Airgap có giúp người ký phần cứng an toàn hơn không?

Bởi Douglas Bakkum

Nguồn: https://blog.bitbox.swiss/en/does-airgap-make-bitcoin-hardware-wallets-more-secure/

Kể từ khi BitBox02 ra mắt, chúng tôi đã nhận được rất nhiều yêu cầu hỗ trợ cho hoạt động Airgap: sử dụng trực tiếp trình ký phần cứng mà không cần cắm vào máy tính hoặc điện thoại. Mặc dù các thiết bị Airgap đã nhận được sự quan tâm đáng kể gần đây, chúng tôi muốn tìm hiểu sâu hơn về những lợi ích bảo mật thực sự của chúng, dẫn đến việc chúng tôi tiến hành một cuộc điều tra chi tiết về chủ đề này. Chúng tôi kết luận rằng giao tiếp Airgap mang lại rất ít lợi ích bảo mật cho trình ký phần cứng và thậm chí có thể làm giảm trải nghiệm người dùng. Chúng tôi đã sử dụng các lỗ hổng bảo mật công khai để xác minh các cam kết bảo mật của Airgap. Bài viết này ghi lại những phát hiện của chúng tôi.

Airgap là gì?

Airgap là một biện pháp bảo mật giúp cô lập vật lý thiết bị khỏi các mạng không đáng tin cậy (chẳng hạn như internet) bằng cách loại bỏ tất cả các giao diện mạng. Ví dụ, máy tính airgap thường được sử dụng trong cơ sở hạ tầng quan trọng về an toàn. Mặc dù nguyên tắc này tự nó đã rất mạnh mẽ, nhưng trên thực tế, dữ liệu thường cần được trao đổi với các thiết bị mạng. Dữ liệu này, vốn đi qua "airgap", thường được truyền qua ổ đĩa flash USB. Tính bảo mật của hệ thống airgap hoàn toàn phụ thuộc vào dữ liệu được truyền đi không độc hại và không bị giả mạo trong quá trình truyền. Như sự cố sâu Stuxnet nổi tiếng đã chứng minh, nếu không kiểm tra kỹ lưỡng dữ liệu được trao đổi, lợi ích bảo mật của airgap, dù là đối với nhà máy điện hạt nhân hay thiết bị ký số tiền điện tử, đều là ảo tưởng.

Trong bối cảnh ví tiền điện tử, thuật ngữ "airgap" đề cập đến sự tách biệt vật lý và thiếu kết nối trực tiếp giữa thiết bị ký, chẳng hạn như thiết bị ký phần cứng (bảo vệ private key) và máy tính có kết nối internet tiềm ẩn nguy cơ mất an toàn (tạo giao dịch cần ký và phát tán giao dịch đã ký). Bất kỳ giao tiếp nào giữa hai bên đều yêu cầu phải vượt qua "airgap", thường bằng cách trao đổi thẻ SD hoặc quét Mã QR. Điều quan trọng là, giao tiếp này là không thể tránh khỏi. Giao tiếp này không chỉ bao gồm dữ liệu giao dịch được đề cập ở trên mà còn bao gồm lượng dữ liệu lớn hơn, chẳng hạn như dữ liệu được sử dụng để cập nhật firmware của thiết bị ký phần cứng hoặc thông tin riêng của ví (chẳng hạn như khóa công khai (hoặc địa chỉ) để nhận coin).

Không giống như việc cắm thiết bị ký phần cứng trực tiếp vào máy tính, thiết bị ký phần cứng Airgap hoạt động với phần mềm được cài đặt trên máy tính hỗ trợ PSBT (Giao dịch Bitcoin đã ký một phần). Bạn có thể tạo một giao dịch chưa ký trong ứng dụng rồi mã hóa thành Mã QR để thiết bị ký phần cứng quét, hoặc lưu giao dịch dưới dạng tệp rồi sử dụng thẻ nhớ microSD để thiết bị ký phần cứng đọc.

Sau khi người ký phần cứng ký một giao dịch private key, giao dịch đã ký sẽ được trả về máy tính bằng cách hiển thị Mã QR trên màn hình hoặc ghi giao dịch đã ký vào thẻ nhớ microSD. Ứng dụng đồng hành trên máy tính sẽ nhập giao dịch đã ký và sau đó phát sóng lên mạng.

