硬件钱包是冷钱包的一个属类,通过实体设备将私钥保护在指定区域。目前市面上硬件钱包主要分为两类:第一类是内置安全芯片,将私钥、PIN 码等用户私密信息存储其中,代表钱包有 Trezor、Legder、imKey;另一种是基于 Android 系统的冷存储方案,一般也称其为「类手机钱包」,像 imToken 提供的离线钱包存储方案【1】原理就类似于此。
为什么你需要一款硬件钱包?
大约在 2017 年下半年,我在 imToken 负责处理用户钱包安全事件,几乎每周都会收到用户的求助邮件【2】,其中授理的最大的一起案件,涉及到 2000 多个 ETH(当时价值约 2000 万 RMB)。通过对这些当事人肖像分析,我发现其共同特点:
- 对去中心化钱包「一知半解」(「一知半解」比「完全不了解」更可怕)
- 虽然警惕性很高,但甄别能力不强
- 私钥存储方式非常混乱(抄写凌乱、微信存储、一个本子上记录了很多私钥和密码等…)
在社区中,经常充斥着这样的声音「如果资产不到 10 万块钱,就不要买硬件钱包」、「我的资产跌的已经不值得使用硬件钱包了」。但当你真的遇到数字资产安全问题的时候,就不是几百块钱能够解决的了。
通过使用硬件钱包,可以让你更加注意助记词(私钥)的备份存储,从安全意识上武装自己,而不像使用热钱包那样,非常「廉价」的获得了私钥却不知道珍惜。硬件钱包可以保护你的私钥,避免很多「防不胜防」的黑客攻击方式,例如「应用层攻击」、「网络报文嗅探」等。同时,使用硬件钱包,也可以降低你暴露助记词(私钥)的频次,像传统的冷存储 - 纸钱包,每次在使用的时候,都需要明文导入到钱包中,很容易被「监控」,而使用硬件钱包,只需要每次进行签名交互即可。你可以将纸钱包(硬件钱包的助记词)保管在可靠之处,除非你忘记了硬件钱包 PIN 码或丢失了硬件钱包,否则无需每次使用都将其暴露。
你需要一款怎样的硬件钱包?
目前市面上比较热门的硬件钱包有 Terzor、Ledger,当然还有「后起之秀」- imKey,这三款钱包都是内置安全芯片【3】,我不建议用户使用基于安卓系统的冷钱包,在我看来,没有安全芯片的冷钱包,都存在巨大风险(个人观点,不喜可喷)。像最近安卓系统又爆出巨大漏洞,连 Google Pixel 3XL 都沦陷了【4】。
当我们在做选择时,无非从以下三点来考虑:
1. 性价比
2. 易用性
3. 安全性
我认为 imKey 在这些方面做了完美的结合。
性价比
如图 1 所示,imKey 售价为 499,在诸多数据相差无几的情况下(imKey 有些略占上风),价格无疑是最实惠的,当然如果你「不(大)差(爱)钱(imToken)」的话,建议购买「imToken 联名版」。
易用性
易用性可讨论的点很多。系统语言上, imKey 支持中、英双语。便携性上,imKey 2.3 mm 超轻薄,可放在钱包里贴身保管。兼容性上和 imToken App 通过蓝牙完美衔接,掌上操纵,简单易用。
安全性
「安全」是硬件钱包的核心。在这方面,imKey 做了很多努力。imKey 是和银行金融级安全硬件供应商飞天【5】共同打造的产品,安全芯片等级为EAL 6+【6】,操作系统 cos 基于 EAL 5+。同时 imKey 基于 GlobalPlatform SCP11-C 安全协议,可以辨别设备真伪,防止设备仿冒及供应链攻击,如果你的 imKey 不是从官方渠道购买,那么可能在连接 imToken 时出现风险提示。imKey 通过多道签名,来抵御中间人攻击,确保交易数据的完整性。当然 imKey 也会绑定识别你的手机设备,当其他手机连入时,需要重新授权,避免由于设备丢失造成的资产损失。
说了这么多…再给我一句话做最后陈述…
imKey 是真正具有「普适性」的硬件钱包,不论你的资产多少,只要手中持有数字货币,我建议可以尝试买一台,让它成为你的「第一个硬件钱包」。
BTW… 如你对硬件钱包有任何独到的见解,欢迎留言。
注:
【1】使用 imToken 时,如果你将手机设备开启飞行模式,那么该钱包就是一个冷钱包,你可以通过离线签名功能交易代币,具体教程点击:如何设置 imToken 冷钱包? – imToken - 以太坊钱包 比特币钱包 - 客服中心
【2】我所接手的所有丢币盗币事件,都是由用户自己对私钥或助记词保管不善导致的,请各位切勿断章取义,详情请阅读:https://token.im/posts/97?locale=zh-CN
【3】Terzor 是内置一个安全芯片,Ledger 是两个芯片(一个安全,一个非安全),但是 Ledger 曾爆出安全漏洞,及黑客通过强制升级非安全芯片的方式,在不拆除外壳的前提下,就能一步步取得钱包的PIN码。PIN码相当于钱包的密码,有了它,就可以打开钱包,把钱转走。
【4】详情见「参考资料 2。」
【5】飞天诚信科技股份有限公成立于 1998 年,专注于智能卡核心技术的研究和发展。包括对工行、建行、农行、中行、交通银行等在内的多家银行的网上银行系统安全提供完善的解决方案和专业的技术服务,是国内银行客户数较多的智能网络身份认证产品提供商。
【6】国际标准化组织将 CC 评估等级由低到高分为EAL 1- 7共七个等级,CC EAL 6+ 指 CC EAL 6 的增强级,一般而言,商用产品的安全要求在CC EAL 5以内,生活中大众通常使用的银行芯片借记卡要求达到CC EAL5+认证,更高的加密级别如CC EAL6 和CC EAL7 属于军事级。
参考资料:
