Paris merkezli donanım cüzdanı üreticisi Ledger kısa süre önce yeni anahtar kurtarma özelliğini açıkladığında bunun popüler bir uygulama olacağını düşünüyordu.

Aynı şifrenizi kaybettiğinizde geri alabildiğiniz gibi kullanıcılara özel anahtarlarını geri alabilme imkânı sağlamanın yeni müşteriler edinmede yararlı olacağı düşünülmüştü. Potansiyel kullanıcıların kriptonun tavizsiz yaklaşımı (“anahtar senin değilse coin de senin değildir”) nedeniyle bu alana uzak durduğu söyleniyordu. Bir kurtarma hizmeti kullanıcılara konfor sağlayabilirdi.

Ancak “Ledger Recover” hizmeti hayata geçer geçmez eleştirilere maruz kaldı.

Eleştirel yaklaşanlar bu ürünün özel anahtarları meraklı gözlerden kesinlikle uzak tutmayı vaat eden donanım cüzdanı mantığına uygun olmadığını söylüyorlar. 

Ledger’a rakip bir donanım cüzdanı olan Trezor’un üreticisi SatoshiLabs’in kurucu ortağı Pavol Rusnak, “Bir donanım cüzdanı kurtarma ifadesini veya bunun bir parçasını internet üzerinden bir yere gönderip bunu gerektiğinde birleştiriyorsa donanım cüzdanının güvenlik mantığına ciddi bir değişim getirmiş olur. Aslına bakarsanız bu çok temel bir değişim ve ben bunun bir donanım cüzdanı için uygun olduğuna ikna olamadım” diyor.

Ledger’ın opsiyonel olan ve Nano X modelinde geçerli bu güncellemesi sayesinde kullanıcılar Ledger Recover adlı bir hizmet üzerinden kurtarma ifadelerini (kayıp bir cüzdanı geri almak için kullanılması gereken kelime grubu) bir grup saklayıcı şirket ile paylaşıyorlar. Bu şirketler Ledger, Coincover ve EscrowTech olarak açıklandı. Bu yapılar aylık bir abonelik bedeli karşılığında şifrelenmiş yedekler tutuyorlar. 

Ledger’a göre bu hizmet kullanıcılara, kurtarma ifadelerini unuttuklarında veya kaybettiklerinde erişimi sağlama imkânı veriyor. Kullanıcılar bu hizmetle birlikte Ledger’dan yardım isteyebilecek, kimliklerini doğruladıklarında özel anahtarlarını geri alabilecekler. 

Konuya eleştirel bakanlara göre yapılacak yazılım güncellenmesi ve kurtarma sürecinin tamamı pek güvenli görünmüyor. Ledger bunların güvenilir olduğunda ısrar ediyor. 

CoinDesk olarak bu yeni özelliğin nasıl çalıştığını (Ledger’ın verdiği bilgiler ışığında) analiz ettik ve olası güvenlik konularını uzmanlara sorduk.

Ledger’ın açıklamaları

Ledger’ın iletişim yöneticisi Philip Costigan’a göre yeni özellik cihazın kendisinin internet üzerinden saklama şirketleriyle temasa geçeceği anlamına gelmiyor. “Ledger cüzdanlarından WiFi veya diğer başka bir internet bağlantı özelliği bulunmuyor.”

Costigan’ın verdiği bilgiye göre kullanıcılar, kurtarma ifadesinin şifrelenmiş parçalarını saklama şirketlerine transfer etmek için Ledger cüzdanlarını Bluetooth üzerinden telefonlarındaki Ledger uygulamasına bağlamak durumundalar. Ledger kullanıcıları cüzdanlarındaki parayı harcamak istediklerinde işlemleri onaylamak için de aynı mekanizmayı kullanıyorlar.

Costigan süreci şöyle anlatıyor: Öncelikle kullanıcıların, Ledger’ın bu işlem için anlaştığı Onfido ve Tessi şirketleri üzerinden kimliklerini doğrulamaları gerekiyor. Bunu da Ledger’ın mobil uygulaması aracılığıyla yapıyorlar.

Costigan, “Ledger, Coincover ve EscrowTech insanların kimlik bilgilerini görmüyor veya tutmuyor. Tüm bu işlemler yukarıda adı geçen ve bu alanda uzman hizmet sağlayıcılar üzerinden yapılıyor” diyor.  

Bu işlemin ardından Ledger cihazına bir yedek oluşturması için komut gidiyor. Sonrasında bir yedek oluşturuluyor, şifreleniyor ve Shamir’s Secret Sharing tekniği kullanılarak parçalara ayrılıyor. Bu parçalar Ledger, Coincover ve EscrowTech’e transfer ediliyor. Her bir saklayıcı tek başına bir işlevi olmayan bir parçayı saklıyor. 

 Costigan, “Tüm şifreleme, bölme ve şifreyi çözme işlemleri Ledger’ınız üzerindeki güvenli yapıda gerçekleşiyor. Yani güvenli çipin dışına çıkan tek bileşen bu şifrelenmiş parçalar” diyor. 

