Foundation Passport Core (Batch 2) เจาะลึกสถาปัตยกรรมที่น่าสนใจ

Foundation Devices ได้สร้างจุดยืนที่ชัดเจนในตลาดความปลอดภัยบิทคอยน์ ด้วยการเป็นผู้ผลิตฮาร์ดแวร์วอลเล็ตที่ออกแบบมาเพื่อให้อำนาจการควบคุมแก่ผู้ใช้อย่างแท้จริง รับประกันความเป็นเจ้าของบิทคอยน์ และปกป้องความเป็นส่วนตัวอย่างเต็มที่ พันธกิจหลักของบริษัทคือการสร้างฮาร์ดแวร์ที่มีดีไซน์สวยงามและเป็น open-source สำหรับ บิทคอยน์ ซึ่งเป็นการปรับปรุงและพัฒนาต่อยอดจากรุ่นแรกอย่างลงตัว

Passport Core (Batch 2) ถูกออกแบบระบบความปลอดภัยด้วยเทคโนโลยี Air-Gapped ที่อนุญาตให้ใช้เฉพาะ QR codes หรือ MicroSD card ในการถ่ายโอนข้อมูลธุรกรรมเท่านั้น ซึ่งตัดความเสี่ยงหลักที่มาจากการเชื่อมต่อผ่าน USB หรือระบบไร้สายที่อาจถูกแฮ็คได้ สถาปัตยกรรมความปลอดภัยประกอบด้วยชิปความปลอดภัย Microchip ATECC608A Secure Element สำหรับปกป้อง private keys และระบบ True Random Number Generator (TRNG) ที่มีหน้าที่สุ่มแบบ Avalanche noise source ซึ่งเป็น open-source เพื่อเพิ่มคุณภาพของการสุ่มคำที่มีโอกาสซ้ำได้ยากมากขึ้น

สิ่งที่ทำให้ Foundation แตกต่างอย่างชัดเจนคือการที่ทั้ง hardware schematics และ firmware เป็น open-source อย่างสมบูรณ์ภายใต้ copyleft licenses (CERN-OHL-S และ GPLv3) ทำให้ผู้เชี่ยวชาญภายนอกสามารถตรวจสอบและ audit ได้ทั้งหมด รวมถึงสามารถสร้าง reproducible builds ได้ หมายความว่าสามารถตรวจสอบซอฟท์แวร์ว่ามาจากแหล่งที่ถูกต้องหรือไม่ นอกจากนี้ Foundation ยังเพิ่มความมั่นใจในห่วงโซ่อุปทานด้วยการประกอบอุปกรณ์ในสหรัฐอเมริกาเท่านั้น ผนวกกับการพัฒนาอุปกรณ์เพื่อเพิ่มประสบการณ์ที่ดีให้กับผู้ใช้ที่ เช่น จอ IPS สีความละเอียดสูงและกล้องในตัวสำหรับสแกน QR codes ทำให้ Passport Core ทำให้สะดวกสบายโดยไม่ลดทอนความปลอดภัย

การตั้งราคา Passport Core ที่ $199 ซึ่งสูงกว่าคู่แข่งอย่าง Coldcard MK4 ($168) นั้นเป็นการตัดสินใจเชิงกลยุทธ์ที่ชัดเจน Foundation ไม่ได้แข่งขันด้านราคา แต่แข่งด้าน คุณภาพ การออกแบบ และการใช้ส่วนประกอบที่ผลิตอยู่ในอเมริกาเท่านั้น

กลุ่มเป้าหมายของ Passport Core เป็นนักลงทุนที่ต้องการเก็บบิทคอยน์จริงจัง หรือ นักลงทุนรายใหญ่ที่มีความเข้าใจเทคโนโลยี สถาบันการเงิน และผู้ที่ให้ความสำคัญกับความปลอดภัยขั้นสุด เชื่อมต่อกับมือถือด้วย air-gapped wallet ราคาที่ตั้งมาไม่ได้เหมาะสำหรับมือใหม่ และรองรับแค่บิทคอยน์ ไม่สามารถเก็บเหรียญอื่นๆ ไดนะครับ

