더글러스 바쿰 지음
출처: https://blog.bitbox.swiss/en/does-airgap-make-bitcoin-hardware-wallets-more-secure/
BitBox02 출시 이후, 저희는 Airgap 작동 방식에 대한 지원 요청을 많이 받았습니다. 컴퓨터나 휴대폰에 연결하지 않고 하드웨어 서명기를 직접 사용하는 방식입니다. Airgap 기기는 최근 상당한 주목을 받고 있지만, 저희는 Airgap 기기의 실제 보안 이점을 더욱 심층적으로 살펴보고자 이 주제에 대한 심층 조사를 실시했습니다. 그 결과, Airgap 통신은 하드웨어 서명자에게 최소한의 보안 이점만 제공하며 사용자 경험을 저하시킬 수도 있다는 결론을 내렸습니다. 저희는 공개적으로 공개된 취약점을 활용하여 Airgap의 보안 약속을 검증했습니다. 이 문서는 저희가 조사한 결과를 담고 있습니다.
에어갭이란?
에어갭 은 모든 네트워크 인터페이스를 제거하여 신뢰할 수 없는 네트워크(예: 인터넷)로부터 장치를 물리적으로 격리하는 보안 조치입니다. 예를 들어, 에어갭 컴퓨터는 안전이 중요한 인프라에 자주 사용됩니다. 이 원리 자체는 강력하지만, 실제로는 네트워크로 연결된 장치와 데이터를 교환해야 하는 경우가 많습니다. "에어갭"을 통과하는 이 데이터는 일반적으로 USB 플래시 드라이브를 통해 전송됩니다. 에어갭 시스템의 보안은 전송되는 데이터가 악의적이지 않고 전송 중 변조되지 않는다는 사실에 전적으로 의존합니다. 유명한 스턱스넷 웜 사건이 보여주었듯이 , 교환되는 데이터에 대한 철저한 검사 없이는 원자력 발전소든 암호화폐 하드웨어 서명자든 에어갭의 보안 이점은 허상에 불과합니다.
암호화폐 지갑의 맥락에서 "에어갭"이라는 용어는 하드웨어 서명자(개인 키 보호)와 같은 서명 장치와 잠재적으로 안전하지 않은 인터넷 연결 컴퓨터(서명할 거래를 생성하고 서명된 거래를 브로드캐스트) 사이의 물리적 분리 및 직접적인 연결 부족을 의미합니다. 두 컴퓨터 간의 모든 통신은 "에어갭"을 통과해야 하며, 일반적으로 물리적으로 SD 카드를 교환하거나 QR 코드를 스캔하는 방식으로 이루어집니다. 중요한 것은 이러한 통신이 불가피하다는 것입니다. 이러한 통신에는 위에서 언급한 거래 데이터뿐만 아니라 하드웨어 서명자의 펌웨어 업데이트나 지갑 자체 정보(예: 코인 수신을 위한 공개 키(또는 주소))와 같은 더 많은 양의 데이터가 포함됩니다.
하드웨어 서명기를 컴퓨터에 직접 연결하는 것과 달리, Airgap 하드웨어 서명기는 PSBT(부분 서명 비트코인 거래)를 지원하는 컴퓨터에 설치된 소프트웨어와 함께 작동합니다. 앱에서 서명되지 않은 거래를 생성한 후 하드웨어 서명기가 스캔할 수 있도록 QR 코드로 인코딩하거나, 거래 내역을 파일로 저장한 후 하드웨어 서명기가 읽을 수 있도록 microSD 카드를 사용할 수 있습니다.
하드웨어 서명자가 개인 키로 거래에 서명한 후, 화면에 QR 코드를 표시하거나 서명된 거래를 microSD 카드에 저장하여 서명된 거래를 컴퓨터로 반환합니다. 컴퓨터의 동반 애플리케이션은 서명된 거래를 가져와 네트워크로 브로드캐스트합니다.
