Все записи

7 мин чтения

Режим публичного компьютера: работа с CardanoWall на чужом устройстве

Режим публичного компьютера не даёт CardanoWall записывать данные идентичности в браузер, поэтому на общем устройстве не остаётся следов после того, как вы уходите. Он не делает скомпрометированную машину безопасной, пока вы остаётесь в сеансе.

CardanoWall можно использовать на одолженном или общем компьютере, и режим публичного компьютера делает это безопаснее — но только в одном конкретном смысле. Этот режим не позволяет приложению записывать в браузер что-либо, связанное с идентичностью, поэтому после того, как вы уйдёте, на машине не останется никаких данных о вашем сеансе. Чего он сделать не может — это защитить вас, пока вы ещё в сеансе. Если устройство скомпрометировано, режим публичного компьютера этого не меняет.

Так что правило простое: считайте общий компьютер источником повышенного риска, включайте режим публичного компьютера и никогда не вставляйте ценный сид в устройство, которое вам не подконтрольно.

Что такое режим публичного компьютера?

Это браузерный режим, который действует только в рамках одного сеанса и сводит к минимуму то, что сохраняется на устройстве; его можно включить при разблокировке или при создании идентичности.

Когда устройство вам не принадлежит, вы не хотите, чтобы CardanoWall оставлял следующему человеку состояние, связанное с идентичностью. Режим публичного компьютера — это явный переключатель для этого. Он создан для таких ситуаций:

  • компьютер в библиотеке или в бизнес-центре отеля;
  • машина в коворкинге или на конференции;
  • общая рабочая станция в редакции;
  • одолженный ноутбук;
  • устройство под управлением организации, которой вы не вполне доверяете.

Сам переключатель намеренно нигде не сохраняется. Запоминание факта «я на публичном компьютере» означало бы запись в браузерное хранилище — ровно то, чего этот режим и призван избежать, — а перезагрузка на общей машине всегда должна возвращать к безопасному значению по умолчанию и спрашивать снова.

Что меняет режим публичного компьютера?

Он отключает все записи в браузерное хранилище, связанные с идентичностью.

На устройстве, которым вы владеете и которому доверяете, CardanoWall кеширует некоторые несекретные служебные данные, чтобы будущие сеансы проходили более гладко. Он может хранить в браузере копию вашего зашифрованного хранилища, чтобы для перезагрузки требовалось лишь одно касание passkey, а не сетевой запрос, и может хранить несекретные служебные метаданные во время онбординга, чтобы случайная перезагрузка не нарушила процесс. Важно: копия хранилища в браузере — это тот же шифротекст, что хранится на сервере: зашифрованный по схеме age и открываемый только вашими passkey, а не копия вашего сида в открытом виде.

В режиме публичного компьютера все эти пути подавляются: ни запоминаемого кеша хранилища, ни ярлыка локальной разблокировки, ни закрепления версии, ни зеркала метаданных онбординга. Контроль стоит на каждой точке записи в хранилище, поэтому ни одна часть приложения не может случайно записать то, что режим должен оставить незаписанным.

Остаётся состояние разблокировки в памяти. Пока вы в сеансе, ваш сид и производные от него ключи живут только в памяти сеанса. Они переживают навигацию внутри приложения на всё время жизни вкладки; блокировка или выход из аккаунта стирают их по мере возможности, а закрытие вкладки или перезагрузка полностью разрушают страницу. Весь смысл в том, чтобы ничего не оставить. Более полную картину того, что браузер хранит, а что нет, смотрите в материале что CardanoWall хранит в браузере.

Чего режим публичного компьютера не меняет?

Он не делает недоверенный компьютер доверенным.

Это самая важная часть. Вредоносный скрипт в вашем активном сеансе — из враждебного расширения браузера, из сохранённой уязвимости межсайтового скриптинга на странице, из кейлоггера или из программы удалённого доступа — может прочитать то, что вы вводите, и то, что приложение держит в памяти, пока идентичность разблокирована. Сюда входит ваш Identity Seed, если вы его вставите, и ваши приватные ключи, пока идентичность активна.

CardanoWall снижает этот риск строгой политикой безопасности контента, минимумом скриптов и правилом, по которому разблокировка и расшифровка происходят только по вашему явному действию — никогда автоматически. Эти меры уменьшают вероятность, но не способны устранить злоумышленника, который уже выполняет код в вашем сеансе. Это неотъемлемое ограничение любой криптографии, доставляемой через браузер, а не специфический недостаток CardanoWall. Режим публичного компьютера уменьшает то, что остаётся после вас; он не побеждает активную компрометацию.

Стоит ли вставлять Identity Seed на публичном компьютере?

Только если связанный с этим риск раскрытия для вас приемлем, а для ценной идентичности честный ответ — нет.

Identity Seed — это корень вашей идентичности Label 309. Тот, кто его перехватит, сможет подписываться от вашего имени и расшифровывать каждую запечатанную запись, адресованную этой идентичности, как прошлую, так и будущую. Поэтому ввод сида в устройство, которое вам не подконтрольно, — это серьёзное решение, а не рутинное.

