Ledger تحذير من محافظ

[GxSTxV]

مؤخرا فقط لاحظت مواضيع كثيرة بخصوص محافظ Ledger المشهورة والمعروفة بحمايتها والعديد من الاعضاء هنا وحتى قسمنا العربي كانوا يوصون باستخدام المحافظ الباردة لحفظ البيتكوين وحتى العملات والتوكنز الاخرى لكن هل تغير شيئا في الآونة الاخيرة وهل سوف تغير انت شخصيا رأيك أو سوف تستخدم المحفظة بشكل عادي؟

أولا دعني اقوم بمشاركة بعض التغريدات على تويتر اين قام بعض الاشخاص بنقل عملاتهم ومشاركة رموز حماية محفظة لدجر مما يعني انهم لن يستخدموها مرة اخرى:

Today finally i moved all my 367 bitcoin offline.

ويوجد العديد من التعليقات ضد تحويل اي عملات الى محفظة لدجر والسبب هو ما صرحت به مؤخرا الشركة حول حماية النظام بأكمله والتحديثات التي يتم ارسالها للمستخدمين وممتلكي تلك اللدجرز. يصعب قليلا فهم الأمر لكن ببساطة يمكن للشركة الحصول على معلومات اي محفظة والدخول اليها وهذا يعتبر انتهاكا لطبيعة عمل البيتكوين واللامركزية بشكل عام. صراحة كنت افكر في الحصول على محفظة من هذه الشركة التي كنت اعتبرها افضل حل للمحافظ الإلكترونية وبعد هذه المعلومات مؤخرا ليس لدي أي نية في شراء واحدة.
كما يمكنك قرائة تلخيص بسيط للموضوع المفتوح في القسم الاجنبي [1] لمن يريد فهم المزيد حول الأمر

It seems that there's concern among some individuals about the security of Ledger wallets due to their recovery service and closed-source nature. While there are worries about potential backdoors and the ability for hardware wallet providers to modify software updates, the security of any hardware wallet can be compromised if not used cautiously. If you have concerns about the Ledger wallet's security or prefer a different approach, it might be worth considering alternatives and researching their security practices. Always prioritize security and do your due diligence when choosing a hardware wallet for storing cryptocurrencies.

ويبقى السؤال المطروح الآن هو أي محفظة سوف تختار في رأيك من نوع hardware wallets? أو لازلت تعتبر ان اللدجر لا تزال آمنة؟
[1]: https://bitcointalk.org/index.php?topic=5464312.msg62737771#msg62737771

[1714235276]

1714235276

[1714235276]

1714235276

[1714235276]

1714235276

[1714235276]

1714235276

[1714235276]

1714235276

[Ulven]

شخصياً لم أقم بشراء أي من محافظ هاردوير كانت لدي نية في إقتناء واحدة في الأعوام الماضية و لكن بعدما كثر الجدال حول إمكانيات الوصول إلى المحفظة من طرف الشركة المصنعة تراجعت عن فكرة الشراء. أفضل خيار بالنسبة لي هو نقش البذور على اللوح المعدني و الحفاظ عليه في مكان آمن.

[yhiaali3]

أولا دعني اقوم بمشاركة بعض التغريدات على تويتر اين قام بعض الاشخاص بنقل عملاتهم ومشاركة رموز حماية محفظة لدجر مما يعني انهم لن يستخدموها مرة اخرى:

أولا بالنسبة لهذه الصورة كان هناك موضوع في القسم العربي يحمل الفكرة نفسها:

ماذا يحدث لليدجر؟ هل انتهت؟

وقد رد عليه الأخ خالد مشكورا أن هذه على الأغلب مزحة حيث يبدو من الكلمات المكتوبة على الورقة كأنها كلمات أغنية وليست كلمات البذرة الخاصة بالمحفظة، يبدو أنه نوع من النكتة أو السخرية.

بالعودة للموضوع الأساسي لقد تعرضت ليدجر لهزة كبيرة وفقدان الثقة بعد المشكلة الأخيرة التي لايزال الحديث مستمر عنها حتى الآن، هناك محافظ صلبة غير ليدجر لكن ما حدث جعل الكثير يشكون أو يخافون أنه ربما لهذه الشركات القدرة للوصول إلى بيانات المحفظة مثل ليدجر.

دائما أكره وجود شركات كبيرة تسيطر على أي خدمة من الخدمات التي تجعلها أشبه بالمركزية، مثلا انظر إلى بينانس وماذا فعلت سيطرتها على المنصات وكذلك سيطرة شيبميكسر على الخلاطات وماذا كانت النتيجة وكذلك ليدجر وتريزور تسيطر على المحافظ الصلبة، لذلك ربما يكون من الجيد خروج شركة كبيرة مثل ليدجر من سوق المحفظات الصلبة لإتاحة الفرصة لشركات جديدة ربما تكون أفضل وأكثر موثوقية، والأهم هو التعدد والتنوع لأن هذا يتيح للمستخدمين التنقل بين العديد من الخيارات ويبعدنا عن شبح المركزية.

