作者：Trezor 的比特币分析师 Lucien Bourdon

硬件钱包是保护加密货币的标准工具，大多数依赖于一种称为安全元件的专用芯片；这种芯片与信用卡和护照中使用的类型相同。

但最重要的是：钱包如何使用这个芯片。这个选择定义了你最终需要信任的内容，并将行业分为两种根本不同的哲学。

标准的安全元件基于保密原则运作。制造商通过保密协议（NDA）保护其芯片的内部工作。

这使得独立的安全审查变得不可能。用户和制造商都必须相信制造商的说法。研究人员和硬件钱包制造商无法自由测试或公开讨论他们的发现。即使发现了关键缺陷，NDA也可能在法律上阻止其披露，使用户处于无知状态。

我们以艰难的方式学到了这一点。多年前，Trezor在NDA下评估了一种领先的安全元件用于原型。我们的测试揭示了我们无法公开讨论的问题，因为NDA阻止了透明度。

那次经历明确了我们的方向。我们决定不希望你的私钥依赖于封闭的、不可审计的硬件。我们没有寻找一个可以完全信任的芯片，而是构建了一个架构，使安全元件从不保存你的密钥。即使后来我们开发了自己的完全可审计的安全元件（TROPIC01），我们仍然保持这种设计。我们不要求你信任我们。我们甚至不信任自己。这个架构默认是无信任的。

这就是硬件钱包设计分歧的地方。所有钱包都使用安全元件进行保护，但你的私钥存储在哪里改变了一切。

在这里，你的私钥存储在安全元件内部。它在一个封闭的、经过认证的环境中生成、存储和使用这些密钥。

• 逻辑： 将所有敏感操作包含在一个防篡改的盒子里。
• 你信任的： 芯片制造商的声誉、他们的秘密内部代码，以及他们的认证是否与现实世界的威胁相匹配的希望。
• 现实： 你获得了强大的物理保护，但必须接受最关键的过程是不可见和不可审计的。

在这里，你的私钥在主处理器上被加密。没有解密密钥，这些加密数据对攻击者完全没有价值。安全元件仅持有该解密密钥，由你的PIN保护。它从未看到你的实际私钥。

你的密钥受到不可破解的加密保护；这种加密强度与保护比特币和其他加密网络的强度相同。整个系统运行在任何人都可以审计的开源固件上。

• 逻辑： 强大且可验证的加密胜过隐藏的秘密。通过可审计的代码，你可以证明你的密钥是如何被保护的。通过封闭的硬件，你只能相信这些声明。
• 你信任的： 加密技术和公共代码。安全元件仅处理访问控制，如PIN验证。
• 现实： 完全透明。芯片提供硬件保护，而不成为一个不可验证的单一信任点。

Trezor建立在第二种设计模型上。你的私钥保持在安全元件外部加密，由任何人都可以审计的加密和操作系统保护。

这与我们的创始原则一致：真正的安全需要透明，而不是模糊。 你不应该信任我们；你应该能够验证你的钱包是如何工作的。

这种对验证的承诺指导着我们整个方法。我们相信你应该拥有不妥协的硬件安全，这就是为什么我们倡导并开发开放的安全工具，让每一层保护都可以被审查。

安全元件本身并不能保证安全。它是一个组件，其价值完全取决于它的实现方式。

决定性的选择是你的私钥是否依赖于你无法审计的代码或硬件。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。