بررسی کیف پول سخت افزاری Coldcard Mk3

در این مطلب می‌خواهیم به سراغ یک کیف پول فوق امن و متفاوت که به‌طور اختصاصی برای نگهداری بیت کوین طراحی شده برویم. این محصول، کیف پول سخت افزاری Coldcard MK3 نام دارد و توسط شرکت کانادایی Coinkite‌ ساخته شده است. این شرکت از سال ۲۰۱۲ در زمینه‌ی امنیت کرپیتو به تولید تجهیزات و ارائه‌ خدمات می‌پردازد و کیف پول کُلدکارد، جدیدترین محصول این شرکت است.

اگر مطالب وبلاگ ولت سنتر را مطالعه کرده باشید، قطعا با کیف پول‌های سخت افزاری آشنا هستید و می‌دانید که این دستگاه‌ها مسئول نگهداری از کلیدهای خصوصی مربوط به آدرس‌های بلاک چین هستند. در حقیقت ارزهای دیجیتال در آدرس‌های روی بلاک چین قرار دارند و رمز دسترسی به آن‌ها، به‌صورت آفلاین در کیف پول‌های فیزیکی ذخیره می‌شود تا امکان هک شدن از راه‌های آنلاین وجود نداشته باشد.

اگر بارها و بارها در مورد محصولاتی مثل لجر و ترزور شنیده‌اید، وقت آن رسیده که با یک کیف پول متفاوت،‌ جذاب و فوق امن آشنا شوید. با ما در معرفی کیف پول سخت افزاری Coldcard Mk3 همراه باشید.

کیف پول Coldcard Mk3

کیف پول سخت افزاری Coldcard Mk3، از سری محصولات شرکت کانادایی Coinkite است که در سال ۲۰۱۹ به بازار عرضه شد. این محصول برخلاف سایر کیف پول‌های موجود، فقط برای نگهداری بیت کوین طراحی شده و از آلت کوین‌ها پشتیبانی نمی‌کند. شاید این موضوع کمی ناامید‌کننده به نظر برسد، اما زمانی که امنیتِ مقدار قابل توجهی از سرمایه مطرح باشد،‌ قابلیت‌های ارزشمندی مثل فناوری «عنصر امن» (Secure Element)،‌ «رمز شرایط بحرانی» (Duress Pin)، «رمز خود تخریبی» (Brick me Pin)، «محدودیت ورود رمز ورود اشتباه» (Login Countdown) و سایر موارد در این کیف پول، توجه بسیاری از کاربرها را به خود جلب می‌کند.

آغاز فعالیت کیف پول‌های سخت افزاری به سال ۲۰۱۴ برمی‌گردد. در آن سال‌ها، بیت کوین توانسته بود با رشد قیمت قابل توجهی که داشت، توجهات بسیاری را جلب کند و شرکت‌های مختلفی مثل لجر و ترزور شروع به تولید دستگاه‌هایی برای نگهداری امن ارزهای دیجیتال کردند. به مرور و با ورود سایر رقبا به این عرصه، تمام تلاش‌ها در جهت تولید کیف پول‌هایی بود که تعداد ارزهای بیشتری را پشتیبانی کرده و قابلیت‌های بیشتری به کاربرها ارائه‌کنند، اما در این بین شرکت Coinkite، مسیر متفاوتی را انتخاب کرد و تصمیم به تولید یک کیف پول اختصاصی بیت کوین با امکانات فوق امنیتی گرفت که در ادامه با ویژگی‌ها و قابلیت‌های آن بیشتر آشنا می‌شویم.

این کمپانی علاوه بر کیف پول سخت‌افزاری Coldcard Mk3، محصولات دیگری با عناوین Opendime (یک حافظه‌ی فلش با قابلیت‌ نگهداری بیت کوین که می‌توان به‌راحتی به دیگر دستگاه‌ها متصل و بیت کوین‌ها را خرج کرد!)، Blockclock mini (یک نمایش‌گر مخصوص نمایش اطلاعات مختلف مثل موجودی، شماره بلاک، قیمت بیت کوین و غیره)، Seedplate (یک قطعه‌ی فلزی مستحکم برای یادداشت کلمات seed ‌به روش هک کردن روی استیل) و Coldpower (نوعی باتری مخصوص که از طریق USB به کیف پول متصل می‌شود) را نیز تولید و به فروش می‌رساند.

