Por Lucien Bourdon, Analista de Bitcoin na Trezor
Uma carteira de hardware é uma ferramenta padrão para garantir a segurança de criptomoedas, e a maioria depende de um chip dedicado conhecido como Elemento Seguro; o mesmo tipo usado em cartões de crédito e passaportes.
Mas aqui está o que mais importa: como uma carteira usa este chip. Esta escolha define em última análise em quem você é solicitado a confiar, e divide a indústria em duas filosofias fundamentalmente diferentes.
Por que o hardware ‘Confiável’ Não Pode Ser Confiável
Um Elemento Seguro padrão opera com base no princípio do segredo. Os fabricantes protegem o funcionamento interno do seu chip com acordos de confidencialidade (NDAs).
Isto torna impossível uma revisão de segurança independente. Usuários e fabricantes devem confiar na palavra do fabricante. Pesquisadores e fabricantes de carteiras de hardware não podem testar livremente ou discutir publicamente o que descobrem. Mesmo que uma falha crítica seja descoberta, o NDA pode legalmente impedir sua divulgação, deixando os usuários no escuro.
Aprendemos isso da maneira difícil. Anos atrás, a Trezor avaliou um Elemento Seguro líder sob NDA para um protótipo. Nossos testes revelaram problemas que não podíamos discutir publicamente, pois o NDA impedia a transparência.
Essa experiência esclareceu nosso caminho. Decidimos que não queríamos que suas chaves privadas dependessem de hardware fechado e não audível. Em vez de procurar um chip para confiar completamente, construímos uma arquitetura onde o Elemento Seguro nunca mantém suas chaves. Mesmo quando posteriormente desenvolvemos nosso próprio Elemento Seguro totalmente audível (TROPIC01), mantivemos esse design. Não pedimos que você confie em nós. Nem mesmo confiamos em nós mesmos. A arquitetura é sem confiança por padrão.
Dois Designs, Uma Diferença Crítica
É aqui que os designs de carteiras de hardware divergem. Todos usam um Elemento Seguro para proteção, mas onde suas chaves privadas são armazenadas muda tudo.
Design 1: O Chip Mantém Suas Chaves
Aqui, suas chaves privadas vivem dentro do Elemento Seguro. Ele gera, armazena e usa-as num ambiente fechado e certificado.
- A Lógica: Contém todas as operações sensíveis numa caixa à prova de violação.
- No que Confia: Na reputação do fabricante do chip, no seu código interno secreto e na esperança de que as suas certificações correspondam às ameaças do mundo real.
- A Realidade: Você tem uma proteção física forte, mas deve aceitar que os processos mais críticos são invisíveis e não audíveis.
Design 2: O Chip Desbloqueia Suas Chaves
Aqui, suas chaves privadas estão encriptadas no processador principal. Sem a chave de descriptografia, esses dados encriptados são completamente inúteis para um atacante. O Elemento Seguro mantém apenas essa chave de descriptografia, protegida pelo seu PIN. Ele nunca vê suas chaves privadas reais.
Suas chaves estão protegidas por encriptação inquebrável; a mesma força criptográfica que garante a segurança do Bitcoin e de outras redes de criptomoedas. Todo o sistema funciona com firmware de código aberto que qualquer pessoa pode auditar.
- A Lógica: Encriptação forte e verificável supera segredos escondidos. Com código audível, pode provar como suas chaves estão protegidas. Com hardware fechado, só pode acreditar nas afirmações.
- No que Confia: Na criptografia e no código público. O Elemento Seguro apenas lida com controlo de acesso, como verificação de PIN.
- A Realidade: Transparência total. O chip fornece proteção de hardware sem se tornar num ponto de confiança não verificável.
Por que Construímos para a Transparência
A Trezor baseia-se no segundo modelo de design. Suas chaves privadas permanecem encriptadas fora do Elemento Seguro, protegidas por encriptação e por um sistema operativo que qualquer pessoa pode auditar.
Isto alinha-se com o nosso princípio fundador: a verdadeira segurança exige transparência, não obscuridade. Você não deveria precisar confiar em nós; deveria poder verificar como sua carteira funciona.
Este compromisso com a verificação orienta toda a nossa abordagem. Acreditamos que você deve ter segurança de hardware sem compromissos, por isso defendemos e desenvolvemos ferramentas de segurança de código aberto onde cada camada de proteção pode ser examinada.
A Conclusão
Um Elemento Seguro não é uma garantia de segurança por si só. É um componente cujo valor depende inteiramente de como é implementado.
A decisão decisiva é se suas chaves privadas dependem de código ou hardware que você não pode auditar.
_________________________________________________________________________
Bitcoin.com não aceita responsabilidade ou responsabilidade, e não será responsável, direta ou indiretamente, por qualquer perda, dano, reclamação, custo ou despesa de qualquer tipo, seja real, alegada ou consequente, decorrente do uso ou dependência de qualquer conteúdo, bens ou serviços referenciados neste artigo. Qualquer confiança colocada nessas informações é estritamente por conta do leitor.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
