Nhớ lại rằng Darling Think Tank trước đây đã giải thích về "ba yếu tố" xác định tính bảo mật của ví tiền mã hóa: ba yếu tố đó là ví tiền mã hóa phải được cách ly mạng, bảo vệ tính toàn vẹn của hệ thống và bảo mật hạt giống; thứ ba là "không có hệ thống tấn công và bảo vệ giả thiết". Yếu tố "ba cái" là phân tích các tính năng bảo mật mà ví nên có từ góc độ phòng thủ. Bài viết này phân tích các nguyên tắc hướng dẫn thiết kế bảo mật ví tiền mã hóa từ hai chiều bao gồm khả năng tấn công và khả năng sử dụng:

1. Kích thước của khả năng tấn công

Guo Weiji, nhà khoa học trưởng của Mishen Technology, phân tích chi phí-lợi ích của việc tấn công ví thành ba cấp độ từ bốn khía cạnh: ngưỡng kỹ thuật, chi phí kinh tế, chi phí phạm tội và thu nhập dự kiến:

Cấp độ đầu tiên, khả năng tấn công cao, tương ứng với ngưỡng kỹ thuật thấp, chi phí kinh tế thấp, chi phí tội phạm thấp và lợi nhuận kỳ vọng cao;

Cấp độ thứ hai, khả năng tấn công trung bình, tương ứng với ngưỡng kỹ thuật thấp, chi phí kinh tế thấp, chi phí phạm tội cao và lợi nhuận kỳ vọng thấp;

Cấp độ thứ ba, khả năng tấn công thấp, tương ứng với ngưỡng kỹ thuật cao, chi phí kinh tế cao, chi phí phạm tội cao và lợi nhuận kỳ vọng thấp.

So sánh các kích thước có thể tấn công, nguồn: Darling Think Tank

Ba cấp độ này có thể hướng dẫn chúng tôi áp dụng thiết kế bảo mật được nhắm mục tiêu.

2. Thứ nguyên sẵn có

Khả năng sử dụng của ví tiền điện tử bao gồm bảo mật và trải nghiệm người dùng. Không giống như thông lệ đánh đồng khả năng sử dụng với trải nghiệm người dùng, ở đây chúng tôi liệt kê bảo mật là một chỉ báo chính về khả năng sử dụng. Lý do rất đơn giản, là một sản phẩm ví, bảo mật là điều quan trọng nhất. Ví tiền mã hóa nếu bảo mật kém sẽ có nhiều hạn chế trong việc sử dụng, đặc biệt là tài sản mà nó quản lý chỉ có thể rất nhỏ, dù có mất cũng không đáng kể, điều này khiến ví không sử dụng được trong nhiều trường hợp.

Ngoài ra, trải nghiệm người dùng kém cũng có thể dẫn đến mất bảo mật. Ví dụ: nếu tính bảo mật của một ví nhất định chủ yếu phụ thuộc vào người dùng nhập mật khẩu tương đối phức tạp, thì trải nghiệm người dùng sẽ kém; và do sự lười biếng của con người, người dùng có thể sử dụng mật khẩu có vẻ phức tạp nhưng lại dễ bị bẻ khóa.

Một ví tiền mã hóa lý tưởng có tính bảo mật cao và trải nghiệm người dùng rất tốt. Nhưng rất khó để cân bằng cả hai. Để đạt được điều này, Guo Weiji đã đề xuất một công thức:

Chỉ số Nâng cao Công nghệ ≥ Chỉ số An toàn x Chỉ số Trải nghiệm Người dùng

Ở một cấp độ kỹ thuật nhất định, chỉ số an toàn và chỉ số trải nghiệm người dùng tối đa là tỷ lệ nghịch với nhau và không thể được xem xét đồng thời. May mắn thay, bằng cách áp dụng các công nghệ tiên tiến hơn, cả chỉ số an toàn và chỉ số trải nghiệm người dùng đều có thể được cải thiện cùng một lúc. Có thể coi rằng khả năng sử dụng tối đa của ví tiền mã hóa phụ thuộc vào thiết kế bảo mật được thông qua và triển khai kỹ thuật của nó.

So sánh các kích thước khả năng sử dụng, nguồn: Darling Think Tank

Sau khi phân tích những ưu điểm và nhược điểm của các kiến ​​trúc ví khác nhau từ khía cạnh khả năng tấn công và khả năng sử dụng, bài viết này sẽ tiếp tục đề xuất một mô hình tư duy để hướng dẫn thiết kế bảo mật của ví.

