La sicurezza è un concetto sfuggente
Da una parte sono amareggiato, dall’altra sono contento che i nodi siano arrivati al pettine, almeno per qualcuno.
Il caso “Recovery” di Ledger ha svegliato le persone rispetto al tema della sicurezza delle proprie cryptovalute. Sappiamo bene infatti che il mondo crypto nasce proprio per non fidarsi di nessun altro, ma noi umani, al contrario, nasciamo con l’istinto di farlo e con la necessità di semplificarci la vita.
Queste due tensioni sono in contrasto e, spesso, portano a situazioni in cui dobbiamo scegliere quanto essere comodi/efficienti o quanto mantenerci indipendenti.
Questa decisione, esattamente come la sicurezza, non è ON/OFF, bianco o nero, l’una o l’altra. Piuttosto possiamo visualizzarla come una sfumatura che va da “Non mi fido di nessuno” a “Mi fido solo degli altri”, che nel caso della conservazione crypto diventa uno slider da “Autocustodia pura” a “Deposito tutto in exchange centralizzati”.
All’interno di questo articolo voglio parlare di tutte le questioni che riguardano il caso “Recovery” di Ledger, affrontando le differenti prospettive da cui si può leggere questa situazione e sciogliendo una volta per tutte il dubbio: il Ledger è ancora sicuro o devo cambiare hardware wallet?
Cosa è successo
Ripercorriamo rapidamente gli eventi. Il 16 Maggio 2023 Ledger presenta al mondo la sua nuova funzione “Recovery”, che pagando 10$ al mese permette di ripristinare la propria seed phrase in caso di perdita.
Subito si scatena una baraonda mediatica, Ledger gestisce malissimo la comunicazione tramite i profili social, io pubblico questo video, in tanti prendono paura e decidono di allontanarsi subito da Ledger, senza capire qual è il vero problema.
Nel giro di pochi giorni Ledger interrompe il rilascio di “Recovery” (ne abbiamo parlato qui) e cerca di correre ai ripari perché Trezor registra un +900% di acquisti dei propri hardware wallet.
Basi di crittografia
Prima di procedere con il resto dell’articolo è necessario dare alcuni cenni di come funziona la crittografia moderna.
Mettiamo che Alice e Bob, che d’ora in avanti chiameremo A e B, vogliano scambiarsi dei messaggi criptati, così che nessun altro tranne loro possa vedere il contenuto.
Uno dei metodi più utilizzati per far questo si chiama Crittografia RSA. Questa è una nota funzione matematica che mette in relazione due oggetti (chiavi), che hanno un relazione reciproca assolutamente non simmetrica.
Il primo oggetto che viene generato è la chiave privata e il secondo è la chiave pubblica. Se conosci la chiave privata, passare alla chiave pubblica è un’operazione banale; al contrario se hai la chiave pubblica, passare alla chiave privata è un’operazione estremamente complicata (non impossibile ma complicatissima!).
Possiamo visualizzare la chiave pubblica come un lucchetto e la chiave privata come la chiave che lo apre.
In questo modo se A vuole mandare un messaggio a B, basta che cifri il messaggio con la chiave pubblica di B e poi glielo manda. Una volta ricevuto, B potrà leggerlo perché ha la chiave privata che apre il proprio lucchetto. Chiunque altro dovesse ricevere quel messaggio non avrebbe la chiave per aprirlo/leggerlo.
Cos’è il Secure Element di Ledger e perché ha un ruolo fondamentale in questa storia
Il Secure Element è una componente presente negli hardware wallet (non in tutti, dopo ne parliamo).
“Il Secure Element è un microprocessore dedicato che fornisce un ambiente sicuro e isolato per eseguire operazioni crittografiche, come la gestione delle chiavi private utilizzate per l’accesso e la firma di transazioni criptografiche.”
Il Secure Element di Ledger è progettato per proteggere le chiavi private e alcuni dati dall’esterno, impedendo l’accesso non autorizzato e il furto di informazioni. È in grado di eseguire operazioni crittografiche in modo sicuro e indipendente dal dispositivo host, rendendo sostanzialmente impossibile per gli attaccanti compromettere le informazioni all’interno.
