Samkvæmt Chainalysis fór heildarfjárhæð stolinna fjármuna í gegnum tölvuárásir á dulritunarvettvanga yfir 1,58 milljarða Bandaríkjadala þann 31. júlí 2024. Þetta er 84,4% aukning miðað við sama tímabil árið 2023. Þann 18. júlí 2024 stal nethópurinn Lazarus 34,9 milljónum Bandaríkjadala frá WazirX kauphöllinni, sem er einn stærsti þjófnaðurinn síðustu mánuði. Heitar (net)veski eru í eðli sínu viðkvæm fyrir markvissum árásum og brotum á einkalyklum, og þess vegna eru fjárfestar í auknum mæli að skipta yfir í kæligeymslu fyrir eignir sínar.
Kalt dulritunargjaldmiðilsveski
Í þessari grein munum við útskýra á einfaldan hátt hvað kalt veski er, hvernig það virkar og hvers vegna þessi valkostur hjálpar til við að vernda fjármuni þína gegn tölvuárásum.
Hvað er kalt veski
Áður en þessari spurningu er svarað skulum við stuttlega skoða hvernig dulritunargjaldmiðlar og veski virka almennt.
Grunnatriði í notkun dulritunarveskis
Dulkóðun í dulritunargjaldmiðlum er notuð bæði til að viðhalda blokkakeðjunni (keðju af blokkum sem innihalda færsluskrár) og til að senda færslur frá notendum. Til þess að netið geti tekið við færslu til vinnslu verður það að hafa stafræna undirskrift: röð af stöfum sem eru búin til með því að beita dulkóðun á færslugögnin þín.
Dulkóðun er framkvæmd með leynilegum upplýsingum – svokölluðum einkalykli. En hvernig munu þátttakendur netsins skilja að undirskriftin er ósvikin? Nútíma dulkóðunaralgrím taka tillit til þessa og opinber lykill fylgir alltaf einkalyklinum.
Hægt er að dreifa opinbera lyklinum frjálslega. Það er nauðsynlegt til að staðfesta að stafræna undirskriftin hafi í raun verið búin til með samsvarandi einkalykli. Hver sem er með opinbera lykilinn getur staðfest áreiðanleika undirskriftarinnar og staðfest færsluna.
Til að einfalda kerfið fundu verkfræðingar upp á því að nota opinbera lykilinn sem upplýsingar um dulritunarreikning. Það er opinberi lykillinn (eða framsetningarform hans) sem kallast dulritunarveskisfangið.
Hver dulritunargjaldmiðill í veski hefur sitt eigið vistfang. Með því er hægt að staðfesta allar færslur frá því vistfangi. Ókeypis staðfesting færslna gerir dulritunargjaldmiðla dreifða og gagnsæja fyrir alla þátttakendur í netkerfinu. Hins vegar eru veikleikar dulritunargjaldmiðla einkalyklar hvers þátttakanda. Ef einkalykill lendir í hendur þriðja aðila getur dulritunarsamfélagið ekki lengur greint á milli þess hver gerði færsluna: raunverulegan eiganda eða illgjarn aðili. Þess vegna er verndun einkalykla mikilvægt mál í dulritunargjaldmiðlum.
Eiginleikar kaldra dulritunarveskis
Kalt veski er leið til að geyma einkalykla alveg án nettengingar, án stöðugrar nettengingar. Ef netveski eru stöðugt tengd við netið og geyma lykla á netþjónum eða í forritum, einangrar kalt veski lykla líkamlega frá fjarárásum. Kalt dulritunarveski tryggir að ekkert forrit, veira eða tölvuþrjótar geti fengið beinan aðgang að fjármunum þínum.
En hvernig framkvæmir maður færslur ef kalda veskið hefur engan aðgang að internetinu? Allar aðgerðir dulritunargjaldmiðla virka á eftirfarandi hátt: maður býr til og undirritar færslu á tæki sem er ekki tengt internetinu og sendir síðan aðeins fullunnu stafrænu undirskriftina til netsins — til dæmis með USB-lykli eða QR kóða — til staðfestingar og birtingar á blockchain-inu.
Hver fann upp kalt dulritunargjaldmiðlaveski
Hugmyndin um að geyma einkalykla án nettengingar kom upp nánast strax eftir að Bitcoin kom til sögunnar. Árið 2011 lýstu þátttakendur á Bitcointalk spjallborðinu fyrst „pappírsveskis“ aðferðinni, þar sem lyklar voru búnir til á tölvu án nettengingar og prentaðir á blað.
Þessi aðferð sótti hugmyndina um kæligeymslu í hefðbundna bankastarfsemi, þar sem verðmæti eru geymd í öryggishólfi. Höfundar þessara rita lögðu stöðugt áherslu á að ef einkalykill birtist aldrei á netinu gætu árásarmenn ekki náð til hans.
Það voru einmitt þessar fyrstu tilraunir með pappírsmiðla sem lögðu grunninn að síðari vélbúnaðarlausnum og breyttu geymslu án nettengingar í nauðsynlegt tæki til að vernda dulritunareignir. Þannig fæddist hugmyndin um kalt veski.