추가 참고: 이 글에서는 하드웨어 서명기의 보안 리스크 과 취약성에 중점을 두고 있지만, 하드웨어 서명기는 여전히 암호화폐 거래에 가장 안전한 방법으로 널리 알려져 있다는 점을 강조하는 것이 중요합니다. 코인에 접근하고 잠금 해제하는 개인 키는 항상 하드웨어 내에 안전하게 저장되며 하드웨어 서명기를 벗어나지 않기 때문입니다. 반면, 소프트웨어 지갑은 멀웨어와 도난에 더 취약하며, 거래소 에 코인을 저장하는 것 자체에도 여러 가지 리스크 따릅니다 . 또한, 구형 데스크톱 컴퓨터를 전용 에어갭 장치로 전환하는 것이 권장되기도 하지만, 이는 보안을 보장하기 어렵고 다양한 공격에 취약합니다 .
에어갭의 뚫을 수 없는 보안 신화
두 장치 사이에 물리적인 연결이 없기 때문에 사람들은 연결이 "안전하다"고 인식하기 쉽습니다. 하지만 USB 드라이브와 같은 하드웨어 서명 장치를 컴퓨터에 연결하면 보안성이 떨어진다고 느낄 수도 있습니다.
그러나 우리는 이러한 인식된 보안상의 이점과 이를 "만병통치약"으로 홍보하는 방식이 실제보다 훨씬 과장되어, 잘못된 보안 감각을 불러일으킬 수 있다는 결론을 내렸습니다.
실제로 에어갭이 보안을 크게 개선하지 못하는 세 가지 주요 이유는 다음과 같습니다.
1. 아직 소통이 진행 중입니다.
USB 케이블처럼 물리적인 연결은 없지만, 하드웨어 서명자와 호스트 컴퓨터 간에 정보 교환은 여전히 필요합니다. 유선 연결과 AirGap 연결의 주요 차이점은 대역폭입니다. QR 코드는 USB 연결보다 훨씬 적은 데이터를 전송합니다. 하지만 대역폭은 보안이 아닌 사용자 경험에 영향을 미치는 것으로 나타났습니다.
비트코인 거래 자체는 크기가 작기 때문에 어떤 통신 채널이든 전송하기에 충분합니다. 스턱스넷 사건에서 입증되었듯이, 어떤 통신 채널도 의도된 데이터(이 경우 비트코인 거래) 이외의 데이터 송수신을 본질적으로 차단할 수 없습니다. 이 데이터는 여전히 악성일 수 있습니다. 따라서 하드웨어 서명자는 수신된 모든 데이터를 철저히 검사하고 삭제할 책임이 있습니다.
하드웨어 서명자가 변조된 데이터를 수신하고 제대로 검증하지 않으면, 그것이 에어갭인지 아닌지는 중요하지 않습니다. 공격자가 악의적인 QR 코드, 거래 파일, USB 연결 또는 블루투스를 통해 전송된 데이터 등 악용 가능한 취약점을 발견하면, 이를 공격에 사용할 수 있습니다.
에어갭 전송은 본질적으로 또 다른 통신 채널일 뿐이지만, 더 많은 수동 사용자 상호 작용이 필요합니다. 각 채널은 고유한 공격 경로를 가지며, 정보가 교환될 때마다 하드웨어 서명자는 데이터를 면밀히 검사해야 합니다. 특히, 하드웨어 서명자의 위협 모델은 통신 대상 컴퓨터나 휴대폰이 침해되었다고 가정해야 합니다. 따라서 하드웨어 서명자가 표시하는 정보 이외의 다른 정보는 신뢰할 수 없습니다.
2. 통신은 여전히 변조될 수 있습니다.
중요한 공격 벡터 중 하나는 탐지되지 않고 통신을 변조할 수 있는 악성코드입니다. 예를 들어, 수신 주소나 주소를 변경하거나 다중 서명 설정에서 공동 서명자를 교체할 수 있습니다. 다시 말하지만, 하드웨어 서명자의 펌웨어는 이러한 동작을 포착할 수 있어야 하지만, AirGap 자체는 아무런 도움을 제공하지 않습니다.
- QR 코드는 카메라 이미지나 QR 코드 렌더링을 제어하는 업스트림 라이브러리, 카메라 펌웨어에 이식된 백도어, 호스트 컴퓨터에서 실행되는 맬웨어 등 여러 수준에서 악의적으로 변조될 수 있습니다.
