Ledger 101 – Parte 2: Por que as carteiras de hardware são seguras?

Na edição anterior da série Ledger 101, vimos a necessidade de usar uma carteira de hardware para gerenciar seus ativos de criptografia.

Mas nem todas as carteiras de hardware nascem iguais.

Da mesma forma que você não construiria um cofre com lego, você não criaria uma carteira de hardware segura usando os componentes da sua máquina de café.

A Ledger construiu todos os seus dispositivos em torno de chips especializados chamados Secure Elements e projetou um sistema operacional seguro (BOLOS) projetado para alavancar seus recursos exclusivos de segurança.

O que é um elemento seguro?

Para construir um dispositivo eletrônico relativamente complexo, como uma carteira de hardware, você precisa de um microcontrolador. É basicamente a mesma coisa que o processador no seu computador ou smartphone, mas em uma escala muito menor.

Existem dois tipos de microcontroladores:

  • o “normal” usado no micro-ondas, no drone amador ou no controle remoto da TV. É chamado de uma unidade MicroController ou MCU em suma.
  • o “seguro” usado em cartões de pagamento, cartões SIM ou passaportes. É chamado de Elemento Seguro ou SE.

Como você pode ver, o Secure Elements é usado principalmente em ambientes de missão crítica onde ativos importantes, como dinheiro ou identidade, estão em risco.

As origens

Desde o início da era da tecnologia da informação, a segurança tem sido um jogo de gato e rato entre proponentes de novos sistemas e hackers que querem perturbá-los. Com o advento das redes de pagamento ou de telecomunicações, o escopo de segurança evoluiu de mainframes altamente protegidos para endpoints amplamente distribuídos , como o cartão SIM de seu telefone, decodificadores ou sistemas eletrônicos de cobrança de pedágio.

Esforços maciços foram feitos para garantir esses endpoints, certificando-se de que eles não poderiam ser falsificados de qualquer forma. O exemplo mais famoso é o “cartão inteligente”, introduzido na Europa nos anos 80 (os EUA teriam que esperar quase 40 anos) e hoje são usados ​​para proteger redes de pagamento em todo o mundo. Os cartões inteligentes são projetados para garantir o mais alto nível de segurança no pior cenário de ataque em que o invasor tem acesso físico ao dispositivo .

Para escalar globalmente, esses cartões de pagamento precisam ser extremamente seguros. Então, como exatamente eles diferem de um cartão eletrônico “normal”? A resposta é simples: eles são construídos em torno de um Elemento Seguro , aproveitando seus recursos de segurança exclusivos.

 
Vista dos cartões eletrônicos Ledger Nano S (PCB), incorporando um elemento seguro

Segurança de hardware

Um elemento seguro é um microcontrolador reforçado com poucas interfaces para o mundo externo, reduzindo a superfície de ataque ao mínimo. Como visto anteriormente, a integridade desses sistemas é crítica, e a engenharia específica deve ser aplicada ao sistema para torná-lo resistente a violações. A SE, portanto, incorpora fortes proteções físicas para mitigar ataques de hardware complexos, como análise de canal lateral ou injeção de falha.

Um microcontrolador normal pode ser comparado a um conjunto de tijolos lego: prático de construir, mas trivial para desmontar ou fazer engenharia reversa. Os Elementos Seguros são, ao contrário, muito mais complexos em seu design com memória criptografada e reforço físico que impede a extração não autorizada de informações.

Em outras palavras, o Elemento Seguro é para o microcontrolador o que um tanque é para um carro.

Chip certificado

Um elemento seguro é projetado especificamente para segurança, mas essa segurança não é uma propriedade autoproclamada. Em vez disso, um elemento seguro passa por um processo de certificação rigoroso (por exemplo, Common Criteria EAL5 +) durante o qual sua segurança é amplamente avaliada por terceiros.

Para ser certificado, o chip deve resistir a um invasor com um alto potencial que esteja usando técnicas de última geração. Além disso, o ciclo de produção do chip também deve ser rigidamente controlado. Desde o desenvolvimento até a fabricação, os processos e instalações devem ser auditados por terceiros. Em particular, um mecanismo criptográfico é implementado para garantir que somente o fabricante possa carregar o código no chip. Esse processo de ciclo de produção deve evitar ataques da cadeia de suprimentos nos quais um software mal-intencionado é carregado no chip ou o circuito de hardware é alterado para criar um backdoor.

Esse processo rigoroso de certificação é primordial para que os estados se certifiquem de que os passaportes de seus cidadãos não sejam backdoored, que os bancos garantam que os cartões bancários de seus clientes estão seguros e que Ledger garante que os ativos de seus clientes estejam garantidos.

Isolamento de chaves privadas

As carteiras de hardware usam chaves públicas e privadas para gerenciar ativos de criptografia. Os ativos de criptografia são depositados no endereço público, cujo proprietário pode gastá-los com a chave privada exclusiva.

As carteiras de hardware foram projetadas para impossibilitar o acesso às chaves privadas que protegem, porque elas nunca saem do dispositivo. Isso é chamado de princípio do isolamento , também conhecido como armazenamento a frio . As chaves privadas nunca são “quentes” ou on-line, o que significa que nunca podem ser expostas à Internet nem ao computador ao qual estão conectadas.

