روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ کیف پول‌های سخت‌افزاری همیشه مطمئن‌ترین نوع کیف پول‌های رمزارز تلقی می‌شوند. با این حال، هیچ وقت نمی‌توان گفت همه‌چیز  100 در صد مطمئن  و ایمن است؛ بالاخره کیف‌ پول‌های ارزرمز هم در موقعیت‌هایی مورد دستبرد قرار می‌گیرند. در ‌سی و پنجمین کنگره‌ی ارتباطات هرج و مرج[1]، محققین امنیتی توماس رات، دمیتری ندوسپاسوو و جاش داتکو به روش‌هایی اشاره کردند که بنا بر آن‌ها می‌شد به این نوع کیف پول‌ها دستبرد زد. اما پیش از آنکه یک راست به ماجرای هک شدن آن‌ها بپردازیم، بگذارید کمی از تاریخچه‌ی این کیف پول سخت‌افزاری برایتان بگوییم؛ اینکه این کیف پول اساساً چیست و جگونه کار می‌کند؟

کیف پول سخت‌افزاری رمزارز چیست؟

یک کیف پول سخت‌افزاری رمزارز در حقیقت حکم اکانت دیجیتالی هر فرد را دارد. این اکانت شامل کلیدهای رمزی (خصوصی و عمومی) می‌شود. این دو کلید تا حدی به همان رمزعبور و نام کاربری همیشگی شباهت دارند. کلید عمومی حکم آدرس کیف‌ پول و کلید خصوصی حکم سکه‌‌های شما را دارد (برای وارد شدن به معاملات و تراکنش‌های خارجی).

جدا از سیستم‌های مالی سنتی، رمزارزها معمولاً هیچ مجوزی ندارند و همچنین از هیچ نوع مکانیزم ثبت‌نام برخوردار نیستند (مانند بیمه بازپرداخت). هر کس که صاحب بذر/دانه‌ی رمزنگاری‌شده و نیز کلید‌های مشتق‌شده از آن باشد طبیعتاً صاحب کیف پول‌های ارز دیجیتال مربوطه نیز خواهد بود. و اگر آن دانه‌ دزدیده و یا گم شود، پس سکه‌های داخل آن نیز دزدیده و یا گم خواهند شد. به هر روی، به طور کلی کیف پول سخت‌افزاری رمزارز ترکیبی است از کلیدهای عمومی و خصوصی. با این حال اغلب اوقات ابزار تعبیه‌شده جهت ذخیره‌ی این کلیدها نیز نهایتاً به خود همان کیف پول برمی‌گردد. به بیانی دیگر: کیف پول سخت‌افزاری، دستگاهی است که کیف پول‌های ارز دیجیتال را ذخیره می‌کند.

چرا فرد باید به یک کیف پول سخت‌افزاری رمزارز احتیاج پیدا کند؟

با این تفاسیر نگه‌داری و حراست از چنین دانه‌ای باید خیلی مهم باشد. روش‌های مختلفی برای ذخیره کردن این دانه یا بذر وجود دارد که البته هر یک از این روش‌ها مزایا و معایب مخصوص به خود را دارد. از همه‌ی آن‌ها راحت‌تر ذخیره کردن دانه یا در کامپیوتر و یا اسمارت‌فون است (و البته از همه کار راه‌اندازتر ذخیره‌ی آنلاین است). گرچه هک کردن کیف‌ پول‌های رمزارز چندان هم رواج ندارد اما درست مانند سرویس‌های کیف پول آنلاین، آن‌ها هم می‌توانند هک شوند و یا با ورشکستگی روبرو گردند (ناگهان همه‌ی سکه‌های موجود در آن ناپدید شود). از اینها گذشته، مسائل دیگری نیز وجود دارد که گریبان چنین کیف پول‌هایی را می‌گیرد: فیشینگ، جعل اطلاعات پرداخت، خسارت وارد شدن به کیف پول ناشی از نقص سخت‌افزاری و غیره.

نحوه‌ی عملکرد کیف پول‌های سخت‌افزاری رمزارز

ایده‌ی اصلی پشت کیف پول‌های سخت‌افزاری رمزارز، ذخیره‌ی دانه‌ی رمزنگاری‌شده به روشی است که هیچگاه دستگاه را ترک نکند. تمامی امور رمزنگاری‌شده‌ در محیط کیف‌ پول (و نه روی کامپیوتری که بدان وصل است) صورت می‌گیرد. بنابراین، اگر به کامپیوتر شما دستبرد زده شود، مهاجمین قادر به سرقت کلیدهای شما نخواهند بود.

کارکرد داخلی این دستگاه‌ها می تواند متفاوت باشد. دو تولیدکننده‌ی عمده‌ی کیف‌پول‌های سخت‌افزاری یعنی Trezor و Ledger از دو رویکرد متفاوت طراحی سخت‌افزاری پرده برمی‌دارند.

