[원천기술] 요로이는 안전한가("Is Yoroi safe?") 한글 번역
요로이는 안전한가("Is Yoroi safe?") 한글 번역
번역 : 카르다노 에이다 한국개발자 포럼 ko paul 님깨서 수고해주셨습니다. 항상 감사드립니다.
경량 카르 다노 지갑 인 요로이 (Yoroi)는 일본 사무라이가 착용 한 엄청나게 화려한 고대 갑옷에서 그 이름을 따온 것입니다. 갑옷은 거의 1 년에 걸쳐 정교하게 제작 된 철과 가죽의 조합이었습니다. 이 기사에서는 웹 브라우저 및 ADA 기금으로 설계된 최신 방어구 뒤에 보안 중심 기능 및 핵심 기술에 대해 살펴 봅니다.
Cardano와 다른 cryptocurrencies 모두를위한 많은 브라우저 기반 지갑이 있습니다. 일부 브라우저 기반 지갑은 공용 인터넷에서 액세스해야하는 웹 사이트이며 다른 지갑은 실제로 브라우저에 설치할 수있는 확장입니다.
EMURGO는 최초의 동료 검토 3 세대 블록 체인 인 Cardano의 공식적이고 상업적인 벤처 기업으로서 웹 기반 지갑의 보안 문제로 인해 브라우저 기반 확장을 개발하기로 결정했습니다. 종종 비공식 웹 기반 지갑은 개인 키와 암호를 만들기 위해 Javascript 코드의 로컬 복사본을 실행하는 것이 좋습니다. 코드가 깨끗하고 대부분의 사람들이 코드의 모든 라인을 직접보고 싶지 않다는 보장은 없습니다. 대조적으로 Yoroi는 Cardano 뒤에있는 공식기구, 즉 EMURGO와 IOHK에 의해 개발되었습니다. 또한, 웹 사이트 기반 지갑이 엄청난 인센티브를 받으면 어떤 시점에서 제 3자가 해킹하거나 스누핑하지 않을 것이라는 보장은 없습니다.
EMURGO가 브라우저 확장 프로그램을 만드는 또 다른 이유는 DNS 도용이 발생하고 사람들이 지갑에서 돈을 훔친 다른 웹 사이트로 리디렉션 된 경우 때문입니다. 웹 사이트 도메인 이름의 오타도 비슷한 문제를 일으킬 수 있습니다. 확장 프로그램에는이 문제가 없습니다.
마찬가지로 사람들은 Daedalus의 가짜 버전에 링크되어 있는데 실제로 응용 프로그램 사용자가 다운로드 한 것은 바이러스였습니다. 그러나 Yoroi는 Chrome 스토어가 올바른 애플리케이션을 다운로드 할 수 있도록 보장하므로이 문제가 발생하지 않습니다.
Yoroi가 Chrome에서 실행된다는 사실은 우리가 신뢰할 수있는 잘 만들어진 API가 있기 때문에 더 빠르게 개발할 수 있으며, 확장 기능이 자체 샌드 박스 내에서 실행될 때 사용자를 보호합니다. Chrome은 일반적으로 패킷을 검사하기 쉽도록하기 때문에 Yoroi가 개인 키를 Google 서버에 보내지 않는지 확인할 수 있습니다. Chrome 개발자 도구를 사용하면 EMURGO / IOHK 서버에 전달되는 데이터를 정확히 볼 수 있습니다.
개발자 도구 기본 메뉴에서 네트워크 탭을 선택하면 폴링 프로세스가 표시됩니다. Yoroi 지갑은 주기적으로 지갑 주소와 dateFrom 값을 보내고, 준비 서버는 그 날짜 이후에 모든 트랜잭션을 가져 오도록 지시합니다. 현재 Yoroi는 IOHK 서버를 폴링하여 트랜잭션 내역을 얻고 트랜잭션을 실행해야합니다. yoroi-backend-api.js 파일에서 모든 HTTP POST 요청을 볼 수 있습니다. Yoroi light 지갑은 항상 우리 서버에 의존하지만, 트랜잭션 브로드 캐스트는 일시적인 상황이며 Shelly가 출시되면 변경 될 것입니다.
Chrome 사용 권한 시스템을 통해 액세스 권한이 무엇인지 정확하게 알 수 있습니다. 현재 Chrome은 Yoroi가 전체 인터넷 사용 기록에 액세스 할 수 있다고 말합니다. 전통적으로 이것을 권한 초과 확장이라고 부르지 만 코드는 실제로 기록을 컴파일하거나 읽지 않습니다. 이것은 Chrome의 오도하는 메시지이며 해결할 예정이지만 개발 팀에게는 아직 시간이 없습니다.
요로이의 복사본을 한 번에 하나씩 만 실행할 수 있으며, 우리가 확인하는 방법은 요로이 (Yoroi) 탭이 열려 있는지 확인하는 것입니다. 그러기 위해서는 모든 탭을 열어서 스캔해야합니다. 이론적으로 열린 탭을 지속적으로 스캔하여 사용자의 전체 인터넷 사용 기록을 알기 위해 Chrome은 "앱이 전체 인터넷 사용 기록을 볼 수 있음"이라는 경고 인 최악의 시나리오 메시지를 표시합니다. 우리는 실제로 그것을하지 않습니다.
