YILBAŞI TEKLİFİ: $70 değerine varan Bitcoin hediyesi alın. Stoklarla sınırlıdır!

Satın al

Blog gönderileri, Ürün haberleri | 15/01/2019

Ledger Nano X + Bluetooth: Kablosuz Donanım Cüzdanın Güvenlik Modeli


Ledger yakın bir zaman önce yeni bir ürün lansmanı yaptı: Ledger Nano X. Yeni bir donanım mimarisi kullanılan bu yeni üründe çok yönlü ve güvenli İşletim Sistemimiz olan BOLOS‘tan da maksimum derecede yararlandık.
Ledger Nano X cihazında Bluetooth Low Energy (BLE) bağlantı özelliği bulunuyor ve Android ya da iOS cihazlarına kablosuz olarak bağlanabiliyor. Bu özellik, kullanıcı deneyiminin iyileştirilmesine büyük katkı sağlamış olsa da kablosuz bağlantıyla ilgili güvenlik endişelerine neden oldu. Bu endişeleri gidermek istiyoruz.
Kısaca anlatmak gerekirse:

  • Bluetooth ile sadece genel veriler iletilir. Özel anahtarlar ve seed gibi hassas veriler asla cihazdan ayrılmaz.
  • Bluetooth bağlantısı hack’lense bile, Ledger Nano X’in güvenliği, herhangi bir işlem için onayınızı isteyecek olan Secure Element’e (SE) dayanır.
  • Ledger Nano X cihazındaki Bluetooth özelliğinde son teknoloji ürünü bir Bluetooth protokolü kullanılır. Bu Bluetooth protokolü, eşleme kullanılarak doğrulanmasını sağlar. Sayısal karşılaştırmayı temel olan bu özellikte güvenlik, AES tabanlı şifreleme kullanılarak sağlanır.
  • Nano X cihazınızı bir kablosuz bağlantıyla kullanmak içinize sinmiyorsa Bluetooth özelliğini devre dışı bırakabilir ve C Tipi USB kablosunu kullanabilirsiniz.

Nasıl çalıştığını ve bu donanım cüzdanının güvenlik modelini neden etkilemediğini daha detaylı öğrenelim.

Mimari

Yeni mimari, Ledger Nano S ile kıyaslandığında biraz farklı olmasının yanı sıra birçok ortak özelliğe sahip.
İçinde 2 çip bulunuyor:

  • Yeni ve son teknoloji ürünü bir Secure Element (ST33J2M0)
  • Kablosuz desteği olan çift çekirdekli MCU’lar (STM32WB55)

STM32 MCU, akıllı telefon/bilgisayar ile Secure Element çipi arasında bağlantıyı sağlıyor ve sadece bir proxy görevi görüyor.
Secure Element çipi ise kullanıcı girdilerini alıyor ve hassas bilgilerin gösterildiği ekranı çalıştırıyor. Elbette, ürünün güvenliğini sağlamaktan da sorumlu. Seed ve özel anahtarları saklayıp kripto paralarınızı yönetmek için tüm kriptografik işlemleri hayata geçiriyor.

Bluetooth Low Energy

Güvenlik modelimiz üzerindeki etkisi

Bluetooth bağlantısı sadece genel bilgilerin aktarılacağı bir katman olarak kullanılıyor. Gizli anahtarlar veya seed asla BLE katmanına ifşa olmuyor ve asla, hiçbir koşulda Secure Element çipinden çıkmıyor.
Örneğin, bir işlem yapacağınız zaman işlem akıllı telefon veya bilgisayardaki Ledger Live uygulamasında hazırlanıyor, Bluetooth ya da USB bağlantısı kullanılarak MCU’ya (STM32) gönderiliyor ve buradan doğrudan Secure Element çipine aktarılıyor. Ardından, bilgiler ekranda gösterilerek tutarı ve alıcı adresini doğrulamanız isteniyor. Her şey doğruysa cihazın her iki tuşuna aynı anda basarak işlemi onaylayabiliyorsunuz.
Akıllı telefonunuz ya da bilgisayarınız tehlikede olsa bile, Bluetooth bağlantısı tehlikede olsa bile ve STM32 MCU tehlikede olsa bile, en nihayetinde hep Secure Element tarafından işlem bilgilerini doğrulamanız isteniyor. Cihazın ekranı size gerçek işlem bilgilerini gösterecektir. Siz bizzat izin vermediğiniz sürece hiçbir işlem imzalanamaz.