3. Ví phần mềm để phân tích thứ nguyên

1. Kích thước của khả năng tấn công

Do ngưỡng kỹ thuật thấp để tấn công ví phần mềm, chi phí kinh tế thấp, chi phí tội phạm thấp và lợi nhuận kỳ vọng cao nên ví phần mềm rất dễ bị tấn công.

Từ góc độ ngưỡng kỹ thuật, ví phần mềm không có các yếu tố "ba có": kết nối với mạng sẽ dẫn đến việc lưu trữ trí nhớ không an toàn, đặt mật khẩu yếu cho mật khẩu giao dịch và thay thế dữ liệu xu hướng giá tiền tệ; nếu hệ thống là không đầy đủ, nó chủ yếu dựa trên hệ thống Android, hệ thống Android sẽ khiến điện thoại di động không nhận biết được các cuộc tấn công vật lý; vì hai yếu tố đầu tiên không thể đảm bảo an ninh nên tính bảo mật của hạt giống ví sẽ không an toàn. Do đó, ngưỡng kỹ thuật để tấn công ví phần mềm là tương đối thấp.

Từ góc độ chi phí kinh tế, do ví phần mềm thường được kết nối với Internet, tin tặc có thể tấn công từ xa vô số ví phần mềm chỉ bằng cách ngồi trước máy tính và cùng một phương thức tấn công có thể được sử dụng nhiều lần mà không cần sự hợp tác của nhiều người và chi phí vận hành cao.

Từ góc độ chi phí tội phạm, tin tặc có thể đánh cắp xuyên biên giới thông qua Internet và có thể ẩn IP của họ hoặc đặt nó ở những nơi khác, khiến việc theo dõi danh tính thực của tin tặc gần như khó khăn.

Từ góc độ thu nhập dự kiến, các nhà đầu tư vẫn chưa quan tâm đầy đủ đến tính bảo mật của tài sản mã hóa ở giai đoạn này, vì vậy nhiều người dùng lưu trữ tài sản mã hóa trong ví phần mềm, tạo cơ hội cho tin tặc tấn công. Tin tặc có thể dễ dàng tấn công một số lượng lớn ví phần mềm phía sau máy tính và một khi thành công, lợi nhuận sẽ rất đáng kể.

2. Thứ nguyên sẵn có

Hiện tại, không có nhiều tùy chọn công nghệ bảo mật có thể được sử dụng trên ví phần mềm. Trình độ kỹ thuật thấp khiến việc cân bằng bảo mật và trải nghiệm người dùng trở nên vô cùng khó khăn, vì vậy khả năng sử dụng tổng thể ở mức tương đối thấp.

Ở Trung Quốc, ví phần mềm thường tương đương với ví ứng dụng dành cho thiết bị di động và ít người dùng sử dụng ví phần mềm trên PC hơn. Tuy nhiên, trong mọi trường hợp, vấn đề chính mà ví phần mềm phải đối mặt là làm thế nào để giữ bí mật khóa cá nhân hoặc hạt giống. Virus ransomware WannaCry đã phổ biến trên PC, mã hóa tài sản và tệp của người dùng và yêu cầu tiền chuộc. Trên thực tế, nếu bạn có thể tống tiền, bạn có thể chuyển các tập tin.

Hai là đánh cắp tệp khóa riêng được mã hóa từ PC hoặc điện thoại di động, bẻ khóa cơ sở dữ liệu hoặc sử dụng các lỗ hổng trong sơ đồ mã hóa để bẻ khóa. Tất nhiên, ngưỡng kỹ thuật của cái sau cao hơn, nhưng nó không quá cao. Theo một nghiên cứu của Phòng thí nghiệm Khoa học Máy tính và Trí tuệ Nhân tạo MIT, hơn 10% việc triển khai mật mã bị lỗi thể hiện ở việc mã hóa cứng khóa giải mã thành mã. Độc giả, đừng nghĩ rằng điều này có vẻ như là một điều viển vông. Hãy suy nghĩ cẩn thận xem ví phần mềm có thể lưu trữ khóa giải mã ở đâu khác? Đưa mã làm xáo trộn mã là một tùy chọn rõ ràng và các tùy chọn khác không tốt hơn nhiều trừ khi hệ điều hành cơ bản cung cấp các biện pháp bảo mật đủ mạnh.

