Kripto dünyasında biraz zaman geçirdiyseniz, insanların "sıcak cüzdanlar" ve "soğuk cüzdanlar" hakkında sanki tamamen farklı iki şeymiş gibi konuştuğunu duymuşsunuzdur. Bunlar farklı ürünler değil, daha çok bir cüzdanın bulunabileceği iki farklı durumdur. Bu farkı — ve bu farkın nerede geçerliliğini yitirdiğini — anlamak, kriptonuzu güvende tutmanın ilk adımlarından biridir.
Bu rehber her terimin ne anlama geldiğini sade bir dille açıklar, ödünleşimleri ele alır ve sıcak-soğuk şeklindeki net ayrımın neden tam resimden çok bir başlangıç noktası olduğunu gösterir.
Bir cüzdan aslında neyi tutar
Sıcak ve soğuğu karşılaştırmadan önce, bir kripto cüzdanının gerçekte ne olduğunu hatırlamak yardımcı olur. Bir cüzdan coin tutmaz. Coinleriniz blok zincirinde yaşar — paylaşılan, herkese açık bir defterde. Cüzdanın tuttuğu şey özel anahtarınızdır: bu coinlerin size ait olduğunu kanıtlayan ve işlemleri yetkilendirmenizi sağlayan gizli bir sayı. Bu konu kafanızda net değilse, kripto cüzdanının ne olduğu hakkındaki yazımız konuyu ayrıntılı işliyor.
Önemli olan özel anahtar olduğu için, "sıcak" ve "soğuk" aslında bu anahtarın nerede bulunduğunu ve bir saldırganın ona internet üzerinden erişip erişemeyeceğini tanımlar.
Sıcak cüzdan nedir
Sıcak cüzdan, özel anahtarları internete bağlı bir cihazda saklanan cüzdandır. "Sıcak" sözcüğü yalnızca "çevrimiçi ve kullanıma hazır" anlamına gelir.
Sıcak cüzdanlar şunları içerir:
- Telefonunuzdaki mobil cüzdan uygulamaları
- Tarayıcı uzantısı cüzdanları
- Masaüstü cüzdan yazılımları
- Bir borsa veya web sitesi tarafından barındırılan cüzdanlar
Tanımlayıcı özelliği kolaylıktır. Anahtarlar bağlı bir cihazda olduğu için, saniyeler içinde işlem gönderebilir, bakiyeleri her yerden kontrol edebilir ve fazladan adım olmadan uygulamalara bağlanabilirsiniz. Kısacası sıcak cüzdan anlamı: hız ve günlük erişim.
Bu kolaylığın bedeli saldırı yüzeyidir — bir şeyin ters gidebileceği yolların tümü. İnternete dokunan bir cihaza kötü amaçlı yazılım, kimlik avı sayfaları, kötü amaçlı tarayıcı uzantıları veya ele geçirilmiş bir uygulama güncellemesi ulaşabilir. Bu tehditlerin hiçbiri hiç çevrimiçi olmamış bir anahtara dokunamaz. Sıcak cüzdanda anahtar çevrimiçidir, bu yüzden bu tehditler en azından mümkündür.
Soğuk cüzdan nedir
Soğuk cüzdan, özel anahtarları internete bağlı olmayan bir cihazda tutar. Bu yaklaşıma çoğu zaman soğuk depolama denir. Anahtar ağa bağlı bir makineye hiç dokunmadığı için, uzaktaki bir saldırganın ona doğrudan bir yolu yoktur.
Yaygın soğuk depolama biçimleri şunları içerir:
- Donanım cüzdanları — anahtarları güvenli bir çipte tutan ve işlemleri kendi içinde imzalayan küçük, özel cihazlar
- Kâğıt veya metal yedekler — yazılıp fiziksel olarak saklanan bir tohum ifadesi
- Hava boşluklu bilgisayar — herhangi bir ağdan bilinçli olarak uzak tutulan bir makine
Burada makul bir soru var: donanım cüzdanı soğuk depolama mıdır? Evet. Bir donanım cüzdanı özel anahtarı cihazın içinde tutar ve yalnızca imzalanmış bir işlemi dışa aktarır, asla anahtarın kendisini değil. Bir ödemeyi yayımlamak için onu çevrimiçi bir bilgisayara taktığınızda bile sır çipte kalır. Soğuk depolamanın özü budur: anahtar imzalar ama dışarı çıkmaz.