Для малоценной идентичности или подлинно экстренного доступа вы, возможно, согласитесь на такой риск ради короткого сеанса. Для всего, что имеет значение, используйте собственное доверенное устройство. Режим публичного компьютера лучше обычного режима на общей машине, но он никак не устраняет главную опасность — ввод секрета в компьютер, которым вы не владеете.

А что насчёт passkey на общем устройстве?

Зависит от того, доступен ли passkey на этом устройстве, — и даже тогда риск устройства не исчезает.

Если ваш синхронизированный passkey попадает на устройство через вашу собственную учётную запись провайдера passkey, вы, возможно, сможете разблокироваться вообще без вставки сида, что снимает риск, связанный с его вводом. Это реальное улучшение. Но разблокированный сеанс по-прежнему держит ваши производные приватные ключи в памяти, а устройство по-прежнему может быть недоверенным. Враждебное локальное окружение может просто нацелиться на активный сеанс вместо сида, который вы так и не ввели.

Синхронизированные passkey к тому же наследуют модель безопасности и восстановления того, кто их предоставляет, тогда как у аппаратного ключа другие компромиссы; этот выбор разбирается в материале синхронизированные passkey против аппаратных ключей. В любом случае для чувствительных идентичностей выполняйте разблокировку только на подконтрольном вам устройстве. Подробнее о том, как passkey защищают хранилище: как passkey защищают хранилище идентичности.

Когда режим публичного компьютера действительно полезен?

Он наиболее полезен для низкорисковых задач, где цель — просто не оставить после себя ничего лишнего.

Хорошо подходят, например:

  • открытие и проверка ссылки на подтверждение;
  • просмотр публичных метаданных подтверждения в блокчейне;
  • локальная проверка хеша нечувствительного файла;
  • чтение нечувствительной информации об аккаунте;
  • короткий сеанс с намеренно низкорисковой идентичностью;
  • экстренный доступ, когда доверенного устройства нет под рукой.

Он плохо подходит для всего, что раскрывает секреты или вносит долговременные изменения:

  • раскрытие Identity Seed;
  • расшифровка чувствительных запечатанных записей;
  • подписание важных записей;
  • управление общими или командными идентичностями;
  • добавление passkey;
  • изменение настроек восстановления или безопасности.

Что сделать перед тем, как покинуть общий компьютер?

Осознанно завершите сеанс, а не просто закройте крышку.

Прежде чем уйти:

  • заблокируйте идентичность;
  • выйдите из аккаунта;
  • закройте вкладку и окно браузера;
  • не скачивайте расшифрованные файлы, а те, что всё же создали, — удалите;
  • очистите буфер обмена, если копировали в него секрет;
  • не позволяйте браузеру сохранять на устройстве пароли или passkey.

Приватное окно (режим инкогнито) — полезный дополнительный слой, потому что при закрытии оно отбрасывает собственное хранилище, но не принимайте его за барьер безопасности против вредоносного ПО — таким барьером оно не является.

Что делать, если я уже воспользовался рискованным устройством?

Решите, мог ли ваш сид быть раскрыт, и реагируйте именно на это, а не на смутное беспокойство.

Если вы лишь просматривали публичные записи, делать обычно почти нечего. Но если вы разблокировали идентичность, вставили или раскрыли сид либо расшифровывали чувствительные файлы на устройстве, за которое не можете поручиться, отнеситесь к этой возможности серьёзно.

Если вы не можете исключить раскрытие сида, считайте идентичность скомпрометированной. Для утёкшего сида нет сброса — ответ в том, чтобы перейти на новый:

  • создайте новую идентичность;
  • опубликуйте и передайте новые открытые ключи по отдельному каналу;
  • деактивируйте старую идентичность в CardanoWall;
  • прекратите использовать старые адреса получателя;
  • где это помогает, опубликуйте замещающую запись, указывающую на новую идентичность.

Обратите внимание на асимметрию: удаление passkey перешифровывает ваше хранилище под оставшиеся факторы и удаляет старый шифротекст, поэтому удалённый passkey больше не может открыть текущее хранилище — но это помогает лишь в том случае, если сам сид никогда не был раскрыт. Утёкший сид — это полная компрометация, и удаление passkey её не отменяет. Механика вывода идентичности из обращения разобрана в материале активные, деактивированные и удалённые идентичности.

Коротко

Режим публичного компьютера хорошо делает одну работу: он не даёт CardanoWall оставлять в браузере состояние, связанное с идентичностью, на устройстве, которым вы не владеете. Включайте его для общих компьютеров. Не принимайте его за защиту от машины, которая уже скомпрометирована.

Если идентичность важна, используйте устройство, которому доверяете. И самый безопасный сеанс на общем компьютере — это всё же тот, в котором вы никогда не вставляете свой сид и никогда не разблокируете ценную идентичность. О более широком вопросе того, что сервис может и чего не может видеть, читайте в материале что видит CardanoWall.

Что почитать дальше

securitybrowser-securitycardanowall-guides