Ledger (e praticamente ogni altra azienda che produce Hardware Wallet) collabora con uno dei principali produttori di Secure Element, ovvero STMicroelectronics.
Qui sotto potete vedere il modello di funzionamento di un Ledger: è presente un primo controller (MCU) che si occupa di comunicare con il computer a cui è collegato (o eventualmente con il dispositivo tramite Bluetooth), con lo schermo e con i pulsanti.
Il secondo controller è il Secure Element di cui abbiamo parlato poco fa (se vuoi approfondire come funzionano questi due componenti e come fanno a comunicare, puoi proseguire su questa pagina del sito di Ledger dove ci sono molte spiegazioni estremamente chiare).
Prima del 16 Maggio era convinzione diffusa che il Secure Element di un qualsiasi hardware wallet fosse una fortezza inespugnabile e, dunque, dovesse eseguire tutte le operazioni in locale senza mai comunicare direttamente con la rete Internet. Con l’aggiornamento del firmware alla versione 2.2.1 e la sottoscrizione dell’abbonamento, Ledger fa sì che il Secure Element possa comunicare dati criptati in rete.
Come funziona tecnicamente il nuovo servizio proposto da Ledger
A questo punto è necessario descrivere come funziona tecnicamente l’opzione “Recovery”.
La prima fase è quella di comunicare a Ledger (tramite Onfido, un’azienda di verifica e riconoscimento) la propria identità, il proprio numero di telefono e tutti i dati fiscali; si tratta di un KYC a tutti gli effetti che serve a collegare la nostra persona ai dati che saranno inviati dal nostro Ledger.
La seconda fase è quella di attivare la funzione “Recovery” e pagare il servizo per 9,99€ al mese.
La terza fase è quella dello Shamir Backup. Questa è una tecnica che serve a dividere in parti la seed phrase, da 2 a 16, e permette di ricostruirla riunendone anche solo alcune parti. In questo caso è uno Shamir Backup 2 di 3, ossia la seed viene divisa in 3 parti e poi saranno necessarie solo 2 parti per ricrearla.
È importante sottolineare che la crittazione avviene all’interno del Secure Element (a quanto dice Ledger, attendiamo materiale aggiuntivo), quindi è vero che la seed non viene mai comunicata in chiaro fuori dal SE stesso. Sono sicuro che i più attenti, forti del paragrafo precedente sulla crittografia, si saranno domandati…”ma con che chiave vengono criptate le tre parti dello Shamir Backup?“. Fra poco ci arriviamo.
La quarta fase prevede di inviare le tre parti a tre server differenti che si occuperanno di custodirle.
La quinta fase è quella, eventuale, del recupero. Se ho perso la mia seed phrase (o se a questo punto non me la sono mai segnata, tanto ho il recupero automatico) posso contattare Ledger, dirgli chi sono e farmi autorizzare a ripristinare la seed phrase sul mio hardware wallet ledger, nuovo o vecchio che sia.
Chi ha la chiave di crittazione/decrittazione?
Può sembrare una banalità che abbia sottolineato “nuovo o vecchio che sia”, ma vi assicuro che cambia tutto.
Cambia tutto perché, se la chiave che ha criptato inizialmente la seed phrase è univoca (e deve esserlo, altrimenti qualcun altro potrebbe aprire il messaggio all’interno), questo vuol dire che dovrebbe essere diversa da dispositivo a dispositivo.
Invece così non è, poiché Ledger stessa ci dice, per parola del suo CTO che la seed phrase criptata è ripristinabile su OGNI dispositivo.
Exciting update, Ledger has a new product, Ledger Recover, that’s launching soon: https://t.co/nT1VHnnSYz
— Ledger (@Ledger) May 16, 2023
🧵Here’s what Ledger Recover is and what it isn’t, explained by @P3b7_ & in the thread below. pic.twitter.com/RW1w07H6pK
E a questo punto diventa assolutamente lecito chiedersi: “Chi ha la chiave di decrittazione? Forse Ledger? È inserita nel processo di login e identificazione di Ledger Recover (KYC)? Se sì, come è conservata? Che tipo di algoritmo crittografico viene utilizzato? Come possiamo verificarlo?
