【WEEKLY研究レポート016】ビットコイン・ハードウェアウォレットの安全性と、LedgerWallet /Trezor比較レビュー

レポート「アルトコイン図鑑」では30種類以上のコインを解説ビットコイン研究所

レポート「ビットコインの情報源決定版(26ページ)」を配信しました。レポート内容へ

初心者向け「使って勉強!ビットコイン」DMMオンラインサロン

先日も、かなり多くのビットコインをお持ちの方から、従来PCで管理していたところ、他の管理方法を模索しているとのことで、ハードウェアウォレットは安全ですか?と聞かれました。こたえは、Yesです。

現在のところ、ハードウェアウォレットを利用することが、ビットコインを安全に保持しつつ、利用のしやすさも両立する、ベストなやり方だと思います。

そこで、今回は、ハードウェアウォレットとは何かというのを復習しながら、代表的な2つの製品である、Trezorと、ledger walletについて、比較検討してみたいとおもいます。

なお、私も、昨年から、多くのビットコインをハードウェアウォレットに移しまして、そちらで管理することにしています。ビットコインの価格も上がって、シリアスな額を保持している方も増えていると思います。この記事を参考にハードウェアウォレットの導入を検討してみてください。

ハードウェアウォレットとは?

ビットコインを守るには、秘密鍵が漏洩しないようにするというのが絶対の法則です。もっとも安全なのは、ペーパーウォレットで、紙に印刷した秘密鍵を金庫などで保管することです。しかしながら、この方法は、そのビットコインを使ったり、移動させて整理したりといったことにはとても不便です。

そこで、秘密鍵の管理の安全性と、利用の利便性を兼ね備えたソリューションがハードウェアウォレットになります。

ハードウェアウォレットにおける鍵の管理

ハードウェアウォレットと、その他のウォレット(PCやモバイル)の決定的な違いは、秘密鍵の情報をどこに置くか?ということです。PCやモバイルの場合、秘密鍵は、ハードディスクや、スマホのメモリ領域に格納されています。  無題

 

御存知の通り、PCのハードディスクやスマホの領域は、守られていません。ハードディスクなどは、他のソフトも自由自在にアクセスできるからです。悪意あるソフトウェア(マルウェア)がこれにアクセスしようとすると、アクセス可能です。これにより、ビットコインが盗まれるということが起こりうるわけです。

ハードウェアウォレットの場合は、専用のハードウェアチップの中に秘密鍵を格納します。そして、外部からは、この領域にはアクセスできないようにします。つまり、物理的に(ハードウェア的に)秘密鍵を分離して保管することで、セキュリティ上のリスクを取り除いています。

trezor

※代表的なハードウェアウォレットのTrezor。USB接続して使う。

ハードウェアウォレットでの取引の方法

さて、ハードウェアウォレットでは、外部からアクセスできないチップに秘密鍵を格納していると書きましたが、これでは、ビットコインを使うことができないのでないか?という疑問がわきます。

ハードウェアウォレットでは、これを次のように解決しています。

まず、ビットコインの取引においては、秘密鍵そのものは直接必要ないということです。必要なのは、正しい秘密鍵で電子署名された取引データです。電子署名さえ正しければOKで、直接秘密鍵は必要ありません。

そこで、ハードウェアウォレットでは、ハードウェアウォレット内で電子署名をして、その署名だけを返します。

つまり、秘密鍵の保持と電子署名というコア部分と、アドレスの管理やユーザーインターフェイスといったUI部分を分離してしまい、前者を専用のチップにおさめ、後者はスマホやPCのソフトウェアで行うという、二段構えにしたのが、ハードウェアウォレットです。

詳しく知りたい方のために、概念図を示します。

無2題

まず、PCと、ハードウェア売れっとをUSBなどでつなぎます。PCなどのウォレットソフトウェア側で、取引を作成します。どのアドレスに何BTCおくるといったデータを作ります。このままでは、電子署名がないため有効ではないので、このデータをハードウェアウォレット側に送ります。受け取ったハードウェアウォレットは、このデータに、チップ内の秘密鍵を利用して電子署名をすることができます。(それ以外の操作はできなくなっています)。電子署名がされると、その署名を、PCのソフトウェア側に返信します。

