硬件冷錢(qián)包是當(dāng)前市場(chǎng)主流,但軟件冷錢(qián)包更經(jīng)濟(jì)靈活、去信任程度更高。
原文標(biāo)題:《硬件冷錢(qián)包向左,軟件冷錢(qián)包向右》
撰文:談國(guó)鵬,Ownbit 創(chuàng)始人
這兩天硬件冷錢(qián)包廠商 Ledger 的用戶(hù)數(shù)據(jù)泄漏事件鬧的沸沸揚(yáng)揚(yáng)。我看了一下泄漏數(shù)據(jù),我的名字和信息也赫然在列!很顯然,數(shù)據(jù)泄漏對(duì)用戶(hù)造成了利益侵害,然而我覺(jué)得更加值得探討是硬件錢(qián)包方向的問(wèn)題。
之前,我也使用 Ledger。后來(lái),因?yàn)榭吹接布溴X(qián)包的種種缺點(diǎn),以及軟件冷錢(qián)包的興起,才毅然決定做 Ownbit 軟件冷錢(qián)包。
不同于硬件冷錢(qián)包,軟件冷錢(qián)包使用純軟件的方式實(shí)現(xiàn)冷錢(qián)包功能。用戶(hù)需要使用兩部手機(jī),其中一部永久離線(xiàn),作為冷錢(qián)包存儲(chǔ)私鑰(助記詞)。另一部聯(lián)網(wǎng),作為觀察錢(qián)包使用。
軟件冷錢(qián)包和硬件冷錢(qián)包實(shí)現(xiàn)同樣的功能,安全級(jí)別類(lèi)似。但是它們有一些顯著的區(qū)別:
軟件冷錢(qián)包可以使用閑置手機(jī),沒(méi)有額外的硬件;硬件冷錢(qián)包通過(guò)數(shù)據(jù)線(xiàn)或藍(lán)牙傳輸數(shù)據(jù),而軟件冷錢(qián)包通過(guò)掃描二維碼;軟件冷錢(qián)包可以實(shí)現(xiàn)更徹底的去信任(即不需要信任軟件開(kāi)發(fā)者),用戶(hù)可以自行證明其錢(qián)包的絕對(duì)安全性。
在資產(chǎn)安全中,首當(dāng)其沖的是助記詞的安全。而在助記詞的安全中,首要確認(rèn)是助記詞生成的隨機(jī)性。如果您使用了一個(gè)作惡的硬件廠商(或者有 bug)的硬件錢(qián)包,您可能在第一步就已經(jīng)陷落了。因?yàn)槟玫降闹浽~可能不是隨機(jī)的,是預(yù)先生成的,或者是假隨機(jī)的。
硬件冷錢(qián)包無(wú)法向用戶(hù)證明在這點(diǎn)上它們是安全的。我們繼續(xù)使用硬件錢(qián)包是基于對(duì)該硬件廠商的信任,而這點(diǎn)在數(shù)字貨幣的世界里是脆弱的。軟件冷錢(qián)包卻能給出證明。
在使用軟件冷錢(qián)包時(shí),你可選擇信任軟件,讓其幫助您生成助記詞。也可以選擇不信任軟件,自行在它處生成助記詞。然后通過(guò)離線(xiàn)導(dǎo)入的方式生成冷錢(qián)包。因?yàn)槔溴X(qián)包的設(shè)備是永久離線(xiàn),不存在向互聯(lián)網(wǎng)傳輸數(shù)據(jù)的可能(唯一的交互是通過(guò)二維碼掃描和觀察錢(qián)包之間進(jìn)行明文傳輸,可審查),所以助記詞的安全性得到了絕對(duì)的保障。
因此,軟件冷錢(qián)包的助記詞的安全性高于硬件冷錢(qián)包。
硬件冷錢(qián)包和軟件冷錢(qián)包在數(shù)據(jù)傳輸上的方式差別也非常大。一般而言,硬件錢(qián)包通過(guò)藍(lán)牙與手機(jī)軟件相連接。而軟件冷錢(qián)包則是通過(guò)二維碼掃描進(jìn)行數(shù)據(jù)傳輸。
藍(lán)牙傳輸方案的優(yōu)點(diǎn)是:數(shù)據(jù)量大小不受限制。而這正是二維碼傳輸?shù)娜秉c(diǎn)。因?yàn)橐粡埗S碼所能包含的信息有限,對(duì)于有較大數(shù)據(jù)傳輸?shù)膱?chǎng)景,該缺點(diǎn)顯得尤為突出。例如:較大的比特幣交易(UTXO 數(shù)量龐大)。
