Breez SDK запускает вход через Passkey для безсемянных биткойн-кошельков

Breez, поставщик услуг Lightning и лаборатория программного обеспечения Bitcoin, внедрила вход с помощью Passkey в свой SDK Breez. Эта функция позволяет разработчикам создавать самоуправляемые кошельки, использующие passkeys для аутентификации и вывода ключей, исключая необходимость использования традиционной фразы восстановления при обычном использовании.

Поддержка фразы восстановления остается доступной для пользователей, предпочитающих её, обеспечивая обратную совместимость с отраслевыми стандартами, но устраняя «препятствие» в Bitcoin-кошельках, которое побуждает пользователей делать резервную копию своих 12 слов.

Breez объяснила мотивацию этой новой функции в пресс-релизе, распространённом для Bitcoin Magazine: «Фраза восстановления с самого начала была барьером для самоуправления. Именно она отпугивает обычных пользователей от хранения своих биткоинов, и это вполне обоснованная причина, почему люди принимают контрагентский риск обменников и кастодиальных приложений». Также добавлено, что «Passkey Login не устраняет компромиссы самоуправления, но переосмысливает их, основываясь на том, что люди уже понимают и используют — биометрическую аутентификацию, которая защищает их банковские приложения и менеджеры паролей. Для большинства пользователей это гораздо более интуитивная модель безопасности, чем хранение бумажки в ящике».

Passkeys: ключевые пары для каждого сайта в современном оборудовании

Passkeys — относительно новый стандарт безопасности, который набирает широкое распространение в интернете — основан на криптографических данных, основанных на стандарте FIDO2 WebAuthn, совместно продвигаемом Apple, Google, Microsoft и FIDO Alliance с 2022 года. Каждый passkey состоит из уникальной пары публичного и приватного ключей, созданных для конкретного сайта или приложения.

Приватный ключ хранится в защищённом элементе или аналогичном оборудовании на устройстве пользователя, например, в Secure Enclave Apple, чипе Titan Android, TPM Windows, внешних ключах безопасности вроде YubiKey или менеджере паролей.

Обычные онлайн Passkeys напоминают оригинальный файл Bitcoin wallet.dat, представленный Сатоши Накамото в ранних версиях клиента Bitcoin, где приватные ключи хранятся локально на устройстве пользователя, а публичные — передаются третьим лицам.

Однако стандарт FIDO2 реализует эту концепцию приватных и публичных ключей более стандартизированным и современным способом. Веб-сайты отправляют пользователю вызов, ссылаясь на известный публичный ключ пользователя для этого аккаунта. Сообщение вызова подписывается приватным ключом пользователя, подтверждая его личность в режиме конфиденциальности. Каждый сервис получает разные публичные ключи для одного и того же пользователя, что предотвращает утечку данных, если компрометируется один сайт, и не содержит данных, идентифицирующих пользователя.

FIDO2 уже широко распространён, использует защищённые элементы устройств, интегрируется с менеджерами паролей (например, iCloud Keychain, Google Password Manager), браузерами и API WebAuthn консорциума W3C. Аутентификация происходит через вызов-ответ с подписью, при этом приватный ключ привязан к домену для защиты от фишинга.

Passkeys поддерживают биометрическую разблокировку (Face ID, отпечаток пальца, PIN) и синхронизацию между устройствами внутри экосистемы (например, через iCloud или Google) — по состоянию на середину 2025 года FIDO Alliance сообщил о более чем миллиарде активных устройств, поддерживающих стандарт, на основных платформах и на многих популярных сайтах.

FIDO2 недостаточно было для Bitcoin-кошельков

Стандартные passkeys отлично подходят для аутентификации (подтверждения личности сервису), но не обеспечивали необходимую функциональность для современной индустрии Bitcoin.

Самоуправление Bitcoin обычно основывается на единственном источнике энтропии (фразе восстановления), которая генерирует все адреса и ключи детерминированным способом по стандартам вроде BIP-39. Пользователи ожидают, что этих 12 слов будет достаточно для восстановления всех балансов и аккаунтов в Bitcoin-кошельке. Стандарт Passkey требовалось расширить для поддержки этого сценария.

Решение Breez: использование расширения PRF

Breez решает эту задачу, используя расширение Pseudo-Random Function (PRF) в WebAuthn Level 3. PRF позволяет passkey генерировать детерминированный криптографический вывод для любого входного значения при аутентификации.

Как указано в материалах Breez, «Это то, что решает расширение PRF в WebAuthn, и это ключевой компонент Passkey Login. PRF — это новая возможность, часть спецификации WebAuthn Level 3, которая позволяет вашему passkey производить детерминированный криптографический вывод для любого входа. Один и тот же passkey, один и тот же вход, один и тот же вывод. Всегда. Passkey никогда не покидает защищённую область вашего устройства».

Потеря устройства и восстановление

Если устройство потеряно, восстановление зависит от используемой платформы для хранения passkey. Синхронизированные passkeys — через iCloud Keychain, Google Password Manager и др. — восстанавливаются на новом устройстве после получения доступа к связанному аккаунту.

Breez предоставляет опциональный обратный совместимый вариант: пользователи могут экспортировать обычную 12-словную мнемоническую фразу BIP-39 для своего кошелька, чтобы восстановить аккаунт в других Bitcoin-кошельках, следуя отраслевым стандартам. В пресс-релизе добавлено, что «Passkeys пока не полностью совместимы между платформами. Если вам потребуется перейти на платформу или кошелек, который не поддерживает passkeys, у вас есть стандартная фраза восстановления».

Полная техническая спецификация Passkey Login публична, и демонстрационное приложение Glow уже реализует эту функцию. Breez позиционирует это как шаг к более доступному самоуправлению Bitcoin, согласованному с привычной биометрической аутентификацией, используемой в банковских приложениях и менеджерах паролей, при сохранении неконтролируемого управления. Разработчики, интегрирующие SDK Breez, теперь могут предлагать onboarding без традиционного шага «запишите эти слова», в поддерживаемых средах.

Полная техническая спецификация Passkey Login публична, и наш пример-приложение Glow уже реализует её, и теперь она доступна для всех разработчиков SDK Breez.