Hodný Korejec

Držíte v ruce běžnou hardwarovou peněženku, uvnitř je čip. Čip je minipočítač. Není to soubor s vaším privátním klíčem ani seed frází. Není to úložiště chráněné heslem.

Je to minipočítač. Něco si tam uvnitř dělá, ale nikdo doopravdy neví, co přesně. Zdrojový kód čipu se totiž nezveřejňuje.

Takže to vypadá takhle… sami si prověříte firmu, která peněženku vyrobila, možná zkontrolujete i kód rozhraní, sami si zapíšete a bezpečně zazálohujete seedy, a pak si řeknete: „Já jsem ale naivka, tak ať teď můj privátní klíč zpracovává uzavřený mikropočítač, kde vůbec netuším, co se děje“.

Je to svou podstatou naprosto absurdní.

Je to jako hrát fotbalový zápas 89 minut, všechno kontrolovat, dávat si na všechno pozor, být neustále ve střehu, sychrovat se ze všech stran a v poslední minutě prostě odejít ze hřiště, protože „takhle to podle etikety dělají všichni“. A trenér soupeře vám ještě řekne, ať se nebojíte — že míč ze hřiště neuletí.

Svěřujete svůj privátní klíč cizímu počítači, o kterém vůbec nevíte, jak funguje, jak fungoval, jak bude fungovat, co přesně dělá a jak to tam celé probíhá.

Je to klasické zametání problému pod koberec. Lidé si chtějí najmout uklízečku, ale bojí se: co když nám vykrade byt?

Proto přijde nápad: najmeme si uklízečku přes „úklidovou firmu“, ta přece nese větší odpovědnost. To, že pro tu firmu pracuje úplně ta samá včerejší uklízečka z inzerátu — to si už náš mozek nechce připustit. Stejně jako fakt, že ručení u s.r.o. začíná na 1 Kč základního kapitálu.

Tady je to úplně stejný případ.

Na to mám vždycky otázku: a ty to víš odkud? No vážně, TY to víš odkud? „No přece experti to rozhodli!“ A jací experti, popíjel jsi s nimi čaj? Z čeho jsi usoudil, že jsou to experti? Z toho, že mají v názvu písmenka HSA+, HDSFA++? Čím víc písmenek, tím serióznější?

Třeba máš v Česku obchod s kávovary — zná tě někdo v zahraničí? Možná tě ani u vás ve městě neznají všichni.

A teď přemýšlej, proč ty znáš firmu SUPER SECURITY HSA+ HDFSA++ z USA, která ten super-čip licencovala? Myslíš, že jsou to tak slavní specialisté na celý svět, že je všichni znají, nebo je to prostě firma, na kterou ti správně ukázali prstem v reklamním článku?

Navíc — vezmi si vozy TESLA. Mají vlastní tým bezpečnostních expertů? Nejspíš mají. Ale na hackathon Pwn2Own přijede 10 týmů z celého světa a za dva dny tu Teslu rozlousknou. Jak je to možné? Jak může bezpečnostní tým Tesly opakovaně přehlédnout slona v tmavé místnosti?

A není divu, že po nějaké době zakladatel Ledgeru veřejně řekne: když to bude potřebovat policie, dokážeme z naší mikročipové peněženky privátní klíč vytáhnout. A všichni: „Páni. To je mi překvapení!“. Žádné překvapení — k nevíře je spíš člověk, který věří, že si Pepa objednal audit u kamaráda Franty, aby Franta napsal: Pepa je špička v bezpečnosti.

A proto svěřovat svůj privátní klíč cizímu mikropočítači — když jsi do vydělání těch peněz dal tolik úsilí — je jako říct: „Vydělal jsem 10 milionů, ale jsem naivka, tak si někdo laskavě vezměte mé peníze do úschovy“. Místo toho, aby sis je prostě pohlídal sám.

Představte si: v Koreji je továrna, kde tyto čipy vyrábějí. Všechny rozvědky světa vědí, že se tam vyrábějí čipy. Korejská vláda ví, že se tam vyrábějí čipy, do kterých se budou ukládat miliardy v bitcoinech. Vědí to všichni dělníci i místní mafie. A právě na téhle výrobní lince je sestavují a nahrávají do nich firmware.

A vy na to: „Paráda! Vezmu si z tohohle pásu černou skříňku — mikropočítač — a hodím do ní své bitcoiny!“