Costigan donanım cüzdanının kendisinin müşteriye dair herhangi bir kimlik bilgisini tutmadığını da ekliyor. 

Ledger’ın SSS sayfasındaki bilgilere göre kullanıcı kurtarma işlemi yapmak istediğinde saklama servisi veren bu şirketler tuttukları parçayı Ledger cihazına geri gönderiyorlar ve özel anahtarınız yeniden birleştiriliyor. 

Güvenlik kaygıları

Bu güncellemenin haberi kripto topluluğunda ciddi bir eleştiri dalgasına neden oldu. Eleştirel yaklaşanlar Ledger’ın bu yeni hizmetinin daha önce verdiği güvenliğe dair sözle çeliştiğini vurguluyorlar. 

Kripto twitter’da Ledger’ın resmi hesabından geçtiğimiz Kasım’da paylaşılan ve cihazlarının güvenliğine dair güvence veren ifadeler öne çıkarıldı.

@S_Radude olarak bilinen Twitter kullanıcısı 15 Kasım 2022’de “Biz kullanıcılara, cihazlarınızdaki özel anahtarın bir güncelleme veya şirketin istediği bir şekilde sızmayacağını nasıl garanti ediyorsunuz?” sorusunu yöneltmişti.

Ledger, bu soruya yanıt olarak şöyle demişti: “Merhaba – Özel anahtarlarınız Secure Element çipinin dışına asla çıkmaz ve bu çip daha önce hacklenemedi. Secure Element üçüncü taraflarca sertifikalandırılmış bir yapıdır ve pasaportlarda ve kredi kartlarında kullanılan teknolojinin aynısıdır. Yapılacak bir yazılım güncellenmesi Secure Element üzerinden özel anahtarın açığa çıkmasına neden olmaz.”

Kullanıcılar yeni güncellemenin bu ifadelerde yapılmayacağı söylenen şeyleri mümkün kılabileceğini belirtiyorlar. Burada kritik nokta şu: Ledger’ın söylediğine göre kurtarma sürecinde özel anahtarın kendisi değil kurtarma ifadesi kullanılıyor. 

Bu yaklaşım dahi kullanıcıların kaygı duymalarına neden olabiliyor. Kullanıcılar donanım cüzdanlarındaki çok güvenli bir özel bölgede saklandığını düşündükleri bir bilginin buradan çıkıp başka bir yere gidebileceğini düşünüyorlar. Ya Ledger kullanıcılarından izin almadan kurtarma ifadelerini çekip toplamaya karar verirse ne olacak? 

@NewWageCrypto adlı kullanıcı, “Eğer bir yazılımla Secure Element’e bir şifreleme, parçalama ve dağıtma komutu verebiliyorsanız bir sonraki hafta bunu kurtarma ifadelerini toplamak için kullanmayacağınızı nereden bileceğiz?” diyor. 

Ledger buna verdiği cevabı sonrasında silmiş olsa da şöyle demişti: “Teknik açıdan konuşmak gerekirse anahtarın çıkarılmasına dair bir yazılım yazmak mümkün ve zaten her zaman mümkündü. Sizler Ledger’ın bunu yapmayacağına dair güven duyuyorsunuz.”

Bu tweet silinse de arşivlenmiş kopyaları yeni bir öfke dalgasını tetikledi ve hemen ardından bir açılma daha geldi: Yapılan herhangi bir güncellemenin aktif olması için kullanıcının onayı gerekli. 

Ledger’ın verdiği ve daha sonra sildiği bir diğer yanıt da şöyleydi: “Her bir yazılım güncellemesi için PIN ile cihazı açıp onay vermek gerekli. Cihazınız elimizde olsa da anahtarlarınızı çıkaramayacağımızın bir kanıtı da bu işlem.”

Tüm bunlara karşın hâlâ soru işaretleri var: Ledger’ın donanıma dair güncellemesi ne anlama geliyor ve kullanıcılar cihazlarına güvenmeye devam edebilirler mi?

Kripto geliştiricisi ve araştırmacısı Laurence E. Day, CoinDesk’e verdiği bilgilerde buradaki temel sorunun Ledger’ın kullandığı kodun kapalı olması ve bu nedenle kimsenin güncellemeye dair bir inceleme yapamaması. Blok zincir güvenlik uzmanı Christopher Allen da benzer görüşler ortaya koyuyor. 

Allen paylaştığı tweette, “Yeni Ledger Recover hizmetine dair kaygılarımdan biri de parçalama işleminin Shamir’s Secret Sharing ile yapılması. Ancak bu işlemi özel bir biçimde ve muhtemelen naifçe yapıyorlar gibi. Kaynak açık olmadığı için durumu tam anlayamıyoruz” doyurdu. 

Açık noktalar

Day, tüm bu durumda en kaygı oluşturan konunun yapılan çelişkili açıklamalardan dolayı Ledger ile kullanıcıları arasında güven kaybının oluşması olduğunu söylüyor. 

