Ledger je jedan od najvećih, ako ne i najveći proizvođač hladnih kriptonovčanika “Hladnih” znači sigurnih, u smislu da vaši privatni ključevi, koji osiguravaju pristup kriptomrežama i vašim sredstvima u njima, nikad nisu izloženi mogućnosti online napada, krađe ili manipulacije. Odnosno, tako bi trebalo biti.
Nedavno su do mene došle vijesti o određenim kontroverzama koje je Ledger sam pokrenuo nekim svojim inicijativama. Nakon proučavanja i promišljanja, zaključio sam da je vjerojatnost gubitka sredstava odnosno “pronevjere” podataka od strane Ledgera iznimno mala, pa ću i dalje nastaviti koristiti njihove uređaje. Međutim, ipak je kod mene došlo do određene promjene u razmišljanju, pa sam odlučio sam da rasporedim dio kripta i na druge hladne novčanike.
S obzirom da sam preporučivao (i dalje preporučujem) korisnicima kripta Ledger kao jedan od najpouzadnijih načina čuvanja kripta, mislim da je dobro da s vama podijelim pitanja koja su se pojavila, a vezana su za sigurnost i potencijalne rizike. Važno je biti informiran i na posljetku donijeti informiranu i odgovornu vlastitiu odluku.
Kao što sam napisao, moja odluka je da i dalje koristim Ledger, ali da dio sredstava prebacim na druge hladne novčanike.
Evo o čemu se radi. Pročitajte, pa bih na kraju volio čuti vaše mišljenje, odnosno dobiti dodatne informacije ako o tome znate nešto više.
***
Problem je nastao, odnosno isplivao je na svjetlo dana, u trenutu kad je Ledger prije nekog vremena ponudio mogućnost čuanja privatnih ključeva online. Usprkos svim upozorenjima, ljudi gube privatne ključeve, s sama situacija u kojoj si odgovoran za svoja sredstva (sam si svoja banka) nekim ljudima ne sjeda dobro. Ledger je smislio način da privatne ključeve šifrirano pohrani u tri dijela na tri različita mjesta (tri neovisne kompanije sudjeluju u tome, kažu). Korisnik treba napraviti identifikaciju (osobnom iskaznicom, putovnicom) i na taj način povezati privatne ključeve sa svojom osobom. U slučaju da ih izgubi, može se javiti, identificirati i zatražiti privatne ključeve od njihovih čuvara (tri mjesta, tri kompanije – što osgurava, ili barem donekle jamči, da ntko osim vas ne može doći u posjed sva tri dijela ključeva).
Kritpozajednica, posebice ona ortodoksna, reagirala je vrlo negativni na tu ponudu, optužujući Ledger da ide protiv osnovnih načela kripta, prije svega protiv privatnosti i anonimnosti. Ledger je s druge strane odgovorio da je to upravo ono što korisnici žele i da će takav pristup privući milijune novih korisnika u kripto – one ljude koji su navikli na bankarski sustav i ne žele brinuti previše o tome hoće li ili neće izgubiti pristup svojim sredstvima koji im, u slučaju gubitka, u kriptu nitko ni na koji način ne može vratiti.
Regulatori svakako podržavaju taj pristup (povezivanje osobe, imenom prezimenom i brojem) s kripto sredstvima, baš kao u bankama. Ledger je pronašao način za dodatnu zaradu (čuvanje privatnih ključeva u inicijalnoj ponudi stoji 9,9 eura mjesečno) i potenicjalno proširenje kripto korisnika (iako je ovo drugo vrlo upitno i tek će vrijeme pokazati ima li to smisla ili ne).
I sve to skupa zapravo ne bi bilo problematično, da nije načina na koji se kriptoključevi predaju na čuvanje. Naime, to se radi izravno iz uređaja (NanoX za sada, ali nije isključeno da se stvar proširii na NanoS). Ukoliko korisnik želi prihvatiti tu ponudu, on mora fizički na uređaju odobriti transakciju. U ovom slučaju, transakcija znači da se privatni ključevi izvlače iz uređaja i šalju negdje drugdje. Šifrirano, u dijelovima, ali ipak – pročitajte ponovo – IZVLAČE SE IZ UREĐAJA I ŠALJU NEGDJE DRUGDJE.
I tu je, naravno, nastao, problem. Ako Ledger može iz uređaja izvući vaše privatne ključeve, tko kaže da to ne može i neki haker, ili možda sam Ledger, ako dođe u teškoće i zatrebaju mu sredstva; ili vasnik odluči zatvoriti posao i nestati? Vjerojatnost za ovo druge je mala, ali ipak, tu je. Dakle, mi moramo vjerovati Ledgeru da se to neće dogoditi.
Kao što znate, jedan od glavnih ideala u kripto ideji je “trustlessness”. Teško je prevesti tu riječ osim objašnjenjem: uklanjanje potrebe za vjerovanjem ili sigurnost bez vjerovanja. Ako nekome moramo vjerovati (kao što sada vjerujemo bankama i državi) to više nije decentralizirani kriptosustav, to je neka vrsta tihe centralizacije uvedene na mala vrata.
Taj je problem pokrenuo i razmišljanje o jednom drugom problemu: Ledgerov kod nije javan. To znači da javnost ne može provjeriti što zapravo uređaj radi nego opet vjerujemo Ledgeru da radi to što radi (primjerice, drži osjetljive podatke uvijek ofline i komunicira s onine dijelom samo nakon završene obrade podataka). Ledger tvrdi da se kreće u smjeru objavljivanja koda (drugi najveći proizvođač hladnih novčanika, Trezor, funkcionira po javno dostupnom kodu koji se može provjeriti neovisnim putem), ali to se za sada nije dogodilo.
I naposljetku, nešto manje problematično (jer se odnosi na sve hladne novčanike osim jednog, naime NGrave funkconira drugačije), a zapravo i nisam siguran u kojoj mjeri je to točno, svaki uređaj dolazi s predefiniranim setom privatnih ključeva iz kojih onda uređaj nekim slučajnim načinom bira vaše prilikom početnog postavljanja. Tko kaže da proizvođač (u ovom slučaju ne samo Ledger nego i Trezor i većina drugih) nema bazu podataka koja povezuje ime naručitelja s tim setom kodova? To je opet jako malo vjeroatno, ali ako postoji mogućnost, znači da moramo vjerovati, a to znači da nismo više u trustlessness situaciji.
***
Kao što sam napisao, moja odluka je da za sada vjerujem Ledgerovim jamstvima. Vjerojatnost zlouporabe je vrlo mala. Međutim, čim ta vjerojatnost postoji o njoj vlasnici uređaja moraju biti informirani te samostalno donijeti odluku o svojim daljnjim potezima.
Budući da je hadni novčanik uređaj kojeg netko mora proizvesti, uvijek će postojati mogućnost da se taj uređaj hakira ili zloupotrijebi. Najviše što proizvođač može učiniti je smanjiti tu mogućnost do minumuma i poduzeti sve korake da stekne i održi povjerenje korisnika. Ledger je do sada radio ovo prvo vrlo dobro (radi se o godinama razvoja i prisutnosti na tržištu, te vrlo kvalitetnom proizvodu koji je izdržao test vremena i uporabe), ali je poljuljao ovo drugo poslovnim idejama i potezima koji mogu potaknuti sumnju u sigurnost sredstava. A sumnja nije dobra stvar u kriptu. Ni vjerovanje. Trustlessness je načelo koje osigurava miran san.
STU