Fyrstu köldu veskjurnar
Fyrsta viðskiptalega vélbúnaðar-kæliveskið var kynnt af tékkneska fyrirtækinu SatoshiLabs þann 29. júlí 2014, með útgáfu Trezor Model One. Tækið var byggt á ATMega 32U4 örstýringu, búinn OLED skjá og tveimur hnöppum til að staðfesta aðgerðir, en einkalyklar voru áreiðanlega einangraðir inni í tækinu, sem kom í veg fyrir að þeir næðu nokkurn tímann á netið. Einföld plastútgáfa af dulritunarveskinu seldist fyrir 1 BTC og álútgáfan fyrir 3 BTC – sem, miðað við Bitcoin-verð á þeim tíma, gerði Trezor að einni dýrustu, en einnig öruggustu, lausninni á markaðnum.
Árið 2016 gaf franska sprotafyrirtækið Ledger út Nano S vélbúnaðar dulritunarveskið, sem notaði Secure Element örgjörva með CC EAL5+ vottunarstigi og sitt eigið BOLOS stýrikerfi. Þökk sé USB tengi og samþættingu við Ledger Live forritið studdi Nano S kæliveskið tugi dulritunargjaldmiðla, sem einfaldaði eignastýringu í tölvu eða snjallsíma.
Árið 2022 hafði Ledger selt yfir 3 milljónir slíkra dulritunarveskis, sem staðfesti mikla eftirspurn eftir vélbúnaðarlausnum. Fljótlega fóru framleiðendur að þróa hugmyndina áfram: Árið 2018 hóf SatoshiLabs að senda út Trezor Model T með litaskjá, öflugri örgjörva og innbyggðri microSD-rauf. Nýja viðmótið einfaldaði innslátt PIN-númera og endurheimtarorða, en aukin virkni gerði kleift að vinna úr fleiri gerðum dulritunarviðskipta án nettengingar. Og í dag hafa nýir framleiðendur vélbúnaðar-dulritunarveskis komið inn á markaðinn og reyna að skora á reynslumikla með einfaldleika og auðveldri notkun ásamt öryggi.
Hvernig kalt veski virkar „undir hettunni“
Kalt veski er byggt í kringum örugga örgjörva eða örstýringu, umkringt öryggisíhlutum: dulkóðuðu, óstöðugu minni fyrir einkalykla, skjá og líkamlegum hnöppum til að staðfesta aðgerðir.
Ef um kalt veski er að ræða, þá keyrir tækið einfaldað stýrikerfi án neteininga og hugbúnaðar frá þriðja aðila. Samskipti við umheiminn eiga sér aðeins stað í gegnum fyrirfram skilgreinda rás – til dæmis USB tengi eða QR kóða skanna – og aðeins eftir að notandinn hefur staðfest hverja dulritunargjaldmiðilsaðgerð líkamlega.
Hvernig lykilveldið er myndað – í einföldum orðum
Glöggir lesendur munu taka eftir því að hver dulritunargjaldmiðill þarfnast síns eigin einkalykils. Hver þessara lykla verður að vera geymdur í veskinu til að undirrita færslur á mismunandi netum og fyrir mismunandi mynt. Stundum safna fjárfestar tugum eða jafnvel hundruðum mynta í eignasafni sínu. Auðvitað er óþægilegt að vinna með hvern lykil fyrir sig í slíkum ham. Þess vegna var hugmyndin um aðallykil fundin upp. Aðallykill er „lykill að lyklum“ sem hægt er að endurheimta alla aðra með.
Undirritun viðskipta skref fyrir skref
Ef þú býrð til færslu með því að velja mynt, upphæð og net og sendir hana síðan beint á netið í heitu veski, þá er þetta ferli hægara í köldu veski.
Fyrst býrðu til drög að færslu í forriti í tölvunni þinni eða snjallsímanum — þar sem þú tilgreinir heimilisfang viðtakanda, upphæð dulritunargjaldmiðilsins og stærð gjaldsins. Ekki er hægt að senda drögin til netsins þar sem þau eru óundirrituð og án undirskriftar frá einkalyklinum mun netið ekki samþykkja færsluna. Síðan er þetta drög flutt í kalda veskið þitt með USB snúru eða með því að skanna QR kóða.
Allar upplýsingar um millifærsluna birtast á skjá tækisins: hvert og hversu mikið er sent, hvaða gjald er innheimt. Eftir staðfestingu ýtirðu á veskishnappana og staðfestir aðgerðina. Inni í tækinu tekur innbyggt forrit einkalykilinn þinn og býr til stafræna undirskrift – einkvæman kóða sem staðfestir áreiðanleika færslunnar. Fullgerða undirskriftin er send út sem strengur eða QR kóði, sem er skilað til forritsins á aðaltækinu.
Að lokum birtir forritið undirritaða færsluna á blockchain-inu, á meðan einkalykillinn þinn helst öruggur og yfirgefur aldrei dulritunarveskið.
