专访知道创宇胡铭德:ImKey 是安全设计非常棒的硬件钱包

%E8%83%A1%E9%93%AD%E5%BE%B7
胡铭德,从事信息安全20余年,硬件、编程爱好者,北京知道创宇先进技术部总监、工业控制系统信息安全国家安全技术国家工程实验室分部主任。

2018年12月20日,北京知道创宇信息技术有限公司(以下简称“知道创宇”)正式入选成为 imKey 硬件钱包的安全审计机构。本次安全审计,历时超过 2 个月,胡铭德总监全程参与其中,并亲自主持了本次安全审计工作,最终安全审计结果为「 安全 」。

imKey 硬件钱包上市至今,市场反馈良好,恰值产品上市4个月之际,我们专访胡铭德总监(以下简称H),并将专访摘要如下:

Q: 首先感谢您百忙中安排时间接受我们的专访,您亲自主持了本次 imKey 的安全审计工作,对于 imKey 的综合评价如何?
H: 正式成为 imKey 安全审计机构之前,双方就已经开始了全方位的接触,凭借着我们在安全领域深耕多年的经验,在 imKey 的研发过程中我们也给出了一些安全设计层面的建议,很多已被 imKey 团队采纳。
本次安全审计从初测到复测,整个周期持续了近两个月之久,对于 imKey 硬件钱包的测试也非常全面,范围涵盖了硬件设备端、服务端和移动端,我们最终得出结论 imKey 是安全设计非常棒的硬件钱包。

Q: 我们仔细拜读过您在「 看雪2018安全开发者峰会 」上针对硬件钱包安全分析的精彩演讲,会上您对硬件钱包的剖析非常有见地,同时知道您之前也主持过一些硬件钱包的安全审计工作,相比较而言,imKey 在哪些方面做的比较好?
H: 我个人认为,imKey 的核心优势在于其对安全的严谨态度以及对产品设计的多维度安全考究,包括开发团队的专业性、产品硬件核心部件的选型以及全过程的安全保障机制,均做的非常棒。
首先 imKey 硬件钱包在芯片选型上采用了军工安全级别的 CC EAL 6+ 的安全芯片,在硬件钱包这个行业,采用如此高安全级别的芯片是很少见的,国内银行卡多数采用 EAL4+、5+ 的芯片,仅就这一点就十分具备竞争力,而很多钱包都是单片机的固件程序,其安全性与安全芯片相比有很大差距。另外补充下, CC 是全球最顶级的产品安全认证标准。
其次,我们团队的安全专家也参与到了 imKey 的安全方案设计评审过程,接触下来,我们认为 imKey 团队是非常专业的,从硬件选型、固件设计、交互过程、链路层通信、输入输出到工厂生产以及供应链管理,均做了全面的考量和研究,下了很大功夫, 同时也了解到 imKey 团队成员具备多年来从事与金融安全、安全测评方面工作的经验,可以说在这安全方面有着其它硬件钱包团队无法比拟的先天优势。
再者,imToken 团队也深度参与到了 imKey 硬件钱包的研发过程中,imToken 首席安全官 Blue(前乌云社区CTO)亲自坐镇指导,这也为 imKey 提供了强有力的安全保障。

Q: Ledger nano X 于5月15日正式发售,对比 ledger nano x 与 imKey ,您有哪些客观的评价和建议?
H: Ledger Nano X 新增了蓝牙通信的功能,这点与 imKey 类似,这对用户来说可以在移动端更加便捷的管理数字资产,就目前我了解的情况,没看到该产品的架构有任何明显变化,至于安全性还是要经过市场的充分检验才能得出最终结论。我个人认为 imKey 除在支持数字资产种类上与Ledger Nano X 存在差距之外, 其在安全设计、便捷易用等方面完全不输于 Ledger Nano X ,应该说各有千秋。

Q: 我们发现,随着币市的回暖,上半年出现一些重大的安全事件,比如币安被盗事件,MGC 监守自盗 甩锅 imToken 的热点,这些事件或热点其背后的焦点在于「 私钥的唯一控制权 」,对上述两个事件,您是怎么看的?部分用户也会有疑问,如何保证私钥的生成、存储和使用的过程是完全离线,且用户是唯一控制的?
H: 数字资产安全事件一直以来都有,在某个时期内可能会集中爆发,这说明虚拟资产的价值越来越得到大家的重视。丢币事件我分析了下,包含用户安全意识不足、交易平台的安全漏洞、软件代码的质量以及管理的疏忽。归根到底,都是涉及安全的问题,安全是一个非常复杂的综合体,涉及到方方面面,系统平台的安全性、软件代码的质量把控、人员的规范管理、用户安全意识的培养等等,任何一个环节出现问题,都会导致整体系统的崩溃。
相较于软件而言,基于安全芯片的硬件密钥管理方案在相当长的一段时间内公认为是相当安全的,并且在银行金融领域的应用也已经十分成熟,而我本人也是从事了多年的硬件行业的研究,非常认可 imKey 的设计理念,imKey 将私钥的生成、存储和使用的绝对控制权完全交由用户掌握,符合风险控制原则,也是业界主流做法。

Q: 再次感谢您和您的安全团队,正是你们严苛的安全审计,更好的保障了 imKey 的安全质量, imKey 顺利通过你们的专业安全审计也让用户吃了一个安心丸,对于 imKey 您有什么样期望和寄语。
H: 自imKey 已经面世以来,我们也算是亲自看着 imKey 一点一点成长起来,我自己也在一直使用 imKey,从产品体验上来讲做的很用心,跟业内的几个朋友聊起来,口碑也不错,希望 imKey 团队戒骄戒躁,继续努力,专心打磨产品,牢记「安全」至上,为广大区块链用户持续提供更安全、更好用的钱包,真心希望走心的产品大卖!
最后还是要再补充一句:安全是个永恒的话题,希望 imKey 在安全这条道路上,越做越好!

5赞

安全是永恒的话题啊

支持 imKey!

信赖imtoken信赖imkey

666

值得信赖的钱包。安全有可靠。:+1:

1赞

虽然我没有币可装 可是我也想要:joy:

期待imkey2.0