Security ·

Çevrimiçi Tohum İfadesi Oluşturucu Kullanmak Güvenli mi?

Kripto topluluklarında sürekli gündeme gelen bir soru var: çevrimiçi bir araç kullanarak tohum ifadesi oluşturmak güvenli midir? Kısa cevap, tamamen o aracın nasıl yapıldığına bağlıdır. Kötü tasarlanmış bir çevrimiçi oluşturucu, cüzdanınızı finanse etmeden önce bile anahtarlarınızı saldırganlara açığa çıkarabilir. Doğru tasarlanmış bir oluşturucu ise çevrimdışı bir araç kadar güvenli olabilir. Ayrım mimari yapıya dayanır ve bu mimariyi anlamak bir kripto sahibi olarak sizin sorumluluğunuzdur.

Bu rehber, çevrimiçi tohum ifadesi oluşturucusunu güvenli veya tehlikeli yapan şeyi, belirli bir aracın hangi kategoriye girdiğini nasıl doğrulayacağınızı ve kriptografik anahtarlarınıza dokunan herhangi bir araçtan talep etmeniz gereken teknik standartları açıklar.

Çevrimiçi Oluşturucuların Riski

Bir BIP39 tohum ifadesi oluşturduğunuzda, cüzdanınızdaki tüm fonları kontrol eden ana sırrı yaratıyorsunuz. Bu ifadeyi başka biri elde ederse, ondan türetilen her adresten her coini süpürebilir. Bu teorik bir risk değildir. Güvenliği ihlal edilmiş anahtar üretimi yoluyla milyarlarca dolar çalınmıştır.

Herhangi bir çevrimiçi oluşturucudaki temel risk aktarımdır. Araç tohum ifadenizi, özel anahtarınızı veya bunları oluşturmak için kullanılan ham entropiyi uzak bir sunucuya gönderiyorsa, sırrınızın bir kopyası kontrolünüz dışında mevcuttur. O sunucu hacklenebilir, operatör kötü niyetli olabilir, bir ortadaki adam verileri yakalayabilir veya ağ günlükleri kaydedebilir.

Bu risk, açıkça şüpheli web siteleriyle sınırlı değildir. Profesyonel tasarımlara ve binlerce kullanıcıya sahip meşru görünen araçlar, oluşturulan anahtarları sunucularına aktarırken yakalanmıştır. Bazıları kasıtlı olarak kötü niyetliydi. Diğerlerinde analitik betikleri veya hata raporlama araçları aracılığıyla yanlışlıkla veri sızdıran hatalar vardı.

Tehlike, her ziyarette harici sunuculardan kod yükleyen araçlara da uzanır. Oluşturucu dün güvenli olsa bile, güvenliği ihlal edilmiş bir CDN veya hileli bir güncelleme bugün anahtar çalan kod enjekte edebilir.

İstemci Tarafı vs Sunucu Tarafı: Kritik Bir Fark

Herhangi bir çevrimiçi tohum ifadesi oluşturucusunu değerlendirmede en önemli faktör, istemci tarafında mı yoksa sunucu tarafında mı çalıştığıdır.

Sunucu tarafı oluşturucu, tohum ifadenizi uzak bir sunucuda oluşturur ve tarayıcınıza gönderir. Sırrınız aktarımda internetten geçer, sunucu belleğinde bulunur ve potansiyel olarak günlüğe kaydedilir. HTTPS şifrelemesiyle bile, sunucu operatörü oluşturulan her anahtara erişebilir. Bu model güvenlikle temelden uyumsuzdur ve hiçbir koşulda sunucu tarafı tohum ifadesi oluşturucu kullanmamalısınız.

