オープンソースのCypherockがセキュリティを確保する方法
【Cypherock X1を割引価格で購入できます】
「オープンソース技術」は。技術革新を促進し、アプリケーションのセキュリティを維持し、開発者コミュニティからの関心を集め、あらゆる技術の発展を実現させてきました。
Web3ウォレットの分野では、「検証可能であること」が必須であるため、オープンソースであることは特に重要な部分となります。
一方、オープンソースであることは、ソフトウェアにおける恩恵は大きいですが、セキュリティ上の懸念が発生するという側面もあります。特に暗号資産ウォレットに関しては、機密情報が危険にさらされる可能性があるのでなおさら重要な部分です。
セキュリティに関する懸念
セキュリティの観点から、オープンソースソフトウェアの使用によって生じるリスクは3つあります:
- オープンソースソフトウェアの開発は非中央集権的です。つまり、ソフトウェアの任意のフォークの安全性を保証する権威は基本的に存在しないことを意味します。
- 暗号資産ウォレットは本質的に機密情報にアクセスするものであり、ソースコードに発見された脆弱性が、パッチのリリース前に悪用される可能性があります。
- ファームウェアをオープンソース化する電子チップは、一般的に、そこに保存されるデータを保護するために使用できるセキュリティ対策を持ちません。
セキュリティリスクを軽減するために、暗号資産ウォレットはクローズドソースのアプローチをとり、秘密鍵を生成して安全に保管するために必要なセキュアエレメントと呼ばれるコンポーネントを利用します。
このセキュアエレメントはウォレットの開発企業とコンポーネントの製造業者との間でNDAが必要で、開発企業がウォレットコードをオープンソースにすることは制限されています。しかし、クローズドソースシステムのリスクもまた有効で、ゼロデイ攻撃を受ける可能性があります。
では、どうすればオープンソースでありながら、高い安全性を確保できるのでしょうか。
Cypherockがオープンソースかつ安全性が高い理由
Cypherock X1は、秘密鍵を管理する際に、他のウォレットとは違い、秘密鍵が単一障害点から被ることがないユニークな仕組みを持っています。Cypherockは、Shamir Secret Sharingというアルゴリズムを使って、ウォレット作成時に秘密鍵を5つに分割し、X1ウォレットと4枚のX1カードという5つのハードウェアコンポーネントに独立して保存されます。それぞれのコンポーネントにはセキュアエレメントが搭載されていますが、これはNDAに関する性質は異なります。
X1ウォレットは、ATECC608Aというセキュアエレメントを使用しており、CypherockによるNDAの署名は必要ありません。一方、X1カードはEAL5+セキュアエレメントを使用しており、CypherockによるNDAが必要ですがATECC608Aより安全であることが大幅に証明されています。
この仕組みの利点は、X1カードのコードを専有したまま、X1ウォレットのコードをレビュー用にオープン化できることです。X1ウォレットをオープンソースにすることで、誰でも秘密鍵で実行されたウォレット操作を検証できるようになると同時に、5つのうち4つがEAL5+のセキュアエレメントを持つ4枚のX1カードに保存されることを保証します。つまり、Cypherockを通じて保護された秘密鍵は、オープンソースであることのリスクが完全になくなることになります。秘密鍵は、X1カードと一緒にX1ウォレットに分割されるため、X1カードのコードを専有してアップグレードできないようにすることで、Cypherockはオープンソースでありながら、安全が保証される仕組みを持っているのです。
まずはご購入になって、今後のCypherockの進捗にご期待ください!