[mikeywith]

وقد رد عليه الأخ خالد مشكورا أن هذه على الأغلب مزحة حيث يبدو من الكلمات المكتوبة على الورقة كأنها كلمات أغنية وليست كلمات البذرة الخاصة بالمحفظة، يبدو أنه نوع من النكتة أو السخرية.

نعم اخي بمجرد النظر الى الكلمات يمكن الجزم انها مستحيل ان تكون seed phrase لمحظفة بتكوين.

بالعودة للموضوع الأساسي لقد تعرضت ليدجر لهزة كبيرة وفقدان الثقة بعد المشكلة الأخيرة التي لايزال الحديث مستمر عنها حتى الآن، هناك محافظ صلبة غير ليدجر لكن ما حدث جعل الكثير يشكون أو يخافون أنه ربما لهذه الشركات القدرة للوصول إلى بيانات المحفظة مثل ليدجر.

هده ضريبة المصادر المغلقة, بالرغم من ان محفظة لدجر تعتبر الاكثير امانا ضد الاختراقات الخارجية حيت اتبت تفوقها عل تريزور في اختبارات الاختراق خصوصا تلك التي يتمكن السارق من الوصول الى المحفظة فعليا اي ان تكون بين يديه, ولكن للاسف فان كل هدا الامان ذهب مهب الريح بمجرد اعلان المحفظة عن خدمة جديدة وهي امكانية حفظ ال seed على ال cloud.

طبعا بحسب كلام ليدجر فان هده الميزة اختيارية وعليك تحديث الفيرم وير وتفعيل الخدمة ومن غير ذلك فان الامر ليس ممكن, ولكن المشكلة هنا تكمن في ان محفظة لادجر لطالما ادعت ان ال seed لا يمكن ان يغادر ال secure element الموجود داخل المحفظة, وهدا هوا العمود الفقري للمحفظة, ان تبدا كلة السر او المفتاح الخاص داخل المحفظة وان يتم توقيع المعاملات منها فقط, فحقيقة ان لدجر يمكنها الوصول الى لل seed بمجرد تحديث الفيرم وير يعني ان الامر كان عبارة عن كذبة من الاساس وان المفاتيح يمكنها مغادرة الشريحة المشفرة الموجودة داخل المحفظة وهنا كانت الصدمة, شخصيا انصدمت من غباء الشركة في اطلاق خدمة مثل هده.

للاسف مرة اخرى نتأكد ان استمعال closed source لا ينتهي على خير مهما كانت الخدمة او الشركة تبدو صادقة, طبعا لا اتوقع ابدا ان يقومو بسرقة اموالك او شي من هدا القبيل, اعتقد ايضا ان الفيرمويرات القديمة فعلا لي لايمكنها نقل ال seed خارج المحفظة, ولكن من كذب مرة يمكن ان يكذب الف, لذلك من الخطر استعمال ليدجر ومع هدا لايجب عليك الهلع واخراج اموالك لاماكن اقل امان, وعلى العموم الخبر ومر عليه اشهر.

[Kavelj22]

هده ضريبة المصادر المغلقة, بالرغم من ان محفظة لدجر تعتبر الاكثير امانا ضد الاختراقات الخارجية حيت اتبت تفوقها عل تريزور في اختبارات الاختراق خصوصا تلك التي يتمكن السارق من الوصول الى المحفظة فعليا اي ان تكون بين يديه, ولكن للاسف فان كل هدا الامان ذهب مهب الريح بمجرد اعلان المحفظة عن خدمة جديدة وهي امكانية حفظ ال seed على ال cloud.

طبعا بحسب كلام ليدجر فان هده الميزة اختيارية وعليك تحديث الفيرم وير وتفعيل الخدمة ومن غير ذلك فان الامر ليس ممكن, ولكن المشكلة هنا تكمن في ان محفظة لادجر لطالما ادعت ان ال seed لا يمكن ان يغادر ال secure element الموجود داخل المحفظة, وهدا هوا العمود الفقري للمحفظة, ان تبدا كلة السر او المفتاح الخاص داخل المحفظة وان يتم توقيع المعاملات منها فقط, فحقيقة ان لدجر يمكنها الوصول الى لل seed بمجرد تحديث الفيرم وير يعني ان الامر كان عبارة عن كذبة من الاساس وان المفاتيح يمكنها مغادرة الشريحة المشفرة الموجودة داخل المحفظة وهنا كانت الصدمة, شخصيا انصدمت من غباء الشركة في اطلاق خدمة مثل هده.

للاسف مرة اخرى نتأكد ان استمعال closed source لا ينتهي على خير مهما كانت الخدمة او الشركة تبدو صادقة, طبعا لا اتوقع ابدا ان يقومو بسرقة اموالك او شي من هدا القبيل, اعتقد ايضا ان الفيرمويرات القديمة فعلا لي لايمكنها نقل ال seed خارج المحفظة, ولكن من كذب مرة يمكن ان يكذب الف, لذلك من الخطر استعمال ليدجر ومع هدا لايجب عليك الهلع واخراج اموالك لاماكن اقل امان, وعلى العموم الخبر ومر عليه اشهر.

