硬體錢包的種類也是五花八門,並不是所有的硬體錢包都能很好地滿足全部三大標準。我們可以從硬體設備自身特點入手,為硬體錢包做個分類,並分析其安全性。
首先,我們可以把硬體錢包分為安卓硬體錢包和晶片硬體錢包。安卓硬體錢包顧名思義,可以理解為一個安卓手機,去掉不必要的組件,加以軟體改造後專門服務於錢包用途。晶片硬體錢包則是國外市場的主流產品,主要是在晶片系統上直接編程錢包核心邏輯,以把錢包種子保管在晶片內部作為其安全特色。
晶片硬體錢包的安全性分析
晶片硬體錢包擁有獨立的SOC晶片,所有的硬體系統都在SOC晶片上運作。外觀一般只有螢幕和簡單的按鈕。螢幕顯示的保證是展示數據是真實的,簡單按鈕確認交易操作。
內部系統中裝載了引導韌體和業務韌體。引導韌體是基礎設計,出廠時已經定好,不能篡改,負責業務韌體的完整性檢查以及升級;業務韌體負責具體的業務邏輯,可以升級以支持更多幣種或者修復安全隱憂,修改需要簽名確認。
在其安全性分析當中可以看到:
第一種,網路隔離。這種一般都能滿足,問題不大。
第二種,系統完整性保護。這種透過對業務韌體進行數位簽名驗證完成。引導韌體可以檢查簽名以決定是否加載運產業務韌體,任何篡改都會被發現。
第三種,錢包種子保密。晶片硬體錢包一般把種子存放在晶片內部的快閃記憶體區域,常規手段無法讀取。在使用的時候,私鑰可能會在內存中短暫地出現,但是用完一般都會立刻刪除,並且用隨機數據覆蓋掉,這就提供了比較好的保密性。基於這三大標準,晶片硬體錢包相比軟體錢包和安卓硬體錢包,具有更高的安全性。
總結來看,錢包系統的安全性可以歸結為「三有一無」,三有即必須具備網路隔離、系統完整性保護、錢包種子保密這三大安全特性。一無,就是「無系統攻防假設」,特意指出錢包系統的安全性,不能建立在系統攻防假設上,尤其不能以系統攻防假設替代系統完整性保護。
本文為巴比特資訊授權刊登,原文標題為「定義加密錢包安全性的『三有一無』要素」