Когда люди сравнивают криптокошельки, разговор часто сводится к выбору программный кошелёк против аппаратного. Один живёт на устройстве, которое у вас уже есть, — на телефоне или ноутбуке. Другой — небольшое выделенное устройство, которое вы покупаете и подключаете. Оба могут хранить вашу криптовалюту в безопасности, и оба могут вас подвести. Честный ответ на вопрос «какой лучше» в том, что они отвечают на разные вопросы.
Это руководство объясняет, чем на самом деле является каждый тип, в чём он силён, где слаб и как сделать выбор. Оно написано для совсем новичков, поэтому каждый термин определяется по мере появления.
Сначала — что на самом деле хранит кошелёк
Прежде чем сравнивать эти два варианта, полезно вспомнить, чем на самом деле является криптокошелёк. Кошелёк не хранит монеты. Ваши монеты живут в блокчейне — общем публичном реестре. Кошелёк хранит ваш приватный ключ: секретное число, которое доказывает, что эти монеты принадлежат вам, и позволяет вам авторизовать, то есть подписывать, транзакции. Если эта идея для вас нова, наше объяснение, что такое криптокошелёк, разбирает всё с самого начала.
Так что «программный» и «аппаратный» — это не два вида денег. Это два ответа на один вопрос: где живёт приватный ключ и что должно произойти, чтобы он подписал?
Что такое программный кошелёк?
Программный кошелёк — это кошелёк, чьи приватные ключи хранятся и используются обычной программой на устройстве общего назначения. Программой может быть мобильное приложение, настольное приложение или расширение браузера. Ключи защищены собственной безопасностью вашего устройства — его операционной системой, его областью защищённого хранения и блокировкой экрана или паролем.
В чём программные кошельки хороши:
- Они бесплатны. Вы загружаете приложение; покупать ничего не нужно.
- Они всегда под рукой. Кошелёк находится на устройстве, которое вы и так носите с собой, поэтому отправка или получение занимают секунды.
- С них легко начать. Настройка — это несколько касаний, что делает их обычной точкой входа для новичков.
- Они легко подключаются к сайтам и приложениям, потому что устройство уже в сети.
Этот компромисс коренится в одном факте: приватный ключ используется на подключённом к интернету устройстве общего назначения — том же устройстве, на котором работают ваш браузер, ваша почта и десятки других приложений. Весь набор способов, которыми что-то может пойти не так, называется поверхностью атаки, и на устройстве общего назначения эта поверхность велика. Вредоносное ПО, фишинговая страница, вредоносное расширение браузера или неудачное обновление приложения — всё это в принципе может добраться до ключа, обрабатываемого там. Безопасность программных кошельков реальна и улучшается, но это безопасность устройства, делающего множество дел одновременно.
Что такое аппаратный кошелёк?
Аппаратный кошелёк — это небольшое выделенное устройство, единственная задача которого — хранить приватные ключи и подписывать транзакции. Ключ генерируется внутри устройства и по своей конструкции никогда его не покидает. Когда вы хотите отправить криптовалюту, детали транзакции передаются аппаратному кошельку, вы подтверждаете их на его собственном экране и кнопках, и устройство возвращает подписанную транзакцию — но никогда сам ключ.
Производители описывают это прямо. Официальная документация Ledger объясняет, что аппаратный кошелёк держит ваши приватные ключи "защищёнными и офлайн" внутри устройства, а документация Trezor аналогично утверждает, что секрет никогда не покидает устройство. Если процитировать нейтрально, оба производителя делают одно и то же архитектурное утверждение: ключ подписывает, но не путешествует.
В чём аппаратные кошельки хороши:
- Изоляция ключа. Поскольку ключ живёт на устройстве, на котором не работают ваш браузер или почта, у удалённого вредоносного ПО нет прямого пути к нему.
- Доверенный экран. Вы подтверждаете реальный адрес назначения и сумму на собственном дисплее устройства, что вредоносному ПО на вашем компьютере подделать сложнее.
- Сильный вариант для сбережений. Для средств, которые вы редко перемещаете, такая изоляция — настоящее, значимое улучшение.
Плюсы и минусы аппаратного кошелька
Перечисленные выше плюсы реальны. Минусы стоит изложить так же прямо, потому что новичок, спрашивающий «нужен ли мне аппаратный кошелёк», заслуживает полной картины:
- Стоимость. Аппаратный кошелёк — это покупка, обычно за десятки долларов или больше.
- Трение. Перемещение средств означает найти устройство, подключить его и подтвердить на маленьком экране. Для повседневных трат это морока; для долгосрочных сбережений это преимущество.
- Доверие к цепочке поставок. Вы доверяете тому, что устройство пришло без изменений. Авторитетные производители решают это запечатанной упаковкой и проверками целостности на самом устройстве, а стандартный совет — покупать напрямую у производителя, — но допущение о доверии всё равно существует.
