最近Ledgerが開始した「Ledger Recover」機能は、そのコミュニティの中で大きな論争と懸念を引き起こしています。この機能は、ユーザーがシードフレーズを紛失した際に、暗号化された3つの部分に分割して復元することができるものです。しかし、この新機能に関するLedgerのコミュニケーションは、激しく批判されています
。
LedgerのRecoverが物議を醸す
。
新機能「Ledger Recover」の導入以来、同名の会社は、その仕組みについてコミュニティを安心させるのに苦労してきました。この機能は、ユーザーのシードフレーズを抽出し、それを3つの暗号化された部分に分割することで、必要に応じて再構築することができます。そのため、一部の人々はこの機能を心配しています。
Nano Xモデル(当分の間)でのみ利用できるLedger Recoverは、ユーザーがシードフレーズを紛失した場合、それを回復することができます。Ledgerのドキュメントにあるように、このサービスを利用するためには、Ledgerが選んだサービスプロバイダーであるOnfidoとElectronic IDentificationで本人確認を行う必要がある。Ledger社側は、このソリューションを利用する顧客の身元情報を一切保持しないと述べています。
本人確認が終わると、ユーザーはLedger Nano Xを使って手動で承認する必要があります。問題のユーザーがシードを復元したい場合は、身元を確認し、Nano XをコンピュータからLedger Recoverに接続するだけでよいのです。
Ledgerは、このプロセスが超安全であることを保証しており、シードの切り出し部分(Shamirアルゴリズムによる)はLedgerのサービスプロバイダーで完全に暗号化されます。とりわけ、それらは互いに完全に独立して送信される。
明らかなコミュニケーション不足
。
明らかに、LedgerはLedger Recoverのリリースについてもっとうまくコミュニケーションをとるべきでした。ソーシャルネットワークに降り注ぐネガティブなコメントが、その証拠です。物議を醸した原因のひとつは、2022年11月にLedgerが設計し、STMicroelectronicsが製造するチップ「Secure Elements」からユーザーの秘密鍵を抽出できないとするツイートでした。
(ユーブイエックスダブリューティー
2022年11月ファームウェアアップデートでセキュアエレメントから秘密鍵を抽出できない – Ledger社
2023年5月:技術的に言えば、鍵の抽出を容易にするファームウェアを書くことは、これまでも可能でした – Ledger@Ledger、この問題を理解できましたか?pic.twitter.com/czG53SuCOu
– olimpio (@OlimpioCrypto) 2023年5月17日UVXC。
(ユーブイエックスダブリュージェイ)
(ユーブイエックスダブリューケー
ネットワークはすぐに炎上し、怒ったユーザーによるRedditの投稿(1,000以上のアップヴォートと800以上のコメント)がそれを証明しています。
ハードウェアウォレットのプロバイダーが、オンラインでシードフレーズを保存し、パスポートやIDを渡すよう勧めるなんて、絶対におかしいと思う!特に、すでにデータ漏洩を起こしたことのある会社です! […] もう一度言いますが、私はそれを信じることができません。再びハッキングされるリスクは別として、シードを決して共有せず、オンラインに保存しないという事実とは正反対に、全く新しいレベルの暗号通貨詐欺師への扉を開いてしまうのです!」
。
Ledgerの5月17日の「キーマイニングを可能にするファームウェアをコーディングすることは常に可能だった」とするツイートは、その後削除されました。その代わりに、Ledgerのサポートは、LedgerのCTOであるCharles Guillemetによる、ハードウェアウォレットの仕組みを説明することを目的とした長いスレッドにコミュニティを誘導しています
Eric Larchevêque wants to reassure users
そんな中、Ledgerの共同創業者で前CEOのEric LarchevêqueがRedditへの投稿で自身の意見を述べ(そして同社のコミュニケーション不足を確認)ました:
「私は正しいとは思っていない」。
「9年前に作ったこのsubredditに来て、レジャーのデバイスが燃えている画像や侮辱、多くの怒りを目の当たりにして、打ちのめされています。正直なところ、涙が出そうになっています。[…] 私の最初のステップは、ローンチの扱い方について共同創設者として謝ることです。[…]私にとって、この大失敗は完全にPRの失敗であり、技術的な失敗では絶対にありません」
時間をかけてこの問題を調べた多くの専門家によって確認された厳然たる真実は、何も変わっていないということです。まったく何も変わっていないのです。セキュリティモデルは、Ledger Recoverを知る前と同じです。(中略)変わったのは、一部の人が持っていた信頼できないものという視点であり、それは思ったよりもずっと微妙なものであることが判明しました。
どうであれ、Ledgerはその新機能は完全にオプションであり、このサービスに加入していないユーザーのシードはいかなる形でも鍵から離れることはできないと主張しています。ユーザーの手動による同意がない限り、シードの端数を譲渡することはできない。Charles Guillemet氏は次のように繰り返した。”
“.
「実際には、Ledgerの内部にはセキュアエレメントがあり、このエレメントに鍵、オペレーティングシステム、アプリケーションが入っています。オペレーティングシステムはトランザクション署名を行うために依然として鍵を必要としますが、これはすべてユーザーの同意のもとに行われます。”