رویکرد Ledger: دانه‌ی رمزنگاری‌شده در تراشه‌ی Secure Element روی دستگاه‌های مارک Ledger ذخیره می‌شود (Ledger Nano S و  Ledger Blue). این شرکت دو تراشه‌ی مهم دارد که اولی Secure Element نام دارد؛ یک میکروکنترلر که برای ذخیره‌ی داده‌های به شدت رمزنگاری‌شده طراحی شده است. این تراشه‌ها مشخصاً در سیم‌کارت‌ها، کارت‌های بانکی و اسمارت‌فون‌های سازگار با سرویس‌های Samsung Pay و Apple Pay مورد استفاده قرار می‌گیرند. دومین تراشه میکروکنترلریست که امور پیرامونی را مدیریت می‌کند: محافظت از کانکشن یو‌اس‌بی، مدیریت دکمه‌ها، نمایشگر و غیره.

با این حال، حتی ذخیره‌سازی دانه‌های رمزنگاری‌شده در تراشه‌ای محافظتی نیز دستگاه ساخت Ledger را کاملاً غیرقابل‌نفوذ نمی‌کند. البته خیلی سخت می‌توان به طور مستقیم  Secure Element را هک کرد و دانه‌ی رمزنگاری‌شده را از آن ربود؛ اما از طرفی خیلی راحت می‌توان به میکروکنتلر امور پیرامونی (general purpose microcontroller) دستبرد زد و از این رو فریب دادن کیف پول سخت‌افزاری در جهت تأیید تراکنش‌های خارجی بسیار آسان خواهد بود.

وسیله‌ی دیگر از همان تولیدکننده، Ledger Blue است که نشان داد در مقابل حملات Side-channel آسیب‌پذیر است. Ledger Blue کیف پول سخت‌افزاری‌ای با نمایشگر و باتری بزرگ است. همچنین طراحی صفحه مدار آن نقصی دارد که آن را آسیب‌پذیر می‌کند. 

رویکرد Trezor: دستگاه‌های Trezor عملکردی متفاوت دارند. آن‌ها از Secure Element استفاده نمی‌کنند؛ بنابراین هر آنچه که در این دستگاه است توسط یک تراشه‌ی واحد مدیریت می‌شود. این تراشه چیست؟ یک میکروکنترلر برای امور پیرامونی مبتنی بر ساختار ARM. در حقیقت این تراشه هم مسئول ذخیره‌سازی داده‌های رمزنگاری‌شده است و هم مدیریت اتصال یو‌اس‌بی، نمایشگر، دکمه‌ها و غیره. به لحاظ تئوریک، این رویکرد طراحی هک سفت‌افزاری دستگاه را آسان‌تر می‌کند و بنابراین خیلی راحت می‌توان به دانه دسترسی پیدا کرد. اما بنا بر گفته‌های این محققین، Trezor سفت‌افزار خود را به طور هنرمندانه‌ای ساخته است.

نتیجه‌گیری

جا دارد به این مهم نیز اشاره کنیم که بیشتر موارد هکی که این محققین بدان‌ها اشاره کردند بسیار پیچیده و نیازمند دسترسی فیزیکی به دستگاه بوده‌اند. بنابراین با یک قضاوت سطحی بلافاصله دور دستگاه‌های Ledger یا Trezor را خط نکشید. مادامیکه کسی به طور فیزیکی به آن‌ها دسترسی پیدا نکرده باشد به هیچ وجه به سکه‌های داخل آن‌ها دستبرد زده نخواهد شد. اما همیشه حواستان به وجود حملات زنجیره‌ی تأمین باشد.

کیف‌پول‌های سخت‌افزاری خیلی راحت مورد سوءاستفاده قرار می‌گیرند و پیش از خرید دستبرد زده می‌شوند. البته این می‌تواند برای یک لپ‌تاپ‌ یا اسمارت‌فون معمول نیز پیش بیاید. با این وجود، مهاجمین در صورت دستبرد زدن به لپ‌تاپ یا اسمارت‌فون مطمئن نیستند که از آن بتوانند به پول برسند اما این مسئله در مورد کیف پول‌های سخت‌افزاری خیلی فرق دارد (آن‌ها در این مورد مطمئن‌ هستند که کیف‌پول‌ها حاوی پول‌اند). در ادامه برای محافظت از طالع دیجیتالی خود اقدامات زیر را توصیه می‌کنیم:

• کیف پول‌های سخت‌افزاری رمزارز را تنها از فروشنده‌های معتبر خریداری کنید.
• زمان خرید، تمام علایم مشکوک را مورد نظر قرار دهید.
• برای اطمینان بیشتر دستگاه را از پک درآورده و مطمئن شوید هیچ المان اضافی‌ای در آن وجود ندارد و یا به هیچ صفحه ‌مداری وصل نباشد.
• کیف پول رمزی خود را در مکانی قابل‌اطمینان نگه دارید و نگذارید افراد از اعتماد شما سوءاستفاده کرده و آن را از شما بگیرند.
• وقتی از طریق کامپیوتر خود امور مربوط به ارز دیجیتال انجام می‌دهید سعی کنید همیش نرم‌افزاری امنیتی در اختیار داشته باشید.

[1] Chaos Communication Congress