Portfel sprzętowy
Portfel sprzętowy (ang. hardware wallet) to fizyczne urządzenie zaprojektowane do przechowywania kluczy prywatnych offline i podpisywania transakcji na pokładzie – bez ujawniania klucza podłączonemu komputerowi lub sieci. To jeden z najsilniejszych dostępnych modeli bezpieczeństwa dla samodzielnego przechowywania kryptowalut.
Jak działa podpisywanie bez ujawniania klucza
Gdy chcesz podpisać transakcję, aplikacja portfelowa (np. MetaMask połączony z Ledgerem) przygotowuje dane transakcji i przesyła je do urządzenia przez USB lub Bluetooth. Na małym ekranie urządzenia widzisz adres odbiorcy, kwotę i inne szczegóły. Dopiero po fizycznym naciśnięciu przycisku na urządzeniu – nie na ekranie komputera – klucz prywatny podpisuje transakcję wewnątrz chipu.
Komputer nigdy nie widzi klucza prywatnego – jedynie gotowy podpis kryptograficzny. Oznacza to, że nawet zainfekowany keyloggerem i złośliwym oprogramowaniem laptop nie jest w stanie samodzielnie skraść środków. Atakujący musi mieć fizyczny dostęp do urządzenia i znać PIN.
Secure element kontra otwarty chip
- Secure element (SE)
- Odporny na manipulacje fizyczne chip zaprojektowany specjalnie do przechowywania sekretów kryptograficznych – tego samego rodzaju co w kartach płatniczych i paszportach. Używany m.in. przez Ledger. Trudniej go fizycznie zaatakować, ale firmware bywa zamkniętego źródła.
- Otwarty chip (open firmware)
- Trezor One i Model T używają ogólnych mikroprocesorów z otwartym kodem firmware. Każdy może audytować kod. Kompromis: wyższe ryzyko ataku fizycznego przez sofistykowanego napastnika z dostępem do urządzenia.
- Wniosek
- Oba podejścia mają swoje zalety. Secure element utrudnia ekstrakcję fizyczną, ale wymaga zaufania do zamkniętego kodu. Otwarty firmware jest audytowalny, ale ma inną powierzchnię ataku. Oba są dramatycznie bezpieczniejsze niż portfel przeglądarkowy dla znaczących kwot.
Fraza odzyskiwania jako fundament
Każdy portfel sprzętowy przy pierwszej konfiguracji generuje frazę odzyskiwania (ang. seed phrase) – zazwyczaj 12 lub 24 słowa zgodne ze standardem BIP-39. To master secret: z niej derywowane są wszystkie klucze prywatne dla wszystkich sieci. Utrata urządzenia bez kopii frazy = utrata dostępu. Posiadanie frazy bez urządzenia = pełny dostęp do środków przez dowolny kompatybilny portfel.
Fraza odzyskiwania jest co najmniej tak ważna jak samo urządzenie. Należy ją zapisać offline (papier w sejfie, lub jeszcze lepiej – metalowa płytka odporna na ogień i wodę) i nigdy nie wprowadzać do żadnej aplikacji, strony internetowej lub formularza. Każda prośba o wpisanie frazy odzysku online jest atakiem phishingowym.
Wektory ataku, których hardware wallet nie eliminuje
- Atak łańcucha dostaw: kupno przez pośrednika lub używany sprzęt może oznaczać zmodyfikowane firmware. Zawsze kupuj bezpośrednio od producenta i weryfikuj autentyczność urządzenia przy odbiorze.
- Zatwierdzenie złośliwej transakcji: malware może podstawić inny adres odbiorcy podczas copy-paste. Zawsze weryfikuj adres na ekranie urządzenia, nie na ekranie komputera.
- Przymus fizyczny (ang. wrench attack): żadna technologia nie chroni przed groźbą lub przemocą. Funkcja 'ukrytego portfela' (passphrase jako 25. słowo) pomaga przez wiarygodne zaprzeczenie.
- Utrata frazy odzysku: urządzenie może ulec awarii, zagubieniu lub zniszczeniu. Jeśli nie masz kopii frazy odzysku – środki są nie do odzyskania.
Praktyczna zasada: kwota, przy stracie której bolałoby cię przez tydzień lub dłużej, zasługuje na portfel sprzętowy. Ledger Nano lub Trezor kosztują 50–150 USD – to tanie ubezpieczenie dla pozycji wartych wielokrotnie więcej.