ソフトウェア側は、このデータをビットコインのネットワークにブロードキャストします。取引は成立します。

この方法ですと、秘密鍵は、決して外部から直接アクセス出来ません。PCは、ハードウェアウォレット内の秘密鍵の領域にはアクセスできませんし、ハードウェアウォレットもインターネットの直接繋がることがありません。

このような仕組みを、オフライン署名といいます。つまり、インターネットに繋がっていない場所で、取引を作成して署名し、そのデータをインターネットにつながったコンピュータに移してから、それをブロードキャストするというものです。

ハードウェアウォレットから秘密鍵のデータを抜き取ることができるかどうか?これに関してセキュリティの専門家に意見をきいたところ、「Unlikely(不可能)」との見解でした。

ただし、ハードウェアウォレットを物理的に盗んで、そのチップを分解して、解析すれば可能ということ。つまり、物理的に盗まれないかぎり、オンラインで情報が漏洩することはないということでした。

ハードウェアウォレットのデメリットとは?

ハードウェアウォレットですが、いくつかデメリットがあります。まずは、その肝心のハードウェア自体に信頼性が乏しいことがあるということ。冗談のようですが、製造不良の物がかなりあるようです。また、数年にわたってデータをちゃんと保持できるかどうかも未知数です。

ですから、必ず、秘密鍵のマスタードシードを紙に書いて、つまりペーパーウォレットにしてバックアップしておく必要があります。またこれを行っていれば、ハードウェアウォレット自体の紛失や盗難にあっても、ビットコインはマスターシードから復活させることが可能です。

もう一つは、ハードウェアウォレット自体のバックドアです。ハードウェアウォレット製造業者自体が詐欺を働いている可能性があります。これに関しては、ハードウェアウォレットの制御ソフトウェアのコードを確認する方法があります。オープンソースとして公開しているウォレットを使えば、問題がないかどうか検証することができます。

代表的な製品は、TrezorとLedgerWallet

 

また前置きが長くなってしまいましたが、後半では代表的な製品をレビューしてみようと思います。ハードウェアウォレット自体は、幾つかの会社が製品を出しています。比較的多くの人に支持されているTrezor、価格が安く手頃なLedgerWallet、指紋認証とインターネット接続機能を有して単体で使えるCaseなどです。

無23題

今回は、最もメジャーとおもわれる、TrezorとLedgerWalletについて比較検討をしてみます。日本においても、ハードウェアウォレットといえば、このふたつのどちらかを使っている人が圧倒的に多いのではないかと思います。

先に結論を言ってしまうと、2つとも買ってみるのがいいと思います。両方共使い勝手に違いがあるので、2つあっても困らないですし、すぐに2つ3つのウォレットが必要になってきたりします(笑)。

以下、次のようなレポート内容になります。

(続きの内容)

  • 価格と入手方法
  • 外観レビュー
  • 秘密鍵の生成とバックアップ
  • ウォレットのリカバリー
  • パスフレーズのコンパチビリティ
  • PIN コードセキュリティ
  • フィッシング対策
  • その他のセキュリティ機能
  • ウォレットの使い勝手
  • マルチシグ対応
  • まとめと、それぞれの推奨する使い方
  • 今後のハードウェアウォレットの進化とビジネスチャンス

全部で16ページのレポート内容になります。

研究所に登録いただけますと、本レポートのほか、過去のレポート15本もすべてお読みいただけます。

ビットコイン&ブロックチェーン研究所の登録は、こちらから。

Donate with IndieSquare

このブログでは読者の皆さんとのつながりを作る実験としてトークンを配布しています。
※記事が役に立った場合は、寄付ボタンをクリックして、ぜひ寄付をお願いします。寄付額相当のDOUBLEHASHコイン(詳細説明)を送付いたします。
コインを受け取るには、IndieSquare Walletからお送りください。

詳細日本語マニュアル付きTrezorの購入はコインギフトから