Hesap Soyutlaması ile Cüzdan Deneyimini İyileştirme
Soru-Cevap kısmı içinburaya bakın.. Özet, uzunluk ve anlaşılırlık açısından düzenlenmiştir. #Braavosianstalks
Sorulara genel bakış
- Hesap soyutlama kavramı neden bu kadar özeldir?
- Metamask gibi cüzdanların akıllı sözleşme cüzdanlarına geçiş yapmasını bekleyebilir miyiz?
- Kripto işlemlerini güvence altına almak için akıllı telefon güvenlik çiplerini kullanan başka cüzdanlar neden yok?
- Braavos’un Donanım İmzalayıcısı için neden akıllı telefonların içindeki güvenlik alt sistemini seçtiniz?
- Braavos gibi akıllı sözleşme cüzdanları yalnızca StarkNet’te mi mevcut?
- Braavos gibi bir mobil uygulama cüzdanı Hardware Signer ile soğuk bir cüzdan haline gelebilir mi?
- Birçok Çok Taraflı Hesaplama (MPC) cüzdanı ortaya çıkıyor, Braavos bu tür bir çözümle nasıl rekabet edebilir?
- PC’deki TPM veya YubiKey gibi güvenlik anahtarları imzalayıcı olarak kullanılabilir mi?
S: Google’da hesap soyutlamaya olan ilgi giderek artıyor. Bu hesap soyutlama kavramı neden bu kadar özel?
Bu büyük bir cevabı olan basit bir soru. Ancak kısa cevap, hesap soyutlamasının aslında cüzdana bir beyin getirmemize izin vermesidir. Teknik olarak çok doğru olmamakla birlikte, hesap soyutlamanın akıllı sözleşme tabanlı cüzdanlarla eşanlamlı olduğunu söyleyebiliriz. Akıllı sözleşme tabanlı cüzdan olarak adlandırılır çünkü cüzdan sadece tokenleri ve varlıkları izleyen ve işlemleri imzalayan bir şeyden kendi mantığına sahip akıllı bir şeye geçer. Hesap soyutlamasının getirdiği şey de temelde budur: hem işlemlerin doğrulanması için özel, keyfi bir mantığa sahip olmak. StarkNet’te protokole yerleştirilmiş hesap soyutlamasına sahibiz, bu da her bir işlemin diğer protokollerle, diğer dApp’lerle etkileşime girmeden önce bir hesap sözleşmesinden geçmesi gerektiği anlamına geliyor.
Düşünürseniz, bu gerçekten çok güçlü çünkü artık ister doğrulama tarafında ister yürütme tarafında olsun, her bir işlem için ek mantık çalıştırabilirsiniz. Önceki makalelerde, hesap soyutlamasının sağladığı bazı özellikleri verdik, ancak en iyi örnek, cep telefonlarımızda bulunan güvenlik yongalarını anahtar üretmek ve işlemleri mümkün olan en güvenli şekilde imzalamak için kullanan buluşumuz olan Donanım İmzalayıcıdır. StarkWare ile ortak makale.
S: Metamask gibi cüzdanların akıllı sözleşme cüzdanlarına dönüşmesini bekleyebilir miyiz?
Bu bir yazılım, yani her şey mümkün. Ancak geleneksel cüzdanlar, akıllı sözleşme tabanlı cüzdanlar için gerekenden tamamen farklı olan yerleşik bir mimariye sahiptir. Yani elbette geçiş yapmaları mümkün çünkü bu sadece bir yazılım. Ancak cüzdanın mimarisini tamamen değiştirdiği için çok fazla çalışma yapılması gerekiyor.
S: Bir adım geri çekilip neden başka hiçbir cüzdanın işlemlerin imzalanmasını güvence altına almak için akıllı telefonların güvenlik çiplerini kullanmadığını düşünebilir miyiz?
Her blok zinciri, blok zincirine özel bir eliptik eğri ile kendi benzersiz kriptografik güvenlik önlemlerine sahiptir. Ancak cep telefonlarımızdaki güvenlik çipleri, mobil cihazlar için optimize edilmiş farklı bir eliptik eğri türü (secp256r1) kullanmaktadır. Bu eliptik eğri, en popüler blok zincirlerinde kullanılandan sonra geliştirilmiş ve piyasaya sürülmüştür, bu da ikisini uyumsuz hale getirmektedir.
