然而,当涉及到硬件钱包的安全性是否受益于源代码的可用性时,我们面临一个新的讨论。本文解释了为什么我们认为开放源代码并不是硬件钱包的升级,而是一次重大的安全妥协。
了解开源的好处传统计算领域中,开源支持者一直强调开源的安全性,因为公众可以检查源代码并帮助修复潜在的漏洞,从而提高安全性。统计数据也表明,对于闭源的Safari浏览器零日攻击的修复平均需要9天,而对于开源的Firefox浏览器的修复只需要1天。
但是,在讨论开源软件在硬件钱包方面的优势时,我们必须考虑到与硬件钱包开发相比,传统计算机开发社区规模巨大的事实。最大的硬件钱包品牌Trezor的开源代码只有大约180个贡献者,而其他硬件产品如树莓派的开源固件贡献者则有约9500人。
无论项目有多大,都无法完全避免暴露其代码的潜在危险。比如LinuxMint在2016年遭到黑客攻击,虽然这个后门问题在一天内得到解决,但这主要得益于较大规模的Linux开源社区。
共享源代码是一把双刃剑,对于硬件钱包来说,发布源代码可以使黑客更容易检测漏洞并发动攻击。开源代码还可能为网络犯罪分子打开大门,制造能够欺骗消费者的伪造硬件钱包。
零日攻击的风险增加安全硬件钱包所有者需要注意的一个安全问题是零日攻击。在零日攻击中,黑客可以利用暴露或宣布先前未知的漏洞来发动攻击。由于硬件钱包中的漏洞通常通过固件升级来解决,因此通常需要一段时间才能安装和修复问题。某些用户在设置好硬件钱包后可能几个月甚至几年都不打开它,这极大地增加了零日攻击的风险。对于具有开源代码开发经验的人来说,黑盒子或带有闭源代码的设备可能比带有开源代码的白盒子更安全。
心理安慰还是实际利益?虽然我们很容易将比特币作为开源代码提供安全性的一个主要实例,但假设所有区块链项目都应效仿并成为开源代码可能并不合理。比特币之所以能够从开源开发社区获得安全性,是因为该社区参与了项目的维护和保护,涉及了很多的安全功能。然而,由于目前涉及硬件钱包安全性的开发人员相对较少,因此我们无法对共享源代码的好处做出任何假设。
除了大量增加检查代码的审阅者之外,开源代码开发在传统计算机领域还有另一个好处,就是任何人都可以自己下载、安装、调试甚至删除某些代码方面。然而,即使有坚实的技术基础,安全措施仍有被超越的潜力。像KenThompsonHack (KTH)这样的专业人士告诉我们,除非您能够自己编写编译器,否则您将不得不信任第三方。大多数硬件钱包用户甚至都不会费力刻录或调试源代码。对于这类用户来说,知道他们的硬件钱包是开源的更多是一种心理安慰,而不是实际上可以显着提高钱包安全性的因素。
二维码签名输出的“可审查性”在传统计算领域,我们可以将开源软件带来的安全性视为对源代码的审查。虽然这种情况还不适用
本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/44994.html
发表回复
评论列表(0条)