앞선 글에 에어갭 방식의 지갑을 권해드리고 갑자기 든 생각인데.
이더리움 스테이킹 키를 만들거나 PGP키를 생성할때 에어갭 방식처럼
클린OS설치된 컴퓨터를 네트워크에 연결하지 않은채 키 생성을 하곤 하는데 ( 반드시 )
만약 렛저 하드웨어 지갑이 본연의 임무 이외에 내부의 정보를 네트워크를 통해 전달하는 기능이 있다면
에어갭 환경을 구성해서 네트워크에 연결하지 못하게 하면 되는거 아닌가 하는 단순한 생각이 들었습니다.
비트코인 한정으로 고민해보면
오프라인 컴퓨터에 일렉트럼 오픈소스 지갑을 설치하고.렛저를 연동하면.
원하는 트랜젝션에 사인을 한후에 해당 데이터를 추출할수 있고.
이 데이터만 네트워크에 연결된 PC로 잘 옮겨서 내 노드를 통하거나 네트워크에 브로드캐스팅 하면 트랜젝션은 성공인데.
본래는 렛저를 구입하면 니모닉을 생성한후 네트워크에 연결된 PC에 렛저라이브라는 전용 프로그램을 통해 해당 코인 app을 설치해야 하는데.. 이 상태면 내 데이터가 전송될수 있으니 - 전송된다는 이야기가 아닙니다. 100%의 가능성에 대한 이야기 입니다. - 오프상태에서 렛저라이브를 통하지 않고 앱을 설치 할수 있어야 하는데.
다행이 몇몇 앱들은 소스가 공개되어 있으니 빌드 해서 쓸수 있겠네요.
https://developers.ledger.com/
시간 될때 노는 컴퓨터를 이용해서 에어갭 환경을 구성해봐야 겠습니다.
아놔, 그런데 이렇게 까지? 해야 하나 싶네요. ㅠ,ㅠ
렛저라이브에서 발생 할수 있는 일을 방지 할수 있고,
비트코인은 일렉트럼을 렛저 연동으로 사용 하면 되겠지 싶었습니다.
하지만, 렛저 안에 앱을 업데이트 할때는 반드시 렛저 라이브를 사용해야 하기 때문에 이 부분을 피하기가 어려워 보입니다.
해당 소스의 검증능력이 되고 안전하다 판단되면 직접 빌드해서 사용할수 있을거 같습니다.
개별 코인앱을 빌드해서 렛저라이브 없이 렛저에 인스톨할수 있으면 최악의 경우에도 위에 말씀하신 별도 지갑을 활용할 수 있을것 같습니다.
오 그랬군요. 그럼 오픈 소스된 내용대로 정말 그일(?)만 한다면,
업데이트만 때어 내서 따로 앱을 만들어 쓰고, 송수신 관련만 다른 앱을 사용하면 되겠군요.
하지만..
여기서 송금시에 인증 칩과 연동하게 되는데, 이때 다른 의심스런(?) 패킷을 날리는 지가 관건이군요.
만약 이부분이 의심스럽다면 방화벽을 통해 원하는 블록체인외에는 막아버리는 방법도 있겠군요. ^^;;
"렛저 CEO가 정부가 요구하면 개인키에 접근할수 있다고 하던데 그래도 안전한가?"
답변:
"2020년 Ledger CEO Pascal Gauthier는 정부가 법적 절차를 통해 개인 키에 액세스할 수 있다고 말했습니다. 그러나 이것은 극단적인 경우이며 Ledger는 개인 키에 액세스하도록 요청받은 적이 없다는 점에 유의하는 것이 중요합니다.
Ledger는 프랑스에 기반을 두고 있으며 프랑스 법률을 준수해야 합니다. 이는 Ledger가 정부가 법적 절차를 통해 개인 키에 액세스하도록 요구하는 경우 협조해야 함을 의미합니다. 그러나 이것은 Ledger가 정부가 법적 절차를 통해 개인 키에 액세스하도록 요청받은 적이 없으며 Ledger가 그렇게 하도록 요구받으면 사용자에게 알릴 것임을 의미하기도 합니다.
전반적으로 Ledger는 개인 키를 안전하게 보호하기 위한 강력한 보안 조치를 취하고 있습니다. Ledger는 또한 프랑스 법률을 준수해야 하지만 사용자에게 개인 키에 액세스하도록 요청받은 적이 없으며 그렇게 하도록 요청받으면 사용자에게 알릴 것입니다."
프랑스 정부가 진짜 요청 한다면 모를까...
렛저 보다 나은 방안이 나올때 까지는 일단은 쓰기로 했습니다. ^^;;;