- 다른 프로그램은 microSD 카드를 통해 사용자 모르게 카드의 내용을 몰래 감시하고, PSBT 파일을 수정하고, 추가 데이터를 쓸 수 있습니다. 구체적인 접근 권한은 사용하는 운영 체제에 따라 다릅니다.
- USB 통신 자체도 이러한 공격 벡터를 완화시키지 못합니다.
데이터 변조를 탐지하고 방지하는 일반적인 방법은 컴퓨터에서 실행되는 앱과 펌웨어 간의 모든 통신을 암호화하는 것입니다(BitBox02는 Noise Protocol Framework를 사용하여 이를 구현합니다). 하지만 앱을 실행하는 컴퓨터가 손상될 경우 통신 채널이 완전히 안전하지는 않습니다(따라서 하드웨어 서명자의 내장 화면에서 거래 정보를 항상 확인해야 합니다). 하지만 통신을 암호화하면 공격자가 정보를 도청하거나 변조하는 것이 훨씬 더 어려워집니다.
3. 에어갭은 일상 사용에서 더 투명하지 않습니다.
Airgap Signer의 또 다른 일반적인 홍보 포인트는 USB 연결을 사용하는 것보다 장치 간에 공유되는 데이터가 더 투명하고 검증 가능하다는 것입니다.
"이 강력한 보안 모델을 통해 수신하는 정보가 정확히 무엇인지 알 수 있습니다." - Foundation Devices
"QR 코드 전송을 사용하면 악성 소프트웨어 침입의 잠재적 리스크 제거하고 Bluetooth나 USB로는 불가능한 수준의 투명성을 제공합니다." – Keystone
"저희 콜드 월렛은 QR 코드만 사용하여 데이터를 전송하며, QR 코드 형식은 제어 가능하고 검증 가능하며 투명합니다." – Ellipal
이를 확인하기 위해 Sparrow 지갑을 사용하여 만든 간단한 비트코인 거래를 살펴보겠습니다. 여기에는 하나의 입력, 하나의 수신자, 그리고 변경 주소가 포함되어 있습니다.
- 비트코인 거래 샘플 -
지갑은 두 가지 방법으로 서명되지 않은 거래를 내보내는 것을 지원합니다.
- 이진 형식으로 저장된 PSBT 파일은 직접 읽을 수 없습니다. 파일을 열어서 내용을 확인할 수 없습니다. 이를 위한 유일한 방법은 비트코인 지갑에 파일을 로드하는 것입니다. 따라서 지갑은 여전히 데이터 삭제를 담당합니다.
- PSBT 파일의 바이너리 내용 -
- QR 코드는 동일한 정보를 시각적으로 보여줍니다. 거래 데이터가 너무 방대하여 단일 QR 코드로는 표시하기 어렵기 때문에 동적 QR 코드가 사용됩니다. 마찬가지로, QR 코드에 포함된 정보는 직접 읽을 수 없으며 다른 지갑을 통해 확인해야 합니다.
- 바이너리 거래 데이터를 포함하는 동적 QR 코드 -
일반 QR 코드 스캐너로 데이터를 읽으려고 하면 읽을 수 없는 횡설수설만 보입니다.
- 일반적인 QR코드 스캐너가 읽는 QR코드 내용의 일부 -
PSBT 파일이나 QR 코드를 사용하든, 호환되는 하드웨어 서명자뿐만 아니라 다른 지갑을 통해서도 데이터를 검증할 수 있습니다. 하지만 저희는 이러한 접근 방식이 실제로 추가적인 보안 이점을 제공하는지 의문입니다. (데이터를 삭제하고 내장된 화면에서 검증할 수 있도록 하는 것이 하드웨어 지갑의 주요 기능이기 때문입니다.) 또한 사용자가 이러한 작업을 자주 수행할 것이라고 기대하는 것도 비현실적입니다.
기타 고려 사항
각 통신 채널에는 장단점이 있습니다. 하드웨어 서명자 통신 방식에 대한 몇 가지 추가 고려 사항은 다음과 같습니다.