Lưu ý bổ sung: Mặc dù bài viết này tập trung vào các rủi ro và lỗ hổng bảo mật của thiết bị ký phần cứng, điều quan trọng cần nhấn mạnh là thiết bị ký phần cứng vẫn cho rằng phương thức giao dịch tiền điện tử an toàn nhất. Điều này là do private key truy cập và mở khóa tiền luôn được lưu trữ an toàn bên trong thiết bị ký phần cứng, không bao giờ rời khỏi thiết bị ký phần cứng. Ngược lại, ví phần mềm dễ bị phần mềm độc hại và trộm cắp hơn, trong khi việc lưu trữ tiền trên sàn giao dịch cũng tiềm ẩn sê-ri rủi ro riêng . Hơn nữa, việc chuyển đổi máy tính để bàn cũ thành thiết bị airgap chuyên dụng đôi khi được khuyến nghị, nhưng điều này khó đảm bảo an ninh và dễ bị tấn công .

Huyền thoại về sự an toàn không thể xuyên thủng của Airgap

Việc thiếu kết nối vật lý giữa hai thiết bị khiến mọi người dễ coi kết nối này là "an toàn". Đồng thời, việc cắm thiết bị chữ ký phần cứng vào máy tính như ổ USB có thể khiến nó kém an toàn hơn.

Tuy nhiên, chúng tôi kết luận rằng lợi nhuận an ninh được nhận thức này và cách nó được quảng bá như một "giải pháp thần kỳ" đã vượt xa thực tế, điều này có thể dẫn đến cảm giác an toàn sai lầm.

Sau đây là ba lý do chính tại sao airgap không cải thiện nhiều về mặt bảo mật trong thực tế:

1. Giao tiếp vẫn đang diễn ra

Mặc dù không có kết nối vật lý như dữ liệu USB, thông tin vẫn cần được trao đổi giữa thiết bị ký phần cứng và máy chủ. Sự khác biệt chính giữa kết nối có dây và kết nối AirGap là băng thông. Mã QR truyền tải ít dữ liệu hơn nhiều so với kết nối USB. Tuy nhiên, chúng tôi nhận thấy rằng băng thông ảnh hưởng đến trải nghiệm người dùng chứ không phải bảo mật.

Vì bản thân các giao dịch Bitcoin có dữ liệu nhỏ, bất kỳ kênh truyền thông nào cũng đủ để truyền tải chúng. Như sự cố Stuxnet đã chứng minh, không có kênh truyền thông nào tự động ngăn chặn việc gửi và nhận dữ liệu ngoài dữ liệu dự định (trong trường hợp này là giao dịch Bitcoin ). Dữ liệu này vẫn có thể độc hại. Do đó, người ký phần cứng vẫn có trách nhiệm kiểm tra kỹ lưỡng và khử trùng tất cả dữ liệu nhận được.

Nếu người ký phần cứng nhận được dữ liệu bị giả mạo và không xác minh đúng cách, thì dù dữ liệu đó có bị giả mạo hay không, thì việc đó cũng không quan trọng. Khi kẻ tấn công tìm thấy lỗ hổng có thể khai thác, dù là thông qua Mã QR độc hại, tệp giao dịch, hay dữ liệu được truyền qua kết nối USB hoặc Bluetooth, nó đều có thể được sử dụng để khởi chạy một cuộc tấn công.

Truyền dữ liệu qua airgap về cơ bản chỉ là một kênh giao tiếp khác, mặc dù nó đòi hỏi nhiều tương tác thủ công hơn từ người dùng. Mỗi kênh đều có các vectơ tấn công riêng, và bất cứ khi nào thông tin được trao đổi, bên ký phần cứng phải cẩn thận khử trùng dữ liệu. Cụ thể, mô hình mối đe dọa cho bên ký phần cứng phải giả định rằng máy tính hoặc điện thoại mà bên ký phần cứng giao tiếp đã bị xâm phạm. Do đó, bất kỳ thông tin nào khác ngoài thông tin mà bên ký phần cứng hiển thị đều không đáng tin cậy.

2. Thông tin liên lạc vẫn có thể bị can thiệp

Một hướng tấn công đáng kể là phần mềm độc hại có thể can thiệp vào thông tin liên lạc mà không bị phát hiện. Ví dụ: nó có thể thay đổi địa chỉ nhận hoặc thay đổi địa chỉ, hoặc thay thế người đồng ký trong thiết lập đa chữ ký. Một lần nữa, firmware của người ký phần cứng có thể phát hiện ra hành vi này, nhưng bản thân AirGap lại không có khả năng hỗ trợ:

• Mã QR có thể bị can thiệp theo ý đồ xấu ở nhiều cấp độ, bao gồm thông qua các thư viện thượng nguồn kiểm soát hình ảnh camera hoặc hiển thị Mã QR, cửa hậu được cấy vào chương trình cơ sở của camera hoặc thông qua phần mềm độc hại chạy trên máy tính chủ.
• Thông qua thẻ nhớ microSD, các chương trình khác có thể bí mật theo dõi nội dung của thẻ, sửa đổi các tệp PSBT hoặc ghi thêm dữ liệu vào thẻ mà người dùng không hề hay biết. Quyền truy cập cụ thể tùy thuộc vào hệ điều hành được sử dụng.
• Bản thân giao tiếp USB cũng không thể giảm thiểu được phương thức tấn công này.

