元帳は、Trezorハードウェアウォレットの5つの可能性のある脆弱性を強調します

元帳は、Trezorハードウェアウォレットの5つの可能性のある脆弱性を強調しています。 主要なハードウェアウォレット開発者であるLedgerは、Trezor 製品の5つの脆弱性を強調するレポートを投稿することで、主な競合他社 Trezorを目指しています。
元帳は、「可能な限りブロックチェーンエコシステム全体のセキュリティを強化する」責任があると主張し、そのウェブサイトにセキュリティレポートをアップロードしました。
特に、LedgerはTrezor 製品の5つの脆弱性を強調しています。 Ledgerは、4か月前に問題についてTrezorに連絡したと主張しています。「当社は、これらの脆弱性をベンダーに責任を持って開示し、ユーザーを保護するための適切な措置を講じることを可能にしています。
「2つの延長を含む責任ある開示期間が終了したので、完全な認識と透明性の精神で詳細をお客様と共有したいと考えました。」
問題のTrezorモデルは、トレゾールワンとトレゾールTです。
脆弱性 1
最初の問題元帳はTrezorデバイスの真正性に関連して見つかりました-それは彼らが模倣することができると主張しています。 元帳は偽のデバイスを製造することができました。
これに沿って、Trezor 製品を開けることができ、「バックドア」が挿入され、再密封されることが分かりました。
脆弱性 2
元帳によって発見された2 番目の脆弱性は、PINコードに関するものでした。 サイドチャネル攻撃を用いてピンの値を推測することが可能であることがわかりました。
サイドチャネル攻撃は、ランダムなピン番号を提示し、提示されたピンとピンの実際の値を比較する際にデバイスの消費電力を測定することから構成されます。
元帳は、この方法を使用して5 回未満でピンをクラックしたと主張しています。
ただし、Trezorはファームウェアアップデート1.8.0でこの脆弱性にパッチを適用しています。
脆弱性 3 および 4
3 番目と4 番目の脆弱性は、デバイス内のデータの機密性が安全ではないと主張 Trezor T. 元帳の両方に適用されます。
デバイスに物理的にアクセスできる攻撃者は、フラッシュメモリ内に格納されているすべてのデータを抽出できることがわかりました。 攻撃者は、ユーザーのアカウントからすべてのアセットを枯渇させることができます。
元帳では、この問題にパッチを適用できるとは考えていません。 これは、設計を変更してセキュア・エレメント・チップを組み込むことによってのみ回避できると考えています。 これには、すでに実装されている汎用チップを交換する必要があります。
脆弱性 5
Ledger さんにより、キーがスカラー乗算を使用している場合にサイドチャネル攻撃を使用して秘密鍵を抽出できることが発見されました。
スカラー乗算は、暗号の中核関数です。 特に、元帳は、トランザクションに署名するためのコア機能であると指摘しています。
Ledgerは、他のいくつかの測定値と一緒にデジタルオシロスコープを利用して、サイドチャネル分析を使用してトランザクションのキーを抽出することができました。
元帳は、この問題を Trezor (パッチを適用できる) に報告していますが、Trezor のセキュリティモデルに直接影響を与えないことも指摘しています。 これは、デバイスのピンを事前に知らなければ動作をトリガできないためです。
トレゾール
Trezorは申し立てに関する公式声明を発表しました。
同社は、元帳が報告し、疑わしい脆弱性を介して通信している間、「事実のいくつかは異なって表現されている」と主張し、「脆弱性の警戒の解釈」につながっています。
Trezorは、サプライチェーン攻撃が輸送中のすべてのハードウェアに影響を及ぼし、「100 ％ ソリューション」はなく、「すべての企業はこれを軽減する方法が異なる」と指摘しています。
同社は、サイド・チャネル・ピン攻撃にパッチが適用されていると主張しています。
Trezorはまた、ピンが必要であるため、それが「悪用不可能」であることを示すスカラー乗算の主張に応答しました.
また、「これらの攻撃のどれもリモートから悪用されないかについてコメントします。 実証済みのすべての攻撃ベクトルは、デバイスへの物理的なアクセス、特殊機器、時間、および技術的な専門知識を必要とします。」
暗号化ウォレットについてもっと読むことに興味がありますか？ 利用可能な最高の暗号ウォレットの長所と短所を発見してください。