Qu’est-ce qu’un ordinateur crypto « air gap » ?

Définition de l'écart d'air dans le contexte de la crypto-monnaie

1. Un ordinateur à air isolé fait référence à un appareil physiquement isolé de tous les réseaux non sécurisés, y compris Internet, les réseaux locaux et les canaux de communication sans fil.

2. Dans les opérations de chiffrement, une telle machine ne se connecte jamais à une interface externe : pas d'activation de port Ethernet, pas de couplage Bluetooth, pas de numérisation Wi-Fi et pas de transfert de données USB à moins d'être strictement contrôlé et vérifié.

3. Son objectif principal est d'éliminer les vecteurs d'attaque à distance, en garantissant que les clés privées restent inaccessibles aux pirates informatiques, aux logiciels malveillants ou aux outils de surveillance déployés dans les environnements réseau.

4. Les systèmes Air Gap sont souvent utilisés lors de la génération de portefeuilles, de l'enregistrement de phrases de départ et de la signature hors ligne de transactions, moments critiques où l'exposition pourrait entraîner une perte irréversible de fonds.

5. Le terme « trou d’air » n’implique pas l’immunité contre toutes les menaces ; l'accès physique, les périphériques compromis ou les implants au niveau du micrologiciel peuvent toujours compromettre la sécurité si la discipline procédurale vacille.

Configuration matérielle requise pour le Crypto Air Gapping

1. Un ordinateur portable ou de bureau dédié avec des cartes sans fil amovibles, des fonctionnalités réseau du BIOS désactivées et aucun logiciel de télémétrie préinstallé est considéré comme un candidat de base.

2. Certains praticiens optent pour du matériel plus ancien, comme un MacBook Air 2012 avec une carte Wi-Fi physiquement extraite, pour réduire la surface d'attaque du micrologiciel et éviter les chargeurs de démarrage propriétaires.

3. Les ports USB peuvent être scellés avec de l'époxy ou surveillés via des bloqueurs d'écriture matériels lorsqu'ils sont utilisés pour des flux de travail de signature de transactions isolés.

4. Les captures d'écran, les captures de caméra ou les scanners de codes QR sont évités sur la machine à espace d'air ; au lieu de cela, les données de transaction sont déplacées via des codes QR imprimés ou des chaînes hexadécimales transcrites manuellement.

5. Des vérifications de l'intégrité du micrologiciel à l'aide d'outils tels que Heads ou Libreboot sont effectuées avant chaque session pour détecter les modifications non autorisées.

Mécanismes de flux de travail de signature hors ligne

1. Un hot wallet exécuté sur un appareil connecté prépare une transaction non signée et l'exporte sous forme de blob hexadécimal sérialisé ou de format codé QR.

2. Ces données sont transférées vers l'ordinateur à espace d'air via un support à espace d'air - généralement une carte microSD propre à usage unique ou un code QR imprimé scanné par une caméra distincte non connectée au réseau.

3. La machine à air isolé charge la transaction dans un outil de signature déterministe tel que Bitcoin Core en mode hors ligne ou l'interface de signature à air isolé de Sparrow Wallet.

4. En utilisant uniquement la clé privée stockée ou la racine du portefeuille HD, la machine calcule la signature numérique sans exposer la clé à la mémoire accessible par les pilotes réseau ou la journalisation au niveau du système d'exploitation.

5. La transaction signée résultante est réexportée via le même canal à air isolé et diffusée à partir de l'appareil en ligne.

Risques au-delà de la connectivité réseau

1. Les fuites électromagnétiques provenant des opérations du CPU ou du GPU peuvent potentiellement révéler des opérations cryptographiques grâce à une analyse par canal secondaire, en particulier sur les anciennes puces x86.

2. Les composants compromis de la chaîne d'approvisionnement, y compris les contrôleurs USB contrefaits ou les micrologiciels malveillants dans les contrôleurs SATA, peuvent contourner complètement les hypothèses sur l'écart d'air.

3. L'erreur humaine reste la plus grande vulnérabilité : lecture erronée des mots de départ, réutilisation de sauvegardes papier ou connexion accidentelle de l'appareil à un port USB de chargement uniquement qui prend également en charge les données.

4. L'imagerie thermique ou la cryptanalyse acoustique a été démontrée en laboratoire pour extraire les bits de clé RSA des ordinateurs portables sous charge, mettant en évidence les contrôles de l'environnement physique dans le cadre de la rigueur de l'entrefer.

5. Les mécanismes de persistance du micrologiciel comme Intel ME ou AMD PSP fonctionnent indépendamment du contrôle du système d'exploitation et peuvent conserver les modules compatibles réseau même lorsque toutes les interfaces au niveau du système d'exploitation sont désactivées.

Foire aux questions

Q : Puis-je utiliser un smartphone comme appareil à air isolé ? Les smartphones contiennent des modems cellulaires, des puces GPS, des processeurs de bande de base et des radios toujours actives, dont aucun ne peut être complètement désactivé sans démontage matériel. Ils ne conviennent pas pour un véritable entrefer.

Q : L’air gapping est-il nécessaire pour les petits avoirs en cryptomonnaies ? La posture de sécurité doit s'aligner sur le modèle de menace et la valeur des actifs. Les petits soldes peuvent tolérer le risque du portefeuille chaud, mais l'espacement habituel renforce une discipline opérationnelle qui évolue avec la croissance du portefeuille.

Q : L’utilisation de Tor ou d’un VPN remplace-t-elle le besoin d’un espace d’air ? Non. Tor et les VPN masquent l'identité et l'emplacement du réseau, mais n'empêchent pas l'exécution de code à distance, l'enregistrement de frappe ou le grattage de la mémoire sur le périphérique hôte. Ils fonctionnent sur des couches OSI supérieures et ne peuvent pas imposer une isolation physique.

Q : Les machines virtuelles peuvent-elles reproduire la sécurité de l'espace aérien ? Les machines virtuelles partagent des ressources d'hyperviseur, des pages de mémoire et des canaux de synchronisation avec les systèmes hôtes. Même la virtualisation imbriquée ne dispose pas de la séparation au niveau matériel requise pour l'assurance cryptographique. Les véritables entrefers exigent une séparation physique.