A un certo punto Ledger ha comunicato in un tweet che la chiave di criptazione viene scelta dall’utente, che poi deve tenerla al sicuro. Quindi praticamente è come se io mettessi la chiave della cassaforte in un’altra cassaforte e poi dovessi comunque tenere la chiave della seconda cassaforte al sicuro. Facevo prima a tenere la prima chiave al sicuro.
Questa ipotesi cataloghiamola come un errore di comunicazione dell’azienda, uno dei tanti.
Che te ne frega “Basta non attivare il servizio”
Alcune persone hanno reagito alla notizia dicendo “basta non attivare il servizio e non c’è alcun problema”.
In realtà non è proprio così, perché, come accennavamo prima, era convinzione diffusa, alimentata da una forte narrativa e comunicazione aziendale (ne parliamo dopo), che non fosse possibile agire tramite firmware (o software, è la stessa cosa) sulla parte di Secure Element che si occupa di detenere e proteggere la seed phrase. Adesso è proprio Ledger a dirci che:
Tecnicamente parlando, è ed è sempre stato possibile scrivere un firmware che faciliti l’estrazione delle chiavi. Avete sempre confidato nel fatto che Ledger non avrebbe implementato un firmware di questo tipo, che lo sapeste o meno.
Quello che è cambiato è la consapevolezza di quanto ci stiamo implicitamente fidando di Ledger a prescindere dal nuovo servizio di Recovery. Prima eravamo convinti che il Ledger fosse un prodotto inviolabile, sia lato software che, soprattutto, lato hardware.
Ora sappiamo che è solamente il firmware a difenderci e il firmware…può avere dei problemi, errori di rilascio, essere scritto male, può essere sostituito o possono essere implementate funzionalità inaspettate.
Possono succedere tantissime cose che non sappiamo, visto che il software è closed source. A tal proposito il CEO di Ledger ha dichiarato che sospenderà Ledger Recovery finché non sarà pubblicato il codice open source della funzione.
Open Source vs Closed Source e altri hardware wallet
Tutto risolto quindi? Basta che il firmware sia open source per risolvere la questione?
Anche in questo caso la risposta è sempre “no” e, per quanto sia un ottimo passo avanti da parte dell’azienda per dimostrare la propria serietà e trasparenza, è bene approfondire.
Tutto quello che Ledger (ma iniziamo ad allargare il ragionamento anche ad altre aziende) può fare è rendere open source il proprio software (pubblicare i codici sorgente del proprio firmware), ma non può sicuramente rendere open source il software del Secure Element.
Questo significa che, per quanto Ledger si sforzi, in realtà arriveremo sempre a un punto in cui è necessario fidarsi di qualcun altro.
A questo punto facciamo un confronto con altri hardware wallet
Possiamo notare come molti hardware wallet abbiamo il Secure Element e come altri, per esempio il Trezor, non lo abbiano.
Non avere il Secure Element implica una cosa positiva e una negativa:
- La positiva è che c’è un elemento di fiducia in meno, poiché non dobbiamo fidarci dell’architettura del Secure Element (solitamente proprietaria e closed source).
- La negativa è che in caso di attacco fisico al dispositivo è molto più facile estrapolare la seed, come riportato in vari video di hack del Trezor (per esempio questo).
Punti di attacco sul recupero delle info
Come capite non esiste una risposta univoca alla domanda: “è bene cambiare wallet dopo la notizia del Recovery?”. Ci sono motivazioni che portano in una direzione e motivazioni che permettono di dire che sostanzialmente non è cambiato niente e, anzi, muoversi verso un Trezor potenzialmente potrebbe essere maggiormente pericoloso.
Ora, tornando al servizio Recovery, c’è un’altra questione molto importante da affrontare e riguarda la sicurezza di alcuni passaggi che sono richiesti, sia per depositare la seed, sia per prelevarla nell’eventualità che serva:
- KYC per ogni utente: in barba a ogni narrativa sull’autocustodia, fare il KYC significa consegnare tutti i propri dati a Ledger, Onfido e svariate altre aziende che ci stanno nel mezzo. Praticamente è un modo per dilaniare la propria privacy.
