Трезор и Леджер, два из самых известных производителей аппаратного кошелька, уже давно находятся в конкурентной борьбе.
В рамках интервью Коинтелеграфа с Чарльзом Гийеметом, техническим директором компании Ledger, он показал, что отношения сложнее, чем может показаться на первый взгляд. Несмотря на риторику, сотрудничество и уважение также могут быть найдены.
Совместное соперничество
Гийем сказал, что он не знает, кто начал соперничество, поскольку это восходит к «самому началу компаний Леджера и Трезора».
«Я думаю, что все стало более серьезно, когда я создал Donjon, который является нашей командой внутренней безопасности», – признал он. Donjon был одним из первых нововведений, введенных Гийеметом, когда он присоединился к Леджеру, из-за его убеждения, что единственный способ создать безопасную систему – это «попытаться сломать ее снова и снова».
В то время как Donjon сосредоточился на кошельках Ledger, они также начали смотреть на продукты конкурентов. «В начале это было в основном из любопытства. Мы просто хотели понять, как они работают », – сказал он.
В результате этого исследования команда нашла уязвимости в «каждом кошельке, на который мы смотрели». Гийем отметил:
«Когда вы обнаружите уязвимость, правильнее всего сообщить об этом поставщику. И это то, что мы сделали ».
Затем поставщики исправили уязвимости, даже иногда давая вознаграждения Леджеру. Что касается Трезора, он упомянул «битву PR» между компаниями, добавив:
«В конце концов, одна вещь, которая полностью соответствует действительности, это то, что безопасность кошелька Trezor значительно улучшилась благодаря нам».
Хотя Гийем не помнил точное количество уязвимостей, о которых сообщал Трезору, он сказал, что их было «шесть или семь». Все они были исправлены, кроме одного, который был не исправим из-за фундаментального дизайна чипов Трезора.
В связи с этим группа «Леджер» не раскрыла свои подробности, хотя через год группа безопасности Кракена сообщила об этом самостоятельно.
Открытый исходный код против безопасности
Причина, по которой ошибка не устраняется, заключается в том, что Trezor использует в своем кошельке так называемый чип MCU, который используется в обычных бытовых приборах и не предназначен для безопасного хранения данных, пояснил Гиллем. Когда его спросили, почему, он сказал, что это был осознанный выбор дизайна:
«Они твердо верят в философию открытого исходного кода, и когда вы используете Secure Element, вы должны подписать соглашение о неразглашении с производителем чипа, что не позволяет вам предоставлять какую-либо информацию о том, что происходит внутри чипа».
Защищенный элемент, используемый Леджером, содержит множество контрмер, которые, вероятно, покажет прошивка с открытым исходным кодом. По словам Гийема, защищенные элементы неприемлемы для Трезора, поскольку они хотят, чтобы их программное обеспечение было полностью открыто.
Гийем сказал, что программное обеспечение с открытым исходным кодом – «очень хорошая вещь», и отметил, что он лично участвовал в некоторых проектах. «Но когда вы разрабатываете устройство безопасности, я думаю, что безопасность – это самое важное».
Хотя он признал, что программное обеспечение с открытым исходным кодом может быть полезным для безопасности из-за дополнительной проверки, этого недостаточно:
«Поскольку это не позволяет вам использовать выделенный безопасный элемент, в конце концов вы получаете менее защищенное устройство».
Гийем поделился, что у него «хорошие отношения лично с людьми из Трезора», называя их «очень интересными парнями» – даже если философия двух команд различна.