- Это всё ещё одно устройство. Аппаратный кошелёк превосходно защищает ключ от удалённой атаки. Сам по себе он не защищает от потери устройства без резервной копии, от физической кражи или от того, что вас обманом заставят одобрить вредоносную транзакцию собственными руками.
Честное сравнение
Ни один тип не является просто «лучше». Бок о бок:
| Программный кошелёк | Аппаратный кошелёк | |
|---|---|---|
| Где живёт ключ | На онлайн-устройстве общего назначения | На офлайн выделенном устройстве |
| Стоимость | Бесплатно | Устройство, которое вы покупаете |
| Лучше всего для | Траты, торговля, повседневное использование | Долгосрочные сбережения |
| Главная сила | Удобство и мгновенный доступ | Изоляция ключа от удалённых атак |
| Главная слабость | Большая онлайн-поверхность атаки | Стоимость, трение, доверие к цепочке поставок |
| Экран подтверждения | Экран вашего телефона или компьютера | Собственный доверенный экран устройства |
Если такая постановка напоминает вам разделение на горячее и холодное, это не случайно. Программный кошелёк обычно является горячим кошельком, а аппаратный кошелёк обычно используется как холодное хранилище. Наше руководство горячий кошелёк против холодного разбирает эту перекрывающуюся идею и то, почему бинарность слишком упрощает картину.
Нужен ли мне аппаратный кошелёк?
Практический способ рассуждать об этом, не вставая на одну из сторон:
- Подбирайте инструмент под сумму. Небольшие, активно используемые средства могут лежать в удобном программном кошельке. Крупные, редко перемещаемые активы выигрывают от изоляции, которую обеспечивает аппаратный кошелёк.
- Посчитайте свои единые точки отказа. Спросите, сколько независимых вещей злоумышленнику пришлось бы скомпрометировать, чтобы переместить ваши средства. Обычный программный кошелёк — один ключ на одном устройстве — отвечает «одну». То же делает и одинокий аппаратный кошелёк, если его единственный ключ — единственное необходимое одобрение.
- Будьте честны насчёт трения. Самая безопасная конфигурация — та, которой вы действительно будете правильно пользоваться. Аппаратный кошелёк, который кажется вам слишком неудобным для безопасного использования, вас не защищает.
Более глубокая мысль под всеми тремя пунктами: настоящая слабость обычного программного кошелька не в том, что он «программный». А в том, что один секрет на одном устройстве — это всё, что стоит между злоумышленником и вашими монетами. Один аппаратный кошелёк сужает вид атаки, способной добраться до этого секрета, но это всё ещё одно одобрение.
Где находится SSP: и то, и другое, в некотором роде
Именно этот пробел SSP создан закрыть. SSP — это кошелёк 2-of-2 multisig. Multisig означает, что для авторизации транзакции требуется больше одного ключа; 2-of-2 означает, что ключей ровно два и оба должны одобрить каждую транзакцию. (Наше более глубокое объяснение полностью разбирает, что такое 2-of-2 multisig.)
SSP распределяет эти два ключа между двумя разными вещами:
- Программный ключ в браузерном расширении SSP — удобная, всегда доступная половина.
- Отдельное подписывающее устройство: SSP Key, приложение на вашем телефоне, которое выступает выделенным подписантом.
Это делает SSP «и тем, и другим, в некотором роде». У него есть удобство программного кошелька, потому что повседневное использование происходит в браузерном расширении. Но он заимствует ключевую идею аппаратного кошелька — отдельное устройство, которое должно независимо одобрить транзакцию. Ни одно устройство в одиночку не может переместить средства. Злоумышленник, полностью скомпрометировавший браузерное расширение, всё равно не сможет отправить вашу криптовалюту, потому что SSP Key на вашем телефоне не подписал. А потеря одного устройства не оставит ваши средства недоступными, потому что схема восстановления SSP это учитывает.
SSP не претендует на роль аппаратного кошелька и не заменяет его тому, кто хочет выделенное устройство с защищённым чипом для глубокого холодного хранения. Что он делает — так это устраняет слабость единой точки отказа, которую разделяют и обычный программный кошелёк, и одинокий аппаратный кошелёк, — не прося новичка покупать дополнительное оборудование. Чтобы ближе рассмотреть половину с браузерным расширением и то, как она укреплена, см. наше сопутствующее руководство о кошельках-расширениях браузера.
Итог
Программный кошелёк бесплатен, мгновенен и удобен, но его ключ используется на загруженном, подключённом к интернету устройстве. Аппаратный кошелёк изолирует ключ на выделенном устройстве ценой денег, трения и допущения о доверии к цепочке поставок. Оба варианта законны, и многие используют оба. Но самый полезный вопрос не «программный или аппаратный?» — а «сколько независимых одобрений пришлось бы преодолеть злоумышленнику?». Обычный программный кошелёк и одинокий аппаратный кошелёк оба отвечают «одно». 2-of-2 multisig от SSP отвечает «два», на двух отдельных устройствах — и именно так он сохраняет удобство программного кошелька, заимствуя лучшую идею аппаратного.