- Possibilità per un ente terzo di accedere ai fondi: abbiamo già spiegato prima perché la possibilità di fare il restore della seed su qualsiasi device deve metterci in guardia. Chi ha la chiave di crittazione/decrittazione? Come viene gestita? E se le tre aziende che conservano la chiave subissero un hack, potrebbero entrare in possesso di 2 chiavi su 3? E se un governo ingiungesse alle aziende di dare accesso alle chiavi?
- Verifica dell’identità tramite SMS: a quanto si apprende la verifica dell’identità, in caso di richiesta della seed, verrebbe certificata tramite un SMS al cellulare dell’utente. Premesso che questo va contro ogni principio di autocustodia, sembra un po’ debole come modalità di identificazione. Gli SMS sono una tecnologia sviluppata molti decenni fa e sono tranquillamente intercettabili e facilmente decifrabili. Non solo, potenzialmente basterebbe entrare in possesso del telefono della vittima per recuperare il codice dell’SMS e, verosimilmente, anche il codice via email (se richiesto). Tanto vale lasciare tutto su un servizio centralizzato, ci sono meno rischi!
La narrativa tradita dell’azienda
Se abbiamo detto che, dopo quest’annuncio, Ledger si ridimensiona molto e si abbassa al livello delle altre (prima la percezione, solo la percezione, era di un’azienda una spanna sopra le altre), adesso sappiamo anche che Ledger ha cambiato completamente la propria narrativa di fondo.
Prima l’obiettivo era avere piccoli dispositivi e fare formazione per l’autocustodia; adesso l’obiettivo è quello di ostentare le proprie crypto e affidarsi a terzi per la loro protezione.
Possono farlo? Certo che possono, possono fare cosa vogliono! Allo stesso tempo è sempre più chiaro che si rivolgono a un pubblico molto diverso rispetto a quello di qualche anno fa, ma di questo ne parliamo fra poco.
Molte persone della vecchia guardia, me compreso, si sentono tradite per questo cambio in corsa. Personalmente sostenevo Ledger perché apprezzavo il prodotto e il purpose aziendale e, consapevole del tradeoff fra facilità d’uso e sicurezza, ero convinto che fosse fra i migliori prodotti sul mercato.
Adesso sono molto più cauto, non ho più quella convinzione di prima e l’unica cosa che sento di consigliare non è cambiare hardware wallet, bensì formarsi per fare autocustodia in autonomia. Questa è l’unica cosa che conta ed è il perno base e immutabile del mondo Crypto.
Fatela con Crypto (in)Sicurezza, fatela con altri corsi o altre persone, fatela con chi volete, ma spingete su quella, non su cambiare hardware wallet!
Comunicazione (su 3 fronti e poco chiara)
Lato comunicazione Ledger è stata fallimentare per due motivi e questo non ha aiutato a capire cosa stesse succedendo:
- Avevano aperti 4 canali di comunicazione: account Ledger principale, account Ledger Support, Reddit e sito web.
- I gestori dei 4 canali dicevano cose diverse e, alle volte, in contrapposizione, tanto che sono arrivati a cancellare dei tweet e dei post.
Spero che chiariscano a loro stessi come gestire una situazione di crisi, ma questa è un’altra storia!
Ecco perché funzionerà
Alla fine di questo mega articolo credo sia opportuno dirvi perché tutto questo funzionerà.
Lo so, Secure Element, ma ricordate che quelli di Ledger non sono stupidi e hanno delle ottime ragioni per aver sviluppato questo servizio.
In un primo momento (cioè ora) si prendono un po’ di merda in faccia, soprattutto dalla vecchia guardia, ma è evidente che questa scelta sia volta al futuro dell’azienda. Il futuro è la prossima bull run, nella quale arriveranno molte più persone della precedente e saranno meno formate.
Il mondo crypto, nato dal concetto di autocustodia, in maniera paradossale avrà miliardi di utenti e buona parte di questo non sapranno cos’è l’autocustodia e, forse, nemmeno cos’è la seed phrase.
A che scopo saperlo se tanto Ledger (o chi per loro) pensa a tutto quanto? Creazione, protezione, storage, eventuale ripristino, perché l’utente medio dovrà impegnarsi?
Ecco perché, nonostante sia un servizio anti-crypto, funzionerà benissimo nel mondo crypto del futuro!
