Ledger、ツイートで物議を醸したファームウェアの仕組みを明らかに

　　Tom Blackstone

　　2023年05月19日 07:20

　　Ledger、ツイートで物議を醸したファームウェアの仕組みを明らかに

　　仮想通貨ハードウェアウォレットプロバイダーのレジャーは5月18日、ファームウェアの仕組みについて明らかにした。これは、同社により削除された5月17日の物議を醸したツイートに対する反応だ。削除されたそのツイートは、レジャーがユーザーの秘密鍵を抽出可能なファームウェアを作成することが「可能」であると述べ、非難が集中していた。

　　同社の最高技術責任者（CTO）シャルル・ギヨメ氏は新たなツイッタースレッドで、ウォレットのオペレーティングシステム（OS）は「秘密鍵に触れる度に」ユーザーの同意を必要とすると明らかにした。つまり、OSはユーザーの同意なしにデバイスの秘密鍵をコピーすることができないはずだが、ギヨメ氏はまた、レジャーを使用するには「最小限の信頼」が必要だとも述べた。

　　削除されたレジャーのカスタマーサポートのツイートでは、「技術的には、秘密鍵の抽出を容易にするファームウェアを作成することは可能であり、これまでも常に可能だった。そのようなファームウェアをデプロイしないと信頼されてきたのがレジャーだ」と述べていた。

　　このツイートはTwitterで大論争を引き起こし、多くのユーザーが同社がウォレットのセキュリティを誤って表現していると非難した。批評家たちは、レジャーが自身の主張を矛盾させたとする昨年11月の投稿を共有した。その投稿では「ファームウェアのアップデートではセキュアエレメントから秘密鍵を抽出することはできない」と述べていたとされる。

　　ツイートが議論を巻き起こしたものの、その問題が初めて表面化したのは5月16日だった。この日、レジャーは新たな「レジャーリカバー」サービスを公開した。これはユーザーが秘密のリカバリーフレーズを3つのシャードに分割し、それらを異なるデータカストディサービスに送信することを可能にするものだ。削除されたツイートはこの新機能の公開に対する反応だった。

　　ギヨメ氏からの新たなツイッタースレッドは、ウォレットのファームウェア、つまりOSが「誰でも自分のアプリを作成し、デバイスに読み込むことができる」という意味で「オープンプラットフォーム」であると述べている。レジャーマネージャーソフトウェアに許可される前に、アプリはチームにより評価され、悪意があるものでないか、セキュリティ上の欠陥がないかを確認する。

　　レジャーによると、アプリが承認された後も、OSはそれが対象としないネットワークの秘密鍵を使用することを許可しない。同社は、ビットコインのアプリがデバイスのイーサリアムの秘密鍵を使用することを許可されず、逆にイーサリアムのアプリがビットコインの秘密鍵を使用することが許可されないという例を挙げた。さらに、アプリが秘密鍵を使用する度に、レジャーはOSがユーザーにキーの使用に同意することを確認することを要求していると述べている。これは、レジャーにインストールされた第三者のアプリが、ユーザーが初めにその使用に同意することなく、個人の秘密鍵を使用することはできないことを意味するようだ。

　　また、ギヨメ氏はこのシステムが現行のOSの一部であり、レジャーが不正を働くようになったり、何者かが同社のコンピュータを何らかの方法で制御するようになった場合には理論的に変更可能であると確認した。「もしウォレットがバックドアを実装したいと思えば、ランダム数生成、暗号ライブラリ、ハードウェア自体に多くの方法がある。秘密鍵をブロックチェーンの監視だけで取得できるように署名を作成することさえ可能だ」とギヨメ氏は述べた。

　　しかし、レジャーの最高技術責任者はこの懸念を退け、「ウォレットの使用には最小限の信頼が必要だ。あなたの仮説がウォレット提供者が攻撃者であるというものであれば、あなたは絶望的だ」と述べた。彼はさらに、ユーザーが不正なウォレット開発者に対抗する唯一の方法は、自分自身でコンピュータ、コンパイラ、ウォレットスタック、ノード、同期器を構築することで、これは「一生の旅」だと語った。

　　ライバルのハードウェアウォレット提供者であるGridPlusは、レジャーユーザーを引きつけるためにファームウェアをオープンソース化する提案をしてきた。一方、ギヨメ氏はオープンソース化したファームウェアは不正なウォレット提供者に対して防御することはできず、ユーザーは公開されたコードが実際にデバイスで実行されているかどうかを知る方法がないと述べた。