Para garantir o mais alto nível de isolamento, o Ledger Nano S está usando um Secure Element. O SE armazena as chaves privadas e tem uma capacidade limitada de interagir com o resto do dispositivo. O SE também é capaz de verificar a integridade do dispositivo, certificando-se de que ele não foi adulterado e de fato pode ser confiável.

Como seu hardware é sua última linha de defesa, você agora entende a importância de usar um tanque em vez de um carro ao ir para a batalha.

 
O moderno tanque de criptografia

O sistema operacional

Qualquer microcontrolador requer um sistema operacional (SO) para gerenciar seu ambiente de processamento. Elementos seguros não são uma exceção a isso. No entanto, a maioria dos sistemas operacionais do Secure Elements é bastante antiga e não tem a flexibilidade e a abertura necessárias para lidar com muitos aplicativos modernos de criptomoeda.

Na Ledger, combinamos um elemento seguro com nosso sistema operacional personalizado  -  o sistema operacional Blockchain Open Ledger (BOLOS)  - tornando-o o único dispositivo de proteção contra ativos de criptografia a ter não apenas um elemento seguro, mas também seu próprio sistema operacional personalizado. O BOLOS facilita o desenvolvimento de aplicativos e permite que um maior número de ativos de criptografia sejam suportados pela carteira de hardware.

O BOLOS também pode ser visto como uma plataforma. Ele permite que desenvolvedores de terceiros criem e publiquem facilmente aplicativos de criptomoeda sem baixar o modelo de segurança da carteira de hardware.

Na verdade, mais da metade das moedas compatíveis com os dispositivos da Ledger foram desenvolvidas por terceiros e estamos orgulhosos e orgulhosos de ter uma comunidade de desenvolvedores tão ativa. É claro que cada aplicativo passa por testes rigorosos, mas o BOLOS também é projetado para isolar totalmente cada aplicativo dos outros, aproveitando os recursos de hardware do SE e só pode acessar as chaves privadas da criptomoeda que deve gerenciar.

O caminho para a certificação

Uma pergunta justa poderia ser: como eu sei que a carteira de hardware realmente faz o que diz que faz? De um modo geral, este interrogatório se aplica a qualquer modelo de segurança.

Uma resposta poderia ser que você poderia ler todo o código fonte, analisá-lo, compilá-lo, montar a carteira de hardware e verificar tudo ao seu lado. Embora esta seja, em princípio, uma boa abordagem, não é realmente prática e certamente não é compatível com um produto de mercado de massa.

Nós não baseamos nossa segurança na obscuridade. Mas, para ser justo, continua a ser mais difícil para um atacante atacar um sistema de caixa preta do qual o funcionamento interno é desconhecido do que uma caixa branca, da qual tudo é conhecido.

Ledger construiu toda a sua tecnologia com o objetivo de obter certificação em diferentes níveis por um conjunto de auditores de terceiros, laboratórios e autoridades de certificação.

Nosso objetivo é certificar os aspectos críticos do BOLOS (ou seja, mecanismos de isolamento, importantes funções criptográficas, etc) e provar a integridade da arquitetura graças à raiz da confiança do Elemento de Segurança, um tipo de chave privada mestre. Começamos a perseguir ativamente esse objetivo e atualmente estamos passando por uma série de testes de certificação, que esperamos compartilhar com você nos próximos meses.

Em outras palavras, a Ledger pretende obter um selo de aprovação em seu software interno, provando que o código em execução no dispositivo é realmente o certificado.

 
Escritório da Ledger, área principal

E se Ledger estivesse comprometido?

Outra questão justa está relacionada ao processo interno do Ledger. O que poderia acontecer se os executivos de Ledger fossem feitos reféns? E quanto aos agentes internos desonestos?

Como você já deve ter entendido, as chaves privadas são armazenadas com segurança em carteiras de hardware e não são centralizadas nem controladas pela Ledger. Portanto, não há risco sistêmico de usar uma carteira de hardware.

Qualquer atualização de firmware deve ser assinada pela raiz de confiança do razão. A segurança é gerenciada por meio de uma governança distribuída(também chamada de assinatura múltipla), atenuando qualquer risco de situações de reféns. Iremos mais adiante nesses aspectos em um post futuro, detalhando as medidas que Ledger tomou para resistir a tentativas de intimidação ou sabotagem.

Os cínicos também podem se perguntar o que está impedindo o Ledger de lançar uma atualização de firmware desonesto. A resposta é bastante trivial: basta pensar sobre o que temos a ganhar versus o que temos a perder … Um ataque interno patrocinado não só seria rapidamente detectado e óbvio, mas os lucros seriam muito menores do que o patrimônio futuro de Ledger vale. no mercado.

Agora você entende por que as carteiras de hardware são a maneira recomendada de manter seus ativos de criptografia seguros e por que o Ledger Nano S é o mais popular do mundo.

No entanto, ao usar uma carteira de hardware, é igualmente importante observar as práticas recomendadas de segurança. Como proteger melhor seu backup? Como ter certeza de que você está realmente enviando seus recursos para o endereço correto? Como verificar seu endereço de recebimento?

Na próxima edição da série Ledger 101, vou orientá-lo em todas as etapas importantes e críticas ao usar sua carteira de hardware.

Por:

Eric Larcheveque

Ledger, CEO

 

Publicado originalmente em: https://medium.com/ledger-on-security-and-blockchain/ledger-101-part-2-why-hardware-wallets-are-secure-9e9982c144ab

Elementor PROWP RocketCrocoblockCheckout Woocommerce