Day CoinDesk’e gönderdiği doğrudan mesajda, “Beni rahatsız eden nokta kurtarma ifadesinin çipin dışına asla çıkmayacağına dair anlaşmanın bir şekilde bozuluyor olması” diyor. 

Diğer bir konu da mahremiyet boyutu… Donanım cüzdanlarında genelde kriptolarınız anonim olarak yani herhangi bir isimle eşleştirilmeden saklanıyor.

Ancak Recover güncellemesini kabul eden kullanıcılar kimlikleri ile cüzdanlarını ilişkilendirmek ve merkezi borsaların müşteri tanımlama yaklaşımına benzer bir süreci kabullenmek durumunda kalacaklar. 

Ledger’a rakip olan donanım cüzdanı üreticisi Foundation’ın içerik üst yöneticisi Seth for Privacy takma isimli kişi yazdığı tweette Ledger’ın önerdiği kurgunun “veri sızıntısı, hacklenme ve devlet sansürü ve takibi” gibi konulara dair kaygı oluşturduğunu belirtiyor ve şöyle diyor:

“Sadece sızıntılar ve hack olayları değil Ledger’daki kullanıcıların verileri de bugün ve gelecekte çok değerli. Bu üçüncü taraf iş ortaklarından biri sizin verileriniz paraya çevirmeye kalkarsa işler karışır.” 

Gelecekte bir gün Onfio ve Tessi hackerlarca ele geçirilirse yüksek miktarda kripto tutan kullanıcıların bilgilerinin ve bunların kıymetli verilerinin de ele geçirilmesi riski doğabilir. 

Ledger geçmişte de saldırıya uğramıştı. Temmuz 2020’deki saldırıda 272.000 kullanıcının bilgileri çalınmış ve sonrasında kullanıcılara yönelik bir dizi oltalama saldırısı gerçekleştirilmişti. 

Day’e göre kanun ve kolluk güçleri de Ledger’ın kullanıcılarının kriptolarına erişmeyi deneyebilir. “Parçaları saklayacak üç şirket de bilinen ve tanınan oyuncular ve federal yetkililer bunların kapısını açabilir. Yani recover hizmetine dahil olursanız cüzdanınız hukuki taleplerle karşılaşabilir.” 

SatoshiLabs’den Rusnak ne kadar güvenli bir süreç önerirseniz önerin süreçte kandırmaca olması olasılığı vardır. “Birisi üretimsel yapay zekânın yarımıyla benim kimliğimi taklit edebilir, parçaları alabilir ve kurtarma ifademi ele geçirebilir.”

Twitter’daki bazı kişiler şu anda opsiyonel olan bu hizmetin ileride mecburi hale getirilmesi olasılığını da bir risk olarak gördüklerini açıkladılar.  

Kriptonun felsefesine aykırı

Güvenilir saklayıcıları kullanmak kripto dünyasında yeni bir durum değil. Aslına bakarsanız coün’lerini bir borsa üzerinde tutan herkes bu borsaya banka gibi güvenir. Ancak donanım cüzdanları Bitcoin’in “kendi kendinizin bankası olun” felsefesini temel alır. Yani parayı güvende tutmak için bir aracıya güvenmek zorunda kalmamayı…

Bunun anlamı tamamen sizin kontrol edeceğiniz, tercihen internete bağlantısı olmayan ve hacklenme riskinden uzak bir yerde kriptonuzu tutmanız gerektiğidir. Ancak bu yaklaşım bazılarına yorucu gelebilen bir öz disiplin gerektirir. Ledger’ın yeni hizmeti bu tür kullanıcıların işini biraz kolaylaştırmayı ve çalıntı kredi kartlarını veya unutulan şifreleri geri almaya yönelik sisteme benzer bir sistem (aslında daha sofistike bir sistem) sunmayı hedefliyordu. 

Bu açıdan bakıldığında Ledger Recover soğuk saklamanın anatomisi ile bir saklama hizmetinin konforu arasında bir denge kurmayı hedefliyordu: Kriptonuz cihazınızda ancak kaybederseniz geri almanın bir yolu da var. Burada soru şu: Ledger kullanıcıları bu tür bir dengeyi kabul ediyorlar mı?

Donanım cüzdanlarının daha sofistike bir kitle tarafından tercih edildiğini söyleyen Day, “Recover hizmetini bir kullanıcı ara birimi kolaylığı olarak sıradan kullanıcılara sunmanın mantığını anlayabiliyorum. Ancak olay şu ki bu cüzdanları sıradan kullanıcılar zaten tercih etmiyorlar” diyor. 

Buna karşın Ledger sıradan insanların henüz bu hizmeti istediklerinin farkında olmadıklarını düşünüyor. 

Ledger CEO’su Pascal Gauthier, Salı günü katıldığı Twitter Space yayınında, “Müşterilerin bunu istemediklerini söylüyorsunuz. Aslında bu tam da gelecekteki müşterilerin isteyeceği bir hizmet. Gelecekteki birkaç yüz milyon kişi kriptoya böyle entegre olacak” diyordu.