Cách tốt hơn là yêu cầu người dùng nhập mật khẩu để mã hóa, nhưng ở đây sẽ nảy sinh các vấn đề khác như mật khẩu yếu, sự cố cơ sở dữ liệu, v.v.

Ở trên đã phân tích lý thuyết về tính bảo mật của ví phần mềm. Nhưng tình hình bảo mật thực tế còn tồi tệ hơn nhiều so với phân tích lý thuyết. Ví dụ: một số nhà điều hành ví phần mềm tin rằng tính bảo mật của ứng dụng ví không cần vượt quá tính bảo mật của hệ thống nơi nó được cài đặt. Miễn là hệ thống điện thoại di động không bị xâm phạm, tài sản sẽ an toàn; và nếu hệ thống bị xâm phạm, thì tài sản không thể được bảo vệ bằng bất kỳ phương tiện nào. Để cải thiện trải nghiệm người dùng, nhiều ví chỉ lưu trữ ví gốc hoặc khóa cá nhân của người dùng ở dạng văn bản thuần túy trong điện thoại di động, gây nguy cơ tiềm ẩn lớn đối với bảo mật tài sản của người dùng.

Vài ngày trước, Trung tâm nghiên cứu bảo mật chuỗi khối BSRC đã phát hành một video tấn công vào phiên bản Android của ví phần mềm. Video cho thấy kẻ tấn công có thể trực tiếp lấy hạt giống ghi nhớ của người dùng thông qua kết nối USB với điện thoại di động của người dùng và lấy hạt giống ghi nhớ của người dùng sau khi bẻ khóa cục bộ. Mười hai từ ghi nhớ trong văn bản gốc, do đó nhập vào tài khoản của người dùng. Trong trường hợp tấn công này, cuộc tấn công sẽ không diễn ra suôn sẻ nếu hạt giống ví đã được bảo vệ bằng mã hóa đơn giản.

Hy sinh bảo mật cho trải nghiệm người dùng về cơ bản là ảo tưởng về bảo mật. Từ góc độ khả năng sử dụng, cả bảo mật và trải nghiệm người dùng đều cần thiết và ví được mã hóa thuận tiện nhưng không an toàn sẽ khiến tài sản của người dùng gặp rủi ro không cần thiết và mức độ khả dụng của nó rất thấp.

Do đó, ví phần mềm có khả năng tấn công cao là đối tượng "tấn công" được tin tặc ưa chuộng, trong khi thiết kế tồi, thiếu hướng dẫn lý thuyết và hy sinh tính bảo mật để chăm sóc trải nghiệm người dùng dưới sự hạn chế của khả năng sử dụng tổng thể hạn chế khiến tính bảo mật của ví phần mềm càng trở nên tồi tệ. là tồi tệ hơn. Đây là lý do tại sao cần có ví phần cứng.

4. Ví phần cứng Android để phân tích thứ nguyên

1. Kích thước của khả năng tấn công

Ví phần cứng được phát triển dựa trên hệ thống Android thuộc cấp độ thứ hai về khả năng tấn công, tức là khả năng tấn công trung bình, cụ thể là có ngưỡng kỹ thuật thấp, chi phí kinh tế thấp, chi phí phạm tội cao và lợi nhuận kỳ vọng thấp.

Từ góc độ ngưỡng kỹ thuật, không quá khó để tấn công hệ thống Android. Điều này chủ yếu là do Android thiếu tính năng bảo vệ toàn vẹn hệ thống và có nhiều lỗ hổng bảo mật; quan trọng hơn, một khi ví phần cứng dựa trên hệ thống Android được phát hành, thường rất khó để thực hiện bất kỳ nâng cấp lớn nào đối với hệ điều hành cơ bản, khiến Ví phần cứng Android liên tục bị đe dọa bởi các lỗ hổng mới được phát hiện sau đó. Thậm chí có thể nói rằng nếu các sản phẩm đã phát hành không thể được vá, chỉ cần bất kỳ ai biết về các lỗ hổng mới, họ có thể sử dụng chúng để tấn công ví phần cứng Android, dẫn đến tình trạng ngưỡng kỹ thuật thấp.

