Ledger’ın Kodu Açık Kaynak mı?
| Özetle: |
| — Hem donanımlardan hem de yazılımlardan oluşan Ledger’ın birinci önceliği güvenliktir, ancak ekosisteminin olabildiğince güven gerektirmeyen bir yapıya sahip olması için teknolojilerini mümkün olduğu kadar açık kaynak olarak sunmaya kararlıdır. — Kriptografik kütüphane, Ledger Recover ve daha fazlası da dâhil olmak üzere Ledger Live’ın kodu tamamen açık kaynak olup işletim sisteminin bir kısmının da kodu yine açık kaynaktır. — Ledger cihazları, tüm cihazlarını ve uygulamalarını koruyan Ledger Güvenlik Modeli sayesinde şimdiye dek hiç hack’lenmemiştir. |
Ledger ekosistemi, donanımdan çok daha fazlasını içerir ve kullanıcılara kendi varlıklarını korumaları için gereken bilgi ve gücü vermeyi hedefler. Birinci sınıf güvenlik sağlamak Ledger’ın ilkelerinin temelini oluşturur ve bu sadece donanımları için değil, yazılımları için de geçerlidir. Birinci sınıf mühendislerden ve Ledger Donjon’daki beyaz şapkalı bilgisayar korsanlarından oluşan bir ekip, ekosistem içinde işlem yaparken varlıklarınızı fiziksel ve dijital tehditlere karşı korumak için birlikte çalışır.
Ledger, güvenliğe odaklanmanın yanı sıra diğer birkaç temel ilkeye daha sahip olup esasen kendini güven ve self-custody’ye (bireysel kontrol) adamıştır.
Güven konusunu ele alacak olursak, Ledger ekosisteminin hangi kısımlarının incelenebildiğini merak ediyor olabilirsiniz. Bu yaklaşımı açıklamak için Ledger ekosistemini keşfedelim.
Ledger’ın Kodu Açık Kaynak mı?
İlk olarak, Ledger’ın şeffaflık konusunda kararlı olduğunu ve incelenebilmesi için kodlarının olabildiğince fazlasını yayınladığını belirtelim. Ancak kodumuzu tamamen açık kaynak yapmak ile tavizsiz güvenlik sunmak arasında seçim yapılması gerektiğinde, Ledger daha güvenli olan yaklaşımı seçer.
Bunun nasıl yapıldığını açıklamak için Ledger ekosisteminin kod tabanını inceleyelim.
Ledger Live’ın Kodu Açık Kaynak mı?
Evet, Ledger Live‘ın kodları bir MIT lisansı kapsamında tamamen açık kaynaktır, yani onu istediğiniz gibi kopyalayabilir veya onu fork’layabilirsiniz (çatallayabilirsiniz). Yani herkes Ledger Live’da bir uygulamanın geliştiricisi olabilir. Bazı geliştiriciler Ledger ile hiçbir etkileşimin, hiçbir kod incelemesinin veya Ledger tarafından topluluğunuz için sunulan hiçbir desteğin olmadığı tek bir entegrasyon oluşturabilir. Bu mümkündür, ancak diğer seçeneğe kıyasla daha nadir görülür.
Diğer seçenek ise blok zinciri uygulamanızı tamamen Ledger Live’da kullanıma sunmaktır. Bu, ürün ve destek de dâhil olmak üzere çeşitli Ledger ekiplerini içerir ve bu ekipler herkesi tatmin eden bir uygulama yayınlamanız için size yardımcı olur. Ancak hangisini seçerseniz seçin Ledger Live’ın kodları tamamen açık kaynak olup seçim sizindir.
Ledger’ın İşletim Sistemi Açık Kaynak mı?
Ledger’ın işletim sistemi kısmen incelenebilir ve doğrulanabilir. Komut dağıtıcısının ve Ledger Recover giriş noktaları uygulamasının kodları incelenebilir ve doğrulanabilir, ancak Ledger’ın bu çipin üreticisi ve sağlayıcısı olan STMicroelectronics ile yaptığı anlaşma Secure Element’ın (Güvenli Öge) donanım bloklarıyla iletişim kuran alt seviye kodları açıklamamızı hukuken engellemektedir.
Bunun sebebi de Secure Element’ın tasarımcılarının yıllar boyunca etkili bir güvenli çip oluşturmak için milyarlarca dolar yatırım yapmış olmasıdır. Rekabet avantajını kaybetmek istemediklerinden, donanım yazılımı geliştiricilerinin kodların bu devreye bağımlı olan kısımlarını açıklamalarını engellemektedirler.
Ledger’ın Secure Element’ı seçmesinin altında yatan sebep basittir: Bu çip güvenlik için tasarlanmıştır ve yan kanal, hata oluşturma ve yazılım saldırılarına karşı direnci ciddi ölçüde artırmaktadır.
Ledger, Secure Element’ı kullanıp kodlarımızın büyük bir kısmını açık kaynak sunmak ile daha az güvenli bir çip kullanıp işletim sisteminin tamamın açık kaynak olarak sunmak seçenekleri arasından daha güvenli olan yaklaşımı benimsemektedir.
