Ledger在MIT比特幣世博會(huì)上現(xiàn)場(chǎng)演示了Trezor的五種攻擊方式

安全是一種狀態(tài)，即通過(guò)持續(xù)的危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)管理過(guò)程，將人員傷害或財(cái)產(chǎn)損失的風(fēng)險(xiǎn)降低并保持在可接受的水平或其以下。安全是一種相對(duì)狀態(tài)，而非絕對(duì)結(jié)果，針對(duì)供應(yīng)鏈攻擊，不同的公司會(huì)采用不同的方法來(lái)緩解這一問(wèn)題。

在今年的 MIT 比特幣世博會(huì)上，硬件錢(qián)包廠商Ledger 在會(huì)議現(xiàn)場(chǎng)演示了針對(duì)同行 Trezor 的五種攻擊方式，其中一種方式就是供應(yīng)鏈攻擊，Ledger和 Trezor 的互懟事件將硬件錢(qián)包的供應(yīng)鏈攻擊“曝光”在大眾視野之中。

對(duì)于硬件團(tuán)隊(duì)而言，供應(yīng)鏈管理是一門(mén)必修課，供應(yīng)鏈?zhǔn)鞘謴?fù)雜的，包含諸多環(huán)節(jié)，而每個(gè)環(huán)節(jié)都存在潛在風(fēng)險(xiǎn)，因此加強(qiáng)供應(yīng)鏈的安全管理是一項(xiàng)非常復(fù)雜而又艱巨的工作。

對(duì)于安全，imKey 團(tuán)隊(duì)自始至終懷有敬畏之心，著眼于 imKey 的供應(yīng)鏈全生命周期過(guò)程，包含供應(yīng)商篩選、物料采購(gòu)、生產(chǎn)制造、倉(cāng)儲(chǔ)管理、物流運(yùn)輸、市場(chǎng)銷(xiāo)售、售后服務(wù)等階段，各環(huán)節(jié)均嚴(yán)格把關(guān)，并確保各項(xiàng)安全機(jī)制的有效實(shí)施。

imKey 團(tuán)隊(duì)的供應(yīng)鏈安全管理主要涉及以下方面：

?生產(chǎn)制造

?包裝

?貨品貯藏和運(yùn)輸

?審批第三方參與者

源頭控制，精益生產(chǎn)

imKey 作為一款硬件錢(qián)包產(chǎn)品，不同于快速開(kāi)發(fā)與版本迭代的熱錢(qián)包，除了保證軟件端的設(shè)計(jì)開(kāi)發(fā)的安全性外，也把相當(dāng)多的精力聚焦于是硬件生產(chǎn)供應(yīng)鏈的管理。眾所周知，供應(yīng)鏈管理向來(lái)是硬件創(chuàng)業(yè)的重中之重，是決定硬件產(chǎn)品成敗的關(guān)鍵因素。imKey 供應(yīng)鏈的管理涵蓋供應(yīng)商篩選、工業(yè)設(shè)計(jì)、配件選型、工程樣機(jī)、物料采購(gòu)、BOM 物料入庫(kù)管理及來(lái)料良率把關(guān)、試產(chǎn)、大規(guī)模生產(chǎn)制造、產(chǎn)品質(zhì)量控制、倉(cāng)儲(chǔ)管理、物流網(wǎng)絡(luò)、市場(chǎng)銷(xiāo)售、售后服務(wù)等等諸多環(huán)節(jié)。

正因?yàn)閕mKey 團(tuán)隊(duì)小伙伴們多年以來(lái)一直深耕智能硬件方向，涉及移動(dòng)金融、數(shù)字身份認(rèn)證、PKI密碼體系、智能卡、可穿戴設(shè)備等領(lǐng)域，因此具備了豐富的行業(yè)經(jīng)驗(yàn)和扎實(shí)的技術(shù)沉淀。imKey 團(tuán)隊(duì)小伙伴們花費(fèi)了無(wú)數(shù)個(gè)不眠日夜進(jìn)行產(chǎn)品原型設(shè)計(jì)、優(yōu)化、改進(jìn)，同時(shí)也深知成熟、靠譜的生產(chǎn)制造商對(duì)于產(chǎn)品能否大規(guī)模量產(chǎn)以及產(chǎn)品的質(zhì)量起著至關(guān)重要的作用。

