Diante da enxurrada de críticas quanto ao lançamento do serviço Ledger Recovery, a empresa anunciou que a assinatura do serviço é voluntária ou mão obrigatória.
Com o Ledger Recovery, o usuário poderá recuperar as palavras-chave após passar pela verificação de identidade, e isso trouxe enorme repercussão negativa ao provedor de dispositivo de ‘armazenamento de criptoativos’ off-line.
O imbróglio é que o serviço funciona de forma a, de alguma forma, enviar as palavras-chave para empresas terceirizadas, mesmo que fragmentadas. Outro ponto é a verificação de identidade que pode permitir que os governos tenham acesso a informações dos usuários e a seus fundos em criptoativos.
Repercussão negativa com o serviço Ledger Recovery
A empresa Ledger se apressou para informar aos seus usuários de carteiras de hardware de que a atualização Ledger Recovery não é obrigatória.
O serviço divide as palavras-chave em três partes e as envia para três empresas terceirizadas para armazenamento. Caso o usuário perca as palavras-chave de sua carteira este pode recorrer ao serviço e recuperá-las através de verificação de identidade.
De acordo com a Ledger, as empresas terceirizadas não terão acesso às palavras-chave originais, que não serão armazenadas em nuvem. E os próprios backups são criptografados, fragmentados e descriptografados apenas diretamente no dispositivo Ledger.
O CEO da Ledger, Pascal Gauthier, escreveu em sua conta do Twitter que os rumores sobre a empresa criando um ‘backdoor’ para invasores são infundados. Ademais, garantiu que a atualização não é obrigatória.
- Leia também: PEPE: Memecoin é listada na exchange Kraken
‘Não temos controle sobre os dispositivos Ledger e não somos capazes de executar atualizações automáticas’, disse.
Em resposta a um usuário que o chamou de ‘egocêntrico’, Gauthier disse que: Antes = a chave privada não pôde sair do chip. Agora = chave privada ainda não pode sair do chip. Eu acredito na nossa missão. Torne a criptografia segura e fácil de usar. Construir não é egocêntrico.
Ainda não está claro como o usuário enviará as suas palavras-chave para a Ledger, uma vez que a própria empresa não possui acesso a elas.
Assim, o que inicialmente chama a atenção no caso da Ledger Recovery é que o usuário não fará o processo de forma off-line, e terá que usar um aparelho conectado à internet para fazê-lo, colocando estas palavras em risco. Apenas o fato de digitar as palavras-chave na internet é algo de alto risco.
Ademais, se não for feito desta forma, será diretamente do dispositivo da Ledger, o que quebra a garantia de que as palavras estão armazenadas num compartimento seguro.
Em ambos os casos o mecanismo de armazenamento das palavras-chave do dispositivo estariam comprometidos, o que gera total insegurança aos usuários da Ledger.
Opinião
O Bitnotícias conversou com Paulo Aragão, cofundador do Portal CriptoFácil e host do Bitcast, que disse que realmente ainda não tem muitos detalhes de como vai funcionar o serviço Ledger Recovery. Abaixo segue sua opinião sobre o assunto:
‘A gente só sabe que será uma assinatura mensal que vai ser vendida à parte pela Ledger, mas sinceramente, eu como usuário vejo com olhos de preocupação esse serviço.
O conceito de uma hardwallet é que de fato não haja nenhum tipo de comunicação da minha carteira com a internet ou com a rede externa, e o fato de ter a possibilidade na minha seed ser enviada pra fora, por mais que seja um serviço que eu contrate, isso me deixa bastante preocupado.
Mesmo que seja, teoricamente, com uma seed dividida em três partes independentes e cada uma criptografada de uma forma diferente, isto é algo que me deixa desconfortável.
Sem sombra de dúvida é algo que eu irei analisar com carinho quando a gente tiver mais detalhes porque pode ser que a Ledger perca um ponto bem considerável no quesito de segurança’.