Ancak burada özel doğrulama mantığı yazmamızı sağlayan Hesap soyutlaması geliyor. Hatırlarsanız, her işlem gerçekleştirilmeden önce hesap akıllı sözleşmesinden geçer. Böylece bir işlem hesap sözleşmesine ulaştığında, mobil cihazın güvenlik çipinde bulunan eliptik eğriye karşılık gelen özel doğrulama mantığını çalıştırabilir ve bu şekilde işlemin gerçekten doğru şekilde imzalandığını doğrulayabiliriz.
Ve bunu hesap soyutlaması olmadan yapamazsınız. İşte burada döngüyü kapatıyoruz ve hesap soyutlamasının gücünü bir kez daha iş başında görüyoruz.
S: Bu Donanım İmzalayıcıyı etkinleştirdiğimde, akıllı telefonumun içindeki güvenlik alt sistemini kullandığını anlıyorum. Neden bu unsuru seçtiniz?
Kullanıcılarımıza en güvenli özellikleri sunmak istedik ve güvenlik ile kullanıcı deneyiminin el ele gittiğini düşünüyoruz. Biri süper güvenli bir teknoloji geliştirebilir, ancak kullanımı son derece karmaşıksa, çoğu insan onu kullanmayacaktır. Öte yandan, Hardware Signer birinci sınıf güvenlik ve kusursuz bir kullanıcı deneyimi sunar, Apple Pay veya Google Pay’i kullandığınız gibi kullanırsınız – kullanımı basit ve sorunsuzdur ve her şey sizin için kaputun altında sorunsuz bir şekilde gerçekleşir.
Güvenlik açısından, birkaç yüz dolara mal olabilen ve bunları nerede saklayacağınızı bulmak da dahil olmak üzere dik bir öğrenme eğrisi gerektiren donanım cüzdanlarının sunduğundan daha üstün olan üst düzey korumanın keyfini çıkarabilirsiniz. Bu karmaşıklık, tüm engelleri ortadan kaldıran ve her şeyi kendi adlarına halleden uygulamalara alışkın olan tipik Web2 kullanıcılarını caydırabilir. Hardware Signer ile bu süreci basitleştirmeyi başardık ve birinci sınıf güvenliği korurken sorunsuz ve kullanıcı dostu bir deneyim sağladık.
S: Braavos gibi bir mobil uygulama cüzdanı Hardware Signer ile soğuk bir cüzdan haline gelebilir mi?
Terimleri daha iyi tanımlamak için bir iki dakikanızı ayırmanızda fayda var. Genellikle insanlar soğuk cüzdan dediklerinde, internete bağlı olmayan, bunun yerine bir yerde güvenli bir kutuda bir kağıt parçası üzerinde saklanan bir cüzdanı kastederler. Çevrimiçi izleme yoktur, bu nedenle birisi bilgisayarınıza veya telefonunuza girse bile, anahtarlar orada olmadığı için fonlarınıza erişemez.
Şimdi Donanım İmzalayıcı ile cep telefonunun içindeki güvenlik çipini kullandığımızda, bu özelliği sunmak bizim için çok önemliydi. Bunu yapabiliriz, çünkü bu güvenlik yongalarının benzersizliği tamamen izole olmalarıdır, yani uygulama işlemcisinden ayrılmışlardır. Ayrıca, güvenlik çipinde saklanan özel anahtarlar erişilebilir değildir ve kullanıcı, uygulama ve hatta işletim sisteminin kendisi tarafından okunamaz.
Bunu iki farklı bina olarak düşünün. Tüm uygulamalarınızın, tüm etkileşimlerinizin ve tarayıcınızın vb. bulunduğu bir binanız var. Otoyolun karşısında kimsenin giremediği farklı bir bina var ve anahtarlarınız orada tutuluyor. Ve bu anlamda, bu bina internete bağlı değil. Buna, donanım cüzdanlarına baktığınız gibi soğuk bir cüzdan olarak bakabilirsiniz.
