Hikayenizden çıkartılacak bir diğer önemli sonuç da al-sat yapmayı düşünmediğiniz bitcoinlerin private key'ine sizin sahip olduğunuz cüzdanlarda saklanması gerektiği. Geçmiş olsun.

Your key, your bitcoin.
Not your key, not your bitcoin.

- Andreas Antonopoulos

Sinyal analiziyle Trezor One'un 1.3.2 versiyon numaralı firmware'i için yapılmış olan hack girişimini bu adresten takip edebilirsiniz: https://jochen-hoenicke.de/trezor-power-analysis/

Burada şunu da ekleyeyim şu anda 1.6 küsürlü firmware kullanılıyor ve makalede belirtilmiş olan açıkların hepsi giderilmiş durumda.

Trezorun üstünde pil olmaması zaman geri sayımını bağlı olduğu bilgisayardan zaman bilgisi alarak yaptığı anlamına gelmiyor. Nasıl ki USB bellekle bilgisayara bağlı olmasalar bile yıllarca kendilerine kayıtlı verileri muhafaza ediyorsa Trezor da countdown verisini private keyle kriptolayarak kalıcı hafızasında saklıyor. Diyelim ki PIN ardı ardına yanlış girildiği için 256 saniyelik geri sayım başladı ve gerisayımın bitmesine 120 saniye kala cihazı bilgisayardan çıkardınız. Bu durumda cihazı tekrar bilgisayara bağladığınızda geri sayım 120 saniyeden devam etmiyor, tekrar 256 saniyeden başlıyor. Buradan varmak istediğim sonuç şu, cihazı 256 saniye boyunca bilgisayara bağlı tutmadan bu süreci bypass etmek mümkün değil.

Aklınıza gelen veya yukarıda saydığınız yöntemlerin hiçbiriyle Trezor'un kırılabilmesi mümkün değil. Şimdiye kadar seedwordlerin güvenliği ihlal edilmeksizin Trezor'dan kriptoparası çalınmış kimse yok. Satoshi Labs cihaz güvenliğini artırmak için sürekli çalışıyor. Ledger tarafı için bir şey diyemeyeceğim, çünkü bilgim yok.
 
Hardware walletların şu an kullanabileceğiniz en güvenli elektronik private key saklama aracı olduğunu rahatlıkla söyleyebilirim. En zayıf halka insan. Seed wordlerinin güvenliğini sağlayamayan bir kullanıcı için cihaz ne kadar güvenli olursa olsun yapacak bir şey yok.

Gerçekten çok dikkatlisiniz. Konuyu ayrıntılı bir şekilde incelemişsiniz.

Belirttiğiniz gibi Ledger'ın içerisinde secure element bulunurken, Trezor'un elemanı secure element olarak çalışmıyor. Bu sebeple Trezor donanımından yazılımına kadar açık kaynak kodlu bir cihazken Ledger'ın firmware'i açık kaynak kodlu değil. Trezor'un geliştiricisi Satoshi Labs'in kapalı kaynak kodunu risk olarak gördüğünü sebepleriyle birlikte açıkladığı bir makalesi mevcut. Buradan ilgili makaleyi okuyabilirsiniz:

https://blog.trezor.io/is-banking-grade-security-good-enough-for-your-bitcoins-284065561e9b#.vc68zeeqp

Makaledeki can alıcı bölüm şu şekilde:


Trezor'un güvenliğini sağlayan öncelikli faktör, cihazın açılışında sorulan pin kodu. Bu pin kodu doğru şekilde girilmeden cihazın açılması ve private key'e erişilebilmesi gerçek anlamda mümkün değil. Brute Force yöntemiyle bu şifre kırılabilir mi diye sorabilirsiniz, yanlış yapılan her şifre girişi için Trezorda üssel olarak artan bir bekleme süresi mevcut. İlk yanlış girişte bir saniye, ikincide 2 saniye, üçüncüde 4, dördüncüde 8 ... 16, 32, 64, 128, 256, 512, 1024 derken onbeşinci denemede şifrenin girilebilmesi için yaklaşık 22 gün beklenmesi gerekiyor. Bu süre içerisinde Trezoru çalınan kullanıcının seed word'leri kullanarak kriptoparalarını başka bir hesaba alarak güvenliğini sağlaması düşünülmüş. Bu sebeple Trezor'da önemli olan seed word'lerin fiziksel olarak güvenli bir yerde muhafaza edilmesi ve bu kelimelerin hiçbir şekilde elektronik ortamda saklanmaması, klavyeden dahi girilmemesi.