Một phương pháp phổ biến để phát hiện và ngăn chặn việc giả mạo dữ liệu là crypto mọi giao tiếp giữa ứng dụng đồng hành đang chạy trên máy tính và phần mềm hệ thống (BitBox02 thực hiện điều này bằng cách sử dụng Noise Protocol Framework ). Tuy nhiên, kênh giao tiếp không hoàn toàn an toàn nếu máy tính đang chạy ứng dụng bị xâm phạm (đó là lý do tại sao bạn nên luôn xác minh chi tiết giao dịch trên màn hình tích hợp của thiết bị ký phần cứng), nhưng crypto giao tiếp sẽ khiến kẻ tấn công khó nghe lén hoặc giả mạo thông tin hơn nhiều.

3. Airgap không minh bạch hơn trong sử dụng hàng ngày

Một điểm quảng cáo phổ biến khác của Airgap Signer là dữ liệu được chia sẻ giữa các thiết bị minh bạch hơn và có thể xác minh được hơn so với khi sử dụng kết nối USB.

“Mô hình bảo mật mạnh mẽ hơn này đảm bảo bạn biết chính xác thông tin mình đang nhận được” – Foundation Devices

“Bằng cách sử dụng phương thức truyền Mã QR, chúng tôi loại bỏ rủi ro xâm nhập phần mềm độc hại tiềm ẩn và mang lại mức độ minh bạch mà Bluetooth hoặc USB không thể có được.” – Keystone

“Ví lạnh của chúng tôi chỉ sử dụng Mã QR để truyền dữ liệu và định dạng Mã QR có thể kiểm soát, xác minh và minh bạch.” – Ellipal

Để xác minh điều này, chúng ta hãy xem một giao dịch Bitcoin đơn giản được tạo bằng ví Sparrow: giao dịch này bao gồm một thông tin đầu vào, một người nhận và một địa chỉ tiền thừa.

- Mẫu giao dịch Bitcoin-

Ví hỗ trợ xuất các giao dịch chưa ký theo hai cách:

1. Các tệp PSBT , được lưu trữ ở định dạng nhị phân, không thể được đọc trực tiếp. Bạn không thể mở và kiểm tra nội dung của chúng. Phương pháp là tải chúng vào ví Bitcoin. Do đó, ví vẫn có trách nhiệm khử trùng dữ liệu.

- Nội dung nhị phân của các tập tin PSBT -

1. Mã QR hiển thị cùng một thông tin dưới dạng trực quan. Do dữ liệu giao dịch quá lớn để hiển thị bằng một Mã QR duy nhất, nên Mã QR động được sử dụng. Tương tự, thông tin bên trong không thể được đọc trực tiếp và cần được dữ liệu thông qua một ví khác.

- Mã QR động chứa dữ dữ liệu giao dịch nhị phân -

Nếu bạn thử đọc dữ liệu bằng máy quét Mã QR thông thường, bạn sẽ chỉ thấy một loạt ký tự vô nghĩa không thể đọc được:

- Một phần nội dung Mã QR được đọc bởi máy quét Mã QR thông thường -

Cho dù sử dụng tệp PSBT hay Mã QR, dữ liệu có thể được xác minh không chỉ trên thiết bị ký phần cứng tương thích mà còn có thể sử dụng các ví khác. Tuy nhiên, theo chúng tôi, liệu phương pháp này có thực sự mang lại bất kỳ lợi ích bảo mật bổ sung nào hay không vẫn còn là một dấu hỏi (vì chức năng chính của ví phần cứng là khử trùng dữ liệu và cho phép bạn xác minh dữ liệu trên màn hình tích hợp), và việc kỳ vọng người dùng thực hiện việc này thường xuyên là không thực tế.