مشخصات ظاهری Coldcard Mk3

محصول Coldcard Mk3‌ با هدف کاربردی بودن طراحی شده، به همین دلیل کمی از کیف پول‌هایی مثل Ledger بزرگتر است و از طرفی هم مثل KeepKey یا Cobo Vault حجیم نیست. این کیف پول تقریبا در ابعاد یک کارت اعتباری یا ماشین حساب کوچک طراحی شده است. ابعاد آن ۹ × ۵۲ × ۸۸ میلی‌متر بوده و ۲۹ گرم وزن دارد. چیزی که آن را از نظر ظاهری منحصربه‌فرد می‌کند، جنس بدنه‌ آن است که از پلاستیک شفاف و ضدضربه ساخته شده، به طوری‌که قسمت‌های داخلی آن از بیرون قابل مشاهده است. زمانی که Mk3 را در دست می‌گیرید، کاملا متوجه استحکام و کیفیت بالای بدنه‌ آن خواهید شد.

کیف پول Coldcad در نگاه اول شبیه یک ماشین حساب کوچک با ۱۲ دکمه‌ سیاه رنگ به نظر می‌رسد. یک صفحه نمایش کوچک از نوع OLED به ابعاد ۶۴ × ۱۲۸ پیکسل در قسمت بالایی آن وجود دارد. یک درگاه کارت حافظه‌ میکرو SD در قسمت عقب و یک پورت USB در بالای آن تعبیه شده است. این کیف پول، باتری داخلی ندارد و برق خود را از طریق کابل میکرو USB از کامپیوتر دریافت می‌کند.

این محصول از نظر زیبایی نسبت به کیف پول‌های رقیب، حرف خاصی برای گفتن ندارد، اما زمانی که صحبت از قابلیت‌های امنیتی باشد، یک سروگردن از رقبا بالاتر است.

جالب است که این محصول هیچ جعبه‌ای ندارد و زمانی که آن را سفارش می‌دهیم، در یک کیسه‌ی نایلونی مخصوص به دستمان می‌رسد. (البته این نایلون می‌تواند درون یک پاکت یا کارتن کاغذی باشد که مربوط به شرکت پست هر کشور می‌شود و ربطی به شرکت سازنده کیف پول ندارد.) روی این نایلون یک برچسپ مخصوص امنیتی چسبانده شده که هرگونه دستکاری در مسیر ارسال را نشان می‌دهد. هم‌چنین یک بارکد روی آن چاپ می‌شود که باید بعد از روشن کردن دستگاه، با بارکد ذخیره‌شده در حافظه‌ دستگاه مطابقت داده شود.

به جز کیف پول، یک کارت یادداشت کلمات بازیابی و یک استیکر کلدکارد، چیز دیگری در بسته‌ محصول وجود ندارد. کاربرها برای اتصال کیف پول به کامپیوتر باید یک کابل میکرو USB تهیه کنند. نکته‌ جالب این است که برخلاف کیف پول لجر نانو اس که حتما باید به یک کامپیوتر یا لپتاپ متصل شود، کیف پول Coldcard Mk3 را می‌توان به یک پاور بانک متصل و از آن استفاده کرد.

این محصول در عین سادگی، ویژگی‌های امنیتی بسیار جالبی دارد که در بخش قابلیت‌های امنیتی به‌طور کامل آن‌ها را معرفی می‌کنیم.

ویژگی‌های Coldcard Mk3

بسیاری از ویژگی‌های خاص Coldcard به مسائل امنیتی مربوط است که در بخش بعدی به‌طور کامل به آن‌ها خواهیم پرداخت. در این بخش ویژگی‌ها و قابلیت‌های مهم این محصول را معرفی می‌کنیم.

