Újabb technikai részletek derültek ki a Block hardvertárca fejlesztéséről

Korábban mi is beszámoltunk a Block (régi nevén Square) bitcoin hardvertárca projektjéről. Abban a cikkben azt írtuk:
A Block/ Square csapat levelezőlistája szerint “célunk, hogy az egyszerű öngondoskodást a globális közösség számára elérhetővé tegyük”. Egyszerű szavak egy rendkívül ambiciózus célhoz.

Most nemrégen kiderült, hogy a Block hardvertárcájában az ujjlenyomat-érzékelő lesz a választott hitelesítési eljárás. A vállalat a márciusi hírlevelében új részleteket fedett fel, és ezek közül néhányat nem fogadott jól a közösség. Az ujjlenyomat-érzékelő mellett a képernyő hiánya is aggasztotta a hozzászólókat.

Mit tudunk az ujjlenyomat-érzékelőről?

A vállalat érvelése szilárdan hangzik: “azt akarjuk, hogy ügyfeleink biztonságosan, de könnyen feloldhassák a tárcájukat. Úgy véljük, hogy a PIN-kódok, jelszavak és a seed-frázisok zavaróak és gyakran nem biztonságosak. Tekintve, hogy az átlagfelhasználóknak ez túl sok bosszúságot és nehézséget okoz. Tovább bonyolódik a helyzet, ha ezekre a jelszavakra ritkábban van szükségük, és akkor elfelejtik azt.”

Oké, ez eddig jól hangzik. De aztán jön a meglepetés.

A zökkenőmentes hitelesítés gyakorlati megvalósítása érdekében tervezzük, hogy ujjlenyomat-érzékelőt építünk be a tárca hardverébe. Azonban minden hitelesítési eljárás kompromisszumokkal jár. Mindent megteszünk a lopás vagy visszaélés elleni biztonság növelése miatt. Ez azt jelenti, hogy nem kell majd megjegyezni egy újabb PIN-kódot. Ez könnyebbséget jelent, hogy az ujjunkat csak az érzékelőre helyezzük, ahelyett, hogy egy nehezen olvasható képernyőn lévő apró, meghibásodásra hajlamos gombokat nyomkodnánk.

Muszáj volt teljesen kidobni a képernyőt? Azok ugyanis fontos szerepet töltenek be a bitcoin hardvertárcákban, de erre még visszatérünk. Egyelőre koncentráljunk az ujjlenyomat-érzékelőre. Ez egy biztonságos, bevált hitelesítési módszernek számít? Nincsenek komoly ismert hátrányai a biometrikus hitelesítésnek?

Érzékeny adatok és egyéb hozzáférési módszerek

Mi a helyzet a személyes adatok védelmével, amelyet az ujjlenyomat-adatbázis létrehoz? Nos, szerencsére emiatt nem kell aggódnunk, mert az adatok soha nem hagyják el a készüléket:

“A termék fejlesztése során további hozzáférési módszereket is fogunk értékelni, amelyeket az ügyfelek választhatnak,” magyarázta a termékfejlesztési csapat. Azt állítják, hogy az ujjlenyomat-érzékelő adatai soha nem fogják elhagyni a hardveres eszközt. Megjegyzik, hogy nem kell hinni a szavuknak, inkább hallgassunk a független közösségre, akiknek lesz majd lehetőségük megvizsgálni és ellenőrizni a forráskódukat.

Az a kijelentés, hogy további hozzáférési módszereket is vizsgálnak, szintén jó jel. És ne feledjük, ennek a bizonyos projektnek az a legfőbb jellemzője, hogy megfogadják a közösségük tanácsait. És amikor felfedték az ujjlenyomat-érzékelőt, bizonyára sok tanács és vélemény érkezett.

Az ujjlenyomat-érzékelő ismert hátrányai

Az IFSEC Global biztonsági cég szakértői a biometrikus hitelesítés négy óriási gyengeségét azonosították:

  • A biometrikus hitelesítési adatokat nem lehet távolról érvényteleníteni, ha valami rosszul sül el.
  • A népszerű okoseszközöket megtévesztő “MasterPrints” átverés.
  • A biometrikus adatok megváltoztathatatlanok – ez azt jelenti, hogy ha egy másik személy megszerzi a saját biometrikus adataink másolatát, akkor azt nem lehet megváltoztatni.
  • Szoftverhibák.

Három ismert feltörési lehetőségre is rámutattak:

  • Hamis ujjlenyomat készítése.
  • Íriszszkenner manipulálása.
  • Az eszköz kompromittálása és a biometrikus adatok kinyerése.

Milyen további részleteket árult el Block a hardvertárcáról?

  • “Úgy döntöttünk, hogy újratölthető lítium-polimer akkumulátort és USB-C portot használunk az eszköz energiaellátásához.”
  • “A mobilalkalmazásra, mint elsődleges interfészre való fókusz egy könnyebben hozzáférhető, biztonságosabb és olcsóbb tárcát biztosít.”
  • “Azt tervezzük, hogy a hardvert kijelző nélkül készítjük el.”

A képernyő hiányát a Twitteren is rögtön hevesen kritizálták. Az emberek úgy érzik, hogy a tranzakció részleteinek kétszeres ellenőrzésére szolgáló mód elengedhetetlen a végső elszámolási műveletekhez. Talán rájöttek valamire? Vagy a Block megközelítése a helyes? Az átlagember kétszeresen is ellenőrizni fogja a tranzakció részleteit? A következő hetekben kiderül mi lesz a helyes megoldás.