Những cân nhắc khác

Mỗi kênh truyền thông đều có ưu và nhược điểm riêng. Dưới đây là một số cân nhắc bổ sung cho các phương thức giao tiếp của người ký phần cứng:

• Bản thân thẻ nhớ microSD chứa một máy tính nhỏ (hay còn gọi là vi điều khiển) chạy chương trình cơ sở có thể bị hack . Nếu bạn cần cắm một máy tính nhỏ vào một thiết bị ký số phần cứng để sử dụng, thì đó có thực sự là một khe hở không khí không?
• Cần giảm thiểu sự phụ thuộc vào thư viện bên ngoài để giảm thiểu bề mặt tấn công. Điều này không chỉ áp dụng cho trình điều khiển USB mà còn cho trình điều khiển cho đầu đọc thẻ nhớ microSD và camera tích hợp.
• Mã QR trên màn hình hoặc thông tin văn bản trong ứng dụng có thể bị rò rỉ do bị nhìn trộm hoặc camera giám sát quay lén, ảnh hưởng đến quyền riêng tư của bạn.
• Các chế độ giao tiếp không dây như Bluetooth và NFC truyền thông tin nhận dạng có thể gây ra các vấn đề về quyền riêng tư.

Giống như hầu hết mọi thứ trong cuộc sống, không có “lựa chọn tốt nhất duy nhất”.

Kiểm tra thực tế: Airgap có thể bảo vệ bạn khỏi lỗ hổng bảo mật phần cứng năm 2020 không?

Hãy cùng xem xét tất cả các lỗ hổng bảo mật chỉ có Bitcoin đã biết từ đầu năm 2020. Mục đích của danh sách này rất đơn giản: kiểm tra xem giao tiếp airgap có thể ngăn chặn các lỗ hổng bảo mật này hay không.

Nhìn chung, không có lỗ hổng nào chúng tôi nghiên cứu dựa vào lớp truyền dữ liệu- kênh trao đổi thông tin giữa thiết bị ký phần cứng và máy tính hoặc điện thoại. Điều này có nghĩa là tất cả các lỗ hổng này đều có thể bị khai thác bất kể thiết bị có hỗ trợ AirGap hay không.

Nếu bạn quan tâm đến các lỗ hổng bảo mật, chúng tôi đã cung cấp các liên kết đến thông tin chi tiết hơn để bạn có thể hiểu rõ hơn. Chưa có lỗ hổng nào sau đây được chứng minh là có thể khai thác thực tế, trong đó một số lỗ hổng chỉ mang tính lý thuyết hoặc khó khai thác vì những lý do khác.

• Lỗ hổng Chuỗi cung ứng: Phần mềm do kẻ tấn công kiểm soát (Coldcard, tháng 3 năm 2020)

  Lỗ hổng này cho phép kẻ tấn công flash firmware độc ​​hại và khôi phục thiết bị về trạng thái "nhà máy" bị xâm phạm. Để biết phân tích chi tiết, hãy xem: Báo cáo , Thông báo của Nhà sản xuất

  Khoảng cách không khí không có tác dụng: đây là một vectơ tấn công vật lý

• OP_RETURN được coi là đầu ra thay đổi (Trezor, tháng 3 năm 2020)

  Lỗ hổng này cho phép bỏ qua xác nhận của người dùng, có khả năng ảnh hưởng đến các giao thức Lớp 2 (chẳng hạn như lớp Omni )

  Để biết phân tích chi tiết, hãy xem: Thông báo của nhà sản xuất

  Airgap không hoạt động: Đây là sự cố xác minh giao dịch

• Thay đổi độc hại trong các giao dịch hỗn hợp (Trezor, tháng 3 năm 2020)

  Thay đổi có thể được gửi đến một địa chỉ đa chữ ký 1 trong 2 do kẻ tấn công kiểm soát một phần,

  Để biết phân tích chi tiết, hãy xem: Báo cáo Shift Crypto , Báo cáo thứ hai (tháng 3 năm 2020) và Thông báo của nhà sản xuất

  Airgap không hoạt động: Đây là sự cố xác minh giao dịch

• Kiểm tra độ dài trường không đủ (Trezor, tháng 3 năm 2020)

  Lỗ hổng này cho phép trường prevhash trong giao dịch vượt quá 32 byte dự kiến, có khả năng trong đó đầu ra ẩn gửi tiền cho kẻ tấn công.

  Để biết phân tích chi tiết, hãy xem: Thông báo của nhà sản xuất

  Airgap không hoạt động: Đây là sự cố xác minh giao dịch

• Dọn dẹp đầu vào giao dịch không nhất quán (Trezor, tháng 3 năm 2020)

  Lỗ hổng này cho phép các giao dịch chứa đầu vào chữ ký đơn và đầu ra chữ ký đa 1 trong 2 (do kẻ tấn công kiểm soát một phần) được chấp nhận mà không cần xác minh người dùng.

