Handsome on Nostr: 有朋友问了我一个几年前我也提过的有趣问题:iPhone ...
有朋友问了我一个几年前我也提过的有趣问题:iPhone 安装个知名钱包,然后飞行模式,是否算是很好的硬件钱包?
我来说下我在黑手册里也提到过的一些思考,如何安心地用好硬件钱包,有几个关键因素:
第一,助记词生成时随机数熵值是否足够,即是否足够随机,历史上披露过的如靓号问题、Randstorm、Milk Sad 等都是因为随机数缺陷导致真实被盗案例。
但是,用户要知道助记词生成是否足够随机是很难的,我们还会 review 有关代码(如果开源的话),但这里又来了个问题,我们 review 的代码就是编译后使用的吗?即使我们花了很多精力完成相关 review,就一定安全吗,不会出现更高级的攻击手法?所以你看,零信任思维里,我们不得不怀疑一切,原因也很简单,高明的黑客一定都想到了这一层。
所以这里就来个有趣的思想哲学,奥卡姆剃刀,如无必要,勿增实体,也是我很喜欢的一个词 KISS(Keep It Simple, Stupid),或者我们的古话“大道至简”。
来,大道至简思想下,如果一个固定版本(或固定的随机数生成有关代码)是久经考验、用户颇多、承载资产颇多,团队背景信誉良好,还活跃着,对安全有关话题有不错的见解输出。好的,这种我会放心很多,固定版本后我就不动了。这样的一款硬件钱包我从官方源头拿到后,验证真伪,对应的 review 后的固件版本更新上后,我就可以长期更放心地使用。
第二,使用时是否可以配套用户交互安全做得很优秀的软件钱包,它们之间通过二维码扫描是我很喜欢的交互方式,当然连接 USB、蓝牙等方式也不是不行,不多说利弊,如果非得挑剔 100% 安全模型,不现实。
硬件配合软件的好处很明显,助记词/私钥永不触网,然后软件钱包可以把用户交互安全做到趋于极致。虽然有些也可以在硬件钱包里完成,这也是我喜欢大屏幕硬件钱包的原因。至少 double check 时,我会放心许多。
记住 Crypto/Web3 最关键的两大安全问题:
- key,指助记词/私钥
- sign,指签名,也就是用户交互安全上要搞定的关键点
最后,支持好多签也是安全加分项。如果要扩展下多签思维,那么助记词如果可以 SSS(Shamir's Secret Sharing) 分片保存,继续加分。
好了,回头看开始的问题,答案自己形成吧。不管怎样,能说 iPhone 而不是 Android,对大多数用户来说,安全上已经赢了一个档次。
我来说下我在黑手册里也提到过的一些思考,如何安心地用好硬件钱包,有几个关键因素:
第一,助记词生成时随机数熵值是否足够,即是否足够随机,历史上披露过的如靓号问题、Randstorm、Milk Sad 等都是因为随机数缺陷导致真实被盗案例。
但是,用户要知道助记词生成是否足够随机是很难的,我们还会 review 有关代码(如果开源的话),但这里又来了个问题,我们 review 的代码就是编译后使用的吗?即使我们花了很多精力完成相关 review,就一定安全吗,不会出现更高级的攻击手法?所以你看,零信任思维里,我们不得不怀疑一切,原因也很简单,高明的黑客一定都想到了这一层。
所以这里就来个有趣的思想哲学,奥卡姆剃刀,如无必要,勿增实体,也是我很喜欢的一个词 KISS(Keep It Simple, Stupid),或者我们的古话“大道至简”。
来,大道至简思想下,如果一个固定版本(或固定的随机数生成有关代码)是久经考验、用户颇多、承载资产颇多,团队背景信誉良好,还活跃着,对安全有关话题有不错的见解输出。好的,这种我会放心很多,固定版本后我就不动了。这样的一款硬件钱包我从官方源头拿到后,验证真伪,对应的 review 后的固件版本更新上后,我就可以长期更放心地使用。
第二,使用时是否可以配套用户交互安全做得很优秀的软件钱包,它们之间通过二维码扫描是我很喜欢的交互方式,当然连接 USB、蓝牙等方式也不是不行,不多说利弊,如果非得挑剔 100% 安全模型,不现实。
硬件配合软件的好处很明显,助记词/私钥永不触网,然后软件钱包可以把用户交互安全做到趋于极致。虽然有些也可以在硬件钱包里完成,这也是我喜欢大屏幕硬件钱包的原因。至少 double check 时,我会放心许多。
记住 Crypto/Web3 最关键的两大安全问题:
- key,指助记词/私钥
- sign,指签名,也就是用户交互安全上要搞定的关键点
最后,支持好多签也是安全加分项。如果要扩展下多签思维,那么助记词如果可以 SSS(Shamir's Secret Sharing) 分片保存,继续加分。
好了,回头看开始的问题,答案自己形成吧。不管怎样,能说 iPhone 而不是 Android,对大多数用户来说,安全上已经赢了一个档次。