僅今年就有超過7.61億美元的加密貨幣盜竊案,安全性已成為區塊鏈技術的熱門話題。但是,將數字資產存儲在分散網絡中的最佳方法究竟是什麼?如果你問三星,答案可能是你的智能手機。但是如果你問一群安全專家,事情會變得複雜得多。
在上個月Insights平臺上發佈的博客文章中,三星他建議“智能手機具有區塊鏈和加密貨幣的最佳安全性。”這項研究大部分都沒有引起注意,直到上週才被幾家加密貨幣新聞網站突然收錄。雖然這項研究肯定會成為強有力的頭條新聞,但圍繞智能手機安全的嗡嗡聲是否合理?我們決定找出答案。
我們向一些安全專家詢問了他們對三星聲稱的看法。事實上,雖然智能手機可能是一個很好的短期存儲解決方案,但在手機上存儲加密貨幣存在很多風險。
為什麼三星認為智能手機非常適合加密貨幣
在三星的文章中,作者Joel Snyder認為,由於智能手機 - 尤其是三星自己的手機 - 當然配備了可信執行環境(簡稱TEE),它們特別適合存儲區塊鏈驅動的資產。
對於那些不熟悉的人來說,TEE是手機硬件的另一部分,與主處理器和存儲系統完全分開。訪問存儲在TEE上的信息的唯一方法是開發所謂的“trustlet”,這是一個小型應用程序,可通過專用的,應該是安全的API訪問存儲在TEE中的特定信息。
這最終使智能手機與筆記本電腦區別開來。筆記本電腦沒有TEE,這使得錢包軟件更容易受到惡意軟件的攻擊。
智能手機不足的地方
儘管TEE帶來了更高的安全性,但智能手機絕不會受到攻擊。
“擁有TEE肯定比沒有TEE好,因為私鑰本身受到更好的保護,” 比特幣開發人員Jameson Lopp在給Hard Fork的電子郵件中解釋道。“ 但是,在軟件堆棧的其他地方仍然存在相當多的攻擊媒介。”
“惡意軟件可以在創建交易時影響錢包操作的其他關鍵組件,從而導致資金被髮送到攻擊者的地址,”Lopp補充說。
但這種機制需要權衡利弊
“有一些警告,”格林繼續道。“為了有用,手機上的應用程序必須能夠向TEE發出請求,請求”將比特幣發送給特定的人“。如此複雜的惡意軟件可能無法從TEE中提取密鑰,但通過破壞應用程序,他們可能會導致TEE支付您的資金。“
“這幾乎一樣糟糕,”密碼學教授強調。“即使是需要密碼的明顯對策也只能幫助一點,因為一個特別複雜的惡意軟件可以等你輸入密碼才能進行合法的交易。”
將信任置於TEE中的另一個問題是它們並非都是平等的。格林指出,“TEE的質量和安全性不同”取決於誰製造它們。實際上,研究人員之前已經發現由高通等家喻戶曉的TEE開發的安全漏洞和TrustZone。
平心而論,格林很快指出,雖然它們不是“神奇的子彈”,但TEE確實讓黑客的工作變得更加困難。
Green和Lopp強調的一件事是,最終,設備提供的安全級別與其易受影響的潛在攻擊媒介的數量直接相關。在智能手機的情況下,它們幾乎總是連接到蜂窩或Wi-Fi網絡,這大大增加了可能的攻擊數量。
智能手機總是不利於存儲加密貨幣嗎?
除了所有這些風險之外,有時您的智能手機將非常適合存儲加密貨幣和其他數字資產。交易就是其中一個例子。
我想到了“帶有TEE的iPhone和Android設備”,他繼續道。“他們顯然比使用PC或Mac更好。”
雖然三星對TEE的安全性非常有道理,但隨之而來的複雜功能也會讓智能手機開啟一系列新的攻擊 - 這些攻擊在專門的硬件錢包解決方案中往往是不可能的。
因此,雖然在智能手機上保留價值數百美元的加密貨幣可能是一個好主意,但最好還是投資一個簡單的加密錢包來節省開支。
閱讀更多 王司令區塊鏈日記 的文章