藍(lán)牙傳輸方案的缺點(diǎn)是:安全性低于二維碼傳輸。其安全性弱主要來(lái)自于兩個(gè)方面。一方面是不同的藍(lán)牙協(xié)議版本可能存在已知或未知的 bug,在特定場(chǎng)景下,可能存在安全隱患。另一點(diǎn)是,藍(lán)牙傳輸方案留下了被其他設(shè)備干擾攻擊的可能。在短距離范圍內(nèi)(10 米內(nèi)),通過(guò)其他藍(lán)牙設(shè)備進(jìn)行針對(duì)性的干擾或攻擊。而這點(diǎn)在二維碼傳輸?shù)姆桨咐铮峭耆淮嬖诘摹?/p>
藍(lán)牙傳輸?shù)牧硪粋€(gè)弱點(diǎn)是:可審計(jì)性差。而這點(diǎn)也是二維碼傳輸?shù)囊粋€(gè)巨大優(yōu)勢(shì)。用戶(hù)可以明文查看所有通過(guò)二維碼傳輸?shù)膬?nèi)容,以確認(rèn)任何傳輸?shù)男畔⒍际前踩摹_@點(diǎn)可以讓軟件冷錢(qián)包方案提供商實(shí)現(xiàn)去信任,即用戶(hù)可以在數(shù)據(jù)傳輸層面確保其私鑰(助記詞)不受泄漏,而不用去信任該方案的提供商或開(kāi)發(fā)人員、甚至不用擔(dān)心軟件本身可能存在的 bug。
軟件冷錢(qián)包可以使用閑置的手機(jī)作為冷錢(qián)包存儲(chǔ),而無(wú)需購(gòu)買(mǎi)額外的硬件。因此更加經(jīng)濟(jì)。
更重要的是,軟件冷錢(qián)包比硬件冷錢(qián)包更加靈活。通常軟件冷錢(qián)包可以實(shí)現(xiàn)比硬件冷錢(qián)包更加復(fù)雜的功能,例如:多簽冷錢(qián)包。
軟件冷錢(qián)包的靈活性,也讓其在資產(chǎn)的恢復(fù)方面也更加有優(yōu)勢(shì)。如果您的硬件錢(qián)包損壞,需要購(gòu)買(mǎi)(同一廠商)的硬件,進(jìn)行硬件恢復(fù)。而使用軟件冷錢(qián)包,則沒(méi)有這樣的顧慮。
軟件冷錢(qián)包比硬件冷錢(qián)包更加開(kāi)放。通過(guò)二維碼傳輸數(shù)據(jù)的方式,可以在更廣泛的范圍內(nèi)定義標(biāo)準(zhǔn),實(shí)現(xiàn)不同軟件冷錢(qián)包廠商之間的互聯(lián)互通。而通過(guò)數(shù)據(jù)線(xiàn)或藍(lán)牙傳輸?shù)姆绞絽s無(wú)法實(shí)現(xiàn)這一點(diǎn)。
目前市場(chǎng)上,雖然主要的冷錢(qián)包產(chǎn)品依然是以硬件冷錢(qián)包為主,但是它們正在受到軟件冷錢(qián)包的沖擊。
硬件冷錢(qián)包:
Ledger 是最知名的硬件冷錢(qián)包方案提供商; Trezor 是另一個(gè)知名的硬件冷錢(qián)包提供商;軟件冷錢(qián)包:
Ownbit 是最早實(shí)現(xiàn)軟件冷錢(qián)包方案的錢(qián)包,也是支持冷錢(qián)包幣種最多的錢(qián)包之一; Parity Signer 是 Parity 出品的以太坊軟件冷錢(qián)包;事物發(fā)展的方向永遠(yuǎn)是化繁為簡(jiǎn)。越來(lái)越多的冷錢(qián)包正在以軟件的方式實(shí)現(xiàn)。
就像大部分人不需要額外的硬件來(lái)進(jìn)行閱讀(電子書(shū)),因?yàn)槭謾C(jī)本身也可以進(jìn)行閱讀。用更加常見(jiàn)的設(shè)備(手機(jī))來(lái)替代專(zhuān)業(yè)的硬件是必然的趨勢(shì)!因?yàn)樗鼈冊(cè)诠δ苌项?lèi)似,甚至更加優(yōu)秀!
42鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