- microSD 카드 자체에는 해킹 가능한 펌웨어를 구동하는 작은 컴퓨터(일명 마이크로컨트롤러)가 들어 있습니다. 작은 컴퓨터를 사용하기 위해 하드웨어 서명기에 연결해야 한다면, 그것이 정말 에어갭일까요?
- 공격 표면을 줄이려면 외부 라이브러리 종속성을 최소화해야 합니다. 이는 USB 드라이버뿐만 아니라 microSD 카드 리더 및 내장 카메라 드라이버에도 적용됩니다.
- 화면에 있는 QR코드나 앱에 있는 텍스트 정보가 엿보기나 감시 카메라 촬영을 통해 유출될 수 있으며, 이는 귀하의 개인 정보에 영향을 미칠 수 있습니다.
- Bluetooth 및 NFC와 같은 무선 통신 모드는 식별 정보를 방송하므로 개인정보 보호 문제가 발생할 수 있습니다.
인생의 대부분 일과 마찬가지로, "단 하나의 가장 좋은 선택"이란 존재하지 않습니다.
현실 확인: Airgap이 2020년 하드웨어 서명자 취약점으로부터 사용자를 보호할 수 있을까?
2020년 초부터 알려진 비트코인 전용 취약점을 모두 살펴보겠습니다. 이 목록의 목적은 간단합니다. 에어갭 통신으로 이러한 취약점을 예방할 수 있는지 확인하는 것입니다.
전반적으로, 우리가 연구한 취약점 중 어느 것도 하드웨어 서명자와 컴퓨터 또는 휴대폰 간에 정보가 교환되는 채널인 데이터 전송 계층에 의존하지 않았습니다. 즉, 이러한 모든 취약점은 기기의 AirGap 지원 여부와 관계없이 악용될 수 있습니다.
취약점 자체에 관심이 있으시다면, 전체적인 상황을 이해하실 수 있도록 더 자세한 정보 링크를 제공해 드립니다. 다음 취약점 중 실제 악용 사례가 입증된 것은 없으며, 일부는 이론적이거나 다른 이유로 악용하기 어렵습니다.
공급망 취약점: 공격자 제어 펌웨어 (Coldcard, 2020년 3월)
이 취약점은 공격자가 악성 펌웨어를 플래시하고 기기를 손상된 "공장" 상태로 초기화할 수 있도록 허용합니다. 자세한 분석 내용은 보고서 , 제조업체 발표를 참조하십시오.
에어갭이 작동하지 않습니다. 이는 물리적 공격 벡터입니다.
OP_RETURN은 변경 출력으로 처리됩니다 (Trezor, 2020년 3월)
이 취약점으로 인해 사용자 확인을 건너뛸 수 있으며, 이는 2계층 프로토콜(예: Omni 계층)에 영향을 미칠 수 있습니다.
자세한 분석은 제조업체 발표를 참조하세요.
에어갭이 작동하지 않습니다. 이는 거래 확인 문제입니다.
혼합 거래의 악의적 변경 (Trezor, 2020년 3월)
변경 사항은 공격자가 부분적으로 제어하는 1/2 다중 서명 주소로 전송될 수 있습니다.
자세한 분석은 Shift Crypto Report , Second Report (2020년 3월) 및 제조업체 발표를 참조하세요.
에어갭이 작동하지 않습니다. 이는 거래 확인 문제입니다.
필드 길이 검사가 불충분함 (Trezor, 2020년 3월)
이 취약점으로 인해 거래의
prevhash필드가 예상된 32바이트를 초과할 수 있으며, 공격자에게 자금을 보내는 숨겨진 출력이 포함될 가능성이 있습니다.자세한 분석은 제조업체 발표를 참조하세요.
에어갭이 작동하지 않습니다. 이는 거래 확인 문제입니다.
일관되지 않은 거래 입력 정리 (Trezor, 2020년 3월)
이 취약점은 단일 서명 입력과 1/2 다중 서명 출력(부분적으로 공격자가 제어)을 포함하는 거래가 사용자 검증 없이 승인될 수 있도록 합니다.