Afritun og endurheimt
Eins og við höfum þegar nefnt, er hægt að nota einkalykla beint til öryggisafritunar (skrifa þá á miðil og læsa miðilinn í öryggishólfi) eða í gegnum miðil – til dæmis pappír. En það er mjög óþægilegt að skrifa niður einkalykla, þar sem þeir eru oft langir stafaflokkar. Þess vegna fundu verkfræðingar upp fræorðasambönd.
Fræsetning er safn af 12/24 orðum sem kóða einkalykilinn nákvæmlega. Í þessum skilningi eru fræsetning og aðallykill jafngild. Ekki er hægt að breyta fræsetningu og leki hennar þýðir að allt veskið er í hættu.
Þess vegna er fræsetningin venjulega aðeins sýnd einu sinni við upphaflega uppsetningu veskisins.
Þessa setningu verður að skrifa niður (og varðveita orðaröðina!), til dæmis á pappír, og geyma á öruggum stað. Til að útiloka hættuna á að týna upphafssetningunni er hægt að taka 2–3 eintök og setja þau á mismunandi staði. Annars vegar eykur þetta öryggi setninganna, en hins vegar eykur það einnig hættuna á að utanaðkomandi komist að henni fyrir slysni.
Ef þú vilt geyma blað með upphafssetningunni í öryggishólfi er það frábær hugmynd. Hins vegar, til öruggrar geymslu er þess virði að nota endingarbetri kæliviska, eins og málm. Þú getur búið til plötu sjálfur eða keypt sérhæfða þar sem þú þarft einfaldlega að prenta upphafssetninguna.
Athugaðu reglulega hvort setningin sé læsileg og hvar hún er geymd. Ef blaðið byrjar að rifna eða textinn verður óskýr skaltu færa orðin yfir á nýtt eintak. Góð afritun og tímanleg uppfærsla á eintökum mun koma í veg fyrir varanlegt fjárhagslegt tap.
En hvað ef fræsetningin glatast? Það fer allt eftir því hvort þú hefur enn aðgang að veskinu. Ef aðgangur að veskinu er varðveittur þarftu einfaldlega að búa til nýtt kalt dulritunarveski, skrifa niður og vista nýja fræsetninguna og síðan flytja fé úr gamla veskinu yfir í það nýja. Ef hins vegar enginn aðgangur er að veskinu og fræsetningin glatast, er tæknilega ómögulegt að endurheimta aðgang að fjármunum þínum. Enginn getur gert þetta: enginn hefur einkalyklana þína og að þvinga þá er verkefni sem ekki er hægt að leysa innan hæfilegs tíma.
Hægt er að nota fræsetningu ekki aðeins ef vélbúnaðarveski týnist eða bilar heldur einnig ef þú vilt fá aðgang að sama veski úr öðru tæki. Þar að auki getur framleiðandi tækisins verið annar. Þú munt geta undirritað færslur þínar á hvaða tæki sem er. Hins vegar er það ekki mjög góð hugmynd að nota fræsetningu til að endurheimta veski í heitri útgáfu, þar sem það skerðir hugmyndina um kalda geymslu. Í þessu tilfelli hættir öll vernd vélbúnaðarveskisins einfaldlega að virka.
Tegundir kaldra veskis
Öruggustu köldu veskin eru vélbúnaðarveski. Þetta eru nett tæki með skjá og hnöppum, þar sem öruggur örgjörvi er settur inn.
Pappírsveski fela í sér að lykilpar er búið til án nettengingar og síðan er það prentað á pappír. Þessi aðferð krefst engra rafeindatækni, en pappírinn rifnar og dofnar. Til langtímageymslu er notað vatns- og eldþolið stál, sem orð fræsetningarinnar eða einkalykillinn sjálfur eru grafin á.
Ótengd forrit og USB-lyklar geyma veskishugbúnað á glampi-lykli eða microSD-korti, sem er hlaðið inn í tölvu án nettengingar. Einkalyklar eru geymdir í dulkóðuðu íláti á miðlinum og færslur eru undirritaðar á staðnum. Þessi aðferð dregur úr kostnaði samanborið við vélbúnað en krefst reglulegra hugbúnaðaruppfærslna, sem eru frekar óþægilegar í framkvæmd án nettengingar.
Einnig eru til köld veski með stuðningi við margar undirskriftir. Í þessu tilviki er einkalykillinn skipt í nokkra hluta sem eru geymdir á mismunandi tækjum. Færsla er aðeins hægt að undirrita með samþykki meirihluta þátttakenda — þetta eykur áreiðanleika geymslu en flækir fjárflutningsferlið.
Niðurstaða
Köld veski eru enn ein áreiðanlegasta leiðin til að vernda dulritunargjaldmiðla gegn tölvuárásum og brot á einkalyklum. Þar sem netárásir á kauphallir og heit veski verða sífellt útbreiddari og fjárhæð stolinna fjármuna nær nýjum metum, er köld dulritunarveski að breytast úr valkosti í nauðsyn fyrir þá sem vilja varðveita dulritunargjaldmiðla sína. Rétt val og uppsetning á köldu veski, regluleg uppfærsla á afritum og vandleg meðhöndlun á fræsetningunni mun hjálpa til við að vernda fjárfestingar þínar og draga úr áhættu jafnvel í ljósi vaxandi ógna á dulritunarmarkaðnum.