للأسف أيضا أنه لا وجود لخيارات أفضل. يعني يمكن القول أننا عالقون مع هذه الشركات و ليس لدينا بدائل للتصنيع او تغيير الاعدادات بما أن الشركة المصنعة هي المتحكم الوحيد في سلطة القرار. وجود خيار قادر على ان يشكل خطرا على البيانات السرية هو قرار خاطئ تماما و قادر على نسف كامل الشركة لو كانت هناك شركات أخرى قادرة على المنافسة و توفير احتياجات السوق بخصائص أكثر كفاءة و ملائمة. و بالرغم من ان وجود هذه الخيارات لا يعني ان هناك من سيستخدمها فعليا و لكن هذا يطرح الاف الاسئلة حول مستقبل التحديثات و درجة الأمان.

يبقى ان هذا أكثر الخيارات أمانا في استعمال محفظة هاردوير و لكن من المنصوح جدا متابعة التحديثات و عدم اغفال جميع التفاصيل و انا شخصيا لا اتصور ان هناك شخص ساذج يستعمل محفظة هاردوير الا من رحم ربي.

أيضا للتذكير فان خيار حفظ اي نوع من البيانات الخاصة على الCloud اي التخزين السحابي هو من أسوأ الخيارات التي من الممكن أن يستعملها أي شخص و تشكل خطورة اكبر بكثير من باقي طرق التخزين.

[mikeywith]

للأسف أيضا أنه لا وجود لخيارات أفضل. يعني يمكن القول أننا عالقون مع هذه الشركات و ليس لدينا بدائل للتصنيع او تغيير الاعدادات بما أن الشركة المصنعة هي المتحكم الوحيد في سلطة القرار

ماذا تقصد بعدم وجود خيارات اخرى؟ يوجد الكثير من الشركات الاخرى التي تقوم بتصنيع هاردوير والت من غير شركة ليدجر.

و بالرغم من ان وجود هذه الخيارات لا يعني ان هناك من سيستخدمها فعليا و لكن هذا يطرح الاف الاسئلة حول مستقبل التحديثات و درجة الأمان.

نعم يوجد الكثير من من يستخدم محافظ هاردوير اخرى, مستخديمن Trezor على الاغلب عددهم اكبر من Ledger لا ارى اين المشكلة هنا؟

و انا شخصيا لا اتصور ان هناك شخص ساذج يستعمل محفظة هاردوير الا من رحم ربي.

هل تقصد ان استخدام هادوير والت امر سادج؟ اذا اين تقوم بتخزين اموالك؟

[yhiaali3]

للاسف مرة اخرى نتأكد ان استمعال closed source لا ينتهي على خير مهما كانت الخدمة او الشركة تبدو صادقة, طبعا لا اتوقع ابدا ان يقومو بسرقة اموالك او شي من هدا القبيل, اعتقد ايضا ان الفيرمويرات القديمة فعلا لي لايمكنها نقل ال seed خارج المحفظة, ولكن من كذب مرة يمكن ان يكذب الف, لذلك من الخطر استعمال ليدجر ومع هدا لايجب عليك الهلع واخراج اموالك لاماكن اقل امان, وعلى العموم الخبر ومر عليه اشهر.

نعم كلامك صحيح أخي ميكي، لكن بالنسبة للفيرمويرات القديمة سيأتي عليها يوم بعد سنوات وتصبح المحفظة بحاجة لتحديث وإلا ربما لن تعود تعمل، لهذا يجب نقل العملات قبل ذلك الوقت وإلا ربما تفقد عملاتك وتكون غير قادر على نقلها.

بالنسبة للشركة لا أظن أن تقوم بسرقة أموال الناس من المحفظات لكن ماذا يحدث لو تم احتجاز الشركة بواسطة الحكومة كما حدث مع شيبميكسر أو على الأقل قامت الحكومة بإجبار الشركة على التعاون معهم للوصول إلى بيانات المستخدمين؟ هذا سيناريو خطير وبالتأكيد لن يستطيع أي مستخدم النوم وهو يعلم أنه يمكن الوصول إلى محفظته بواسطة أي طرف.
 
أما بالنسبة للشركات الجديدة التي يمكن أن تدخل السوق فهي بحاجة إلى الثقة وهذا أمر يحتاج إلى زمن طويل نسبيا، بالإضافة إلى ذلك أي محفظة تحتاج إلى توصيلها إلى الانترنت لكي تتمكن من إجراء المعاملات فهي غير آمنة، لأنه قد يتم سرقة بياناتك سواء بواسطة الشركة أو بواسطة الهاكر، لذلك برأيي الطريقة الآمنة الوحيدة هي وجود محافظ صلبة تعمل OFFLINE بشكل كامل، لا أعرف إذا كان هناك محافظ صلبة بهذا الشكل؟

المشكلة الرئيسية كلها تكمن في خدمات الطرف الثالث، خدمات الطرف الثالث تعتمد على الثقة بشكل كلي وللأسف اتضح من خلال الكثير من التجارب أن خدمات الطرف الثالث دائما تخون الثقة.