การผสมผสานความปลอดภัยด้วยสถาปัตยกรรมขั้นสูงเข้ากับมาตรฐานการใช้งานที่ทันสมัย แม้ว่าราคาจะสูงกว่าคู่แข่งและรองรับเฉพาะ บิทคอยน์เท่านั้น แต่สำหรับผู้ที่เน้นเรื่องความปลอดภัยขั้นสุดและต้องการควบคุมบิทคอยน์ด้วยตนเองอย่างแท้จริง Passport Core (Batch 2) คือคำตอบที่คุ้มค่ากับการลงทุน

Foundation Devices เลือกดำเนินธุรกิจบนความเชื่อพื้นฐานที่ว่า "ความปลอดภัยผ่านการเปิดเผย" (security through openness) คือกลยุทธ์ระยะยาวเพียงหนึ่งเดียวที่ Foundation Devices เชื่อว่าจะป้องกันฮาร์ดแวร์วอลเล็ตที่ให้อำนาจแก่ผู้ใช้อย่างแท้จริง 

Foundation เลือกที่จะไม่ออกแบบสถาปัตยกรรมแบบปิดที่เป็นใช้กรรมสิทธิ์เป็นเครื่องมือปกปิดช่องโหว่ที่อาจเกิดขึ้นในการออกแบบ แนวควมคิดเหล่านี้ถูกแปลงเป็นข้อกำหนดทางเทคนิคที่เป็นรูปธรรม โดย Foundation เปิดเผยแผนผังวงจรทั้งหมด (circuit schematics) ไฟล์การออกแบบ และ firmware อยู่ภายใต้ open-source copyleft licenses ซึ่งรวมถึง CERN-OHL-S และ GPLv3 ความโปร่งใสนี้ทำให้ผู้เชี่ยวชาญและชุมชนในวงกว้างสามารถตรวจสอบทั้งฮาร์ดแวร์และซอฟต์แวร์อย่างอย่างเปิดเผยเพื่อหาช่องโหว่ บั๊ก และ backdoors ที่อาจซ่อนอยู่ Foundation เปิดเผยองค์ประกอบทั้งหมดตั้งแต่การออกแบบฮาร์ดแวร์ไปจนถึงโค้ด bootloader ซึ่งมีความสำคัญอย่างยิ่งสำหรับระบบที่ต้องการความปลอดภัยสูง 

นอกจากนี้ ความมุ่งมั่นในการประกอบฮาร์ดแวร์วอลเล็ตในสหรัฐอเมริกาเท่านั้นเป็นมาตรการโดยตรงเพื่อลดความเสี่ยงที่เกี่ยวข้องกับการผลิตจากต่างประเทศที่อาจไม่น่าเชื่อถือ และการแทรกแซงในห่วงโซ่อุปทานที่อาจเกิดขึ้น ซึ่งเป็นความกังวลหลักของผู้ใช้ที่มีความเข้าใจเทคโนโลยีขั้นสูง การควบคุมกระบวนการผลิตอย่างเข้มงวดนี้สร้างความมั่นใจเพิ่มเติมว่าฮาร์ดแวร์ที่ผู้ใช้ได้รับนั้นตรงตามข้อกำหนดการออกแบบที่เปิดเผยทุกประการ ไม่มีการแอบแฝงส่วนประกอบที่ไม่พึงประสงค์หรือการดัดแปลงที่อาจเป็นอันตราย

Foundation ใช้แนวคิด “Digital Deco” ในการออกแบบเพราะคิดว่ารูปแบบฮาร์ดแวร์วอลเล็ตในท้องตลาดทั่วไปมันเรียบง่ายเกินไป น่าเบื่อ ด้วยการผสมผสานองค์ประกอบที่หรูหราเข้ากับรูปทรงระดับพรีเมียม โดยใช้พลาสติกคุณภาพสูงและโลหะผสมสังกะสีชุบทองแดง รุ่น Core (Batch 2) นี้ยังได้รับการปรับปรุงให้บางลงประมาณ 20% เมื่อเทียบกับรุ่น Founder's Edition ทำให้พกพาสะดวกและจับถือได้ง่ายขึ้น