Trong thực chiến, John McAfee, chủ tịch điều hành của Bitfi và là người tiên phong về an ninh mạng, đã từng gọi ví lạnh Bitfi là thiết bị “không thể hack” đầu tiên trên thế giới. Để chứng tỏ bản thân, McAfee đã tung ra phần thưởng 100.000 USD vào ngày 24 tháng 7 để tìm ra hacker có thể đột nhập vào thiết bị. Chưa đầy một tuần sau, một thanh niên 15 tuổi được cho là đã đột nhập vào ví Bitfi được John McAfee hỗ trợ rất nhiều. Tại Hội nghị thượng đỉnh bảo mật Kanxue được tổ chức vào tháng 7, Hu Mingde, một chuyên gia bảo mật từ Zhichuangyu, đã bẻ khóa một ví Android trong nước bằng cách khai thác lỗ hổng của giao diện USB.

Từ góc độ chi phí kinh tế, cho dù đó là một cuộc tấn công chuỗi cung ứng hay một cuộc tấn công người giúp việc độc ác, chi phí có thể là cài đặt phần mềm độc hại hoặc sử dụng các lỗ hổng đã biết để đánh cắp dữ liệu khóa riêng tư, không đòi hỏi chi phí cao.

Nhưng có một nguy cơ nhất định của tội phạm. Cho dù tin tặc có quyền truy cập trực tiếp vào thiết bị hay mua chuộc người khác, thì kẻ tấn công vẫn có khả năng bị nhận dạng.

Từ góc độ thu nhập dự kiến, vì kẻ tấn công cần liên lạc với thiết bị trước nên có thể đánh cắp tài sản kỹ thuật số bên trong, điều này ngăn chặn cuộc tấn công được thực hiện trên quy mô lớn và hiệu quả của nó trở nên rất thấp. , thu nhập dự kiến ​​​​cao hơn nhiều so với tấn công ví phần mềm.

Từ góc độ phân tích khả năng tấn công, lợi nhuận thấp dự kiến ​​từ việc đánh giá toàn diện ví phần cứng Android sẽ ngăn chặn tin tặc tấn công ví phần cứng ở một mức độ nhất định. Tuy nhiên, khi số lượng người dùng ví phần cứng tăng dần, thu nhập của tin tặc cũng sẽ tăng lên. Theo đó, các ví phần cứng sẽ dần được tin tặc ưa chuộng.

2. Thứ nguyên sẵn có

Hiện tại, các sản phẩm ví phần cứng Android hiện có trên thị trường về cơ bản nhấn mạnh rằng chúng đang ngoại tuyến và truyền thông tin chữ ký thông qua mã QR, đồng thời trải nghiệm người dùng kém hơn nhiều so với ví phần mềm. Đồng thời, các biện pháp bảo mật không thể đơn giản hóa vì vẫn có khả năng thiết bị bị thất lạc hoặc bị người khác truy cập. Nếu người dùng được yêu cầu sử dụng tổ hợp mật khẩu phức tạp hơn để giữ bí mật hạt giống ví, thì đây là một loại tác hại khác đối với trải nghiệm người dùng. Tất nhiên, mang theo một thiết bị khổng lồ bên mình cũng là một kiểu gây hại cho trải nghiệm người dùng.

Đồng thời, do thiếu khả năng bảo vệ toàn vẹn hệ thống trong hệ thống Android, với tiền đề là kẻ tấn công có thể truy cập thiết bị, tính bảo mật của ví phần cứng Android không cao hơn ví phần mềm và thậm chí thấp hơn một số ví phần mềm sử dụng tốt hơn các cơ chế bảo mật của iOS. .

Nhìn chung, ưu điểm chính của ví phần cứng Android so với ví phần mềm là chúng vẫn ngoại tuyến, dẫn đến khả năng bị tấn công hoặc là mục tiêu tấn công, chúng tương đối kém hấp dẫn đối với kẻ tấn công; trải nghiệm người dùng của chúng kém hơn so với ví phần mềm. Nói chung, đây là một ví dụ điển hình về việc hy sinh trải nghiệm người dùng để bảo mật.

Nếu yêu cầu cả tính bảo mật cao và trải nghiệm người dùng tốt, theo công thức đã nói ở trên, giải pháp duy nhất là áp dụng nền tảng công nghệ tốt hơn. Đây là ví phần cứng cấp chip.