Ödünleşim, sıcak cüzdanların tersi yöndedir. Soğuk depolama çevrimiçi saldırı yüzeyini büyük ölçüde küçültür ama sürtünme ekler. Para taşımak, bir cihazı almak, küçük bir ekranda onaylamak ve birkaç ek adımdan geçmek demektir. Neredeyse hiç dokunmadığınız birikimler için bu sürtünme bir avantajdır. Günlük harcamalar için bir zahmet olabilir.
Dürüst karşılaştırma
İki türden hiçbiri yalnızca "daha iyi" değildir. Farklı sorulara yanıt verirler.
| Sıcak cüzdan | Soğuk cüzdan | |
|---|---|---|
| Anahtarlar bulunur | Çevrimiçi bir cihazda | Çevrimdışı bir cihazda |
| En iyi kullanım | Harcama, alım satım, günlük kullanım | Uzun vadeli birikim |
| Ana gücü | Hız ve kolaylık | Daha küçük çevrimiçi saldırı yüzeyi |
| Ana zayıflığı | Daha büyük çevrimiçi saldırı yüzeyi | Günlük kullanımda sürtünme |
| Tipik örnekler | Mobil, uzantı, masaüstü uygulamalar | Donanım cüzdanı, metal yedek |
Yaygın olarak tekrarlanan bir öğüt, onları fiziksel hayatınızdaki para gibi düşünmektir: sıcak cüzdan günlük harcama için cebinizdeki nakit, soğuk cüzdan ise her gün açmadığınız tasarruf hesabıdır. Deneyimli birçok kullanıcı kabaca böyle hareket eder. Kendi anahtarlarınıza sahip olmanın neden önemli olduğuna daha derinden bakmak için öz saklamanın neden şimdi önemli olduğu yazısına bakın.
Soğuk depolamanın neyi koruyup neyi korumadığı konusunda net olmakta fayda var. Uzaktan yapılan saldırılara karşı gerçekten güçlüdür — kötü amaçlı yazılım ve kimlik avı, çevrimdışı bir anahtara ulaşamaz. Yedeği olmadan cihazı kaybetmeye, birinin onu fiziksel olarak çalmasına ya da kötü amaçlı bir işlemi kendi ellerinizle imzalamaya kandırılmanıza karşı korumaz. NIST'in soğuk depolama hakkındaki sözlük girişi gibi yetkili güvenlik kaynakları da konuyu aynı şekilde ortaya koyar: çevrimdışı depolama ağ maruziyetini azaltır, her risk biçimini değil.
Sıcak-soğuk ikiliği neden fazla basitleştirir
İşte yeni başlayan birine genellikle anlatılmayan ince ayrıntı: sıcak ve soğuk iki kutu değildir. Bunlar bir tayfın uçlarıdır ve gerçek dünyadaki düzeneklerin çoğu ortada bir yerde durur.
Birkaç örneğe bakalım:
- Donanım cüzdanı "soğuktur" ama imzalamak için onu çevrimiçi bir bilgisayara taktığınız anda, iş akışının bir kısmı sıcak bir cihazda gerçekleşir.
- Mobil uygulama "sıcaktır" ama modern bir telefon anahtarları, uzaktaki bir saldırganın kolayca okuyamayacağı, donanım destekli güvenli bir alanda tutar.
- Birçok kişi her ikisini birden kullanır — küçük tutarlar için sıcak cüzdan, birikimler için soğuk depolama — bu da genel düzeneklerinin ne tamamen sıcak ne de tamamen soğuk olduğu anlamına gelir.
