Kripto Tohum İfadesi Sorunu Nasıl Çözülür?
Braavos CEO’su Motty Lavie kısa süre önce kripto yorumcusu Nurstar‘ın ev sahipliğini yaptığı bir Twitter alanı olan Stark Cafe’de tohum ifadeleri ve kripto güvenliğinin diğer yönlerini tartışmak üzere yer aldı. Bu, onun yorumlarının bir uyarlamasıdır.
Üç ana kimlik doğrulama türü vardır. Bir şey var. BiliyorumBu genellikle bir parola veya PIN kodu ya da bir modeldir. Bir şey varfiziksel bir cihazdır. Ve biyometrik kimliğinizle ilgili olan, olduğunuz bir şey. Bu parmak iziniz, yüzünüz ya da retinanız olabilir.
İyi bir kimlik doğrulama biçimi bu üçünden en az ikisine dayanır ve tercihen bildiğiniz bir şey değildir, çünkü bu en zayıfı olarak kabul edilir.
Yine de Kripto endüstrisinde, esas olarak bildiğiniz bir şeye güveniyoruz – kötü şöhretli 12 kelimelik tohum cümlesi, cüzdanımızı korumanın ve kurtarmanın birincil yoludur.
Şimdi, Kendimizi bir kripto saldırganının yerine koyarak başlayalım. Özellikle, bir saldırganın hesabınızı ele geçirmek için ne yapması gerektiği.
Şu anda bir saldırganın yapması gereken tek şey bu 12 kelimelik tohum cümleyi çalmaktır. Ve hepimiz, sabit diskinizde tuttuğunuz takdirde bu farklı kelimeleri kolayca çalabilen kimlik avı saldırılarına ve kötü amaçlı yazılımlara aşinayız.
Buna ek olarak, herhangi bir cüzdan satıcısının – yanlışlıkla veya kötü niyetle ya da bir düzenleyicinin baskısı altında – cüzdanınızı tek bir güncellemeyle tamamen gözetim altına alabileceği gerçeğini ekleyin. Bu iyi bir kombinasyon değil.
Ancak kriptonun tohum ifadesi sorununa bir yanıt var.
Ve tam orada, cebinizde duruyor.
Günümüzde tüm mobil cihazlar yerleşik bir güvenlik çipi ile birlikte gelmektedir. Bu çok güçlü bir şey.
- Cihazınıza bağlı, dış ortamdan izole edilmiş ve hiç kimse tarafından (sizin tarafınızdan bile) bilinmeyen donanım anahtarları oluşturabilir.
- Bu anahtarların işlemleri imzalamasına izin vermeden önce biyometrik kimlik doğrulama gerçekleştirebilir.
Hesapları akıllı sözleşmeler olarak ele almamızı ve daha esnek cüzdan seçenekleri sunmamızı sağlayan bir blok zinciri özelliği olan hesap soyutlamasının gücünü kullanarak bu yeteneği dağıtabilir ve blok zincirine uyarlayabiliriz. Özellikle, özel imza doğrulaması yapmamızı sağlar.
Zincir üzerinde bulunan akıllı sözleşme hesabınız, cep telefonunuzda bulunan güvenlik çipiyle kolayca “konuşabilir”. Aynı güvenlik dilinde “konuşurlar”. Aynı eliptik eğriyi imzalayabilir ve doğrulayabilirler.
Bu ikisinin birlikte kullanılması, iki faktörlü kimlik doğrulamanın son derece güçlü güvenliğini sağlar.
Bu yüzden Braavos Donanım İmzalayıcısını tanıttık.
Hardware Signer, yüksek güvenlik ve son derece iyi kullanıcı deneyiminin harika bir birleşimidir.
Hardware Signer’ın arkasındaki fikir iki faktörlü kimlik doğrulama sağlamaktır: sahip olduğunuz ve olduğunuz bir şey. Aslında, yanımızda taşıdığımız telefonlara güveniyor.
- Sahip olduğunuz şey mobil cihazınızdır.
- Olduğunuz şey, cep telefonunuzdaki biyometrik kimliğinizdir.
Yani kendimizi tekrar saldırganın yerine koyarsak, cihazınızı fiziksel olarak çalmaları ve yüzünüz ya da parmağınız gibi biyometrik kimliğinizi çalmaları gerekir. Bu mümkün, ancak kripto tohum ifadenizi çalmaktan çok daha zor bir işlem.
Ancak Braavos’ta hâlâ tohum ifadeleri kullanıyoruz. Aslında, bunları Çoklu İmzalayıcı oluşturmak için üçüncü bir kimlik doğrulama faktörü sağlamak için kullanıyoruz.
Braavos mobil uygulamanıza ek olarak dizüstü veya masaüstü bilgisayarınızda da oturum açarsanız, 3FA’ya sahip olursunuz: tohum cümlesinin yanı sıra Donanım İmzalayıcı.
Bu, bir kullanıcı olarak, bir işlem gerçekleşmeden önce farklı cihazlarda oturum açmanıza ve zincir üzerindeki diğer sözleşmelerle iletişim kurmanıza olanak tanır.
Yalnızca bu üç koşulun tümü karşılandığında işlem zincirdeki hesap sözleşmesinden ayrılır ve diğer sözleşmelerle fiilen gerçekleştirilir.
Yani hesap soyutlama piramidi dediğimiz üç güvenlik katmanınız var. Kullanıcı deneyimi de Apple Pay gibi uygulamalarda kullandıklarınıza benziyor.
Ama ne düşündüğünüzü biliyoruz: Anahtar deposu sorun yaratmıyor mu?
Çok duyduğum bir şey var: “Apple’ın özel anahtarıma erişebilmesini doğru bulmuyorum.”
Ancak endişelenmeyin: hiç kimse özel anahtarınıza erişemez.
Apple değil. Apple işletim sistemi değil. Braavos uygulaması değil. Telefon satıcısı değil.
Anahtarlarınız silikonda üretildiği ve saklandığı için kimsenin anahtarlarınıza erişimi yoktur.
Bu, yarın sabah bir regülatör telefon satıcısına – Apple, Samsung, Android Pixel ya da her neyse – gelip ‘Nurstar telefonunun anahtarlarını bize getirmenizi istiyoruz, yoksa hapse girersiniz’ dese bile bunu yapamayacakları anlamına geliyor.
Ve bu gerçekten de çok güçlü.
Braavos cüzdanını indirmek ve çok faktörlü kimlik doğrulamanın gücünü deneyimlemek istiyorsanız, buradan indirin.