การปรับปรุงที่สำคัญด้านประสบการณ์ผู้ใช้ คือจอ IPS สีความละเอียดสูงที่ยึดติดกับกระจกแข็งพิเศษที่ทนต่อรอยขีดข่วน จอแสดงผลนี้ไม่ใช่แค่ความสวยงาม แต่เป็นการอัพเกรดความปลอดภัยเชิงฟังก์ชัน เพราะสามารถแสดง QR codes ที่สว่างและชัดเจนกว่า และมีความสำคัญอย่างยิ่งสำหรับการส่งข้อมูลธุรกรรมที่ซับซ้อนแบบ air-gapped 

ส่วนติดต่อผู้ใช้ได้รับการออกแบบใหม่ทั้งหมดเพื่อใช้ประโยชน์จากจอแสดงผลนี้ ส่งผลให้ได้ดีไซน์ที่ดูไม่เหมือนฮาร์ดแวร์วอลเล็ตทั่วๆไป มองเผินๆ นึกว่าเป็นโทรศัพท์ที่อาม่าใช้กัน จนโดนแซวโดยแอดมินผมว่ารุ่นมือถืออาม่า พร้อมการออกบบการใช้งานแบบซ้ายไปขวาที่ใช้งานง่าย เหมือนโทรศัพท์โนเกียยุคก่อน (T9) พิมพ์ PIN ได้ง่ายมากๆ

ในด้านแบตเตอรี่ Foundation แก้ปัญหากังวลของผู้ใช้ด้วยการเปลี่ยนจากถ่าน AAA มาเป็นแบตเตอรี่ลิเธียมไอออน Nokia BL-5C มาตรฐานที่ผู้ใช้สามารถเปลี่ยนเองได้ (ใช้ตัวเดียวกับโทรศัพท์โนเกียเลย) การเปลี่ยนแปลงนี้ให้อายุการใช้งานแบตเตอรี่ที่ดีขึ้น การแสดงผลระดับแบตเตอรี่ที่แม่นยำ และทำให้ผู้ใช้ไม่ต้องพึ่งพาอะไหล่เฉพาะจาก Foundation ซึ่งตอกย้ำหลักการของความเป็นอิสระอย่างแท้จริง การชาร์จใช้พอร์ต USB-C แบบพิเศษที่ออกแบบมาสำหรับจ่ายไฟเท่านั้น โดยไม่มี data pins ทำให้รักษาสถานะ air-gap ได้เสมอไม่ว่าจะใช้กับเต้ารับไฟหรือคอมพิวเตอร์ใดก็ตาม

ความปลอดภัยของ Passport Core ตั้งอยู่บนพื้นฐานสำคัญคือการตัดขาดจากอินเตอร์เน็ตแบบ air-gapped อย่างสมบูรณ์ การออกแบบนี้กำหนดให้อุปกรณ์ไม่มีการเชื่อมต่อทางกายภาพบคอมพิวเตอร์ที่ต่ออินเทอร์เน็ตหรือเครือข่ายใดๆ ทั้งสิ้น พอร์ต USB-C ที่มีอยู่ถูกออกแบบมาสำหรับจ่ายไฟเท่านั้น โดยได้ถอด data transfer pins ออกทางกายภาพ การตัดขาดจากอินเตอร์เน็ต ทำให้มั่นใจได้ว่าแม้อุปกรณ์จะถูกเสียบเข้ากับคอมพิวเตอร์ที่ถูกแฮ็ค การขโมยข้อมูลหรือการฉีด firmware ที่เป็นอันตรายผ่านพอร์ต USB นั้นเป็นไปไม่ได้ตามโครงสร้างที่ออกแบบเป็นการลดพื้นที่ของการถูกโจมตีลง