웹 사이트에서 지갑 세부 정보를 확인해야하는 권한은 EMURGO 개발자가 생각하는 문제입니다. Metamask와 같은 일부 지갑은 웹 사이트와 상호 작용하기 위해 모든 페이지에 web3 인스턴스를 삽입합니다. 웹 사이트와의 월렛 상호 작용은 분산 앱 사용에 중요하며 기본 cryptocurrency의 채택을 촉진합니다. EMURGO의 개발자는 Yoroi가 방문한 모든 사이트에 Wallet 주소 또는 트랜잭션 정보를 노출시키지 않고도 유사한 기능을 가질 수 있도록 URI 체계를 통합 할 계획입니다.
핫 지갑의 위험을 이해한다는 것은 사용자로서의 책임을 이해해야 함을 의미합니다. 암호화 된 비공개 키는 Chrome의 로컬 저장 공간에 저장됩니다. 암호화 된 개인 키를 로컬에 저장한다는 것은 실제로 ADA를 소유하고 있음을 의미합니다. 그러나 지갑이있는 컴퓨터를 보호하는 것도 중요합니다.
귀하의 암호화 된 개인 키는 Yoroi와 함께 안전하지만, 위에서 언급 한 바와 같이, 입력 할 때 아무도 귀하의 지갑 비밀번호를 스누핑 할 수없는 안전한 환경을 조성하는 데는 신중해야합니다. 지갑 비밀번호는 15 단어 니모닉과 다릅니다. 개인 키는 니모닉과 지갑 암호를 소금으로 사용하여 암호화됩니다. 누군가가 귀하의 컴퓨터를 물리적으로 도용한다면 Yoroi를 다른 컴퓨터에 간단히 설치하고 귀하의 15 자 니모닉 / 복구 문구를 사용하여 귀하의 개인 키에 직접 액세스 할 수 있도록 귀하의 자금에 액세스하십시오. Cardano-rust 암호 암호화 코드는 pbkdf2 및 ChaCha20Poly1305와 함께 표준 HMAC-SHA512 기능을 사용합니다.
현재 Yoroi는 HD 월렛 형식을 지원하지만 하나의 계정 만 허용합니다. 그러나 "새 주소 생성"버튼을 사용하여 원하는만큼 임의의 주소를 생성 할 수 있습니다. Yoroi Mobile은 각자의 니모닉 및 Bip-44 준수 지갑이있는 하나 이상의 계정을 지원합니다.
Yoroi는 Daedalus 종이 지갑을 가져 오는 것을 지원하지만 현재 종이 지갑을 기본적으로 만들지 않습니다. Yoroi는 Trezor 및 Ledger 하드웨어 지갑을 모두 지원합니다. 오프라인에서 키를 저장하고 작은 트랜잭션에 필요할 때 가벼운 지갑을 사용하면 안전성과 사용 편의성이 모두 향상됩니다.
cryptocurrency 산업에서 개발을위한 보안 언어를 채택하는 것이 중요합니다. 녹은 일반적으로 이러한 보안 언어 중 하나로 간주됩니다. Cardano-rustpackage는 Yoroi의 모든 암호화를 처리합니다. 이것은 IOHK가 생성하고있는 Rust fullnode에 전원을 공급하는 데 사용 된 것과 동일한 녹 코드입니다.
Yoroi를 Cardano-rust 암호화 라이브러리에 연결하기 위해 WASM이 사용됩니다. WebAssembly라고도하는 WASM은 "스택 기반 가상 머신을위한 바이너리 명령어 형식으로, Wasm은 C / C ++ / Rust와 같은 고급 언어를 컴파일 할 수있는 휴대용 대상으로 설계되어 클라이언트와 서버 응용 프로그램. " 주목할 가치가있는 보안 기능이 있습니다.
WASM은 강력하게 형식화되고 메모리는 자바 스크립트 배열 버퍼로 제한 / 샌드 박싱되므로 WASM은 메모리를 범위를 벗어나거나 다른 Javascript 메모리에 액세스 할 수 없습니다. Cardano-rust 코드는 WASM으로 컴파일 된 다음 Javascript 바인딩을 통해 호출됩니다. 가까운 장래에 WASM 바인딩이 자동으로 생성되므로 개발자는 자신의 목적에 맞게 코드를 쉽게 탐구 할 수 있습니다.
EMURGO의 수석 개발자 인 Sebastien Guillemot은 "많은 블록 체인이 현재 Rustsince를 사용하고 있으므로 컴파일 시간에 메모리 문제를 피하고 WASM과의 상호 운용성이 뛰어나고 매우 빠른 실행 및 좋은 지원이 가능합니다."
이제 Yoroi light wallet 뒤에 보안 기능과 구성 요소에 대해 더 잘 이해했기를 바랍니다. EMURGO의 개발자는 Yoroi에 관해서는 보안에 대해 먼저 생각하고 있습니다. github에서 Yoroi 소스 코드를 탐색하거나 Yoroi.com을 방문하여 오늘 확장 기능을 설치하십시오.
Another popular question we receive at EMURGO:
"Is Yoroi safe?"
Here is a superb article on the security features and components behind #Yoroi, the light wallet for #Cardano #Ada. Read here.
https://emurgo.io/#/en/blog/yoroi-wallet-security/newsletter