  Để biết phân tích chi tiết, hãy xem: Thông báo của nhà sản xuất

  Airgap không hoạt động: Đây là sự cố xác minh giao dịch

• Tạo ra khoản phí khổng lồ thông qua hai giao dịch SegWit (tất cả các nhà cung cấp, tháng 3 năm 2020)

  Ví độc hại có thể lừa người dùng ký cùng một giao dịch Bitcoin lần , ví dụ ngụy tạo lỗi sau lần ký đầu tiên, buộc người dùng phải thử lại, rồi tạo ra một giao dịch với phí đào rất cao. Kẻ tấn công sau đó có thể thu thập các khoản phí này bằng cách thông đồng với thợ đào.
  Để biết phân tích chi tiết, hãy xem: Shift Crypto , Ledger , Trezor và Coinkite

  Airgap không hoạt động: Đây là sự cố thiết kế xác thực chung với BIP-143

• Giao diện JTAG/SWD được kích hoạt trên các bộ xử lý không được bảo vệ (Ledger, tháng 6 năm 2020)

  Giao diện gỡ lỗi của bộ vi điều khiển (MCU) Ledger Nano X đã được bật. Điều này có thể cho phép tấn công Chuỗi cung ứng, nhưng không cho phép truy cập vào khóa nội bộ.

  Để phân tích chi tiết, hãy xem: Báo cáo , Thông báo của nhà sản xuất

  Khoảng cách không khí không có tác dụng: đây là một vectơ tấn công vật lý

• Chữ ký liên tài khoản Bitcoin Fork/ Altcoin (Ledger/Trezor/Keepkey, tháng 8 năm 2020)

  Người dùng có thể bị lừa ký giao dịch Bitcoin, nhưng thông tin chi tiết về mạng thử nghiệm hoặc Altcoin sẽ hiển thị trên màn hình thiết bị của họ.
  Để biết phân tích chi tiết, hãy xem: Báo cáo , Sổ cái , Trezor

  Airgap không hoạt động: Đây là sự cố xác minh giao dịch

• Chữ ký liên tài khoản Bitcoin Mainnet/ Mạng thử nghiệm (Coldcard, tháng 8 năm 2020)

  Người dùng có thể bị lừa ký vào giao dịch mainnet Bitcoin , nhưng màn hình thiết bị của họ lại hiển thị thông tin chi tiết từ mạng thử nghiệm.
  Để biết phân tích chi tiết, hãy xem: Báo cáo của Shift Crypto và thông báo của nhà sản xuất

  Airgap không hoạt động: Đây là sự cố xác minh giao dịch

• Tấn công ransomware nhắm vào quá trình xử lý mật khẩu (Trezor/Keepkey, tháng 8 năm 2020)

  Ví do người dùng tạo ra bằng mật khẩu trên máy tính chủ có thể bị phần mềm độc hại khai thác để sử dụng mật khẩu khác trên thiết bị ký phần cứng, do đó đòi tiền chuộc tất cả số tiền được chuyển vào ví trong tương lai.

  Để biết phân tích chi tiết, hãy xem: Báo cáo , Thông báo của nhà sản xuất 1 , Thông báo của nhà sản xuất 2

  Airgap không hoạt động: bất kể phương thức giao tiếp nào được sử dụng, mật khẩu phải được nhập hoặc xác minh trực tiếp trên thiết bị

• Tấn công đánh cắp đa chữ ký từ xa (Coldcard, tháng 11 năm 2020)

  Lỗ hổng này bắt nguồn từ việc thiết bị không kiểm tra xem nó có phải là một phần của ví đa chữ ký mới tạo hay không, cho phép kẻ tấn công lừa người dùng tạo ví đa chữ ký do kẻ tấn công kiểm soát.

  Để biết phân tích chi tiết, hãy xem: Báo cáo , Thông báo của nhà sản xuất 1 , Thông báo của nhà sản xuất 2

  Đây là sự cố xác minh ví phổ biến trong đó dữ liệu từ những người cộng tác bên ngoài hoặc người tham gia bên thứ ba có thể là dữ liệu độc hại:

  • Nếu bạn tự thiết lập ví đa chữ ký, bạn có thể giảm thiểu lỗ hổng này bằng cách chỉ cần chuyển thẻ nhớ microSD giữa nhiều thiết bị ký phần cứng. Tính năng này cũng hoạt động với các thiết bị được kết nối qua Mã QR hoặc USB (mặc dù chưa có ai triển khai tính năng này).
  • Nếu ví đa chữ ký được thiết lập bởi một cộng tác viên bên ngoài hoặc một người đồng ký tên có ác ý, ngay cả khi thiết bị hoàn toàn không có kết nối mạng, thì nó cũng sẽ vô dụng.