在經(jīng)過(guò)多輪洽談和多方論證評(píng)估后，imKey 團(tuán)隊(duì)與國(guó)內(nèi)知名的安全硬件供應(yīng)商飛天誠(chéng)信達(dá)成共識(shí)，并簽署了戰(zhàn)略合作協(xié)議，這為 imKey 提供了強(qiáng)有力的技術(shù)支持和供應(yīng)鏈保障。

為了確保訂單按期交付以及產(chǎn)品質(zhì)量，imKey 團(tuán)隊(duì)奔赴生產(chǎn)車(chē)間，與工人共同奮戰(zhàn)一線。從貼片焊接、物料入庫(kù)全檢、焊接、組裝、QC到包裝，整整63個(gè)步驟，歷經(jīng)14天時(shí)間，imKey 團(tuán)隊(duì)全程參與，確保 imKey 錢(qián)包在生產(chǎn)過(guò)程嚴(yán)格遵循生產(chǎn)管理規(guī)程，并對(duì)產(chǎn)品進(jìn)行了苛刻的全檢、抽檢，以確保產(chǎn)品達(dá)到預(yù)期良品率。經(jīng)過(guò)了這一系列的過(guò)程，imKey團(tuán)隊(duì)小伙伴們才放心把產(chǎn)品交到用戶手中。

同時(shí)，為了避免產(chǎn)品在供應(yīng)鏈源頭被污染，一方面，錢(qián)包加入了防惡意篡改的安全設(shè)計(jì)，生產(chǎn)期間生產(chǎn)寫(xiě)入時(shí)必須要進(jìn)行全面校驗(yàn)，并且產(chǎn)品首次使用時(shí)強(qiáng)制激活驗(yàn)證，這極大提高了產(chǎn)品的安全性，另一方面，用于生產(chǎn)的專(zhuān)用工具由 imKey 團(tuán)小伙伴使用專(zhuān)用設(shè)備現(xiàn)場(chǎng)親自導(dǎo)入生產(chǎn)服務(wù)器，確保數(shù)據(jù)自始至終都沒(méi)有被污染。

細(xì)節(jié)決定安全，不怕多此一舉

原廠包裝 & 不可逆封條 & 防偽激活驗(yàn)證

為了預(yù)防物流運(yùn)輸過(guò)程中 imKey 被惡意替換，產(chǎn)品做了兩層防護(hù)措施，一方面在包裝上采用不可逆封條，一旦撕開(kāi)后將徹底無(wú)法恢復(fù)，并且發(fā)貨時(shí)必須采用飛天誠(chéng)信的原廠包裝與膠帶，并約定包裝規(guī)則，作為貨物接收的簽收標(biāo)準(zhǔn)；另一方面產(chǎn)品在首次使用時(shí)要強(qiáng)制進(jìn)行防偽激活驗(yàn)證，如果是非法設(shè)備將會(huì)提示用戶。

順豐直郵，安全高效

為了確保貨品交付的安全、高效，imKey 團(tuán)隊(duì)與飛天誠(chéng)信簽訂協(xié)議，運(yùn)輸方式采用順豐快遞。同時(shí)，imKey 團(tuán)隊(duì)也對(duì)外承諾用戶下單后48小時(shí)內(nèi)進(jìn)行發(fā)貨，除非遇到不可抗力，運(yùn)輸也同樣采用順豐快遞，以保證運(yùn)輸?shù)臅r(shí)效性和可靠性。

目前，imKey 團(tuán)隊(duì)尚未授權(quán)其他任何個(gè)人、團(tuán)體或公司經(jīng)銷(xiāo)、代理 imKey 及周邊產(chǎn)品，每一臺(tái) imKey設(shè)備均由 imKey 團(tuán)隊(duì)小伙伴親自直郵送達(dá)。

專(zhuān)用倉(cāng)儲(chǔ)，專(zhuān)人負(fù)責(zé)

目前針對(duì)產(chǎn)品倉(cāng)儲(chǔ)，imKey團(tuán)隊(duì)專(zhuān)門(mén) 建有杭州、北京兩個(gè)倉(cāng)庫(kù)，充分做好防水、防火、防盜的倉(cāng)儲(chǔ)管理安全措施，并由專(zhuān)人負(fù)責(zé)管理，供應(yīng)鏈安全管理是預(yù)防供應(yīng)鏈攻擊的最重要措施，重在點(diǎn)點(diǎn)滴滴的細(xì)節(jié)，安全無(wú)小事，imKey 團(tuán)隊(duì)從來(lái)不怕「 多此一舉 」，并持續(xù)不斷優(yōu)化精進(jìn)，只為「 更安全 」。