자세한 분석은 제조업체 발표를 참조하세요.
에어갭이 작동하지 않습니다. 이는 거래 확인 문제입니다.
두 건의 SegWit 거래를 통해 막대한 수수료 발생 (모든 공급업체, 2020년 3월)
악성 지갑은 사용자를 속여 동일한 비트코인 거래에 두 번 서명하도록 할 수 있습니다. 예를 들어, 최초 서명 후 오류를 조작하여 사용자가 다시 시도하도록 한 다음, 높은 채굴비 요구하는 거래를 생성할 수 있습니다. 공격자는 채굴자들과 공모하여 이러한 수수료를 징수할 수 있습니다.
자세한 분석은 Shift Crypto , Ledger , Trezor 및 Coinkite를 참조하세요.에어갭이 작동하지 않습니다. 이는 BIP-143 의 일반적인 검증 설계 문제입니다.
JTAG/SWD 인터페이스는 보호되지 않은 프로세서에서 활성화됩니다 (Ledger, 2020년 6월)
Ledger Nano X 마이크로컨트롤러 유닛(MCU)의 디버그 인터페이스가 활성화되어 있습니다. 이를 통해 공급망 공격이 가능하지만, 내부 키에는 접근할 수 없습니다.
에어갭이 작동하지 않습니다. 이는 물리적 공격 벡터입니다.
비트코인 포크/알트코인 교차 계정 서명 (Ledger/Trezor/Keepkey, 2020년 8월)
사용자는 비트코인 거래에 서명하도록 속아넘어갈 수 있는데, 실제로는 해당 기기 화면에 테스트넷이나 알트코인의 세부 정보만 표시될 수 있습니다.
자세한 분석은 보고서 , 원장 , Trezor를 참조하세요.에어갭이 작동하지 않습니다. 이는 거래 확인 문제입니다.
비트코인 메인넷/테스트넷 교차 계정 서명 (Coldcard, 2020년 8월)
사용자가 비트코인 메인넷 거래에 서명하도록 속았지만, 해당 기기 화면에는 테스트넷의 세부 정보가 표시될 수 있습니다.
자세한 분석은 Shift Crypto 보고서 및 제조업체 발표를 참조하세요.에어갭이 작동하지 않습니다. 이는 거래 확인 문제입니다.
암호 처리를 표적으로 삼은 랜섬웨어 공격 (Trezor/Keepkey, 2020년 8월)
호스트 컴퓨터에서 사용자가 암호문구를 사용해 만든 지갑은 맬웨어에 의해 악용되어 하드웨어 서명자의 다른 암호문구를 사용할 수 있으며, 이로 인해 해당 지갑으로 이체되는 모든 자금을 나중에 요구할 수 있습니다.
자세한 분석은 보고서 , 제조업체 발표 1 , 제조업체 발표 2를 참조하세요.
Airgap이 작동하지 않습니다. 사용하는 통신 방법에 관계없이 암호를 장치에 직접 입력하거나 확인해야 합니다.
원격 다중 서명 도용 공격 (Coldcard, 2020년 11월)
이 취약점은 해당 기기가 새로 생성된 다중 서명 지갑의 일부인지 확인하지 않기 때문에 발생하며, 공격자는 사용자를 속여 공격자가 제어하는 다중 서명 지갑을 생성하도록 할 수 있습니다.
자세한 분석은 보고서 , 제조업체 발표 1 , 제조업체 발표 2를 참조하세요.
이는 외부 협력자 또는 제3자 참여자의 데이터가 악의적일 수 있는 일반적인 지갑 검증 문제입니다.
- 멀티시그 지갑을 완전히 직접 설정했다면, 여러 하드웨어 서명자 간에 microSD 카드를 주고받는 것만으로 이 취약점을 완화할 수 있습니다. 이 방법은 QR 코드나 USB를 통해 연결된 기기에서도 작동합니다(아직 구현된 사람은 없지만).
- 외부 협력자나 악의적인 공동서명자에 의해 멀티시그 지갑이 설정된 경우, 기기가 완전히 에어갭 상태라 하더라도 쓸모가 없습니다.
