marki.
Oto infografika. Pełne tłumaczenie wątku CTO Ledgera, Charles’a Guillemeta, znajduje się poniżej:
Misją Ledger jest i zawsze będzie zapewnienie naszym użytkownikom odpowiednich narzędzi do bezpiecznego przechowywania ich cyfrowych zasobów.
Zdecydowaliśmy się przyspieszyć naszą mapę drogową open-sourcingu, aby zapewnić większą weryfikowalność wszystkiego co robimy.
Jak być może wiecie, Wasze urządzenia Ledger wykorzystują chip smart card (Secure Element), wdrażający całą masę sprzętowych środków zaradczych zapewniających odporność na ataki o wysokim potencjale, choćby przy fizycznym dostępie.
Technologie smart card pozwalają również na mechanizm root of trust, umożliwiając bezpiecznemu elementowi udowodnienie ich autentyczności, dzięki czemu można im zaufać choćby w złożonych scenariuszach łańcucha dostaw.
Ponieważ to know-how jest własnością samych producentów technologii, nie chcą oni, aby doszło do ich wycieku, uniemożliwiając tym samym firmware Ledgera przejście na model w pełni open source.
Mocno wierzymy w otwartoźródłowość. To jedna z naszych podstawowych wartości, wspaniała filozofia, która opowiada się za otwartością i weryfikowalnością. Otwarte oprogramowanie umożliwia programistom i ekspertom ds. bezpieczeństwa sprawdzenie kodu i upewnienie się, iż jest on bezpieczny i nie jest złośliwy.
Przeprowadzamy już wewnętrzne i zewnętrzne audyty bezpieczeństwa. Ale open source oznacza zminimalizowanie poziomu zaufania. Właśnie dlatego zdecydowaliśmy się przyspieszyć naszą roadmapę open source.
Większość naszych produktów jest już otwarte. Wielu deweloperów współtworzy Ledger Live, urządzenia Ledger i nie tylko. Razem stworzyliśmy ponad 150 aplikacji open-source, które działają na rożnych urządzeniach z naszej oferty.
Niedawno udostępniliśmy własną bibliotekę kryptograficzną (która jest częścią naszego systemu operacyjnego), a niedługo opublikujemy białą księgę Ledger Recover, umożliwiając każdemu audyt protokołów kryptograficznych i umożliwiając ludziom tworzenie własnych dostawców kopii zapasowych shardów.
Stopniowo otworzymy większość naszego systemu operacyjnego, zaczynając od Ledger Recover, aby uczynić go w pełni audytowalnym. Wydamy produkt Ledger Recover, gdy tylko ta część kodu systemu układowego zostanie opublikowana.
Pozostałe części zajmą nieco więcej czasu, ponieważ wymagają refaktoryzacji w celu wyabstrahowania z naszego systemu operacyjnego cech specyficznych dla chipów objętych umową NDA (non-disclosure agreement – przyp. red.).
Open-sourcing zawsze był podstawą naszej mapy drogowej, a ostatnie wydarzenia podkreślają znaczenie przyspieszenia tej inicjatywy, aby zapewnić większą weryfikowalność wszystkiego, co robimy w Ledger.