—
撰文 | cobo金庫大掌櫃
don′t trust, verify!
當我們設定錢包時,最關鍵的一步就是生成助記詞環節。大家研究過助記詞是如何生成的嗎?
助記詞是由一串隨機數生成,我們稱為“熵”。而隨機數通常是由軟體錢包的偽隨機數生成器(prng)或硬體錢包的真隨機數生成器(trng)生成。隨機數的隨機性就是保證我們的助記詞(私鑰)無法被暴力破解的關鍵之處。
真隨機數生成器(trng)的執行程式碼一般是由安全晶片廠商提供且不對外公開,也就是說,使用者生成真隨機數後無法驗證,需要信任廠商。
很多使用者不願意信任安全晶片廠商,因此,一些硬體錢包允許使用者用投擲骰子的結果作為隨機熵值生成助記詞,如 cobo 金庫和 coldcard 硬體錢包。
cobo 金庫團隊始終堅持“don't trust, verify”的產品理念,並一直用實際行動去實現它,比如開源作業系統程式碼和安全晶片韌體程式碼。
驗證程式碼無疑是最直接的驗證方法,但有一定的技術門檻。那麼,對於沒有技術背景的使用者,我們可以用著名的 ian coleman 網頁工具來做驗證。
tips:做驗證前需要升級金庫韌體到v1.2.1或以上版本。
驗證步驟
舉個例子:我們投擲50次骰子,獲得以下隨機數
51236422654236551235532545533355551153256611442361
我們首先將50位隨機數輸入到金庫,生成24位助記詞。
boost nephew sea noise apology three grocery alter season gym leaf token defense today vacuum purse gate swear want road opera fine flag twice
注:投擲50次的隨機性相當於128位隨機數。投擲小於50次的結果隨機性則太弱。為確保安全,掌櫃的建議大家投擲滿100次。
然後,我們開啟 ian coleman 網頁工具,勾選“show entropy details”。
設定骰子規格、助記詞位數引數,輸入上面的50位骰子結果,我們可以得到相同的24位助記詞。驗證完成!
建議大家驗證時,離線使用 ian coleman 網頁工具(參考網頁底部教程),預防惡意軟體監控你的鍵盤、剪貼簿以及其他電腦端攻擊風險。
下一篇文章,掌櫃會繼續介紹“don't trust, verify”系列之《如何驗證韌體升級檔案》,敬請期待!