[mikeywith]

نعم كلامك صحيح أخي ميكي، لكن بالنسبة للفيرمويرات القديمة سيأتي عليها يوم بعد سنوات وتصبح المحفظة بحاجة لتحديث وإلا ربما لن تعود تعمل، لهذا يجب نقل العملات قبل ذلك الوقت وإلا ربما تفقد عملاتك وتكون غير قادر على نقلها.

بالنسبة للشركة لا أظن أن تقوم بسرقة أموال الناس من المحفظات لكن ماذا يحدث لو تم احتجاز الشركة بواسطة الحكومة كما حدث مع شيبميكسر أو على الأقل قامت الحكومة بإجبار الشركة على التعاون معهم للوصول إلى بيانات المستخدمين؟ هذا سيناريو خطير وبالتأكيد لن يستطيع أي مستخدم النوم وهو يعلم أنه يمكن الوصول إلى محفظته بواسطة أي طرف.

الطريقة الوحيدة لضمان سلامة اموالك هي عبر استخدام محفظة تكون مبنية على open source حيت انه يمكن الاطلاع على الكود ومعرفة مايمكن فعله سواء من مصنع المحفظة او غيره.

أما بالنسبة للشركات الجديدة التي يمكن أن تدخل السوق فهي بحاجة إلى الثقة وهذا أمر يحتاج إلى زمن طويل نسبيا، بالإضافة إلى ذلك أي محفظة تحتاج إلى توصيلها إلى الانترنت لكي تتمكن من إجراء المعاملات فهي غير آمنة، لأنه قد يتم سرقة بياناتك سواء بواسطة الشركة أو بواسطة الهاكر، لذلك برأيي الطريقة الآمنة الوحيدة هي وجود محافظ صلبة تعمل OFFLINE بشكل كامل، لا أعرف إذا كان هناك محافظ صلبة بهذا الشكل؟

اولا اخي لا داعي لوجود شركات جديدة فهناك شركات اصلا هي اقدم من Ledger وخير مثال هوا شركة Satoshi Labs التي تقوم بتصنيع محفظة Trezors فهده الشركة اسست عام 2012 وهي اقدم بعامين من Ledger, يوجد ايضا العديد من المحافظ المعروفة والموثوقة والتي تستخدم برامج مفتوحة المصدر مثل BitBox02,Coldcard, Passport وغيرهم العديد من المحافظ الموثوقة والموجدة في السوق ويتم استخدامها منذ سنوات وكل اكوادها متاحة على الانترنت.

لا ادرى ماسبب كل هدا الزخم حول محفظة ليدجر فهيا كما اسلفت شركة واحدة تستخدم برامج مغلقة لا احد يعرفه مايجري بها, حظت بثقة الناس لكونها شركة عريقة اسست في عام 2014, ولكن مع الوقت انكشف كذبهم ومع ذلك لايوجد اي دليل على سرقة اي امواله من المحفظة ويكمن لاي شخص ان يحول امواله منها لاي مكان اخر.

اما بخصوص محفظة تعمل OFFLINE فثقنيا كل المحافظ تعمل اوف لاين, حيت ان توقيع المعاملة يتم داخل المحفظة ولكن ال broadcast للتحويل يجب ان يصل للانترنت والا كيف سيتم تعميمه على العقد الاخرى؟ ايضا بعض المحافظ مثل passport يعتبر air gapped يعني لايجب عليك ربطه بالكومبيوتر اساس ويمكن ارسال التحويل عبر بلوتوت بعد توقيعه من داخل المحفظة.

ماحدث لي لدجر لا يغني عن ان امن طريقة لتخزين التبكوين هي hardware wallet, لان الفرق الجوهري بينها وبين المحافظ الاخرى الموجودة على الموبايل او الكومبيوتر هوا ان المفاتيح الخاصة لا تغادر الشريحة الداخلية الموجودة داخل المحفظة ولا يمكن ارسال اي امر للشريحة لكي توقع على اي معاملة الا عن طريق الموافقة عليها بحركة جسدية مباشرة اي بوجود المحفظة بين يديك, هدا هوا العمود الفقري لل hardware wallet.

المشكلة الرئيسية كلها تكمن في خدمات الطرف الثالث، خدمات الطرف الثالث تعتمد على الثقة بشكل كلي وللأسف اتضح من خلال الكثير من التجارب أن خدمات الطرف الثالث دائما تخون الثقة.

شخصيا لا ارى مشكلة في وجود خدمات حفظ seed المحفظة على الكلاود, فمثلا مقترح ليدجر هوا تقسيم الكلمات الى 3 اجزاء بعد تشفيرها, ووضع كل جزء عند شركة مختلفة حتى لاتتمكن اي شركة منفردة من الحصول على اموالك, والطريقة الوحيدة لتجميع تلك الاجزاء هي عبر اتبات الشخصية, هدا ام جيد بالنسبة للاشخاص الذين لايثقون في انفسهم ولا يعرفون كيفية حفظ اموالهم بأنفسهم بدون الاعتماد على الاخرين, لا اعتقد انه يوجد اي اعتراض جوهري على هده الاضافة, الاعتراض كان في امكانية وجود هده الخاصية من الاساس, لان وجودها يعني ان المفاتيح الخاصة يمكنها فعلا مغادرة شريحة المحفظة وهدا يخالف الاساس الذي بنيت عليه محافظ الهارد وير.

[Kavelj22]

للأسف أيضا أنه لا وجود لخيارات أفضل. يعني يمكن القول أننا عالقون مع هذه الشركات و ليس لدينا بدائل للتصنيع او تغيير الاعدادات بما أن الشركة المصنعة هي المتحكم الوحيد في سلطة القرار

ماذا تقصد بعدم وجود خيارات اخرى؟ يوجد الكثير من الشركات الاخرى التي تقوم بتصنيع هاردوير والت من غير شركة ليدجر.

أقصد وجود خيارات أفضل من ناحية الحماية و قد كنت أنت اشرت في تعليق سابق أن التجارب الحمائية أثبتت نجاعتها مقارنة بمحفظات تريزور. لا أعلم ان كان هناك من هو أفضل منها في هذا السوق لأنني لم أجربها كلها بعد.

و بالرغم من ان وجود هذه الخيارات لا يعني ان هناك من سيستخدمها فعليا و لكن هذا يطرح الاف الاسئلة حول مستقبل التحديثات و درجة الأمان.

نعم يوجد الكثير من من يستخدم محافظ هاردوير اخرى, مستخديمن Trezor على الاغلب عددهم اكبر من Ledger لا ارى اين المشكلة هنا؟

لقد قصدت خيارات التحديث التي تسمح بطبقات حماية ضعيفة او التي يتأكد من خلالها ان المحفظة قد لا تكون بالدرجة أمان المطلوبة مثلما هي الحال مع ليدجر بما انه يمكن حفظ البذرة على الكلاود بمجرد اضافة التحديث الفيرموير و القيام بذلك. أنا أقصد خيارات التحديثات و ليس الخيارات بين المحفظات الماركات المختلفة.

و انا شخصيا لا اتصور ان هناك شخص ساذج يستعمل محفظة هاردوير الا من رحم ربي.

هل تقصد ان استخدام هادوير والت امر سادج؟ اذا اين تقوم بتخزين اموالك؟

أيضا لقد فهمت بطريقة مختلفة يا صديقي. أقصد هنا أن من اختارو استخدام محفظات هاردوير هم اذكياء الى حد ما و ليسوا على درجة من السذاجة باستثناء القليلين الذين ربما يستعملونها دون دراية بأهميتها أو حتى بطريقة عملها.

[GxSTxV]

أولا بالنسبة لهذه الصورة كان هناك موضوع في القسم العربي يحمل الفكرة نفسها:
ماذا يحدث لليدجر؟ هل انتهت؟
وقد رد عليه الأخ خالد مشكورا أن هذه على الأغلب مزحة حيث يبدو من الكلمات المكتوبة على الورقة كأنها كلمات أغنية وليست كلمات البذرة الخاصة بالمحفظة، يبدو أنه نوع من النكتة أو السخرية.
بالعودة للموضوع الأساسي لقد تعرضت ليدجر لهزة كبيرة وفقدان الثقة بعد المشكلة الأخيرة التي لايزال الحديث مستمر عنها حتى الآن، هناك محافظ صلبة غير ليدجر لكن ما حدث جعل الكثير يشكون أو يخافون أنه ربما لهذه الشركات القدرة للوصول إلى بيانات المحفظة مثل ليدجر.
دائما أكره وجود شركات كبيرة تسيطر على أي خدمة من الخدمات التي تجعلها أشبه بالمركزية، مثلا انظر إلى بينانس وماذا فعلت سيطرتها على المنصات وكذلك سيطرة شيبميكسر على الخلاطات وماذا كانت النتيجة وكذلك ليدجر وتريزور تسيطر على المحافظ الصلبة، لذلك ربما يكون من الجيد خروج شركة كبيرة مثل ليدجر من سوق المحفظات الصلبة لإتاحة الفرصة لشركات جديدة ربما تكون أفضل وأكثر موثوقية، والأهم هو التعدد والتنوع لأن هذا يتيح للمستخدمين التنقل بين العديد من الخيارات ويبعدنا عن شبح المركزية.

لم انتبه للموضوع مع الأسف ولا حتى المزحة اين قام صاحب التغريدة بمشاركة كلمات بذرة غير موجودة لاحظت فقط الردود التي أتت بعد التغريدة اين كان الجميع ضد تحويل الاموال الى الليدجر بسبب خسارته الثقة التي كانت بين المستخدمين والشركة بعد ما صرحت واعلنت على التحديثات التي فضحت مع الاسف كل شيء والاقوال التي تتدعي انه لا يمكن الوصول الى كلمات البذرة باي طريقة بخصوص التحديثات السابقة. لكن صراحة لا احد يمكنه الجزم ان التحديثات السابقة تختلف عن ما اعلنت عليه مؤخرا بخصوص خاصية حفظ تلك الكلمات في مساحة سحابية.
تأكيدًا على كلمة المركزية ومع الاسف الشديد نرى يوميا ان اي شركة تنجح وتتطور مع مرور الوقت تتحول من شركة لا مركزية الى مركزية لهذا نشعر ان هناك اطراف تريد ذلك وتضغط على ملاك ومطوري الشركة انا باغرائهم باموال طائلة او تهديدات الله اعلم.


