Hardware Wallets en Secure Elements: Waar Vertrouw Je Echt Op?

Een hardware wallet is een standaard hulpmiddel voor het beveiligen van cryptocurrency, en de meeste vertrouwen op een speciale chip die bekend staat als een Secure Element; hetzelfde type dat wordt gebruikt in creditcards en paspoorten.

Maar hier is wat het meest van belang is: hoe een wallet deze chip gebruikt. Deze keuze bepaalt wat je uiteindelijk wordt gevraagd te vertrouwen, en het verdeelt de industrie in twee fundamenteel verschillende filosofieën.

Waarom ‘Vertrouwde’ Hardware Niet Vertrouwd Kan Worden

Een standaard Secure Element werkt op een principe van geheimhouding. Fabrikanten afschermen de interne werking van hun chip met geheimhoudingsovereenkomsten (NDA’s).

Dit maakt een onafhankelijk veiligheidsonderzoek onmogelijk. Gebruikers en makers moeten het woord van de fabrikant aannemen. Onderzoekers en makers van hardware wallets kunnen niet vrij testen of openbaar bespreken wat ze vinden. Zelfs als een kritieke fout wordt ontdekt, kan de NDA wettelijke openbaring voorkomen, waardoor gebruikers in het duister blijven.

Wij hebben dit op de harde manier geleerd. Jaren geleden evalueerde Trezor een toonaangevend Secure Element onder NDA voor een prototype. Onze tests onthulden problemen die we niet openbaar konden bespreken, omdat de NDA transparantie verhinderde.

Die ervaring verduidelijkte ons pad. We besloten dat we niet wilden dat je privésleutels afhankelijk waren van gesloten, niet-auditeerbare hardware. In plaats van te zoeken naar een chip om volledig te vertrouwen, bouwden we een architectuur waarin het Secure Element je sleutels nooit vast houdt. Zelfs toen we later ons eigen volledig auditeerbare Secure Element (TROPIC01) ontwikkelden, behielden we dit ontwerp. We vragen je niet ons te vertrouwen. We vertrouwen onszelf niet eens. De architectuur is standaard vertrouwensloos.

Twee Ontwerpen, Één Kritisch Verschil

Dit is waar hardware wallet ontwerpen divergeren. Allen gebruiken een Secure Element voor bescherming, maar waar je privésleutels worden opgeslagen verandert alles.

Ontwerp 1: De Chip Houdt Je Sleutels Vast

Hier leven je privésleutels binnen in het Secure Element. Het genereert, slaat op en gebruikt ze in een gesloten, gecertificeerde omgeving.

• De Logica: Bevat alle gevoelige operaties in een sabotagebestendige doos.
• Wat Je Vertrouwt: De reputatie van de chip maker, hun geheime interne code en de hoop dat hun certificeringen overeenkomen met je bedreigingen in de echte wereld.
• De Realiteit: Je krijgt sterke fysieke bescherming, maar moet accepteren dat de meest kritieke processen onzichtbaar en niet-auditeerbaar zijn.

Ontwerp 2: De Chip Ontgrendelt Je Sleutels

Hier zijn je privésleutels versleuteld op de hoofdprocessor. Zonder de ontsleutelingssleutel is deze versleutelde data compleet waardeloos voor een aanvaller. Het Secure Element bevat alleen die ontsleutelingssleutel, beschermd door je PIN. Het ziet nooit je daadwerkelijke privésleutels.

Je sleutels zijn beschermd door onbreekbare encryptie; dezelfde cryptografische sterkte die Bitcoin en andere cryptonetwerken beveiligt. Het hele systeem draait op open-source firmware die iedereen kan auditen.

• De Logica: Sterke en verifieerbare encryptie overtreft verborgen geheimen. Met auditeerbare code kun je bewijzen hoe je sleutels worden beschermd. Met gesloten hardware kun je alleen de claims geloven.
• Wat Je Vertrouwt: Cryptografie en publieke code. Het Secure Element behandelt alleen toegangscontrole, zoals PIN verificatie.
• De Realiteit: Complete transparantie. De chip biedt hardwarebescherming zonder een onverifieerbaar enkel punt van vertrouwen te worden.

Waarom We Voor Transparantie Gebouwd Hebben

Trezor is gebouwd op het tweede ontwerpmodel. Je privésleutels blijven versleuteld buiten het Secure Element, beschermd door encryptie en een besturingssysteem dat iedereen kan auditen.

Dit sluit aan bij ons grondbeginsel: echte veiligheid vereist transparantie, geen obscuriteit. Je moet ons niet hoeven te vertrouwen; je moet kunnen verifiëren hoe je wallet werkt.

Deze inzet voor verificatie is leidend voor onze hele aanpak. Wij geloven dat je hardwarebeveiliging moet hebben zonder compromis, daarom pleiten we voor en ontwikkelen we open beveiligingstools waar elke beschermlaag kan worden onderzocht.

De Eindconclusie

Een Secure Element is op zichzelf geen garantie voor beveiliging. Het is een component waarvan de waarde volledig afhankelijk is van hoe het wordt geïmplementeerd.

De beslissende keuze is of je privésleutels afhankelijk zijn van code of hardware die je niet kunt auditen.

 

_________________________________________________________________________

Bitcoin.com aanvaardt geen verantwoordelijkheid of aansprakelijkheid, en is niet aansprakelijk, hetzij direct of indirect, voor enig verlies, schade, claim, kosten of uitgaven van welke aard dan ook, hetzij daadwerkelijk, vermeend of gevolg, voortvloeiend uit of in verband met het gebruik van, of vertrouwen op, enige inhoud, goederen of diensten die in dit artikel worden genoemd. Elk vertrouwen dat op dergelijke informatie wordt gesteld, is strikt op eigen risico van de lezer.