SCP 길이 확장 공격 (Ledger, 2021년 5월)
이 취약점을 악용해 공격자는 보안에 영향을 미치지 않고(데이터가 기밀이 아니고 공개적으로 사용 가능하기 때문에) 애플리케이션 데이터 블록과 펌웨어 업데이트를 해독할 수 있습니다.
자세한 분석은 제조업체 발표를 참조하세요.
에어갭이 작동하지 않습니다. 새로운 펌웨어를 다운로드할 때 데이터를 어디서나 읽을 수 있습니다.
다음은 저희가 알고 있는 공개된 하드웨어 서명자 관련 취약점입니다. 출처(이전 취약점도 포함): Shift Crypto , Ledger , Trezor , 하드웨어 서명자 취약점 목록
이전 공격 사례 중 가장 관련성이 높은 사례는 2018년에 보고된 " U2F(범용 2차 인증) 사용 시 잠재적 데이터 유출 "이었습니다. 그러나 이 사례는 USB 전송 계층에 대한 것이 아니라, U2F 데이터가 USB를 통해 전송되기 전에 인코딩(즉, 구문 분석)되는 방식에 대한 것입니다.
하드웨어 서명자를 물리적으로 하이재킹해야 하는 침습적 공격 외에도, 취약성은 일반적으로 하드웨어 서명자가 거래 세부 정보를 적절하게 확인하거나 구문 분석하지 못하는 논리적 계층에서 발생합니다.
또한, AirGap은 악성 펌웨어로부터 사용자를 보호할 수 없다는 점을 알아두는 것이 중요합니다. 하드웨어 서명자가 손상될 경우, 개인 키가 유출될 수 있는 방법은 셀 수 없이 많습니다(예: 비트코인 서명 ).
에어갭은 여전히 자리를 잡고 있습니다
에어갭 통합
QR 코드나 microSD 카드와 같은 통신 방법은 관련 장치에 따라 편의성이나 사용자 경험 등 다른 목적으로 사용될 수도 있습니다.
- PSBT 표준을 통해 QR 코드나 microSD 카드를 사용하여 통신할 경우, 타사 앱은 하드웨어 서명자와 더 쉽게 통합되고 혼합하여 사용할 수 있습니다.
- QR 코드는 Seedsigner 나 Spectre DIY 와 같이 카메라 액세서리에 쉽게 연결할 수 있는 일반 하드웨어와 잘 호환되는 편리한 커뮤니케이션 방법입니다.
- QR 코드는 iPhone 등 USB 연결을 제한하는 기기와 통신할 때도 유용합니다.
"PSBT"가 때때로 "에어갭"과 동의어로 사용되기도 하지만, 실제로는 서명되지 않은 거래를 다른 기기로 옮겨 서명하는 또 다른 표준이며, 특정 통신 방식과는 무관하다는 점에 유의해야 합니다. 이를 통해 여러 기기와 소프트웨어 지갑 간의 상호 운용성이 가능해지며, 이는 PSBT 네이티브 기능을 지원하는 핵심 이유입니다.
"제로 커뮤니케이션" 보안
보안 관점에서, 에어갭을 사용하는 유일한 방법은 외부 통신 없이 "완전한" 에어갭 상황에서 하드웨어 서명자를 사용할 때입니다. 중요한 것은, 이는 하드웨어 서명자 환경에서 일반적으로 사용되는 "에어갭 통신"이 아니라, 신뢰할 수 없는 기기와 전혀 통신하지 않는 "무통신"을 의미한다는 것입니다. 이는 이론적으로는 자명하지만, 위에서 언급한 "원격 다중 서명 도용 공격"은 실제적인 사례를 제공합니다. 그러나 "무통신"이 항상 실현 가능한 것은 아닙니다. 거래를 준비하고 궁극적으로 브로드캐스트하기 위해 서명자는 현재 보유하고 있는 코인의 수와 이를 어디로 보낼지에 대한 외부 데이터가 필요합니다.
