區塊鏈:什么才是安全的硬件錢包？

隨著區塊鏈的火爆，市面上的硬件錢包琳瑯滿目，我們應該如何選擇呢？知道創宇區塊鏈安全實驗室就這個問題進行深度探討，解答什么才是安全的硬件錢包。

安全芯片

硬件錢包主要功能是生成、保存私鑰，同時還能對用戶的交易進行簽名驗證，而完成這一切的核心，便是錢包安全芯片。錢包安全芯片保存了我們的私鑰，當需要對交易進行簽名時，通過調用芯片接口，把需要簽名的數據傳輸給安全芯片，安全芯片返回簽名后的數據，實現了在不對外暴露私鑰的情況下，完成交易簽名，從而保證了私鑰安全。所以錢包芯片的安全等級，直接決定了整個硬件錢包的安全系數。對于安全芯片的安全等級評測，國際上公認的標準是CC標準，CC標準對安全保障等級，規定了七個級別：

韓國“區塊鏈城市”中的大多數公司都不知道什么是區塊鏈:釜山研究所最近的一份報告顯示：在韓國釜山的區塊鏈沙盒城市中，有62%的公司顯然對這項技術一無所知。

自去年以來，釜山被韓國聯邦政府視為區塊鏈開發的“無監管”區域。該市在區塊鏈領域開展了許多項目，包括基于區塊鏈的虛擬電廠的計劃，甚至是其自己的市政加密貨幣的計劃。

來自各行各業的100家接受調查的公司中，有91%的人表示他們沒有計劃采用區塊鏈技術。在對26家與區塊鏈相關的公司的另一項調查中，有23%的人抱怨最近面臨的監管障礙。此外，有19%的區塊鏈企業還表示他們對發展感到孤獨，指責政府缺乏對區塊鏈采用的支持，而15.4%的企業則擔心缺乏技術和人力資源來開發該技術。[2020/9/19]

Compound總法律顧問：除非很清楚自己在做什么，否則不要在DeFi上投資:Compound總法律顧問Jake Chervinsky發推稱：“盡管我對DeFi實驗很著迷，即使是很混亂的那種項目，但我根本不想鼓勵投機。大多數人應該堅持BTC和ETH，這樣做的風險已經夠大了。除非你真的知道你在做什么，否則不要在DeFi（代幣或協議）上投資。”[2020/8/16]

從上述定義可以看出，安全芯片至少要滿足EAL5等級標準，才是一個合格的錢包安全芯片。換一個通俗的說法：ELA5及以上安全芯片，可以保證芯片中的數據、密鑰、代碼，外部無法破解讀取，可以安全保存我們的私鑰！如果硬件錢包的安全芯片，沒有進行EAL認證，那么不管宣稱的多么安全，都是值得懷疑的！私鑰生成

聲音 | 多位議員Libra聽證會后接受采訪：沒有看到取得什么進展:在美國國會眾議院金融委員會關于Libra的聽證會結束后，眾議院兩黨議員都對冗長的證詞表示了不滿。眾議院金融委員會的成員表示，并沒有看到（扎克伯格出席聽證）取得了什么進展。該委員會高級成員、北卡羅來納州共和黨人Patrick McHenry表示：“坦率地說，我不確定我們在這里學到了什么新東西。”該委員會的其他幾位成員也同意這一觀點。德克薩斯州民主黨眾議員Sylvia Garcia也發表了類似于McHenry的評價，她還對Facebook及Libra協會這兩個實體是分開的說法提出了質疑。該委員會主席Maxine Waters則表示，她根本不支持這個計劃，不明白Libra想要達到什么目的，且項目也沒有得到“充分的解釋”。Waters稱：“我要求Libra暫停工作。扎克伯格也承諾，在沒有監管機構批準之前，他們不會啟動這項計劃。但她‘不太確定’這是同一回事。”（CNBC）[2019/10/24]

安全芯片可以保證我們的私鑰存儲安全、簽名驗證安全，但如果我們的私鑰本身不安全，那么為私鑰所設計的一切安全保護，都是空中樓閣。私鑰是一串256位的隨機數，而硬件錢包一般遵循BIP32、BIP39、BIP44協議，通過隨機數，生成我們的助記詞和私鑰種子，如果硬件錢包產生的隨機數不夠隨機，那生成的私鑰就有可能被他人推算出來。設計真隨機數生成器(TRNG)，是一項非常復雜的工作。為了確保隨機數質量，需要以可驗證和經過嚴謹統計的方式證實TRNG的真隨機性。國際上一般采用美國國家標準與技術研究院制定的NISTSP800-90A/B/c標準或德國標準機構制定的AIS20-31標準：

如果硬件錢包，沒有采用符合標準的隨機數生成器，那錢包本身生成的私鑰就不安全，隨時都有被推算破解的可能。公開透明

硬件錢包即使使用了高安全等級芯片、真隨機數，也有可能因為其他問題，導致整個錢包的安全問題。所以一個真正安全的硬件錢包，還應該做到公開透明。讓大家知道錢包是如何生成私鑰，如何安全的保存私鑰，如何安全的進行芯片通信和交易簽名，只有經得起各方審查的硬件錢包，才是真正安全的硬件錢包。

Tags：區塊鏈LIBRALIBCHE區塊鏈幣是什么幣libra幣最新消息Liberta FinancialCHEEL

抹茶交易所