การสื่อสารข้อมูลอาศัยวิธีการแบบ asynchronous และ offline เท่านั้น โดยมีสองวิธีหลักคือ QR Codes และ MicroSD Card สำหรับ QR Codes นั้น กล้อง Omnivision Cameracube ที่ติดตั้งในตัวช่วยให้อุปกรณ์สามารถสแกน unsigned PSBTs ที่ส่งมาจากซอฟต์แวร์วอลเล็ตคู่หู เช่น Envoy หรือ Blue Wallet ได้อย่างรวดเร็ว หลังจากลงนามธุรกรรมภายในแล้ว Passport จะแสดงข้อมูลธุรกรรมที่ลงนามแล้วเป็นชุด QR codes แบบเปลี่ยนตลอดเวลา ซึ่งซอฟต์แวร์บนมือถือจะสแกนกลับไป วิธีนี้มีสะดวกแต่ยังไม่แลกกับความปลอดภัย

ส่วน MicroSD Card เป็น  MicroSD Card ระดับอุตสาหกรรมที่มาพร้อมกับอุปกรณ์  ทำหน้าที่เป็นช่องทางการถ่ายโอนข้อมูลที่ปลอดภัยสำหรับการถ่ายโอนข้อมูลขนาดใหญ่และซับซ้อน เช่น การตั้งค่า Multisig การอัพเดท firmware และการสำรองข้อมูล seed แบบเข้ารหัส 

วิธีการแบบ "SneakerNet" นี้ทำให้แม้แต่ขั้นตอนการทำงาน PSBT ที่ซับซ้อนก็สามารถจัดการได้อย่างปลอดภัยแบบออฟไลน์ การผสมผสานระหว่างสองวิธีนี้สร้างสมดุลที่ดีระหว่างความสะดวกในการใช้งานประจำวันและความสามารถในการจัดการงานที่ซับซ้อน ทั้งหมดนี้ยังคงรักษาการตัดขาดจากอินเตอร์เน็ตอย่างสมบูรณ์แบบ ซึ่งเป็นหัวใจสำคัญของความปลอดภัยระดับสูงสุด

การทำงานหลักของ Passport Core ถูกจัดการโดย STM processor ที่มีความเร็วสูง ซึ่งเป็น Arm® Cortex®-M7 core แบบ 32-bit ประสิทธิภาพสูง สามารถทำงานได้ถึง 480 MHz โปรเซสเซอร์นี้มีคุณสมบัติขั้นสูง เช่น Floating Point Unit (FPU), Digital Signal Processing (DSP) instructions และ Memory Protection Unit (MPU) สามารถสร้างสภาพแวดล้อมการทำงานที่ปลอดภัยสำหรับ firmware ได้ดี

สิ่งสำคัญคืออุปกรณ์นี้ใช้สถาปัตยกรรมความปลอดภัยแบบไฮบริด โดยใส่ Microchip ATECC608A Secure Element (SE) เข้าไปด้วย ชิปพิเศษนี้ทำหน้าที่เป็นอุปกรณ์พิเศษทางกายภาพที่เพิ่มความน่าเชื่อถือในการป้องกันการโจมตีทางกายภาพ นอกจากนี้ Secure Element ยังรับผิดชอบฟังก์ชันความปลอดภัยที่สำคัญหลายประการ เช่น

ประการแรกคือการปกป้อง Seed Secure Element จะทำหน้าที่เก็บข้อมูล Seed ซึ่งเป็นองค์ประกอบในการสร้าง Master Private Key ทำให้คนที่คิดจะโจมตีและดึงเข้าข้อมูลออกมาจาก Secure Element นั้นทำได้ยาก ไม่สามารถใช้เครื่องมือพื้นๆ ในการเจาะระบบ

 ประการที่สองคือการจำกัด PIN โดย Secure Element โดยจะบังคับใช้งานเครื่องไม่ได้หาพิมพ์ PIN ผิด 21 ครั้ง เพื่อป้องกันการโจมตีแบบ brute-force อย่างมีประสิทธิภาพ 

และประการสุดท้ายคือการตรวจสอบห่วงโซ่อุปทาน โดยทุกอุปกรณ์ Passport มี secret key เฉพาะที่ล็อคอยู่ใน SE ใช้สำหรับการตรวจสอบแบบ challenge-response กับเซิร์ฟเวอร์ของ Foundation ในระหว่างการตั้งค่าครั้งแรก หาก SE ถูกแทรกแซงหรือเปลี่ยนระหว่างการจัดส่ง อุปกรณ์จะไม่ผ่านการตรวจสอบนี้และแจ้งเตือนผู้ใช้ถึงความเสี่ยงที่จะถูกโจมตีจากห่วงโซ๋อุปทาน