İkilik ayrıca sıradan bir sıcak cüzdanın en büyük zayıflığını gizler: genellikle bir tek hata noktasıdır. Bir cihaz bir anahtar tutar, bu yüzden o cihaz ele geçirilirse para hareket edebilir. Cüzdana "sıcak" demek, asıl sorunu değil, belirtiyi tanımlar — asıl sorun, bir makinedeki bir sırrın bir saldırganla coinleriniz arasında duran tek şey olmasıdır.
SSP nereye oturur: farkı bölmek
SSP'nin kapatmak için kurulduğu boşluk tam da budur. SSP bir 2/2 çoklu imza cüzdanıdır. Tek bir cihazdaki tek bir özel anahtar yerine, iki ayrı cihazda tutulan iki anahtar kullanır — bir tarayıcı uzantısı ve bir mobil uygulama olan SSP Key — ve her işlemi ikisinin de onaylaması gerekir.
Bu tasarım, sıcak-soğuk konuşmasını somut bir biçimde değiştirir. Tarayıcı uzantısı yarısı çevrimiçi ve kullanışlıdır, bu yüzden günlük kullanım bir sıcak cüzdan gibi hissettirir. Ancak imzalamak için ayrı bir cihazda ikinci bir anahtar gerektiği için, çevrimiçi cüzdan tek bir hata noktası değildir. Tarayıcı uzantısını tamamen ele geçiren bir saldırgan yine de para taşıyamaz, çünkü telefonunuzdaki SSP Key işlemi onaylamamıştır. İmza yetkisi bölünmüştür.
Tayf terimleriyle, SSP bilinçli olarak ortada durur. Sıcak cüzdanları kullanımı keyifli kılan kolaylığı korurken, sıradan bir sıcak cüzdanı riskli yapan tek cihaz, tek anahtar zayıflığını ortadan kaldırır — üstelik sizden hava boşluklu bir makine yönetmenizi istemeden. Tek cihazlı seçeneklerle nasıl karşılaştırıldığını görmek için, yazılım cüzdanları ile donanım cüzdanları hakkındaki tamamlayıcı rehberimiz konuya daha derin iner.
Kendi düzeneğiniz hakkında nasıl düşünmeli
Bir taraf seçmek zorunda değilsiniz. Bunu mantıklı bir şekilde değerlendirmenin pratik bir yolu:
- Harcamayı birikimden ayırın. İşlem yaparken rahat hissedeceğiniz bir tutarı sıcak ve kullanışlı bir şeyde tutun. Uzun vadeli varlıkları daha küçük çevrimiçi saldırı yüzeyine sahip bir şeyde tutun.
- Tek hata noktalarınızı sayın. Bir saldırganın paranızı taşıyabilmek için kaç bağımsız şeyi ele geçirmesi gerektiğini sorun. Yanıt "bir" ise, cüzdan ister sıcak ister soğuk etiketli olsun, ele alınması gereken risk budur.
- Sürtünmeyi sıklıkla eşleştirin. Her gün dokunduğunuz para daha az sürtünmeye katlanabilir; neredeyse hiç dokunmadığınız para daha fazlasına katlanabilir. İmzayı iki cihaza bölen bir düzenek, tek bir anahtara çökmeden günlük kolaylık sağlar.
Sonuç
Sıcak cüzdan, kolaylık için anahtarları çevrimiçi tutar; soğuk cüzdan, daha küçük bir saldırı yüzeyi için anahtarları çevrimdışı tutar. İkisi de meşrudur ve birçok kişi her ikisini de kullanır. Ama sıcak-soğuk etiketi bir başlangıç noktasıdır, bir hüküm değil. Daha derin soru, bir saldırganın kaç bağımsız onayı aşması gerektiğidir. Sıradan bir sıcak cüzdan "bir" yanıtını verir. SSP'nin 2/2 çoklu imzası iki ayrı cihazda "iki" yanıtını verir — çevrimiçi bir cüzdanın kolaylığını, o çevrimiçi cüzdanı tek bir hata noktasına dönüştürmeden böyle korur.