제로 통신(Zero-Communication) 작업은 지갑 니모닉 단어 생성 또는 복구, 수신 주소 생성, 지갑 이름 지정, 선택적 암호문 활성화/비활성화 등 외부 정보가 필요하지 않은 작업의 공격 표면을 줄여줍니다. 물론, 제로 통신 작업은 에어갭(Air-Gap)으로 광고되지 않은 하드웨어 서명기를 포함하여 모든 하드웨어 서명기에서 구현될 수 있습니다. 예를 들어, 하드웨어 서명기가 보조 배터리에 연결되어 있을 때 화면에 수신 주소가 표시될 수 있습니다.
에어갭 통신은 하드웨어 서명자와의 지속적인 통신을 필요로 하는 잠재적 공격, 예를 들어 장치를 지속적으로 탐색하는 공격을 제한할 수 있습니다. 그러나 하드웨어 서명자는 특수화되어 있으며, 프로토콜을 위반하는 모든 연결을 중단하는 엄격한 통신 프로토콜을 사용합니다. 엄격한 통신 프로토콜을 구현하는 것은 다른 보안 과제에 비해 간단하며, 이러한 유형의 성공적인 탐색 공격 사례는 아직 보고되지 않았습니다.
사용 편의성은 보안의 초석입니다
- 거래 서명 단계 -
Airgap 하드웨어 서명기를 사용하면 사용 편의성이 크게 저하됩니다. Airgap 통신을 통해 PSBT 거래를 전송하려면 더 많은 단계, 키 입력, 집중력, 그리고 시간이 필요합니다.
- 에어갭 모드에서의 거래 서명 단계 -
사용자는 통신 채널의 일부가 되어 본질적으로 중개자 역할을 하지만, 어떤 데이터를 전송하는지 감사할 수 있는 적절한 방법이 없습니다. 이는 명확한 보안 이점을 제공하지 않으면서 운영상의 마찰만 증가시킵니다.
AirGap 기기는 대부분의 사용자 인터페이스를 펌웨어에 통합해야 합니다. 가장 기본적인 작업을 제외한 모든 작업은 하드웨어 서명기에 연결된 외부 데스크톱이나 모바일 앱을 사용하면 더 쉽게 수행할 수 있습니다.
그래서 저희는 하드웨어 제작뿐만 아니라 초보자도 쉽게 사용할 수 있는 BitBoxApp 도 개발하여 BitBox02를 매우 간편하게 사용할 수 있도록 했습니다. BitBox02는 엄격한 거래 검증 규칙, 엄격한 USB 통신 프로토콜, 그리고 종단 간 암호화를 통해 통신 채널의 보안을 보장하는 동시에 더욱 간편한 사용자 경험을 제공합니다.
더욱이, 향후 중요한 보안 또는 개인정보 보호 프로토콜이 구현되면 Airgap 사용자 경험이 더욱 복잡해질 수 있습니다. 예를 들어, 사용자 개인 키 유출을 방지하기 위해 설계되고 BitBox02에 처음 구현된 " 절도 방지(anti-klepto )" 프로토콜은 거래 서명의 악의적인 변조를 방지하기 위해 하드웨어 서명자와 컴퓨터 간에 새로운 정보 교환 과정을 요구합니다. Airgap 기기에 이러한 보안 메커니즘이 구현된 경우, 거래를 전송하려면 사용자가 QR 코드를 수동으로 스캔하는 추가 과정을 수행해야 합니다.
결론적으로
그렇다면 이는 하드웨어 서명자 제조업체의 설계 결정과 사용자의 구매 결정에 어떤 영향을 미칠까요? 저희는 통신 모드 선택이 보안 요소보다는 사용자 경험과 애플리케이션 통합에 더 중점을 둔다고 생각합니다. 적어도 기술적 관점에서는 그렇습니다.
물론, 시장에서 특정 커뮤니케이션 방식이 다른 방식보다 더 낫다고 "느낀다면", 그 욕구를 충족시키는 것이 사업적으로 타당합니다. 하지만 마케팅 주장은 과장될 수밖에 없지만, 이는 사용자를 오도하고 궁극적으로 업계 전체의 평판을 손상시킬 수 있습니다. 따라서 모두가 서로를 감시하고 마케팅 주장의 진실성을 확인하는 것이 최선입니다.