พร้อมกับการเข้ารหัส bootloader ที่เขียนด้วยภาษา C และใช้ Secure Element สำหรับการเปิดเครื่องและการตรวจสอบ firmware ก่อนที่ระบบจะเริ่มทำงาน

คุณภาพของ cryptographic seed เป็นสิ่งสำคัญที่สุดในระบบความปลอดภัย ซึ่งต้องอาศัยแหล่งกำเนิด entropy ที่มีคุณภาพสูงและไม่สามารถคาดเดาได้ Passport Core ตอบสนองข้อกำหนดนี้ด้วยกลยุทธ์การสร้างความสุ่มจากหลายแหล่ง กระบวนการสร้าง seed (รองรับทั้ง 24 คำและ 12 คำ) ใช้แหล่งสร้างตัวเลขสุ่มแท้จริงที่เป็นอิสระจากกันถึงสามแหล่ง ได้แก่ Random Number Generator (RNG) ของ CPU ในตัว, True Random Number Generator (TRNG) ของ Secure Element และแหล่ง entropy แบบ Avalanche noise ที่เป็น open-source

การรวม Avalanche noise source เข้ามาถือเป็นคุณสมบัติที่ดีมากๆ ส่วนประกอบนี้เป็นฮาร์ดแวร์ open-source โดยเฉพาะที่อาศัยสัญญาณรบกวนทางฟิสิกส์ที่เกิดจาก reverse-biased avalanche diodes สัญญาณสุ่มนี้จะถูกขยาย แปลงเป็นดิจิทัล และผสมรวมกับแหล่งความสุ่มอื่นๆ การที่ Foundation ออกแบบและเปิดเผย TRNG ของตัวเองที่อิงกับหลักฟิสิกส์ที่ตรวจสอบได้นั้น แก้ไขความกังวลโดยตรงเกี่ยวกับความน่าเชื่อถือของ RNG ที่ฝังอยู่ในไมโครคอนโทรลเลอร์ที่พึ่งพาผู้ผลิตอื่น

การตัดสินใจนี้เปลี่ยนความไว้วางใจจากผู้ผลิตซิลิคอน closed-source ไปสู่การออกแบบวงจรที่โปร่งใสและตรวจสอบได้ เพื่อให้ผู้ใช้มั่นใจได้ว่า seed ที่สร้างขึ้นมีกระบวนการสุ่มอย่างแท้จริงจากแหล่งที่หลากหลายและตรวจสอบได้ ตามปรัชญาของ Foundation "security through openness"

สำหรับการรักษาความปลอดภัยบิทคอยน์ที่มีคุณค่าเหมือนทองคำในยุคดิจิทัล แหล่งที่มาของอุปกรณ์มีความสำคัญเทียบเท่ากับการออกแบบโดย Foundation ลดความเสี่ยงจากการโจมตีที่อาจเกิดขึ้นระหว่างโรงงานผลิตกับผู้ใช้ ที่เรียกว่า supply chain interdiction ผ่านระบบการตรวจสอบที่ใช้ Secure Element ทุกอุปกรณ์จะได้รับการติดตั้ง secret key ใน Secure Element ตั้งแต่ในโรงงาน เมื่อตั้งค่าครั้งแรก อุปกรณ์จะทำการตรวจสอบแบบ challenge-response กับเซิร์ฟเวอร์ของ Foundation โดยใช้ key นี้ หากอุปกรณ์หรือ secure element ถูกเปลี่ยนโดยผู้ไม่หวังดีระหว่างทาง การตรวจสอบจะแจ้งเตือนไม่ให้ผู้ใช้เริ่มใช้งานอุปกรณ์