Kimyasal yöntemle Trezorun STM.. işlemcisinin kazınarak içeriğine ulaşılması yöntemine gelince. Bahsettiğiniz yöntemin özü şu şekilde: İşlemcinin üzerindeki katmanları asitle eritip alt katmanda bulunan işlemciye erişiyorsunuz. Trezorda kullanılan STM işlemcisi Cortex M3 ailesinden bir işlemci. (İşlemciyle ilgili detaylı bilgi için: https://developer.arm.com/products/processors/cortex-m/cortex-m3 ). Bu işlemci tek bir katmandan oluşmadığı, katmanlardan oluştuğu için asitte işlemciyi erittiğinizde aslında işlemciyi ve flash belleğini kullanılmaz hale getirmekle kalmıyor aslında yok ediyorsunuz. İşlemciye zarar vermeden katmanlara erişmek imkansız yani. Hadi bir şekilde kötü niyetli kişi bunun da üstesinden geldi diyelim, Trezor'un flash belleği içerisinde private key kullanıcının belirlemiş olduğu pin'e göre şifrelenmiş durumda. Yani flash belleğe bir şekilde erişilse bile kötü niyetli kişinin karşılaşacağı şey şifrelenmiş veriden başka bir şey değil. Bu durumda brute force yaparak private key'e erişilmesi mümkün olabilir. Ancak saydığım sebeplerden ötürü bu neredeyse imkansız.

Özet: Ledger'da secure ve unsecure elemanlar mevcutken, Trezor'da herşey açıkta, yani sadece tek bir eleman var.
 
Ledger'da kullanılan secure ve unsecure elementten kasttetiğim şeyi, ilk gönderdiğim postta açıklamaya çalışmıştım.

Merhabalar. Hardwarewallet'ların içerisinde genel olarak secure element ve unsecure element adında iki grup bulunuyor. unsecure elementin görevi harware wallet ile walletı bağladığınız cihaz arasında iletişim kurmaktır. Secure element ise hiçbir zaman bağlantı kurduğunuz cihazla doğrudan bağlantı kurmaz. Hardware wallet'ınızı bilgisayara bağlayıp bir para gönderme işlemi yaptığınızda olan hadiseler kısaca şöyledir: Parayı göndereceğiniz adres, göndermek istediğiniz miktar unsecure elemente gönderilir. Unsecure element bu bilgileri secure elemente aktarır. Secure element sakladığı private key ile yapmak istediğiniz işlemi onaylayıp imzalar ve imzalanmış veriyi unsecure elemente geri gönderir. Unsecure element de işlenmiş, imzalanmış veri paketini bilgisayara geri gönderir. Bilgisayar bu veriyi blockchain'de yayınlanması için mempoola gönderir. Böylece private keyiniz işlemin hiç bir safhasında secure elementin içinden çıkmamış olur.

Özet olarak secure elementin iki görevi vardır: Private keyinizi saklamak ve kendisine unsecure elementten gelen imzalama işlemlerini private keyi kullanarak imzalamak ve imzalanmış bu bilgiyi unsecure elemente iade etmek.

Şu linkten trezor one'ın devre çizimlerine, fotoğraflarına bakabilirsiniz: https://github.com/trezor/trezor-hw/tree/master/electronics

Kripto parayı cüzdandan çıkarmak diye bir şey olamaz, zira cüzdanın içinde bulunan tek şey private keyiniz. Paralar cüzdanın içinde durmuyor yani. Kriptoparalarınız blockchain üzerinde kriptolanmış olarak herkes tarafından muhafaza ediliyor. Sizin hardware walletta bulunan tek şey size ait olan kriptolanmış veriyi çözmenizi sağlayacak anahtardan başka bir şey değil. Dolayısıyla hardware walletlların internet bağlantısının kesilmesi (ki zaten bu cihazlar teoride hiçbir zaman internete bağlanmıyor, internete bağlı olan şey sizin telefonunuz, tabletiniz ya da bilgisayarınız) hiçbir şeyi etkilemiyor.

Umarım faydalı olmuştur. Size naçizane tavsiyem hardware walletların çalışma mantığından önce blockchain'de verilerin nasıl saklandığı ve kullanıcıların blockchainle etkileşiminin nasıl olduğuyla bilgi sahibi olmanızdır. Saygılar.