По словам Мудита Гупты, директора по информационной безопасности компании Polygon, занимающейся масштабированием второго уровня, закрытые или мнемонические ключи имеют множество преимуществ с точки зрения безопасности, но в то же время создают практические проблемы.
Выступая 17 июля на мероприятии Ethereum Community Conference, Гупта рассказал о различиях между теоретической и практической безопасностью в блокчейне и криптовалютном пространстве. Гупта сказал аудитории EthCC в Париже, что, когда речь идет о теоретической безопасности, пространство "бежит очень быстро". Однако, по мнению руководителя Polygon, когда речь идет о практической безопасности, она "сильно отстает".
В качестве примера руководитель пояснил, что мнемонические ключи очень сложно хранить в безопасности по сравнению с паролями, поскольку их можно изменить в случае утечки. Он пояснил:
"Мнемоника - это просто одноразовая вещь. Она у вас есть один раз. И если вы когда-нибудь сделаете ошибку, если она когда-нибудь утечет, вам конец. Поэтому сохранить мнемонику или закрытый ключ в безопасности - гораздо более сложная задача".
По словам Гупты, в результате потери людьми своих мнемонических ключей потеряно не менее "пары миллиардов". При этом он отметил, что из-за отсутствия должной безопасности риску подвергается гораздо больше. "В кошельках пользователей находятся миллиарды долларов, которые неправильно защищены", - сказал Гупта.
Кроме того, Гупта отметил, что теоретически закрытые ключи защищены на 100%. "Если никто не знает вашего закрытого ключа, то никто не сможет получить доступ к вашим средствам", - сказал он. Однако специалист по безопасности признал, что могут возникнуть и практические проблемы.
"Что делать, если вы по каким-то причинам умрете? Как ваши близкие смогут получить доступ к вашим средствам? Вот такая непростая задача. Кроме того, существует проблема ротации ключей. Что делать, если по какой-то причине ваш ключ будет скомпрометирован?" - пояснил он.
Помимо этих вопросов, руководитель также рассказал о трудностях, с которыми сталкивается защитник в мире безопасности. По мнению Гупты, атакующим гораздо легче, чем защитникам. Он сказал:
"Как защитник, ты должен прикрывать каждую точку. Если оставишь хоть одну брешь, кто-нибудь да пролезет. Атакующему проще. Вы просто игнорируете защищенную систему. Вы находите обходной путь. Нужно найти только один способ проникновения, и все".
Руководитель подчеркнул, что именно поэтому тем, кто работает в сфере безопасности, приходится гораздо труднее, чем хакерам и эксплуататорам. Гупта отметил, что быть защитником - это значит охватить все свои базы. Несмотря на все эти трудности, по словам руководителя, "кто-то должен защищать".
Журнал: Стоит ли криптопроектам вообще вести переговоры с хакерами? Вероятно,
Источник