当前位置:首页 > 知识 >

狗狗币的交易平台和硬件钱包开源:安全妥协还是升级

我们非常尊重那些将他们的工作分享给全世界的先驱开发者。感谢区块链技术的创始人,因为他们开源了他们的工作,我们才能获得像Linux、比特币加密货币市场等令人惊叹的创新带来的收益。

然而,当涉及到硬件钱包的安全性是否受益于源代码的可用性时,我们面临一个新的讨论。本文解释了为什么我们认为开放源代码并不是硬件钱包的升级,而是一次重大的安全妥协。

了解开源的好处 传统计算领域中,开源支持者一直强调开源的安全性,因为公众可以检查源代码并帮助修复潜在的漏洞,从而提高安全性。统计数据也表明,对于闭源的Safari浏览器零日攻击的修复平均需要9天,而对于开源的Firefox浏览器的修复只需要1天。

但是,在讨论开源软件在硬件钱包方面的优势时,我们必须考虑到与硬件钱包开发相比,传统计算机开发社区规模巨大的事实。最大的硬件钱包品牌Trezor的开源代码只有大约180个贡献者,而其他硬件产品如树莓派的开源固件贡献者则有约9500人。

无论项目有多大,都无法完全避免暴露其代码的潜在危险。比如LinuxMint在2016年遭到黑客攻击,虽然这个后门问题在一天内得到解决,但这主要得益于较大规模的Linux开源社区。

共享源代码是一把双刃剑,对于硬件钱包来说,发布源代码可以使黑客更容易检测漏洞并发动攻击。开源代码还可能为网络犯罪分子打开大门,制造能够欺骗消费者的伪造硬件钱包。

零日攻击的风险增加 安全硬件钱包所有者需要注意的一个安全问题是零日攻击。在零日攻击中,黑客可以利用暴露或宣布先前未知的漏洞来发动攻击。由于硬件钱包中的漏洞通常通过固件升级来解决,因此通常需要一段时间才能安装和修复问题。某些用户在设置好硬件钱包后可能几个月甚至几年都不打开它,这极大地增加了零日攻击的风险。对于具有开源代码开发经验的人来说,黑盒子或带有闭源代码的设备可能比带有开源代码的白盒子更安全。

心理安慰还是实际利益? 虽然我们很容易将比特币作为开源代码提供安全性的一个主要实例,但假设所有区块链项目都应效仿并成为开源代码可能并不合理。比特币之所以能够从开源开发社区获得安全性,是因为该社区参与了项目的维护和保护,涉及了很多的安全功能。然而,由于目前涉及硬件钱包安全性的开发人员相对较少,因此我们无法对共享源代码的好处做出任何假设。

除了大量增加检查代码的审阅者之外,开源代码开发在传统计算机领域还有另一个好处,就是任何人都可以自己下载、安装、调试甚至删除某些代码方面。然而,即使有坚实的技术基础,安全措施仍有被超越的潜力。像KenThompsonHack (KTH)这样的专业人士告诉我们,除非您能够自己编写编译器,否则您将不得不信任第三方。大多数硬件钱包用户甚至都不会费力刻录或调试源代码。对于这类用户来说,知道他们的硬件钱包是开源的更多是一种心理安慰,而不是实际上可以显着提高钱包安全性的因素。

二维码签名输出的“可审查性” 在传统计算领域,我们可以将开源软件带来的安全性视为对源代码的审查。虽然这种情况还不适用

猜你喜欢

关注我们

微信二维码

微信