• Tấn công mở rộng độ dài SCP (Ledger, tháng 5 năm 2021)

  Lỗ hổng này cho phép kẻ tấn công giải mã dữ liệu dữ liệu ứng dụng và cập nhật chương trình cơ sở mà không gây ra bất kỳ tác động bảo mật nào (vì dữ liệu không phải là dữ liệu bí mật và được công khai).

  Để biết phân tích chi tiết, hãy xem: Thông báo của nhà sản xuất

  Airgap không hoạt động: khi tải xuống phần mềm mới, dữ liệu có thể được đọc ở bất kỳ đâu

Đây đều là những lỗ hổng liên quan đến phần cứng ký số được công bố công khai mà chúng tôi biết. Các nguồn (cũng bao gồm các lỗ hổng cũ hơn): Shift Crypto , Ledger , Trezor , Danh sách lỗ hổng phần cứng ký số

Ví dụ liên quan nhất mà chúng tôi có thể tìm thấy về các cuộc tấn công trước đó là " Rò rỉ dữ liệu tiềm ẩn khi sử dụng U2F (Xác thực lần toàn cầu) " báo cáo vào năm 2018. Tuy nhiên, ví dụ này cũng không liên quan đến lớp truyền tải USB mà liên quan đến cách dữ liệu U2F được mã hóa (tức là phân tích cú pháp) trước khi truyền qua USB.

Bên cạnh các cuộc tấn công xâm lấn đòi hỏi phải chiếm đoạt vật lý phần cứng ký, các lỗ hổng thường xảy ra ở lớp logic, nơi phần cứng ký không xác minh hoặc phân tích đúng chi tiết giao dịch.

Ngoài ra, điều quan trọng cần lưu ý là AirGap không thể bảo vệ bạn khỏi phần mềm độc hại. Nếu chính trình ký phần cứng bị xâm phạm, có vô số cách để rò rỉ private key(ví dụ: thông qua việc ký Bitcoin ).

Airgap vẫn có chỗ đứng của nó

Tích hợp Airgap

Trong một số trường hợp, các phương thức giao tiếp như Mã QR hoặc thẻ nhớ microSD có thể được sử dụng cho các mục đích khác, chẳng hạn như sự tiện lợi và trải nghiệm của người dùng, tùy thuộc vào thiết bị liên quan:

• Khi giao tiếp bằng Mã QR hoặc thẻ nhớ microSD thông qua chuẩn PSBT, các ứng dụng của bên thứ ba có thể dễ dàng tích hợp và kết hợp với các thiết bị ký phần cứng.
• Mã QR là phương thức giao tiếp thuận tiện, hoạt động tốt với phần cứng thông thường có thể dễ dàng kết nối với các phụ kiện máy ảnh như Seedsigner hoặc Spectre DIY .
• Mã QR cũng hữu ích khi giao tiếp với các thiết bị hạn chế kết nối USB, chẳng hạn như iPhone.

Điều quan trọng cần lưu ý là mặc dù "PSBT" đôi khi được dùng đồng nghĩa với "airgap", nhưng thực ra nó là một tiêu chuẩn khác để chuyển các giao dịch chưa ký sang một thiết bị khác để ký, không liên quan đến bất kỳ phương thức giao tiếp cụ thể nào. Điều này cho phép khả năng tương tác giữa nhiều thiết bị và ví phần mềm, đây là lý do chính để hỗ trợ việc bản địa hóa PSBT.

Bảo mật "Không liên lạc"

Từ góc độ bảo mật, chúng tôi nhận thấy việc sử dụng airgap chỉ nên được khuyến nghị khi sử dụng thiết bị ký phần cứng trong trường hợp airgap "đầy đủ", không có giao tiếp bên ngoài. Quan trọng là, điều này không đề cập đến "giao tiếp airgap" như thường được sử dụng trong thế giới thiết bị ký phần cứng, mà là không có giao tiếp với các thiết bị không đáng tin cậy, hay "không giao tiếp". Mặc dù điều này là hiển nhiên trên lý thuyết, nhưng "cuộc tấn công đánh cắp đa chữ ký từ xa" được đề cập ở trên là một ví dụ thực tế. Tuy nhiên, "không giao tiếp" không phải lúc nào cũng khả thi: để chuẩn bị và cuối cùng là phát sóng một giao dịch, người ký cần dữ liệu bên ngoài về số lượng coin hiện có và nơi gửi chúng.