İstemci tarafı oluşturucu, tüm kriptografik işlemleri tarayıcınız içinde çalıştırır. Entropi yerel olarak üretilir, tohum ifadesi yerel olarak türetilir ve ortaya çıkan anahtarlar cihazınızı asla terk etmez. Web sitesi kodu sağlar, ancak bu kod yüklendikten sonra sunucudan bağımsız çalışır. Sayfa yüklendikten sonra internetten bağlantınızı keserseniz, gerçek bir istemci tarafı oluşturucu mükemmel şekilde çalışmaya devam eder.

Ancak "istemci tarafı" doğrulanması gereken bir iddiadır. Birçok araç istemci tarafı olduğunu iddia ederken hala ağ istekleri yapar, harici betikler yükler veya ekran verilerini yakalayabilecek analitik izleyiciler içerir.

Bir Oluşturucunun İstemci Tarafı Olduğunu Doğrulama

Uçak Modu Testi

En basit test: oluşturucu sayfasını yükleyin, ardından internetten tamamen bağlantınızı kesin. Uçak modunu etkinleştirin, Ethernet kablosunu çıkarın veya Wi-Fi'ı kapatın. Şimdi bir tohum ifadesi oluşturmayı deneyin. Araç ağ bağlantısı olmadan mükemmel çalışıyorsa, en azından üretim adımını yerel olarak gerçekleştiriyordur.

Ağ Trafiği İncelemesi

Oluşturucuyu kullanmadan önce tarayıcınızın Geliştirici Araçları'nı (F12 veya Cmd+Shift+I) açın ve Ağ sekmesine geçin. Mevcut girişleri temizleyin, ardından bir tohum ifadesi oluşturun. Oluştur düğmesine tıkladıktan sonra giden istekleri izleyin. Meşru bir istemci tarafı araç, üretim sırasında sıfır ağ isteği yapmalıdır.

Kaynak Kod İncelemesi

Açık kaynaklı oluşturucular, tarayıcınızda çalışan gerçek kodu incelemenize olanak tanır. Şunları kontrol edin:

  • Rastgele sayı üretiminin özel veya içe aktarılan bir fonksiyon yerine tarayıcının yerleşik Web Crypto API'sini kullanması
  • Oluşturulan verilerle fetch(), XMLHttpRequest veya WebSocket çağrıları yapılmaması
  • Güvenliği ihlal edilebilecek CDN'lerden harici betikler yüklenmemesi
  • Analitik veya izleme betiklerinin bulunmaması

Web Crypto API Standardı

Modern tarayıcılar, Web Crypto API adlı yerleşik bir kriptografik API içerir. Bu, tarayıcı tabanlı araçlarda entropi üretimi için altın standarttır.

Bir tohum ifadesi oluşturucusu crypto.getRandomValues() çağırdığında, işletim sisteminin kriptografik olarak güvenli sözde rastgele sayı üretecinden (CSPRNG) rastgelelik çeker. Çoğu sistemde bu, kesme zamanlaması, CPU termal gürültüsü ve özel donanım rastgele sayı üreteçleri dahil donanım entropi kaynaklarını birleştirir.

Bu önemlidir çünkü BIP39 tohum ifadenizin güvenliği sonuçta onu oluşturmak için kullanılan entropinin güvenliğidir. 128 bitlik bir tohum ifadesi (12 kelime) 128 bit gerçek rastgelelik gerektirir. Bir araç crypto.getRandomValues() yerine Math.random() kullanıyorsa, entropi havuzu dramatik ölçüde küçülür ve ortaya çıkan tohum ifadeleri kaba kuvvetle kırılabilir. Kriptoda Entropi Ne Anlama Gelir yazısına bakın.

SafeSeed'in Mimarisi

SafeSeed, baştan sona istemci tarafı araç olarak tasarlanmıştır. Entropi üretiminden tohum ifadesi türetmesine, özel anahtar hesaplamasına kadar her kriptografik işlem tamamen tarayıcınızda yürütülür.