کیف پول سخت افزاری Coldcard Mk3 با استاندارد BIP-174‌ که مربوط به تراکنش‌های چند امضایی می‌شود سازگار است. این تکنولوژی، PSBT یا Partially Signed Bitcoin Transaction نام دارد و اجازه می‌دهد که چند فرد متفاوت قادر باشند یک تراکنش را امضا کنند. در حقیقت با استفاده از استاندارد BIP-174‌ می‌توان یک فایل باینری (متشکل از مقادیر صفر و یک‌) ساخت، به‌طوری‌که تمام کیف پول‌های سخت‌افزاری قادر به خواندن آن باشند. پس می‌توان فایل‌های PSBT مربوط به سایر کیف پول‌ها را روی Coldcard لود و امضا کرد.

سیستم کلمات بازیابی Coldcard با استاندارد BIP-39‌ کار می‌کند. این همان استاندارد معروف تولید کلمات بازیابی ۱۲، ۱۸ یا ۲۴تایی است که در بیشتر کیف پول‌های سخت‌افزاری مورد استفاده قرار می‌گیرد. این کلمات انگلیسی به یک رشته‌ باینری طولانی به نام Master Seed اشاه می‌کنند که قادر است کلیه آدرس‌های عمومی و کلیدهای خصوصی و هم‌چنین اطلاعات تمام تراکنش‌ها را تولید کند و همیشه توصیه می‌شود در نهایت دقت در یک جای امن از آن نگهداری شود.

همان‌طور که قبلا بیان شد، Coldcard Mk3‌ یک کیف پول تک‌ارزی بوده و به‌طور اختصاصی فقط از شبکه‌ بیت کوین پشتیبانی می‌کند. Firmware (یا نرم‌افزار داخلی) این دستگاه متن باز است و توسعه‌دهنده‌ها به‌راحتی می‌توانند آن را بررسی و حتی پشتیبانی از آلت کوین‌ها را نیز به آن اضافه کنند، البته این کیف پول با برند Bitcoin-only‌ شناخته می‌شود و انجام این کار بعید به نظر می‌رسد.

ویژگی بعدی، مربوط به درگاه میکرو SD تعبیه شده در پشت Coldcard است. به کمک این درگاه می‌توان از اطلاعات موجود در کیف پول، یک بکاپ رمزنگاری‌شده تهیه و به‌راحتی روی یک حافظه‌ کوچک جابه‌جا کرد. با استفاده از این بکاپ می‌توان اطلاعات اکانت را در یک کیف پول سازگار دیگر Import (یا وارد) کرد.

کلدکارد برخلاف کیف پول‌های لجر و ترزور دارای برنامه‌ واسط کامپیوتر مثل Ledger Live یا Trezor Bridge نیست و برای این منظور باید از یک کیف پول نرم‌افزاری مثل Electrum، Wasabi Wallet، BTCPay و Bluewallet استفاده کرد؛ یعنی به کمک آن‌ها می‌توان به این دستگاه متصل شد و از آن استفاده کرد. هم‌چنین می‌توان از Coldcard‌ برای امضای تراکنش‌های PSBT و تراکنش‌های چندامضایی استفاده کرد.

Coldcard Mk3 در وبسایت رسمی این شرکت به قیمت ۱۲۰ دلار به فروش می‌رسد. البته گزینه‌های دیگری مثل پک ۳ تایی، پک ۲ تایی و یا گزینه‌هایی با لوزام جانبی مختلف وجود دارد که از این لینک قابل مشاهده هستند.

قابلیت‌های امنیتی Coldcard Mk3

کیف پول سخت افزاری Coldcard Mk3‌، به‌صورت کاملا آفلاین کار می‌کند و هیچ‌گاه به اینترنت متصل نخواهد شد. این قابلیت که در اصطلاح «Air Gap» نامیده می‌شود،‌ به کمک پشتیبانی از استاندارد BIP-174‌ امکان‌پذیر شده است. همان طور که قبلا هم بیان شد، این کیف پول نرم افزار رابط مجزا برای کامپیوتر ندارد و از چند کیف پول نرم‌افزاری می‌توان برای مدیریت آن استفاده کرد.