Bunun birkaç nedeni vardır. İlk olarak, tüm çipler alt seviye kodları kullanır, dolayısıyla da bir donanım cüzdan sağlayıcısı hangi çipi seçerse seçsin her zaman bir güven seviyesi söz konusu olacaktır. İkinci olarak, Secure Element çipleri, cihazınızın işletim sisteminin bütünlüğüne güvenmenizi sağlayan, kurcalanmayı önleyici eşsiz önlemler sunar.
O hâlde Ledger ekosisteminin hangi kısımları açık kaynaktır veya incelenmeye açıktır?
Şunlar da dâhil olmak üzere Ledger’ın çoğu ürününün kodları açık kaynaktır veya incelenmeye açıktır: Ledger Live uygulaması, Cüzdan API’miz, Güvenli SDK (kripto kütüphanesi ve dokümantasyonu da dâhil), gömülü uygulamalar, işletim sistemi komut dağıtıcısı ve Ledger Recover giriş noktaları uygulaması.
Ledger’ın İşletim Sistemini baştan sona incelemek mümkün olmasa da içindeki birçok öge incelenebilir. Buradaki incelenmeye hazır yol haritamızda belirtildiği gibi şeffaflık Ledger için her zaman önemli bir konu olmuştur.
Kapalı Kaynak Kodlarına Nasıl Güvenebilirim?
İlk olarak Ledger, cihazınızın ve işletim sisteminin orijinalliğini denetlemenize olanak sağlayan bir “orijinallik denetimi” uygulamıştır. Buna ek olarak, tüm donanım yazılımları Ledger Donjon’da hatalar ve güvenlik açıkları için kapsamlı testlere tabi tutulmuştur.
İşletim sistemimizin kötü amaçlı bir çalışan tarafından dağıtılan potansiyel olarak kötü amaçlı kodlara karşı bile güvende olmasını sağlamak için Ledger, işletim sistemimizi baştan sona denetlemek üzere, tanınmış bir üçüncü taraf güvenlik laboratuvarını kullanmaktadır. Denetimler işletim sisteminin her bir sürümü yayınlanmadan önce gerçekleştirilir. Dolayısıyla da işletim sistemi düzeyinde hiçbir arka kapı veya güvenlik açığı bulunmadığından emin olabilirsiniz.
Kriptolarım Ledger Cihazlarında Güvende midir?
Evet, kriptolarınız Ledger ekosistemi içinde güvendedir: Bugüne kadar hiçbir Ledger cihazı hack’lenmemiştir. Bu, birçok güvenlik önleminin birlikte sunulması sayesinde mümkün olmuştur:
İlk olarak, Ledger cihazları işlemleri çevrim dışı imzalar ve internete bağlı cihazınızdan ayrı bir şekilde çalışır. Böylece varlıklarınız kötü amaçlı yazılımlara ve casus yazılımlara karşı korunur. Ayrıca cihazınızı fiziksel saldırılara karşı koruyan bir Secure Element çipi de kullanılır. Ledger cihazlarındaki ekran, doğrudan Secure Element tarafından kontrol edilmesiyle benzerlerinden ayrılır ve böylece her zaman doğru işlem ayrıntılarını gösterir. Bir de tabii BOLOS tarafından sağlanan çok önemli şifreleme ile uygulamalarınızın birbirlerinden izole olması garanti edilir. Tüm bu unsurlar Ledger’ın başarısı kanıtlanmış güvenlik modeliyle beraber dijital varlıklarınızı uzaktan ve fiziksel saldırılara ve hatta bazen kendi hatalarınıza karşı bile korur.
Ledger Sizi İnsan Hatalarından Koruyamaz
Bununla birlikte, ekosistemin dışındaki uygulamalardan gelen işlemleri anlamak o kadar kolay olmayabilir. Ne yazık ki Ledger ekosistemi sizi hatalara karşı koruyamaz. Dolayısıyla da bir Ledger cihazını bir üçüncü taraf cüzdanıyla birlikte kullanırken varlıklarınızın başka birisine gönderilmesini onaylamanızı isteyen kötü amaçlı sözleşmelere karşı dikkatli olmanız çok önemlidir.
Benzer şekilde, gizli kurtarma ifadenizi veya özel anahtarlarınızı hiçbir zaman kimseyle paylaşmamalısınız. Her ne kadar Ledger cihazları özel anahtarlarınızı çevrim içi tehditlerden korusa da gizli kurtarma ifadenizi bulutta veya güvenli olmayan bir ortamda saklayarak onun başkaları tarafından ele geçirilmesine neden olmanızı önleyemez. Hesabınıza sadece sizin erişebilmeniz için gizli kurtarma ifadenizi güvenli ve gizli bir yerde tuttuğunuzdan emin olun.
Self-custody (bireysel kontrol), beraberinde bazı sorumluluklar getirir. Dolayısıyla, son bekçi sizsinizdir.