Foundation ส่งฮาร์ดแวร์และซอฟต์แวร์ให้ผู้เชี่ยวชาญภายนอกตรวจสอบด้วยตัวเอง โดยได้ว่าจ้าง Keylabs ให้ทำการตรวจสอบความปลอดภัยของ Passport Core ในปี 2021 แม้ว่ารายละเอียดของการตรวจสอบจะต้องดูจากเอกสาร PDF แต่การตรวจสอบนี้แสดงให้เห็นความตั้งใจที่จะปิดจุดอ่านทั้งหมดด้วยตัวเอง และยังเปิดเผยให้มีส่วนร่วมจากคอมมูนิตี้ด้วย

Foundation มีระบบในการป้องกันไม่ให้ผู้ใช้ Downgrade Firmware เพื่อให้มั่นใจได้ว่าผู้ใช้จะไม่ถูกโจมตีจากความบกพร่องของ Firmware เวอร์ชั่นเก่าบางคนอาจไม่ชอบที่บังคับกันแต่ Foundation เลือก วิธีนี้เพื่อความปลอดภัยสูงสุด หลังจากอุปกรณ์ได้รับการอัพเดทแล้ว ผ่าน bootloader ที่เขียนด้วยภาษา C ด้วยการบังคับ rollback ในการตรวจสอบและอัพเดท firmware

เหมาะสำหรับผู้ที่ต้องการความปลอดภัยระดับสูงเนื่องจากการออกแบบเป็นการแยกจากอินเตอร์เน็ตอย่างสมบูรณ์แบบ ใช้เชื่อมต่อผ่าน Air-gapped (Barcode) และ SD Card เท่านั้น การออกแบบทั้ง ฮาร์ดแวร์ และ เฟิร์มแวร์ที่เป็นแบบ open-source อีกทั้งซอท์ฟแวร์ยังใช้เทคนิค reproducible build ทำให้ระดับความปลอดภัยของซอฟท์แวร์สารมารถตรวจสอบได้ ไม่ถกสอดแทรกโค้ดระหว่างทาง หรือแม้กระทั้งการจัดการส่วนประกอบของอุปกรณ์ก็มีกระบวนการในการตรวจสอบว่าเป็นของแท้ที่ได้รับการฝัง Secret Code ไว้ในอุปกรณ์สำหรับตรวจสอบป้องกันการเปลี่ยนองค์ประกอบของอุปกรณ์ที่ใช้ประกอบเป็นฮาร์ดแวร์วอลเล็ต

ส่วนตัวผมว่ามีบางจุดที่เทียบกับคู่แข่งอากจมีข้อด้อยเรื่องของ Secure Element ที่มีอยู่ตัวเดียว ไม่สามารถที่จะใช้ตัวที่สองเป็นตัวป้องกันในกรณีตัวที่หนึ่งเกิดช่องโหว่ได้ เมื่อเทียบกับตระกูล Coldcard Mk4 ไม่นับ Cold Card Q และ Trezor Safe 7 เนื่องจาก สองรุ่นนี้เป็นรุ่นท๊อปของ Coldcard และ Trezor และ Secure Element เป็นแบบไม่เปิดเผยเนื่องจากติดสัญญาปกปิดความลับ ซึ่งปัจจุบันมีแค่ Trezor Safe 7 เจ้าเดียวเท่านั้นที่ใส่ Secure Element ที่เป็นแบบ open-source โดยรวมแล้วเป็น Hardware ที่คุ้มค่ามากๆ Body ที่เป็นโลหะนี่ต้องบอกว่าโหดมากๆ ขว้างหัวแตกเลยทีเดีย แบตเตอรี่ก็นิ่งนะไม่เหมือน Coldcard Mk4 ที่มีปัญหาไฟไม่นิ่งทำให้เครื่องพัง Coldcard Q จึงเปลี่ยนมาใช้ถ่านแบบ AAA แทนแบบ Coldcard Mk4 แต่คงเทียบกับแบตเตอรี่ของ Trezor Safe 7 ไม่ได้ที่อยู่ได้ยาวนานมาก แล้วก็สามารถชาร์จแบบไร้สายได้ แลกกับการที่เราสามารถเปลี่ยนแบตเองได้ ถ้าเป็นคนที่ต้องการเก็บบิทคอยน์อย่างเดียวเป็นอีกทางเลือกที่น่าสนใจครับ