Coldcard Mk3‌ یکی از معدود کیف پول‌هایی است که از کارت حافظه میکرو SD‌ پشتیبانی می‌کند. به کمک این کارت حافظه، هم می‌توان از اطلاعات کیف پول بکاپ گرفت و جابه‌جا کرد و هم برای امضای انواع تراکنش‌های عادی و چندامضایی از آن استفاده کرد.

قابلیت امنیتی بعدی، «Duress Pin» نامیده می‌شود که یکی از جذاب‌ترین تکنیک‌های مهندسی در دنیای امنیت اطلاعات به حساب می‌آید. برای ورود به این دستگاه می‌توان دو نوع PIN‌ مختلف تعریف کرد که هر کدام ما را به یک حساب کاملا متفاوت وارد می‌کنند. فرض کنید مبلغ قابل توجهی مثلا معادل ۱۰۰ هزار دلار بیت کوین در کیف پول سخت افزاری خود دارید. یک کیف پول هرقدر هم که امن و قابل اعتماد طراحی شده باشد، نمی‌‌تواند در مقابل حملاتی که به «۵$ Wrench attack»‌ معروفند، مقاومت کند. منظور از این حملات، شرایطی است که سارق با یک وسیله‌ فیزیکی مثل اسلحه، چاقو یا حتی یک آچار (کلمه‌ی wrench به معنای آچار است) شما را تهدید کند و بخواهد رمز ورود و کلید خصوصی‌تان را از شما بگیرد.

این کیف پول برای چنین شرایطی دو راه حل خوب پیشنهاد می‌کند.

راه اول: می‌توان بخش عمده‌ موجودی را در یک اکانت و بخش خیلی کوچکتری از موجودی مثلا ۲۰۰ دلار را در اکانت دیگری با PIN مجزا واریز کرد و در شرایط بحرانی، PIN اکانت با موجودی کمتر را به سارق ارائه داد. این حالت در اصطلاح یک «Plausible Deniability» یا انکار قابل‌قبول ایجاد می‌کند و باعث می‌شود با یک ضرر کوچک، از بخش عمده‌ سرمایه حفاظت شود.

راه دوم: قابلیت «Brick me Pin» است که در ادامه آن را توضیح خواهیم داد.

در روش Brick me Pin امکانی فراهم شده که با وارد کردن یک رمز، کیف پول Coldcard را برای همیشه غیرقابل استفاده کنیم. اگر کلمات بازیابی را در جایی امن نگهداری کرده باشید، می‌توانید در مواقع بحرانی و برای جلوگیری از افتادن کیف پول به دست سارق، با وارد کردن این کد، دستگاه را عملا از بین ببرید، به‌طوری که به هیچ عنوان امکان کارکردن مجدد نداشته باشد. توجه داشته باشید که در صورت استفاده از Brick Pin، حتما باید یک دستگاه جدید خریداری کنید.

محدودیت تعداد دفعات واردکردن رمز عبور یا PIN  اشتباه به طور پیش‌فرض روی ۱۳ تنظیم شده است. به این معنی که اگر برای بار چهاردهم PIN اشتباه وارد شود، عنصر امن تمام حافظه‌ خود را پاک و غیرقابل استفاده خواهد کرد. هر بار که PIN درست وارد شود شمارنده ریست می‌شود.