Hoạt động không giao tiếp (zero-communication) giúp giảm thiểu bề mặt tấn công cho các hoạt động không yêu cầu thông tin bên ngoài, chẳng hạn như tạo hoặc khôi phục Cụm từ hạt giống ví, tạo địa chỉ nhận, đặt tên ví, bật/tắt cụm mật khẩu tùy chọn, v.v. Tất nhiên, hoạt động không giao tiếp có thể được triển khai trên bất kỳ thiết bị ký phần cứng nào, ngay cả những thiết bị không được quảng cáo là airgap. Ví dụ: khi thiết bị ký phần cứng được kết nối với sạc dự phòng, màn hình của thiết bị có thể hiển thị địa chỉ nhận.

Giao tiếp airgap có thể hạn chế các cuộc tấn công tiềm ẩn đòi hỏi giao tiếp liên tục với thiết bị ký phần cứng, chẳng hạn như các cuộc tấn công liên tục thăm dò thiết bị. Tuy nhiên, thiết bị ký phần cứng rất chuyên biệt và có giao thức giao tiếp nghiêm ngặt, cho phép dừng giữa chừng bất kỳ kết nối nào vi phạm giao thức. Việc triển khai một giao thức giao tiếp nghiêm ngặt khá đơn giản so với các thách thức bảo mật khác, và chúng tôi chưa ghi nhận bất kỳ cuộc tấn công thăm dò nào thành công thuộc loại này.

Sự dễ sử dụng là nền tảng của bảo mật

- Các bước chữ ký giao dịch -

Việc sử dụng thiết bị ký số phần cứng Airgap làm giảm đáng kể tính dễ sử dụng. Việc gửi giao dịch PSBT qua giao tiếp Airgap đòi hỏi nhiều bước, thao tác phím, sự tập trung và thời gian hơn.

- Các bước ký giao dịch ở chế độ Airgap -

Người dùng trở thành một phần của kênh truyền thông, về cơ bản đóng vai trò trung gian, nhưng không có phương pháp hiệu quả để kiểm tra dữ liệu họ đang truyền tải. Điều này làm tăng sự bất tiện trong vận hành mà không mang lại bất kỳ lợi ích bảo mật rõ ràng nào.

Thiết bị AirGap cần được tích tích hợp hầu hết giao diện người dùng vào phần mềm hệ thống. Ngoại trừ những thao tác cơ bản nhất, tất cả đều có thể dễ dàng thực hiện bằng cách sử dụng ứng dụng máy tính để bàn hoặc thiết bị di động bên ngoài được kết nối với thiết bị ký phần cứng.

Đó là lý do tại sao chúng tôi không chỉ sản xuất phần cứng mà còn phát triển BitBoxApp thân thiện với người mới bắt đầu để việc sử dụng BitBox02 trở nên vô cùng đơn giản. Thông qua các quy tắc xác minh giao dịch nghiêm ngặt, giao thức truyền thông USB chặt chẽ và crypto đầu cuối, BitBox02 đảm bảo tính bảo mật của kênh truyền thông đồng thời mang đến trải nghiệm người dùng đơn giản hơn.

Hơn nữa, việc triển khai các giao thức bảo mật hoặc quyền riêng tư quan trọng trong tương lai có thể làm phức tạp thêm trải nghiệm người dùng Airgap. Ví dụ: giao thức " chống trộm cắp ", được thiết kế để ngăn chặn việc rò rỉ private key người dùng và lần đầu tiên được triển khai trong BitBox02, yêu cầu một vòng trao đổi thông tin mới giữa người ký phần cứng và máy tính để ngăn chặn hành vi giả mạo chữ ký giao dịch. Nếu thiết bị Airgap triển khai cơ chế bảo mật này, việc gửi giao dịch sẽ yêu cầu người dùng thực hiện thêm một vòng quét Mã QR thủ công.

kết luận

Vậy, điều này có ý nghĩa gì đối với các quyết định thiết kế của nhà sản xuất thiết bị ký số phần cứng và quyết định mua hàng của người dùng? Theo chúng tôi, việc lựa chọn chế độ giao tiếp phụ thuộc nhiều vào trải nghiệm người dùng và tích hợp ứng dụng hơn là các yếu tố bảo mật, ít nhất là từ góc độ kỹ thuật.

Tất nhiên, nếu một thị trường "cảm thấy" một phương pháp truyền thông nào đó tốt hơn những phương pháp khác, thì việc đáp ứng nhu cầu đó là hợp lý về mặt kinh doanh. Tuy nhiên, mặc dù các tuyên bố tiếp thị chắc chắn sẽ bị phóng đại, nhưng điều này có thể gây hiểu lầm cho người dùng và cuối cùng làm tổn hại đến uy tín của toàn ngành. Do đó, việc giám sát lẫn nhau và đảm bảo tính trung thực của các tuyên bố tiếp thị là vì lợi ích tốt nhất của tất cả mọi người.