أما بخصوص ما يختلف عليه الاخوة في الموضوع بخصوص استخدام محافظ الهاردوير اين يوجد طرف يؤيد استخدامها ومنه نستنتج انها آمنة او بالاحرى ما يعتقده والطرف الاخر ايضا اعتقاده مختلف ولا يظن انها آمنة او لاسباب امرى تجعله يتفاداها. لهذا أريد من الأفضل تقديم ادلة وبراهين لنتعلم ونختار اي من المحافظ تكون آمنة من الاخرى

شخصيا لما اريد حفظ كمية من البيتكوين اقوم بذلك على محفظة electrum على جهاز حاسوب بسيط وغير متصل بالانترنت الا عند استخدام البرنامج كما اني لا اقوم بالتحديثات الجديدة الا اذا كانت مؤكدة وآمنة. لكن حاليا اريد تجربة محفظة اخرى واتمنى ان لا يكون هناك مشاكل مع الجمارك و حجزها

[mikeywith]

أقصد وجود خيارات أفضل من ناحية الحماية و قد كنت أنت اشرت في تعليق سابق أن التجارب الحمائية أثبتت نجاعتها مقارنة بمحفظات تريزور. لا أعلم ان كان هناك من هو أفضل منها في هذا السوق لأنني لم أجربها كلها بعد.

نعم اخي ولكن اختبارات الحماية الذي ذكرتها في منشوري السابق كانت مبنية على حصول الشخص على المحفظة فعليا تحت تصرفه اي ليس عن طريق اختراقها من الخارج, من البديهي بحكم ان ليدجر مغلقة المصدر سيكون اختراقها اصعب نظرا لعدم وفرة المعلومات لذا المخترق حول طريقة عملها, وطبعا موضوع فتح او اغلاق المصدر هوا سلاح ذو حدين, اغلاق المصدر يعني اننا نصعب الامر على المخترقين نسبيا مقارنة بالمصادر المفنوحة التي يمكن للمخترقين وجود تغرات في الكود المنشور امامهم, في المقابل, في المصدر المفتوح فانت تعطي الفرصة للمحترفين الاخرين لايجاد ثغرات وتصحيحها.

ولكن الفيصل في الموضوع كون ان المحفظة مفتوحة المصدر يقلل فرص التلاعب بالمحفظة من قبل الشركة المصنع, بالرغم من انه لايوجد شي في العالم مفتوح المصدر كليا, فمثلا حتى مع محفظة تريزور, هيكيلية الشريحة الداخلية ليست مفتوحة المصدر, لانعرف كيف صنعت ولا ماهي قدراتها, ولكن على الاقل نعرف جيدا ان الفيرم وير والسوفتوير مفتوحي المصدر ولايمكن للشركة ان تتلاعب بهم.

أيضا لقد فهمت بطريقة مختلفة يا صديقي. أقصد هنا أن من اختارو استخدام محفظات هاردوير هم اذكياء الى حد ما و ليسوا على درجة من السذاجة باستثناء القليلين الذين ربما يستعملونها دون دراية بأهميتها أو حتى بطريقة عملها.

اعتذر عن سوء الفهم صديقي, اثفق معك لحد كبير, نسبة كبيرة من مستخدمي محافظ هاردوير والت على الاغلب يمتلكون من المعلومات حول الحماية اكثر من الاشخاص الذين يضعون مدخراتهم في المنصات المركزية.

[yhiaali3]

ولكن الفيصل في الموضوع كون ان المحفظة مفتوحة المصدر يقلل فرص التلاعب بالمحفظة من قبل الشركة المصنع, بالرغم من انه لايوجد شي في العالم مفتوح المصدر كليا, فمثلا حتى مع محفظة تريزور, هيكيلية الشريحة الداخلية ليست مفتوحة المصدر, لانعرف كيف صنعت ولا ماهي قدراتها, ولكن على الاقل نعرف جيدا ان الفيرم وير والسوفتوير مفتوحي المصدر ولايمكن للشركة ان تتلاعب بهم.

