Ledger update: is deze hardware wallet nog wel veilig?

Een nieuwe update van Ledger wakkert zorgen aan over de veiligheid van de hardware wallet. De update bevat 'Ledger Recover', een nieuwe functie om een back-up van een wallet bij derde partijen op te slaan. Een hardware wallet is er echter juist voor om te zorgen dat alléén de eigenaar de beschikking heeft over de private keys. Veel mensen vragen zich nu af of Ledger hardware wallets wel zo veilig zijn als ze dachten.

Ledger kondigde de nieuwe dienst 'Ledger Recover' aan in de patchnotes van versie 2.2.1. Het wordt omschreven als een 'ID-gebaseerde sleutel herstelservice die een back-up biedt voor je geheime seed phrase'.

CTO Charles Guillemet lichtte de dienst als volgt toe via een video: "Ledger Recover is een optioneel abonnement voor gebruikers die een back-up willen van hun geheime seed phrase, zodat ze de toegang tot hun wallet kunnen herstellen, wanneer of waar ze maar willen, zelfs als ze hun Ledger Nano hebben verloren of stukgemaakt en ze de papieren back-up van de seed phrase niet meer hebben." 

Ledger Recover is een betaalde dienst, die $9,99 per maand kost. De private keys van de wallet worden daarbij via Shamir's Secret Sharing Scheme opgedeeld in drie versleutelde delen, die worden verdeeld onder drie bedrijven: Ledger, Coincover en EscrowTech. De laatste twee richten zich op beheer- en bewaardiensten. 

Om de wallet te herstellen zijn twee van de drie delen van de back-up nodig. Gebruikers van de dienst die hun seed phrase verliezen, of als het apparaatje stuk gaat, kunnen via een identiteitscontrole de back-up opvragen om daarmee de toegang tot hun wallet(s) te herstellen. Ledger Recover werkt vooralsnog alleen in combinatie met de Ledger Nano X.

Veiligheidsrisico's

Veel mensen zijn bezorgd over de mogelijke implicaties. De veiligheid van een Bitcoinwallet berust er immers op dat alléén de eigenaar van de wallet beschikt over de private keys die toegang verschaffen tot de wallet. Op die manier heb je de Bitcoinwallet in eigen beheer en de volledige zeggenschap, oftewel self-custody.

Een hardware wallet helpt daarbij, omdat het de seed gescheiden houdt van computers en het internet. Je kan ermee veilig transacties ondertekenen zonder dat de private keys of seed phrase private keys of seed phrase Een wallet is een verzameling van Bitcoinadressen waarvan de wallet de private keys heeft. Een seed phrase is een moderne manier voor wallets om een praktisch oneindig aantal private keys voor Bitcoinadressen te genereren. De meeste wallets werken tegenwoordig op basis van seed phrases, maar onder de motorkap worden daarbij nog altijd private keys gebruikt. 'uitlekken'.

Bij Ledger Recover wordt de wallet versleuteld met Shamir's Secret Sharing Scheme, waardoor er drie nieuwe sleutels ontstaan. De gebruiker geeft daarvoor toestemming door met het apparaatje te ondertekenen. De drie sleutels komen vervolgens bij de drie dienstverleners terecht.

Met één sleutel is de wallet niet te ontsleutelen, maar met twee delen wel. Dat kan met iedere Ledger Nano - niet alleen die van de eigenaar. Dat is een pijnpunt: een hardware wallet zou moeten voorkomen dat de private keys uberhaupt buitgemaakt kunnen worden, maar blijkbaar kan dat bij Ledger met een omweg wel.

Het zou ook een aanzienlijk tegenpartij-risico impliceren. In theorie zouden dienstverleners kunnen samenspannen om twee van de drie delen te combineren, of ze kunnen ze verliezen als gevolg van een fout of hack. Mogelijk kunnen ook autoriteiten toegang tot de wallet opeisen. Wie de back-up bezit, heeft in essentie immers de volledige controle.

Gebruikers van Ledger Recovery zouden ermee veel veiligheid en soevereiniteit verruilen voor traditionele risico's en afhankelijkheden.

Persoonlijk risico

Daarnaast is het koppelen van Bitcoinwallets aan identiteiten een groot risico. Klanten van Ledger Recover moeten zich identificeren met behulp van identiteitsdocumenten en die documenten komen bij de betrokken dienstverleners terecht.

Bij een eventuele hack kunnen die gegevens echter worden buitgemaakt: een lijst met Bitcoinwallets, de persoonlijke namen van de eigenaren, hun paspoortgegevens en mogelijk zelfs hun adres. Daardoor ontstaat de zorgwekkende mogelijkheid dat klanten persoonlijk doelwit kunnen worden.

Het helpt ook niet dat Ledger in het verleden al eens eerder persoonlijke informatie van klanten verloor als gevolg van een hack.

Geen paniek

De update is desondanks waarschijnlijk geen reden voor paniek. Volgens Ledger is de dienst optioneel en is voor de activatie ondertekening van de gebruiker nodig. En hoewel Ledger eerder in opspraak is geweest vanwege het lekken van klantgegevens, zijn de hardware wallets tot nu toe veilig gebleken. Het lijkt ook onwaarschijnlijk en haaks op het verdienmodel dat Ledger zonder toestemming de private keys of afgeleiden daarvan zou opslaan of delen.

Toch weet je het bij Ledger nooit écht zeker. Aangezien de software en hardware niet open source zijn, weet niemand behalve Ledger wat er daadwerkelijk gebeurt. Dat is niets nieuws en altijd al zo geweest, maar het betekent wel dat je erop moet vertrouwen dat Ledger een eerlijk bedrijf is dat betrouwbare producten verkoopt. Helemáál vertrouwensloos is het gebruik van een Ledger dus sowieso niet.

Het hangt er vanaf of je Ledger Recover en de dienstverleners voldoende vertrouwt: dat ze er geen misbruik van maken, maar vooral ook dat ze niet gehackt worden. Vanwege de enorme potentiële buit zijn dienstverleners en tussenpartijen (zoals o.a. exchanges) in de praktijk namelijk doorlopend doelwit van hackers en het hoeft maar één keer mis te gaan. Dat één van de gevaren van centralisatie.

Het is in die zin nog maar de vraag of Ledger Recover de veiligheid wel verbetert en niet juist verslechtert. Eén van de grote innovaties van Bitcoin is immers dat gebruikers niet afhankelijk hoeven te zijn van dienstverleners, waardoor veel risico's worden uitgesloten. Met de herintroductie van derde partijen keren risico's terug en worden veel voordelen tenietgedaan.

Voor wie?

Als je de volledige controle wil over je wallet en zo min mogelijk afhankelijkheden, kan je de dienst misschien maar beter aan je voorbij laten gaan. Bij self-custody raden wij aan om zelf twee back-ups zorgvuldig te bewaren op verschillende plekken, zodat je in geval van nood een tweede hebt om op terug te vallen.

Ledger Recover is mogelijk wel interessant voor mensen die hun bitcoin op dit moment nog op een exchange bewaren, omdat ze de eigen verantwoordelijkheid van self-custody intimiderend vinden. Hoewel Ledger Recover veel minder vertrouwensloos is als volledige self-custody, is het waarschijnlijk wel een kleine verbetering ten opzichte van het bewaren van bitcoins op een exchange. Of dat het maandtarief rechtvaardigt blijft natuurlijk een individuele keuze.


Er zijn ook hardware wallets die wel open source zijn: ColdCard, Blockstream Jade, Bitbox en Trezor


Belangrijke thema’s in dit artikel. Klik op een thema en ontdek meer.