安全
威脅模型
一個誠實的威脅模型會說明某個設計移除了什麼,也會說明它沒移除什麼。Ownbit 的冷錢包藉由架構移除了數個完整的攻擊類別;仍有少數殘餘風險,我們在下方坦白指出它們,並說明它們如何被約束。
架構移除了什麼
- 遠端網路攻擊——簽名裝置沒有網路。
- 託管風險——非託管;Ownbit 碰不到你的金鑰。
- 觀察端洩漏——觀察錢包只持有公鑰,無法簽名。
- 不透明通道夾帶——跨越空氣隙的唯一東西是你能檢視的明文 QR(在明文層級)。
殘餘的信任
- 簽名器實作——惡意或有缺陷的簽名器理論上可能操縱簽名中的隨機 nonce,把你的私鑰編碼並洩漏在一個看起來完全正常的簽名裡。明文審閱抓不到這一點。這個風險存在於每一款簽名產品,硬體錢包也不例外。
- 熵/RNG 品質——種子的強度取決於產生時的隨機性;許多歷史上的竊案來自薄弱的隨機性,而非被破解的數學。
- 版本完整性——你必須信任你所安裝的 App 是正版、未經竄改的 Ownbit 版本;單一被下毒的更新就可能植入上述後門。
這些風險如何被約束
- 確定性簽名(RFC 6979)——讓簽名的 nonce 成為金鑰與訊息的函數,而非新的隨機性,縮小了基於 nonce 的隱蔽通道的空間。在 EVM 鏈上你可以做煙霧測試:對同一筆交易簽名兩次會得到完全相同的簽名。在其他鏈上,原始交易會在兩次嘗試之間改變——BTC 可能選用不同的 UTXO、TRON 蓋上新的到期時間、Solana 嵌入新的 recent blockhash——因此那裡的查核是簽名對相同訊息可重現,而非整筆交易相符。
- 公開的鏈上合約——真正治理你資金的邏輯是公開且可獨立驗證的,位於 github.com/bitbill/ownbit-multisig-contracts。
- 外部種子匯入——把熵的來源交回你自己手中。
我們刻意做出一個抉擇:治理你資金的鏈上合約是公開且可驗證的,而用戶端應用程式保持封閉——隱蔽性提高了攻擊它的成本,而你的資金安全從不依賴它的保密。我們不會做的,是假裝殘餘的簽名器風險為零。它不是零——我們已指出它,而你可以拿它與你能自行驗證的一切來權衡。
FAQ
常見問題
如果 Ownbit 的開發者想作惡,他們能盜走我的幣嗎?
無法遠端做到——空氣隙隔離阻止了它。唯一的理論途徑是一個在產生簽名時作弊的簽名器,把金鑰資料偷偷塞進一個看起來正常的簽名裡。這條途徑存在於每一款簽名產品。Ownbit 以你可驗證的確定性簽名、你可掌控的外部種子匯入,以及只留下簽名通道的空氣隙隔離來約束它。
最大的殘餘風險是什麼?
簽名器實作與版本完整性——也就是信任你所安裝的 App 是正版且誠實簽名。確定性簽名與只安裝官方版本能約束這一點;自行驗證頁面說明如何查核。