يراودني هنا سؤال حول هذه النقطة، كيف نتأكد أن الفيرم وير والسوفتوير مفتوحين المصدر؟ هل بمجرد أن تقول الشركة ذلك وتضع الكود على جيت هب فهذا يعني أنه مفتوح المصدر؟ أعني كيف نتأكد أن الفيرم وير والسوفتوير الموجود على جيت هب هو نفسه الموجود في جهاز المحفظة الصلبة؟  هل يوجد طريقة للتأكد من ذلك؟ أم أنه علينا الثقة بالشركة حتى في هذه النقطة الحساسة؟

[Ulven]

ولكن الفيصل في الموضوع كون ان المحفظة مفتوحة المصدر يقلل فرص التلاعب بالمحفظة من قبل الشركة المصنع, بالرغم من انه لايوجد شي في العالم مفتوح المصدر كليا, فمثلا حتى مع محفظة تريزور, هيكيلية الشريحة الداخلية ليست مفتوحة المصدر, لانعرف كيف صنعت ولا ماهي قدراتها, ولكن على الاقل نعرف جيدا ان الفيرم وير والسوفتوير مفتوحي المصدر ولايمكن للشركة ان تتلاعب بهم.

يراودني هنا سؤال حول هذه النقطة، كيف نتأكد أن الفيرم وير والسوفتوير مفتوحين المصدر؟ هل بمجرد أن تقول الشركة ذلك وتضع الكود على جيت هب فهذا يعني أنه مفتوح المصدر؟ أعني كيف نتأكد أن الفيرم وير والسوفتوير الموجود على جيت هب هو نفسه الموجود في جهاز المحفظة الصلبة؟  هل يوجد طريقة للتأكد من ذلك؟ أم أنه علينا الثقة بالشركة حتى في هذه النقطة الحساسة؟

أخي يحيى الأمر بسيط هنا إذا كان البرنامج مفتوح المصدر هذا يعني أن المطور أو الشركة  تقوم بمشاركة الكود مع المجتمع يمكن تحميله مجاناً و التعديل عليه كما يمكن أيضاً التدقيق فيه ما إذا كان يحمل خطأ أو ثغرة.
سؤالك حول التأكد من الكود السوفت هذا طبعاً سهل يمكنك تحميل السوفت و فحصه ما إذا كان يتطابق مع الكود المصدري قبل تمريره إلى الجهاز.

[yhiaali3]

أخي يحيى الأمر بسيط هنا إذا كان البرنامج مفتوح المصدر هذا يعني أن المطور أو الشركة  تقوم بمشاركة الكود مع المجتمع يمكن تحميله مجاناً و التعديل عليه كما يمكن أيضاً التدقيق فيه ما إذا كان يحمل خطأ أو ثغرة.
سؤالك حول التأكد من الكود السوفت هذا طبعاً سهل يمكنك تحميل السوفت و فحصه ما إذا كان يتطابق مع الكود المصدري قبل تمريره إلى الجهاز.

كلامك صحيح أخي ألفين في حال كان المستخدم يملك الخبرة البرمجية اللازمة لقراءة الكود، لكن ليس كل المستخدمين لديهم هذه الخبرة وسؤالي هو إذا كان هناك طريقة للمستخدم العادي لكي يقوم بفحص الكود إن كان يحوي خطأ أو ثغرة أو تعليمة ملغومة.

يعني باختصار هل يوجد برنامج أو طريقة تمكّن المستخدم العادي من فحص الكود والتأكد من سلامته وخلوه من الثغرات الأمنية؟

[mikeywith]

إذا كان هناك طريقة للمستخدم العادي لكي يقوم بفحص الكود إن كان يحوي خطأ أو ثغرة أو تعليمة ملغومة.

يعني باختصار هل يوجد برنامج أو طريقة تمكّن المستخدم العادي من فحص الكود والتأكد من سلامته وخلوه من الثغرات الأمنية؟

ان كان المستخدم لايعلم شي عن البرمجة فكيف له ان يكتشف الثغرات والاخطاء؟ يوجد برامج لاكتشاف الثغرات الشهيرة والواضحة ولكن كل هدا يتم فعله من قبل المطورين والمستخدمين الذين يفهمون في هدا المجال, لذلك لاجدوى تذكر من فعل هدا.

اعتقد سؤالك المهم هوا كيف تتاكد من ان البرنامج الموجود على المحفظة هوا نفسه المفتوح المصدر الذي كوده موجود ع الانترنت, لانه فعليا يمكن ان يكون اي شي اخر, ايضا عند عمل تحديث فسوف تقوم بالتحديث من موقع الشركة نفسها, يعني ايضا يمكن وضع برنامج اخر في محفظتك.

الطريقة الوحيدة هي عن طريق عمل ,compile وتحويل الكود المفتوح امامك الا برنامج تقوم بتحميله بنفسك على المحفظة.
يمكن ايضا عمل مقارنة ع binary لتجد ان كان هناك اي فرق بين الملفات الاصلية والموجودة في جهازك.

طبعا كل هدا لايمكن للمستخدم العادي فعله وعليه ان يتعلم بعض الاشياء لكي يقوم بالتحقق من كل شي بنفسه.

مع ذلك, كون ان البرنامج مفتوح المصدر يعني هناك اشخاص تقوم بالتحقق من كل هدا, مثلا لو اشترى شخص محفظة ووطد برنامج مخالف لذلك الموجود ع git سوف ينشر ذلك.

