Braavos’un Cüzdan İmzalayıcıları Kripto Deneyimini Nasıl Yükseltiyor?
Tanışın Motty Lavie Braavos’un Kurucusu ve CEO’su, StarkNet teknoloji fırsatları, pazar gelişimi ve daha fazlasını açıklığa kavuşturan bir dizi Soru-Cevap için. Özet, uzunluk ve netlik için düzenlenmiştir.
Sorulara genel bakış
- Korumalı İmzalayan nedir?
- Korumalı İmzalayıcı neden geliştirildi?
- Bu Signer özelliklerini nasıl geliştirebildiniz?
- Hesap soyutlama akıllı sözleşme cüzdanı ile aynı şey midir?
- Topluluk geri bildirimi, kaynak ürünün ve diğer özelliklerin geliştirilmesine nasıl yardımcı oluyor?
- Donanım İmzalayıcı etkinleştirildiğinde biyometrik verilerim risk altında mı?
S: Protected Signer’ı ve bunun topluma nasıl fayda sağladığını açıklayabilir misiniz?
Adından da anlaşılacağı gibi, Protected Signer hesabınızı korumayı amaçlar. Bu özelliği geliştirdik çünkü tüm mobil cihazlar, eski akıllı telefon modellerinde entegre olmayan gelişmiş bir yerleşik [phone] güvenlik çipi kullanan Hardware Signer‘ı desteklemiyor.
Örneğin, [the chip] 2013’ten beri iPhone’larda bulunmaktadır, bu nedenle bugün iPhone’u olan herkes Donanım İmzalayıcısını etkinleştirebilir. Google Pixel ve en yeni Samsung mobil cihazları gibi en yeni Android telefon modellerinde de mevcuttur, ancak Android akıllı telefonların büyük çoğunluğu bu güvenlik çipine sahip değildir ve bu nedenle Donanım İmzalayıcısını destekleyemez.
Ancak, bu Android telefonlar Güvenilir Yürütme Ortamı (TEE) adı verilen ikinci en iyi şeye sahiptir. TEE, Güvenilen Uygulamaların mobil uygulama işlemcisinde özel bir güvenlik modunda çalışmasını sağlayarak bunları cihazda çalışan normal uygulamalardan izole eder.
Güvenli enklavın aksine, bu fiziksel bir ayrım değildir, ancak yine de yalnızca tohum ifadesini kullanmaktan çok daha iyi olan güçlü bir güvenlik sağlar. İki faktörlü kimlik doğrulamayı zorunlu kılar, çünkü bu güvenlik modu, çipi aktardığımız [which], işlemi yalnızca kullanıcının biyometrik kimliğini doğruladıktan sonra imzalar ve tüm bunlar cihaz TEE güvenli modunda çalışırken gerçekleşir.
Bu nedenle, Donanım İmzalayıcısını etkinleştiremeyenler için Korumalı İmzalayıcıyı oluşturduk çünkü Secure Enclave’e özel çip kullanan iPhone kullanıcılarına benzer şekilde daha fazla kullanıcının 2FA’dan yararlanabilmesini istedik.
S: Yani cihazları yeni olmadığı için Donanım İmzalayıcıyı etkinleştiremeyenler için bir ara güvenlik seviyesi oluşturdunuz. İnsanların daha yeni akıllı telefonlar satın almasını beklemek yerine neden bu ekstra özelliği yaratma ihtiyacı duydunuz?
Şu anda kripto piyasasında bir güvenlik ve UX sorunu olduğuna inanıyoruz.
Kullanıcıların bir çözüme ihtiyacı var ve onlardan cihazlarını yükseltmelerini istemenin ve bu arada bu kullanıcılara destek sağlamamanın haksızlık olduğunu düşünüyoruz.
Dünya çapındaki mobil pazara bakacak olursak, mobil cihazların yaklaşık %30’unu iPhone’lar, %70’ini ise Android cihazlar oluşturuyor. Bu %70’in içinde Android cihazların yalnızca küçük bir yüzdesi iPhone’da olduğu gibi özel bir güvenlik çipini destekliyor, bu da Android kullanıcılarının %90’ından fazlasının buna sahip olmadığı anlamına geliyor.
Dolayısıyla bu durum kullanıcıların çoğunluğunu etkiliyor ve biz de onlara hitap etmek istiyoruz.
S: Tüm bu özellikleri mümkün kılan nedir? Bu yenilikçi özellikleri yaratabilmenizi sağlayan nedir?
Birkaç şeyden oluşur. Birincisi, kriptoya nispeten geç gelen bir ekip olmamız. Web2’den geldik, bu nedenle web2’deki uygulamalara ve kullanıcı yolculuklarına aşinayız ve sürtünmeyi azaltma ve kullanıcıların istediklerini mümkün olan en kolay şekilde yapmalarını sağlama arzusundayız.
Web3 ise oldukça farklı, kullanıcıya çok yüksek bir yük bindiriyor, dolayısıyla bunun çözülmesi gerektiği bizim için açıktı. Fonlarınızı güvence altına almak için tohum ifadesine güvenmek pek çok açıdan yanlıştır ve farklı bir şey yapmamız gerektiği bizim için açıktı.
Kaçıranlar için üç ana kimlik doğrulama türünü gözden geçirelim:
- Bildiğiniz bir şey, bir şifre veya PIN kodu ya da başka bir kalıp gibi.
- Sahip olduğunuz bir şey, fiziksel bir cihaz gibi.
- Olduğunuz bir şey, yani biyometrik kimliğiniz. Bu parmak iziniz, yüzünüz veya retinanız olabilir.
Tohum ifadesi, en zayıf kimlik doğrulama türü olan “bildiğiniz bir şey” kategorisine girer. Günümüzde birçok şifresiz kuruluş, metin şifresinden çok daha güvenli olduğu düşünülen “sahip olduğunuz bir şeye” ve “olduğunuz bir şeye” geçmeye çalışmaktadır.
Ne yazık ki kriptoda, Braavos ortaya çıkana kadar tohum ifadesine takılıp kalmıştık. Bunu değiştirmemiz ve çok daha iyi bir güvenlik sağlamamız gerektiğini anladık. Buna ek olarak [with] donanım, cep telefonları ve gömülü sistemler konusundaki deneyim ve anlayışımızla yerleşik güvenlik çipi ve biyometrik kimlik doğrulaması ile mobil cihaz arasındaki bu eşleşmenin kriptoya entegre edilmesi gerektiğini biliyorduk.
Neyse ki StarkNet ve hesap soyutlaması keyfi imza doğrulama mantığına izin veriyor, bu da bu özellikleri oluşturmamızı sağlıyor – telefonunuzdaki güvenli çipte / TEE’de imzalama ve hesap akıllı sözleşmesindeki imzayı doğrulama.
Hesap soyutlama kısmına odaklanalım ve insanlara Braavos cüzdan hesabının iki bölüme ayrıldığı gerçeğini hatırlatalım:
- Uygulama kısmı, [which is found on] MetaMask gibi diğer tüm cüzdanlar,
- Zincir üzerinde bulunan ve tüm işlemlerin başka bir sözleşmeye veya protokole ulaşmadan önce geçtiği hesap akıllı sözleşmesi.
Bu hesap akıllı sözleşmesi son derece güçlüdür çünkü özelleştirilmiş doğrulama mantığını çalıştırmamıza olanak tanır. Bu özelliği Korumalı İmzalayıcı, Donanım İmzalayıcı ve Çoklu İmzalayıcıyı etkinleştirmek için kullanıyoruz.
Bu yeteneğe sahip olmasaydık, bunu yapamazdık çünkü tüm büyük blok zincirlerinde – Ethereum, Bitcoin ve hatta Starknet’in kendisinde – desteklenen imza şeması, iPhone veya Android telefonlarınızın ürettiği imza şemasıyla uyumlu değildir. Birbirleriyle konuşamazlar.
İmzayı doğrulamak için özelleştirilebilir bir hesap sözleşmesi mantığı yazabilmemiz, işlemleri imzalamak ve kimliğinizi doğrulamak için cep telefonlarından imzayı kullanabileceğimiz anlamına gelir. Bu büyük bir sıçrama oldu ve umarım bunun tüm kriptoya yayıldığını göreceğiz.
S: Hesap soyutlama akıllı sözleşme cüzdanı ile aynı şey midir?
Bir cüzdanı birçok hesap içeren bir uygulama olarak düşünebilirsiniz ve hesap soyutlaması, az önce açıkladığım hesabın bu iki bölümünü tanımlamak için kullandığımız teknik terimdir. Dolayısıyla “akıllı sözleşme cüzdanı” veya “hesap soyutlaması” terimlerini birbirinin yerine kullanabilirsiniz. Açıkçası, “akıllı sözleşme cüzdanı” veya hatta “akıllı cüzdan” teriminin, çok teknik bir terim olan “hesap soyutlama” teriminden çok daha iyi olduğunu düşünüyorum.
S: Toplumun geri bildirimleri ürünü geliştirirken size nasıl yardımcı oluyor?
Topluluğun geri bildirimleri ürün geliştirme sürecimizde çok değerlidir.
Örneğin Donanım İmzalayıcısını ele alalım. Güvenlik ve kullanıcı deneyiminin harika bir kombinasyonunu sunmasına rağmen, işlemler Starknet’te desteklenen normal imzayı kullanmaktan biraz daha maliyetlidir. Bunun nedeni, mobil güvenlik çipleri tarafından üretilen imzayı doğrulamak için hesap sözleşmesinde imza doğrulama mantığını çalıştırmamız gerekmesidir (normal bir imzanın aksine, bu ağ işletim sisteminin kendisi tarafından sağlanmaz).