Entropi üretimi yalnızca Web Crypto API kullanır. Bitcoin Tohum İfadesi Oluşturucusu veya Ethereum Tohum İfadesi Oluşturucusu kullandığınızda, rastgelelik crypto.getRandomValues() aracılığıyla işletim sisteminizin CSPRNG'sinden gelir.

Anahtar üretimi sırasında sunucu iletişimi yoktur. SafeSeed üretim, görüntüleme veya türetme sırasında sıfır ağ isteği yapar.

Açık kaynak ve denetlenebilir kod, SafeSeed'in iddialarına güvenmeniz gerekmediği anlamına gelir. Kaynak kodu herkes tarafından incelenmek üzere kamuya açıktır.

Kriptografik işlemler için harici bağımlılık yoktur. BIP39 türetmesi, anahtar üretimi ve adres hesaplaması doğrudan sayfa ile paketlenmiş kod kullanır.

Değerlendirme Kontrol Listeniz

Herhangi bir çevrimiçi tohum ifadesi oluşturucusu kullanmadan önce bu listeyi gözden geçirin.

Zorunlu Özellikler

  1. İstemci tarafı yürütme: Araç, ilk sayfa yüklemesinden sonra internet bağlantısı olmadan çalışmalıdır. Bunu uçak moduyla kendiniz test edin.
  2. Web Crypto API kullanımı: Kaynak kod, entropi için crypto.getRandomValues() kullanmalıdır.
  3. Üretim sırasında ağ isteği yok: Tarayıcının Ağ sekmesini açın ve sıfır giden istek olduğunu onaylayın.
  4. Açık kaynak kod: Tam kaynak kodu denetim için kamuya açık olmalıdır.
  5. Analitik veya izleme betikleri yok: Üçüncü taraf betikler, görüntülenen tohum ifadeniz dahil ekran verilerini yakalayabilir.

Güçlü Kalite Göstergeleri

  • Sağlama toplamı doğrulamalı BIP39 uyumluluğu: Araç, geçerli sağlama toplamı ile ifadeler oluşturmalıdır. BIP39 Rehberi detaylar için bakın.
  • Deterministik türetme: Aynı tohum ifadesinde araç her zaman aynı anahtarları ve adresleri türetmelidir.
  • Standart türetme yolları desteği: HD cüzdan türetmesi BIP44 standartlarını izlemelidir. HD Cüzdanlar ve Türetme Yolları yazısında daha fazla bilgi edinin.
  • Güvenlik modelinin açık belgelenmesi: Araç neyin nerede çalıştığını ve cihazınızdan hangi verilerin çıktığını açıklamalıdır.

Kırmızı Bayraklar

  • Tohum ifadesi oluşturmadan önce hesap oluşturma veya e-posta girişi gerektirmesi
  • Oluşturma sayfasında sosyal medya paylaşım düğmeleri içermesi
  • Birden fazla harici alan adından betik yüklemesi
  • Web Crypto API yerine özel rastgele sayı üretimi kullanması
  • İnceleme için kaynak kodu sağlamaması
  • Tohum ifadesi oluşturma sırasında ağ istekleri yapması
  • Tohum ifadenizi sunucularında saklamayı veya "yedeklemeyi" istemesi

Güvenli bir çevrimiçi oluşturucu ile tehlikeli biri arasındaki fark mimaridir, yüzeysel değil. Güzel bir arayüz, kod eve telefon ediyorsa hiçbir şey ifade etmez. Çirkin bir araç, tamamen tarayıcınızda uygun entropi ile çalışıyorsa mükemmel güvenli olabilir.

Tohum ifadeleri ve özel anahtarlar arasındaki ilişki hakkında ek bilgi için Tohum İfadesi vs Özel Anahtar yazısına bakın. Güvenli anahtar oluşturmaya hazırsanız, SafeSeed'deki Bitcoin Tohum İfadesi Oluşturucusu ve Ethereum Özel Anahtar Oluşturucusu bu makalede açıklanan ilkeler üzerine inşa edilmiştir.