Người ta thường nói "sự phức tạp là kẻ thù của bảo mật". Nói cách khác, việc đơn giản hóa trải nghiệm người dùng càng nhiều càng tốt vốn dĩ là một lợi thế về bảo mật vì nó giảm thiểu khả năng xảy ra lỗi của người dùng. Khi thiết kế BitBox02 hai năm trước, chúng tôi cho rằng một cổng USB có thể cắm trực tiếp vào máy tính và điện thoại mới sẽ mang lại trải nghiệm người dùng tốt nhất mà không ảnh hưởng đến bảo mật. Nghiên cứu của chúng tôi về giao tiếp airgap trong bài viết này chứng minh rằng quyết định của chúng tôi đã vượt qua thử thách của thời gian.

Một câu nói phổ biến khác là "có sự đánh đổi giữa bảo mật và dễ sử dụng". Tuy nhiên, chúng tôi cho rằng đây là một sự phân đôi sai lầm, và mục đích của chữ ký phần cứng là đơn giản hóa bảo mật. Mô hình bảo mật tiên tiến của chúng tôi được các chuyên gia đánh giá cao, cho phép người dùng không phải lo lắng về việc tài sản bị đánh cắp. Cách chúng tôi thiết kế BitBox02 và BitBoxApp là để ẩn đi sự phức tạp đằng sau hậu trường và giúp người dùng vận hành dễ dàng hơn. Chúng tôi cung cấp các tùy chọn tính năng nâng cao , có thể ban đầu đại đa số người dùng không cần đến, nhưng giá trị của chúng sẽ dần trở nên rõ ràng khi bạn bắt đầu hành trình hướng tới sự độc lập tài chính. Ví dụ: kết nối trực tiếp với full nút Bitcoin của riêng bạn, sử dụng mạng Tor để bảo vệ quyền riêng tư tốt hơn, kiểm soát tiền điện tử, v.v.

Bài viết này thách thức quan điểm thông thường trong ngành, và chúng tôi hiểu rằng nó có thể gây tranh cãi. Chúng tôi rất cởi mở với những ý kiến ​​khác nhau và sẽ tiếp tục tìm hiểu chủ đề này trong tương lai. Chúng tôi rất mong nhận được ý kiến ​​của bạn .

Những câu hỏi thường gặp

Airgap có nghĩa là gì trong bối cảnh của một thiết bị ký phần cứng?

Airgap là một biện pháp bảo mật giúp cô lập vật lý thiết bị khỏi các mạng không đáng tin cậy, chẳng hạn như internet. Trong ví tiền điện tử, điều này có nghĩa là không có kết nối trực tiếp nào giữa thiết bị ký và máy tính được kết nối internet; giao tiếp thường diễn ra thông qua Mã QR hoặc thẻ SD.

Airgap có thể giúp người ký phần cứng an toàn hơn không?

Mặc dù airgap có thể mang lại một số lợi thế về bảo mật, nhưng bài báo này kết luận rằng giao tiếp airgap chỉ mang lại những cải tiến bảo mật tối thiểu cho người ký phần cứng và thậm chí có thể làm giảm trải nghiệm của người dùng.

Airgap có thể ngăn chặn mọi lỗ hổng không?

Không, nhiều lỗ hổng khai thác lớp logic ký phần cứng, khiến thiết bị không thể xác minh hoặc phân tích chính xác chi tiết giao dịch. Những lỗ hổng này có thể tồn tại bất kể thiết bị có được bật airgap hay không.

Sử dụng airgap có lợi ích gì không?

Airgap có những lợi ích riêng về mặt trải nghiệm người dùng và tích hợp ứng dụng. Ví dụ, việc sử dụng Mã QR để tương tác với các thiết bị được trang bị phụ kiện camera rất tiện lợi, trong khi tiêu chuẩn PSBT cho phép tương tác giữa nhiều thiết bị và ví phần mềm.

Những điểm chính về airgap và thiết bị ký phần cứng là gì?

Việc lựa chọn phương thức giao tiếp cho thiết bị ký phần cứng phụ thuộc nhiều vào trải nghiệm người dùng và tích hợp ứng dụng hơn là bảo mật. Điều quan trọng là đảm bảo phương thức được chọn không làm giảm tính bảo mật mà vẫn mang lại trải nghiệm người dùng tốt.