"복잡성은 보안의 적이다"라는 말이 흔히 있습니다. 다시 말해, 사용자 경험을 최대한 단순화하는 것은 사용자 오류 가능성을 줄여 보안 측면에서 유리합니다. 2년 전 BitBox02를 설계할 당시, 저희는 새 컴퓨터와 휴대폰에 직접 연결할 수 있는 USB 포트가 보안을 희생하지 않으면서도 최상의 사용자 경험을 제공할 것이라고 생각했습니다. 이 글에서 소개하는 에어갭 통신에 대한 연구는 저희의 결정이 오랜 세월 검증되었음을 보여줍니다.
"보안과 사용 편의성 사이에는 상충 관계가 있다"는 말이 있습니다. 하지만 저희는 이러한 상반된 견해가 잘못되었다고 생각하며, 하드웨어 서명자의 목적은 보안을 간소화하는 것입니다. 저희의 고급 보안 모델은 전문가들로부터 높은 평가를 받고 있으며, 사용자는 자산 도난에 대한 걱정 없이 안전하게 사용할 수 있습니다. BitBox02와 BitBoxApp은 이러한 복잡성을 숨기고 사용자가 쉽게 사용할 수 있도록 설계되었습니다. 저희는 고급 기능 옵션을 제공하는데, 처음에는 대다수 사용자에게 필요하지 않을 수 있지만, 재정적 독립을 향한 여정을 시작하면서 그 가치를 점차 깨닫게 될 것입니다. 예를 들어, 자신의 비트코인 전체 노드에 직접 연결하거나, Tor 네트워크를 사용하여 개인 정보를 더 안전하게 보호하거나, 코인 제어 등을 사용할 수 있습니다.
이 글은 업계의 관점 에 도전하는 글이며, 논란의 여지가 있을 수 있음을 인지하고 있습니다. 저희는 다양한 의견에 귀 기울이고 있으며 앞으로도 이 주제를 계속 탐구해 나갈 것입니다. 여러분의 의견을 기다리겠습니다.
자주 묻는 질문
하드웨어 서명자의 맥락에서 에어갭은 무엇을 의미합니까?
에어갭은 인터넷과 같은 신뢰할 수 없는 네트워크로부터 기기를 물리적으로 분리하는 보안 조치입니다. 암호화폐 지갑에서는 서명 기기와 인터넷에 연결된 컴퓨터 사이에 직접적인 연결이 없음을 의미하며, 일반적으로 QR 코드나 SD 카드를 통해 통신합니다.
Airgap을 사용하면 하드웨어 서명자의 보안을 더욱 강화할 수 있을까?
에어갭 통신은 어느 정도 보안상의 이점을 제공할 수 있지만, 이 논문에서는 에어갭 통신이 하드웨어 서명자에게 최소한의 보안 개선만을 제공할 뿐 아니라 사용자 경험을 저하시킬 수도 있다는 결론을 내렸습니다.
에어갭이 모든 취약점을 방지할 수 있을까?
아니요, 많은 취약점이 하드웨어 서명자 논리 계층을 악용하여 장치가 거래 정보를 제대로 검증하거나 분석하지 못하는 문제를 야기합니다. 이러한 취약점은 장치의 에어갭 지원 여부와 관계없이 발생할 수 있습니다.
에어갭을 사용하면 어떤 이점이 있나요?
에어갭은 사용자 경험과 애플리케이션 통합 측면에서 활용도가 높습니다. 예를 들어, 카메라 액세서리가 장착된 기기와 상호 작용할 때 QR 코드를 사용하는 것이 편리하며, PSBT 표준은 여러 기기와 소프트웨어 지갑 간의 상호 운용성을 지원합니다.
에어갭과 하드웨어 서명자의 핵심은 무엇입니까?
하드웨어 서명자의 통신 모드를 선택하는 것은 보안보다는 사용자 경험과 애플리케이션 통합에 더 중점을 둡니다. 핵심은 선택한 방식이 보안을 희생하지 않으면서도 우수한 사용자 경험을 제공하도록 하는 것입니다.