قابلیت جذاب بعدی، «Easy Device Destruction» نام دارد و به معنی تخریب آسان دستگاه است. در این سناریو هم اگر به هر نحوی مجبور شویم کیف پول را غیرقابل استفاده کنیم،‌ می‌توانیم به بخش پشتی کیف پول، درست جایی که عبارت «SHOOT THIS» نوشته شده، با یک جسم تیز ‌ضربه‌ محکمی وارد کنیم. آنجا دقیقا محل قرار گرفتن تراشه‌ عنصر‌ امن، یعنی جای نگهداری تمام اطلاعات مهم و کلیدهای خصوصی و عبارات بازیابی است. این کار مشابه وارد کردن Brick me Pin، دستگاه را برای همیشه غیرقابل استفاده خواهد کرد.

مزایا و معایب Coldcard Mk3

در انتها اگر بخواهیم مزایا و معایب کیف پول کلدکار را به‌طور اجمالی مرور کنیم، می‌توان گفت که:

مزایا

• کاربری آسان از نظر فیزیکی: دکمه‌های بزرگ و مختلف این دستگاه باعث می‌شود کاربر به‌راحتی بتواند بین گزینه‌های منو جابه‌جا شود. بیشتر کیف پول‌ها تنها دو دکمه برای مدیریت گزینه‌ها دارند.
• سازگاری با چندین کیف پول نرم‌افزاری: این کیف پول با مدل‌های نرم‌افزاری مختلفی مثل Electrum، Wasabi Wallet، BTCPay و Bluewallet، Specter Desktop، Casa و غیره سازگار است.
• متن باز بودن: تمامی کدهای استفاده شده در Coldcard Mk3‌ به صورت متن بازند. متن باز بودن باعث می‌شود نقاط ضعف برنامه زودتر یافته و برطرف شود، همچنین باعث شفافیت کار توسعه‌دهنده‌های محصول خواهد شد.
• تراکنش‌های آفلاین: این کیف پول به‌طور اختصاصی برای انجام تراکنش‌های آفلاین طراحی شده است، این کار به کمک کارت حافظه میکرو SD‌ و انتقال آفلاین تراکنش‌های امضاشده امکان‌پذیر شده است.
• قابلیت‌های امنیتی: قابلیت‌های Duress Pin، Brick me Pin، Easy Device Destruction، Login Countdown و Air Gap Transaction

معایب

• کیف پول تک ارز: Coldcard‌ فقط از شبکه‌ بیت کوین پشتیبانی می‌کند و نمی‌توان برای ذخیره‌ آلت کوین‌ها از آن استفاده کرد.
• قیمت به نسبت بالا: این کیف پول در مقایسه با برخی رقبا مثل لجر نانو اس، یا کول ولت اس گران‌تر است.
• نداشتن جعبه و متعلقات کافی: وقتی یک کلدکارد خریداری کنید، خبری از جعبه، کابل USB، دفترچه راهنما، قاب محافظ و یا کارت حافظه SD‌ نیست و موارد لازم باید جداگانه تهیه شود.

سخن پایانی

دنیای کیف پول‌های سخت‌افزاری فقط به لجر و ترزور ختم نمی‌شود، درست است که آن‌ها بیشتر حجم بازار را در اختیار دارند، ولی محصولی مثل Coldcard Mk3 قابلیت‌هایی ارائه می‌کند که این رقبای نام‌آشنا سال‌هاست در ارائه‌ آن‌ها ناتوان بوده‌اند. البته کلدکارد یک کیف پول تک ارزی و فقط برای ذخیره‌ی بیت کوین طراحی شده است، چنین محصولاتی به علت ساده بودن کد و عدم وجود برنامه‌های مختلف برای رمزارزهای گوناگون، سطح امنیت بالاتر و قابلیت‌های بیشتری را ارائه می‌کنند.

کیف پول Coldcard Mk3‌ نرم‌افزار واسط اختصاصی مثل لجرلایو ندارد و برای مدیریت آن می‌توان از کیف پول‌های نرم‌افزاری مختلف مثل Electrum و Wassabi Wallet استفاده کرد. از جمله قابلیت‌های امنیتی این کیف پول می‌توان به تراکنش‌های آفلاین، رمز شرایط بحرانی (Duress Pin)، رمز تخریب و امکان تخریب دستگاه در شرایط حساس اشاره کرد.