8 декабря 2021 banki.ru Нехаенко Антон
За последние десять с лишним лет в поисках надежности и защищенности криптовалюты прошли почти тот же путь, что и обычные деньги, — от бумаги до пластиковых карт. Как сейчас выглядят защищенные кошельки?
Криптовалюта, реализованная по технологии блокчейн (буквально «цепь блоков»), работает по известному и часто применяемому в шифровании принципу пары ключей. Создавая кошелек, программа генерирует два ключа: открытый и закрытый. Из первого через некоторое преобразование получается адрес кошелька — он используется для перевода средств, его можно раздавать и показывать кому угодно. Второй, закрытый ключ используется как подтверждение права собственности на биткоины (или другие -коины) — фактически адреса в «цепи блоков». Он математически связан с открытым, но чтобы вычислить закрытый ключ из открытого, нужен самый мощный в мире компьютер и невообразимое количество времени.
В криптовалютах очень длинный закрытый ключ используется для подтверждения платежных операций, поэтому его стараются хранить максимально безопасно. Но безопасность и удобство часто вступают в противоречие. Например, распространенные сегодня онлайн-кошельки предлагают быстрый доступ к покупке и продаже множества разных криптовалют, но хранят закрытые ключи пользователей на серверах — между пользователем и похитителем фактически стоит только пароль доступа к панели управления. Для мотивированного хакера это не всегда достаточно надежное препятствие. О некоторых менее удобных, но более надежных методиках хранения ключей поговорим сегодня.
Цифра на бумаге
Более десяти лет назад, когда относительно массовый интерес к криптовалютам только зарождался, были распространены бумажные кошельки. Адрес кошелька и закрытый ключ генерировались, как правило, на специальном сайте, и их можно было распечатать на бумаге, часто вместе с производными QR-кодами. У этого способа было множество недостатков.
Например, такая бумажная «деньга» не являлась кошельком в полном смысле слова, так как не показывала баланс. Чтобы его узнать, требовалось отсканировать адрес кошелька или ввести его в программе вручную. Блокчейн «живет» на каждом компьютере — участнике сети, поэтому весь процесс поиска доступного баланса теоретически можно было делать строго локально. Однако такой процесс занимал много времени, и пользователям предлагалось воспользоваться специальным сервисом в Интернете, безопасность которого не гарантировалась. Кроме того, «секретный» закрытый ключ можно было теоретически похитить из памяти самого принтера — было бы умение. Да и сама бумажка могла испортиться — намокнуть, выцвести, рассохнуться. Если распечатать такую на дешевом струйном принтере, срок жизни был и того меньше.
Лет через пять после появления биткоина разработчики некоторых кошельков придумали заменять напечатанный закрытый ключ специальной бессмысленной фразой из 12 или 24 английских слов (из словаря в 2 048 слов), расставленных в особом порядке. Достаточно было знать название программы-кошелька и фразу — и доступ к деньгам обеспечен. В дальнейшем авторизацию сделали двухфакторной: к фразе можно было добавить отдельно вводимый пароль. Вместо ненадежной бумаги энтузиасты напридумывали разных способов хранения: фразы гравировали на медальонах, высекали на каменных табличках и т. д. Но в целом фразу можно было и просто записать карандашом.
Свистки
Для хранения закрытых ключей и фраз некоторые владельцы криптовалют пытались использовать и обычные USB-флешки, что было ненадежно: при первом же подключении к зараженному компьютеру хакеры могли получить доступ к содержимому. Как только в торговле криптовалютой появились серьезные деньги и обороты, разработчики кошельков внедрили идею получше — стали предлагать в пару к своим программам-кошелькам USB-«свистки» со специальным чипом, известным как «безопасное хранилище». Кое-что про такие чипы мы уже упоминали в материале про цифровые карты в телефонах. Закрытый ключ записывался в чип и был доступен только программе-кошельку и только после ввода ПИН-кода или пароля.
Со временем доступ к криптокошелькам стал намного более востребованным и на мобильных устройствах, к которым USB-«свисток» так просто не подключишь. Для этого несколько компаний вывели на рынок Bluetooth-кошельки с кнопками и небольшими экранами. Это позволяло владельцу удостовериться, что он подсоединяет кошелек к правильному телефону или ноутбуку. Плюс таких устройств в том, что после «спаривания» их можно просто оставить лежать неподалеку, например в кармане или портфеле, доставать их для подтверждения каждой трансакции не потребуется. Есть и минусы — такие устройства по определению требуют периодической подзарядки и могут сломаться сразу несколькими способами, поэтому требуют дублирования.