نفس الشي سيحدث ف حال التحديث والتبين ان النسخة المحدثة ليسا مطابقة للنسخة المفتوحة, لذلك من الصعب ان تقوم الشركة بمثل هده الاشياء

[hg_away]

كلامك صحيح أخي ألفين في حال كان المستخدم يملك الخبرة البرمجية اللازمة لقراءة الكود، لكن ليس كل المستخدمين لديهم هذه الخبرة وسؤالي هو إذا كان هناك طريقة للمستخدم العادي لكي يقوم بفحص الكود إن كان يحوي خطأ أو ثغرة أو تعليمة ملغومة.

يعني باختصار هل يوجد برنامج أو طريقة تمكّن المستخدم العادي من فحص الكود والتأكد من سلامته وخلوه من الثغرات الأمنية؟

احد الأشياء البسيطه التي يمكنك القيام بها هو ان تتاكد من ان المفاتيح الخاصه يتم توليدها بشكل عشوائي ام انه يتم توليدها سابقا او مخزنه في سيرفر
ايضا طول ال bits هل هي 32 ام اكثر بضمانك لان المفتاح الخاص تم توليده عشوائيا كل ما تحتاجه هو ضمان انه لن يتمكن احد من الوصول اليه او تحميله للانترنت وهنا لو انشاءت نظام airgapped فخذا كافي بشكل عام

اذن باختصار تريد نظام airgapped
تتاكد ان المفتاح الخاص تم توليده عشوائيا

بقيه اجزاء الكود ليست بتلك الاهميه


اما بالنسبه لسؤالك كيف تتحقق ان البرنامج مفتوح المصدر هو الذي قامت الشركه بكتابته فيكون ذلة بالتحقق من التوقيع حيث ان البرنامج مفتوح المصدر يتم توقيعه من المطورين

واخير فالبرنامج مفتوح المصدر لا يعني انه آمن وانما عدد الاشخاص الذين قاموا بمواجعه الكود ومدي خبرتهم التقنيه هي من يحدد

[khaled0111]

اعتقد سؤالك المهم هوا كيف تتاكد من ان البرنامج الموجود على المحفظة هوا نفسه المفتوح المصدر الذي كوده موجود ع الانترنت, لانه فعليا يمكن ان يكون اي شي اخر, ايضا عند عمل تحديث فسوف تقوم بالتحديث من موقع الشركة نفسها, يعني ايضا يمكن وضع برنامج اخر في محفظتك.

سؤال مهم جدا بالفعل طرحه الأخ يحيى و للأسف لا أعتقد أن الكثيرين من مستخدمي المحافظ يهتمون كثيرا بهذه النقطة!
بالنسبة لمن يرغب من التأكد من كون البرنامج أو الفيرموار الموجود على جهازه مطابق للكود المفتوح المصدر التي قامت الشركة بنشره على جيتهاب، فقد وجدت هذا الشرح على موقع ليدجر تريزور:
https://docs.trezor.io/trezor-firmware/common/reproducible-build.html
الخطوات ليست معقدة كثيرا. تقوم بعمل compile للكود كما ذكر الأخ ميكي و من ثم تقارن هاش البايناري المتحصل عليه مع هاش البرنامج المقدم من الشركة (بعد التعديل عليه قليلا مثل حذف بايتات التوقيع) و من المفترض أن تحصل على نتيجة مطابقة.

[yhiaali3]

اعتقد سؤالك المهم هوا كيف تتاكد من ان البرنامج الموجود على المحفظة هوا نفسه المفتوح المصدر الذي كوده موجود ع الانترنت, لانه فعليا يمكن ان يكون اي شي اخر, ايضا عند عمل تحديث فسوف تقوم بالتحديث من موقع الشركة نفسها, يعني ايضا يمكن وضع برنامج اخر في محفظتك.

سؤال مهم جدا بالفعل طرحه الأخ يحيى و للأسف لا أعتقد أن الكثيرين من مستخدمي المحافظ يهتمون كثيرا بهذه النقطة!
بالنسبة لمن يرغب من التأكد من كون البرنامج أو الفيرموار الموجود على جهازه مطابق للكود المفتوح المصدر التي قامت الشركة بنشره على جيتهاب، فقد وجدت هذا الشرح على موقع ليدجر:
https://docs.trezor.io/trezor-firmware/common/reproducible-build.html
الخطوات ليست معقدة كثيرا. تقوم بعمل compile للكود كما ذكر الأخ ميكي و من ثم تقارن هاش البايناري المتحصل عليه مع هاش البرنامج المقدم من الشركة (بعد التعديل عليه قليلا مثل حذف بايتات التوقيع) و من المفترض أن تحصل على نتيجة مطابقة.

شكرا لك أخي خالد على الإضافة المفيدة جدا.
لكن أعتقد أن الرابط الذي وضعته لمحفظة تريزور، بكل الأحوال هذا ما يجب أن تفعله الشركات المحترمة التي لديها برامج مفتوحة أي وضع شرح لطريقة التأكد من التطابق يكون متاح لأغلب المستخدمين بطريقة غير معقدة.

هذه بادرة رائعة بالفعل من تريزور تزيد من شفافية ومصداقية الشركة. وكل الشكر لأخي خالد لتزويدنا بالرابط.