บทความนี้ไม่ได้จะโจมตี Ledger แต่อย่างใดนะครับ นำบทความนี้มาจาก Ledger Officical Blog ที่ทาง Ledger เขียนขึ้นมาเองครับ
ก่อนจะไปอ่านในบทความของ Ledger เรามาทำความเข้าใจคำว่า Open Source กันก่อนดีกว่าครับว่า Open Source คืออะไร
Open Source คือการเปิดเผย Source Code ที่พัฒนาตัว Hardware Wallet ว่าเปิดเผยให้คนทั่วไปสามารถเข้าถึงได้หรือไม่ เพื่อแสดงถึงความโปร่งใสและทุกคนสามารถร่วมกันตรวจสอบ Source Code ของ Hardware Wallet นั้นได้
ปัจจุบัน Ledger ได้ Open Source เพียง 95% เท่านั้น ส่วนที่ไม่ได้เปิดเผยตอนนี้จะเป็น Firmware และยังมีประเด็น เรื่อง Ledger Recover ที่ Ledger เอา Seed ของเราไปเก็บไว้ที่ Ledger กับ Partner ของ Ledger นั่นเอง สามารถดูรายละเอียด Open Source ของ Ledger ได้ที่นี่ครับ
กลับมาที่ประเด็นว่าทำไม่ Ledger ไม่ Open source 100%
จากบางส่วนในบทความ และใน x (twitter)ได้กล่าวว่า Ledger ได้ทำข้อตกลงทางกฎหมายกับ STMicroelectronics ซึ่งเป็นผู้ผลิต Secure Element Chip ไม่ให้เปิดเผย low-level code ของ Secure Element Chip
เหตุผลที่ STMicroelectronics ไม่ต้องการเปิดเผย Open source ของ Secure Element Chip เนื่องจากได้ลงทุนทั้งเวลาและเงินหลายพันล้านดอลลาร์ในการพัฒนา นี่เป็นเหตุผลที่ STMicroelectronics ป้องกันไม่ให้ผู้พัฒนาเฟิร์มแวร์เปิดเผยส่วนต่างๆ ของโค้ดที่เกี่ยวกับกับวงจร
Secure Element chip ถือเป็น chip ที่ปลอดภัยที่สุดในบรรดาชิปทั้งหมด โดยเป็น chip ประเภทเดียวกับที่ใช้ในหนังสือเดินทางและบัตรเครดิต ซึ่งมีป้องกันที่แข็งแกร่งต่อการโจมตีต่าง ๆ เช่น side channel attacks เป็นต้น
Ledger ยังบอกอีกว่า ผู้พัฒนา Hardware wallet ต้องเลือกระหว่าง Chip ที่ปลอดภัยที่สุดในตลาดและถูกใช้งานมาหลายพันล้านครั้ง โดยที่ไม่เปิดเผยโค้ดเล็กน้อยที่อยู่ภายใน Chip กับการที่เปิดเผยโค้ดของ Chip แล้วความปลอดภัยน้อยลง แน่นอนว่า Ledger เลือกความปลอดภัย
Ledger มีแผนที่จะ Open source 100% ไหม?
Ledger มีแผนที่จะ Open Source 100% แต่อาจจะต้องใช้เวลาในการทำเพราะถือว่าเป็นเรื่องที่ยาก แต่จะพยายามทำตาม Roadmap ที่วางไว้ให้ได้
ข้อความด้านล่างจะเป็นความคิดเห็นส่วนตัวของผู้เขียนนะครับ
ตอนแรกก็สงสัยว่าถ้า Ledger เปิดเผย source code ของ Secure Element chip ไม่ได้ แล้ว Trezor เปิดได้เหรอ สรุป Trezor เปิดได้ โดยการหาผู้ผลิต Secure Element chip ที่เปิดเผย source code ได้ 100%
Ref: https://trezor.io/learn/a/secure-element-in-trezor-safe-3
Reference
โพสต์ x ของ Ledger เกี่ยว Open Source : https://x.com/Ledger/status/1814247133517627545
Blog LEDGER IS 95% OPENSOURCE, WHY NOT 100%: https://www.ledger.com/blog-ledger-is-95-opensource-why-not-100
Trezor ที่เปิดเผย source code ได้ 100% : https://trezor.io/learn/a/secure-element-in-trezor-safe-3