Вход по прикосновению
Последний «писк» аппаратной моды — стандарт CryptoNFС. Обычно это пластиковые карты с чипом «безопасного хранилища» и антенной ближней связи NFC. По формату и принципу работы они не особо отличаются от банковских или транспортных карт и предназначены для работы с криптокошельками на телефонах с поддержкой NFC. Для исключения случайного или злонамеренного контакта каждое подтверждение операции требует плотного прижатия карточки на 15 секунд.
Такой формат не случаен — помимо собственно ключей такие карточки можно выпустить как подарочные криптокошельки с заранее пополненным балансом и красочным оформлением. Достаточно приложить такую карту к телефону, и он сам предложит скачать нужное приложение из магазина.
Несколько опрошенных криптотрейдеров, впрочем, относятся к NFC-новшеству без особого энтузиазма. По их общему мнению, аппаратные решения скорее интересны владельцам крупных объемов криптовалюты, которые часто торгуют с компьютеров и лэптопов, в которых NFC не бывает, и в целом проявляют известный консерватизм — привыкли к определенным решениям и доверяют только им.
Производители не унывают и исследуют новые ниши — по их словам, теперь, когда блокчейн нашел массу новых применений вроде токенов NFT и уникальных предметов в онлайн-играх, карточки с оформлением можно использовать как своеобразное физическое свидетельство обладания виртуальными объектами.
Антон НЕХАЕНКО, Banki.ru
Внимание! Данная информация не является индивидуальной инвестиционной рекомендацией, и финансовые инструменты либо операции, упомянутые в ней, могут не соответствовать вашему инвестиционному профилю и инвестиционным целям (ожиданиям). Определение соответствия финансового инструмента либо операции вашим интересам, инвестиционным целям, инвестиционному горизонту и уровню допустимого риска является вашей задачей. Банки.ру не несет ответственности за возможные убытки в случае совершения операций либо инвестирования в финансовые инструменты, упомянутые в данной информации, и не рекомендует использовать указанную информацию в качестве единственного источника информации при принятии инвестиционного решения.
По информации Банка России от 04.09.2017, операции с криптовалютами несут в себе высокие риски, как при проведении обменных операций. Существуют также технологические риски при выпуске и обращении криптовалют и риски фиксации прав на «виртуальные валюты». Это может привести к финансовым потерям граждан и к невозможности защиты прав потребителей финансовых услуг в случае их нарушения.
http://www.banki.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter
Криптовалюта, реализованная по технологии блокчейн (буквально «цепь блоков»), работает по известному и часто применяемому в шифровании принципу пары ключей. Создавая кошелек, программа генерирует два ключа: открытый и закрытый. Из первого через некоторое преобразование получается адрес кошелька — он используется для перевода средств, его можно раздавать и показывать кому угодно. Второй, закрытый ключ используется как подтверждение права собственности на биткоины (или другие -коины) — фактически адреса в «цепи блоков». Он математически связан с открытым, но чтобы вычислить закрытый ключ из открытого, нужен самый мощный в мире компьютер и невообразимое количество времени.
В криптовалютах очень длинный закрытый ключ используется для подтверждения платежных операций, поэтому его стараются хранить максимально безопасно. Но безопасность и удобство часто вступают в противоречие. Например, распространенные сегодня онлайн-кошельки предлагают быстрый доступ к покупке и продаже множества разных криптовалют, но хранят закрытые ключи пользователей на серверах — между пользователем и похитителем фактически стоит только пароль доступа к панели управления. Для мотивированного хакера это не всегда достаточно надежное препятствие. О некоторых менее удобных, но более надежных методиках хранения ключей поговорим сегодня.
Цифра на бумаге
Более десяти лет назад, когда относительно массовый интерес к криптовалютам только зарождался, были распространены бумажные кошельки. Адрес кошелька и закрытый ключ генерировались, как правило, на специальном сайте, и их можно было распечатать на бумаге, часто вместе с производными QR-кодами. У этого способа было множество недостатков.
Например, такая бумажная «деньга» не являлась кошельком в полном смысле слова, так как не показывала баланс. Чтобы его узнать, требовалось отсканировать адрес кошелька или ввести его в программе вручную. Блокчейн «живет» на каждом компьютере — участнике сети, поэтому весь процесс поиска доступного баланса теоретически можно было делать строго локально. Однако такой процесс занимал много времени, и пользователям предлагалось воспользоваться специальным сервисом в Интернете, безопасность которого не гарантировалась. Кроме того, «секретный» закрытый ключ можно было теоретически похитить из памяти самого принтера — было бы умение. Да и сама бумажка могла испортиться — намокнуть, выцвести, рассохнуться. Если распечатать такую на дешевом струйном принтере, срок жизни был и того меньше.