Maliyetin kullanıcıları rahatsız ettiğini gördüğümüz için iki ana şey üzerinde çalıştık. İlk olarak, kodu önemli ölçüde optimize ettik ve bu da ispatı doğrulama maliyetinde %60’lık bir düşüşe yol açtı. İkinci olarak, Starknet’i geliştiren StarkWare ekibiyle birlikte çalışarak, yakında çıkacak olan StarkNet sürüm 11’de fiyatta %80’lik bir düşüş daha sağladık.
Bu, insanların Donanım İmzalayıcıyı kullanmak için ödemek zorunda kalacakları gaz ücretinin çok düşük olacağı anlamına gelir, bu nedenle normal bir Tohum İmzalayıcı işlemi ile arasındaki fiyat deltası ihmal edilebilir olacaktır.
Bir başka örnek de, Hardware Signer kullanan birçok kişinin hala dApp’lerle etkileşim kurmak için uzantıyı kullanmak istediğini fark ettik. Bu nedenle, tarayıcınızda bir işlem başlatma ve mobil uygulamanızla imzalama özelliğini eklemeyi planlıyoruz. Bu, hesabınızda Donanım İmzalayıcıyı etkinleştirirken uzantıdaki dApp’lerle etkileşime girmenizi sağlayacak ve yalnızca işlemleri imzalamaya geldiğinizde mobil cihazınızda Braavos uygulamanızı açacak ve işlemi buradan imzalayacaksınız.
Bu şekilde, tarayıcıda büyük ekranın kullanıcı arayüzünün keyfini çıkarabilir ve Hardware Signer ile mobil güvenlik çipinizin güvenliğini elde edebilirsiniz.
Ürünümüzü kullanıcıların ihtiyaçları doğrultusunda oluşturuyoruz ve geri bildirimler bizim için her zaman çok değerli.
S: Donanım İmzalayıcısını etkinleştirdiğimde biyometrik verilerim sızdırılabilir mi? Savaş halindeki bir ülkeye bağış yaparken güvende olduğumdan ya da yüzümün 1.000.000 dolar değerindeki ünlü NFT’lerle bağlantılı olması nedeniyle kaçırılmayacağımdan nasıl emin olabilirim?
Bu harika bir soru ve dürüst olmak gerekirse, güvenlik konusunda asla %100 emin olamazsınız. Ancak, kötü bir şey olma olasılığını en aza indirmek istiyoruz.
Sorunuzun ikinci kısmıyla başlayayım. Diyelim ki kaçırıldınız. Bu durumda, Multi-Signer’a sahibiz, yani cep telefonunuz ve biyometrik kimliğinizi doğrulamak yeterli değil. Fidyecinin paranızı çalabilmesi için diğer cihazınızı (sahip olduğunuz bir şey) ve bir şifreyi (bildiğiniz bir şey) de alması gerekir.
Dahası, gelecekte bir tür zaman gecikmesini etkinleştireceğiz, böylece birisi sizi sokakta soymak isterse, bunu yapamayacak çünkü paranın örneğin bir hafta sonra başka bir onay işlemi ile serbest bırakılması gerekecek. Bu şekilde, Navy Seals sizi kaçırmadığı sürece, muhtemelen mümkün olan en iyi durumdasınızdır.
Şimdi sorunuzun ilk kısmına gelelim: Donanım İmzalayıcının güvenli olduğundan nasıl emin olabiliriz? Hardware Signer’ın sevdiğim yönü, iPhone’un Secure Enclave’ini ya da Android’in Titan M2 çipini kullanması ki bunlar her gün büyük devletler ve tüm dünyadaki işbirlikleri tarafından saldırıya uğruyor. Ve kendileri için paranızdan çok daha değerli olan son derece önemli verileri çalmak için saldırıyorlar. Ve bu cihazlar bu saldırılara karşı dayanıklıdır. Bildiğimiz kadarıyla 2018’den bu yana güvenli bölgede herhangi bir ihlal yaşanmadı.
Bu, gelecekte kimsenin bunu yapamayacağı anlamına gelmiyor, ancak bu modüller ve bu çipler dünyanın her yerindeki büyük şirketler ve büyük hükümetler tarafından sürekli saldırı altında olduğu için bize çok fazla güvence veriyor. Dolayısıyla güvenlik açısından bugün sunabileceğimizin en iyisi olduğunu düşünüyorum.
için Braavos cüzdanını mobil cihazlarına indirerek Donanım İmzalayıcıdan yararlanan birçok Braavos kullanıcısına katılın Android ve iOSve Chrome, Firefox, ve daha fazlasında ulaşılabilir..
Braavos Topluluğuna katılmak ve görüşlerinizi paylaşmak içinDiscordveTwitteriletişime geçmek ve en son haberleri kaçırmamak için.