安全
威胁模型
一份诚实的威胁模型既说明一套设计移除了什么,也说明它没移除什么。Ownbit 的冷钱包在架构层面移除了若干整类攻击;仍有少数残余风险,我们在下方连同它们如何被约束一并明说。
架构移除了什么
- 远程网络攻击——签名设备没有网络。
- 托管风险——非托管;Ownbit 无法触碰你的密钥。
- 观察端泄漏——观察钱包只持有公钥,无法签名。
- 不透明通道夹带——越过空气隙的唯一东西是你能查验的明文二维码(在明文层面)。
留下的残余信任
- 签名者实现——一个恶意或有缺陷的签名者,理论上可以操纵签名中的随机 nonce,把你的私钥编码并泄露进一个看起来完全正常的签名里。明文审查抓不到这一点。这一风险存在于每一款签名产品中,硬件钱包也不例外。
- 熵 / 随机数质量——种子的强度取决于生成时的随机性;许多历史盗窃源于薄弱的随机性,而非被破解的数学。
- 版本完整性——你必须信任你安装的是真实、未被篡改的 Ownbit 版本;一次被投毒的更新就可能植入上述后门。
这些风险如何被约束
- 确定性签名(RFC 6979)——让签名的 nonce 成为密钥与消息的函数,而非全新的随机数,从而压缩了基于 nonce 的隐蔽通道的空间。在 EVM 链上你可以做冒烟测试:对同一笔交易签名两次会返回完全相同的签名。在其他链上,原始交易会在两次尝试之间变化——BTC 可能选择不同的 UTXO,TRON 会打上新的过期时间,Solana 会嵌入一个全新的 recent blockhash——因此那里要核对的是:对同一条消息,签名是可复现的,而不是整笔交易完全一致。
- 公开的链上合约——真正治理你资金的逻辑是公开且可独立验证的,见 github.com/bitbill/ownbit-multisig-contracts。
- 外部种子(助记词)导入——把熵的来源重新交回你自己手中。
我们做出一个刻意的选择:治理你资金的链上合约是公开且可验证的,而客户端应用保持封闭——隐蔽性抬高了攻击它的成本,而你的资金从不依赖它的保密。我们不会做的,是假装残余的签名者风险为零。它不为零——我们已把它明说,你可以拿它与你能自行验证的一切去权衡。
FAQ
常见问题
如果 Ownbit 的开发者想作恶,他们能偷走我的币吗?
远程偷不了——空气隙隔离阻止了它。唯一的理论路径,是一个在生成签名时作弊的签名者,把密钥材料塞进一个看起来正常的签名里。这条路径存在于每一款签名产品中。Ownbit 用你可验证的确定性签名、你掌控的外部种子(助记词)导入,以及只留下签名通道的空气隙隔离来约束它。
最大的残余风险是什么?
签名者实现与版本完整性——即信任你安装的应用是真实的、并会诚实签名。确定性签名与只安装官方版本能约束这一点;自行验证页展示如何核对。