BLE kullanımımız

Yine de Bluetooth katmanı açık anahtarlarınızı veya adreslerinizi taşıyabilir ve bu durum gizlilik endişelerine yol açabilir. Tam da bu sebepten dolayı son teknoloji ürünü bir Bluetooth protokolü ekledik.
BLE bağlantısı 2 aşamalı bir protokoldür.

  • Anahtar Takası
  • BLE kanalının kullanımı

Öncelikle, her iki taraf da (Ledger Nano X ve akıllı telefon) kendi anahtar çiftlerini Rastgele Üretici kullanarak oluştururlar.
Ardından sıra, eşleme aşamasına gelir. Kullanıcı onayı alındıktan sonra Ledger Nano X ve akıllı telefon arasında bir Eliptik Eğri Diffie Hellman anahtar takası gerçekleşir. Bu aşama önemlidir, çünkü Ledger Nano X cihazı ile eşlenen akıllı telefonun karşılıklı olarak birbirlerine güvendikleri aşama budur. BLE bağlantılarına karşı en sık kullanılan saldırı türü olan Aradaki Kişi (MiTM) saldırısını önlemek adına Bluetooth protokolüne özel yapılandırmalar eklenmiştir.
Aradaki Kişi (MiTM) saldırılarını önlemek adına son teknoloji ürünü bir yapılandırma ekledik: Sayısal Karşılaştırma. Ortak sır oluşturulduğunda hem Ledger Nano X hem de akıllı telefon bir sayısal kod gösterir ve kullanıcı, bu iki kodun aynı olup olmadığını doğrular. Bu sayısal kod, her iki tarafın açık anahtarları ve rastgele nonce’ların kullanılmasıyla, AES-CMAC ile hesaplanır. Bu sayede çarpışma saldırıları ve düşürme saldırıları önlenip açık anahtarların doğrulanması sağlanır. Gerekli koşullar sağlanmışsa her iki taraf da karşı tarafı gerçek olarak tanımlar ve akabinde, doğruluk ve gizlilik garantilenerek iletişim kurulur.
Bu anahtar takas protokolü tamamlandığında, akıllı telefon ile Ledger Nano X arasında AES tabanlı şifreleme programına sahip, güvenli bir kanal oluşturulur.
Android’in eski sürümlerinde, Sayısal Karşılaştırma özelliği olmayabilir. Bu durumda, Secure Element kullanıcıyı bir mesajla uyarır ve bir Aradaki Kişi (MiTM) saldırısı yapılabilir. Bu saldırı, yakınlarda bulunan bir saldırganın kötü amaçlı bir cihazı hem Ledger Nano X hem de akıllı telefon ile eşlemesini gerektirir. Akabinde, her pakete müdahale edebilir ve başka yere iletebilir. Bu durum, Ledger Nano X ile akıllı telefon arasındaki iletişimi gözetlemeyi ve hatta Secure Element’e komut göndermeyi mümkün kılar. Gelgelelim, kullanıcının yine de her işlemi doğrulaması ve onaylaması istenir.

Güvenlik Denetimi

BLE katmanımız ST katmanı üzerinden eklenmiştir. Üçüncü Güvenlik ekibimiz Ledger Donjon, bu eklentinin güvenliğini, “Invalid Point” (Geçersiz Nokta) saldırıları gibi son saldırı türlerinin hepsine karşı test etmiştir.

Eski USB kablosu

Yine de Ledger Nano X cihazınızla bir kablosuz bağlantı kullanma fikri makul gelmiyorsa Bluetooth bağlantısını devre dışı bırakabilir ve bir C Tipi USB kablosuyla bilgisayarınıza bağlayıp Ledger Nano X’in diğer özelliklerinden yararlanabilirsiniz.

Ledger Nano X an itibarıyla ön siparişe açılmıştır. Daha fazla bilgi için lütfen aşağıdaki banner’a tıklayın.
Ledger Nano X Ön Sipariş

İletişimde kalın

Duyurulara blogumuzdan erişebilirsiniz. Basın için iletişim:
[email protected]

Bültenimize abone olun

Desteklenen yeni coin'ler, blog paylaşımları ve özel teklifler doğrudan gelen kutunuzda


E-posta adresiniz yalnızca tarafınıza Ledger bültenimizi, haberlerimizi ve tekliflerimizi göndermek için kullanılacaktır. Bültende yer alan bağlantıyı kullanarak istediğiniz zaman abonelikten çıkabilirsiniz.

Verilerinizi nasıl yönettiğimiz ve haklarınız hakkında daha fazla bilgi edinin.