S: Birçok Çok Taraflı Hesaplama (MPC) cüzdanı ortaya çıkıyor, Braavos bu tür bir çözümle nasıl rekabet edebilir?
MPC, bir işlemi imzalamak ve onaylamak için m taraftan n’ini zorunlu kılan anahtarlar üretmek için bazı güzel kriptografi kullanan bir güvenlik şemasıdır. Çoğunlukla büyük miktarlardaki fonları güvence altına almak için kullanılır, işlemin gerçekleştirilmesi için en az iki tarafın imzalaması gerekir. Ve hesap soyutlaması, çok partili hesaplama algoritmasının sunduğu her şeyi ve bundan çok daha fazlasını sağlar. Hesaplamadaki taraflardan birini veya bizim durumumuzda işlemi imzalayan tarafları kolayca değiştirebilirsiniz.
Örneğin, bugün iPhone 12’nizden işlem imzalıyorsanız ve yarın bir iPhone 14 satın alacaksanız, iPhone 12’den iPhone 14’e geçiş yapmanız kolay olacaktır. Ve MPC’de olduğu gibi tamamen yeni bir anahtar oluşturmanız gerekmez. Ayrıca, bahsettiğimiz gibi, hesap soyutlama çoklu imzadan (ve çok faktörlü kimlik doğrulamadan) çok daha fazlasını sunar. Bu nedenle, güzel bir özellik olmasına rağmen, sektöre güvenlik ve kullanıcı deneyimi açısından ihtiyaç duyduğu şeyi getirmekten uzaktır ve akıllı sözleşme tabanlı cüzdanlarla rekabet edemez. Bunları yeni nesil cüzdanlar olarak görmüyorum; daha çok biraz daha sofistike bir imza protokolüne sahip geleneksel cüzdanlara benziyorlar.
S: PC’deki TPM veya YubiKey gibi güvenlik anahtarları imzalayıcı olarak kullanılabilir mi?
TPM – Güvenilir Platform Modülü – gelişmiş bir Android akıllı telefonda (Pixel 3 gibi) olduğu gibi bir donanım güvenlik çipidir. Bugün Braavos mobil uygulamasında zaten kullanılıyorlar – Donanım İmzalayıcı buna dayanıyor. Tarayıcı uzantısında da kullanılabilirler ve gelecekte bunları kullanacağız. Bunu henüz etkinleştirmememizin tek nedeni, bir uzantı kullanırsanız mümkün olan maksimum güvenliği sağlayamayacağımızdır. Bilgisayarınızda bir uygulama kullanıyorsanız bunu yapabiliriz, ancak bir uzantı kullanıyorsanız TPM’nin biyometrik kimlik doğrulama kullanacağını garanti edemeyiz. Her zaman varsayılan olarak parolaya geçebilir ve bu daha az güvenlidir, ancak tohum cümlesinden çok daha güvenli olduğuna şüphe yoktur ve yakın gelecekte bunu etkinleştirecek olmamızın nedeni budur.
YubiKey ile ilgili olarak, donanım cüzdanlarına inanmıyoruz. Teorik olarak YubiKey veya Trezor ya da başka bir şey kullanabiliriz, ancak bunun kullanıcıların istediği deneyim olduğunu düşünmüyoruz, çünkü çok karmaşık ve etrafında çok fazla sürtünme var. Donanım cüzdanlarını teşvik etmiyoruz, çok daha iyi bir kullanıcı deneyimi ile donanım cüzdanlarına eşit bir güvenlik sunan halihazırda sahip olduğunuz cihazı kullanmanın çok daha iyi olduğunu düşünüyoruz.
Braavos Ulusuna katılmak ve görüşlerinizi paylaşmak için Discordve Twitter iletişime geçmek ve en son haberleri yakalamak için.Braavos akıllı sözleşme cüzdanını mobil cihazınıza indirerek de Donanım İmzalayıcı’dan faydalanabilirsiniz. Android ve iOSve Chrome, Firefox, ve daha fazlasında ulaşılabilir.