A Ledger, empresa de carteiras de hardware cripto, está se opondo aos críticos que dizem que sua nova opção de recuperação de chave privada indica que a empresa tem um potencial “backdoor” para obter dados do usuário.
A Ledger afirmou que seu novo produto, “Ledger Recover”, é uma assinatura opcional para usuários que desejam um backup de sua frase secreta de recuperação.
O produto criptografa uma versão da chave privada de um cliente e a divide em três fragmentos que são armazenados por três partes diferentes “em módulos de segurança de hardware”, de acordo com a empresa.
Recuperar sua frase inicial exigirá um processo de verificação de ID abrangente e, em seguida, os provedores terceirizados enviarão os fragmentos criptografados diretamente para o dispositivo Ledger Nano do cliente, explica Ledger.
Mudit Gupta, diretor de segurança da informação da Polygon Labs, argumentou que qualquer coisa protegida pela verificação de identidade é “inerentemente insegura”.
“O problema aqui não é dividir a chave em três partes. Isso é realmente bom! Eu posso ou não estar fazendo isso pessoalmente também.
O problema aqui é que as partes da chave criptografada são enviadas para três empresas e elas podem reconstruir suas chaves.
Além disso, eles usam a verificação de identidade para confirmar sua solicitação de construção de chave. O roubo de identidade é relativamente fácil e super comum. Não é um método seguro.”
Changpeng Zhao, presidente-executivo da Binance, também criticou o produto:
“Então a seed pode deixar o dispositivo agora? Soa como uma direção diferente de ‘suas chaves nunca saem do dispositivo.’”
Pascal Gauthier, CEO e presidente da Ledger, rebateu as críticas no Twitter:
“Backdoor significaria que controlamos todos os dispositivos de contabilidade e poderíamos executar atualizações automatizadas, por exemplo. Não é o caso. Nunca será o caso. Somente você pode usar funções em seu livro-razão. Ninguém mais pode inserir seu código PIN e pressionar esses botões”.