Лет через пять после появления биткоина разработчики некоторых кошельков придумали заменять напечатанный закрытый ключ специальной бессмысленной фразой из 12 или 24 английских слов (из словаря в 2 048 слов), расставленных в особом порядке. Достаточно было знать название программы-кошелька и фразу — и доступ к деньгам обеспечен. В дальнейшем авторизацию сделали двухфакторной: к фразе можно было добавить отдельно вводимый пароль. Вместо ненадежной бумаги энтузиасты напридумывали разных способов хранения: фразы гравировали на медальонах, высекали на каменных табличках и т. д. Но в целом фразу можно было и просто записать карандашом.
Свистки
Для хранения закрытых ключей и фраз некоторые владельцы криптовалют пытались использовать и обычные USB-флешки, что было ненадежно: при первом же подключении к зараженному компьютеру хакеры могли получить доступ к содержимому. Как только в торговле криптовалютой появились серьезные деньги и обороты, разработчики кошельков внедрили идею получше — стали предлагать в пару к своим программам-кошелькам USB-«свистки» со специальным чипом, известным как «безопасное хранилище». Кое-что про такие чипы мы уже упоминали в материале про цифровые карты в телефонах. Закрытый ключ записывался в чип и был доступен только программе-кошельку и только после ввода ПИН-кода или пароля.
Со временем доступ к криптокошелькам стал намного более востребованным и на мобильных устройствах, к которым USB-«свисток» так просто не подключишь. Для этого несколько компаний вывели на рынок Bluetooth-кошельки с кнопками и небольшими экранами. Это позволяло владельцу удостовериться, что он подсоединяет кошелек к правильному телефону или ноутбуку. Плюс таких устройств в том, что после «спаривания» их можно просто оставить лежать неподалеку, например в кармане или портфеле, доставать их для подтверждения каждой трансакции не потребуется. Есть и минусы — такие устройства по определению требуют периодической подзарядки и могут сломаться сразу несколькими способами, поэтому требуют дублирования.
Вход по прикосновению
Последний «писк» аппаратной моды — стандарт CryptoNFС. Обычно это пластиковые карты с чипом «безопасного хранилища» и антенной ближней связи NFC. По формату и принципу работы они не особо отличаются от банковских или транспортных карт и предназначены для работы с криптокошельками на телефонах с поддержкой NFC. Для исключения случайного или злонамеренного контакта каждое подтверждение операции требует плотного прижатия карточки на 15 секунд.
Такой формат не случаен — помимо собственно ключей такие карточки можно выпустить как подарочные криптокошельки с заранее пополненным балансом и красочным оформлением. Достаточно приложить такую карту к телефону, и он сам предложит скачать нужное приложение из магазина.
Несколько опрошенных криптотрейдеров, впрочем, относятся к NFC-новшеству без особого энтузиазма. По их общему мнению, аппаратные решения скорее интересны владельцам крупных объемов криптовалюты, которые часто торгуют с компьютеров и лэптопов, в которых NFC не бывает, и в целом проявляют известный консерватизм — привыкли к определенным решениям и доверяют только им.
Производители не унывают и исследуют новые ниши — по их словам, теперь, когда блокчейн нашел массу новых применений вроде токенов NFT и уникальных предметов в онлайн-играх, карточки с оформлением можно использовать как своеобразное физическое свидетельство обладания виртуальными объектами.
Антон НЕХАЕНКО, Banki.ru
Внимание! Данная информация не является индивидуальной инвестиционной рекомендацией, и финансовые инструменты либо операции, упомянутые в ней, могут не соответствовать вашему инвестиционному профилю и инвестиционным целям (ожиданиям). Определение соответствия финансового инструмента либо операции вашим интересам, инвестиционным целям, инвестиционному горизонту и уровню допустимого риска является вашей задачей. Банки.ру не несет ответственности за возможные убытки в случае совершения операций либо инвестирования в финансовые инструменты, упомянутые в данной информации, и не рекомендует использовать указанную информацию в качестве единственного источника информации при принятии инвестиционного решения.
По информации Банка России от 04.09.2017, операции с криптовалютами несут в себе высокие риски, как при проведении обменных операций. Существуют также технологические риски при выпуске и обращении криптовалют и риски фиксации прав на «виртуальные валюты». Это может привести к финансовым потерям граждан и к невозможности защиты прав потребителей финансовых услуг в случае их нарушения.
http://www.banki.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter