Foto: Quinten Jacobs / Shutterstock.com
Ledger, een van de grootste crypto hardware wallet merken samen met Trezor, heeft een behoorlijke lading kritiek op zijn dak gekregen. In een recente tweet kondigde het namelijk een nieuwe feature aan. Met de nieuwe feature kunnen klanten een extra backup laten maken van hun private keys. Dit schoot bij velen echter volledig in het verkeerde keelgat!
Ledger introduceert nieuwe feature op crypto wallet
In een recente tweet deelde Ledger de nieuwe feature: Ledger Recovery. De nieuwe feature “is een optioneel abonnement voor gebruikers die een backup willen van hun Secret Recovery Phrase.” Een recovery phrase, of herstelzin, is een reeks woorden waarmee een wallet hersteld kan worden in het geval dat nodig is.
Kortom, deze zin is enorm belangrijk. Ledger biedt nu een dienst aan waarmee klanten hun herstelzin in drie delen op kunnen laten splitsen. Deze delen worden vervolgens versleuteld en opgeslagen bij drie verschillende partijen. Zo kan je in principe zelfs als je je herstelzin kwijtraakt alsnog je wallet terugkrijgen.
Overigens is niet helemaal duidelijk of het nu de recovery phrase is, of de daadwerkelijke private key zelf die wordt opgeslagen door de partijen. Op de veelgestelde vragenpagina van de dienst wordt namelijk gesteld: “Ledger Recover kan uw private keys op uw apparaat herstellen, maar kan u uw geheime herstelzin niet geven.”
Opvallend is daarnaast dat een wallet hersteld kan worden met slechts twee van de drie fragmenten. “Elk van deze versleutelde fragmenten is op zichzelf nutteloos. Wanneer u toegang tot uw wallet wilt krijgen, sturen 2 van de 3 partijen fragmenten terug naar uw Ledger-apparaat en voegen ze weer samen om uw private key te bouwen,” aldus Ledger.
Crypto community reageert geschokt
Met alle feiten op een rijtje is het geen verrassing dat niet iedereen staat te springen om deze nieuwe feature. Zo is het Mudit Gupta, chief information security officer bij Polygon Labs, die op Twitter schreef:
“Het probleem hier is niet het splitsen van de sleutel in 3 delen. Dat is eigenlijk goed! Misschien doe ik dat persoonlijk ook wel of niet 🙂 Het probleem hier is dat de gecodeerde sleuteldelen naar 3 bedrijven worden gestuurd en zij jou sleutels kunnen reconstrueren.”
De CEO van Binance, Changpeng Zhao, reageerde vergelijkbaar en schreef “Dus de seed phrase kan het apparaat nu verlaten? Klinkt heel anders dan “Je keys zullen nooit het apparaat verlaten.” Daarmee lijkt hij te verwijzen naar eerdere beloftes van Ledger.
Ledger probeert schade te minimaliseren
Ledger is inmiddels druk met het wegnemen van zorgen bij klanten. Veel van hen vragen zich af of de feature voor iedereen wordt aangezet zodra men de update uitvoert. Ledger stelt echter dat dit niet het geval is.
Als een klant ervoor kiest het Ledger Recovery abonnement aan te zetten, pas dan wordt de herstelzin in drie delen opgesplitst en versleuteld. “Dat betekent dat de shards [delen van herstelzin, red.] niet worden versleuteld en opgeslagen op hardwarebeveiligingsmodules, tenzij je je aanmeldt voor Ledger Recover. Als je je niet aanmeldt voor deze functie, verandert er niets,” aldus Ledger.
