【Ledger联创反驳Charles Hoskinson：开源固件钱包安全性较低】

【Ledger联创反驳CharlesHoskinson：开源固件钱包安全性较低】2023年05月20日11点11分5月20日消息，Ledger联合创始人EricLarchevêque澄清说，最新的Recover固件更新中没有“后门”。Larchevêque还驳斥Cardano创始人CharlesHoskinson的说法，后者声称开源软件总是比闭源软件更好。Larchevêque警告称，由于安全风险增加，开源是危险的。Ledger是包含闭源固件的硬件钱包。Larchevêque表示，开源钱包配有常规硬件，但安全性较低，而闭源钱包具有安全元件，可提供更高级别的安全性。当插入硬件以刷新固件时，可能会发生供应链攻击，而“全息密封”（holographicseal）减轻了一些风险，但它无法有效防止制造商级别的攻击。

【Ledger澄清：新推出的密钥恢复服务Ledger Recover没有任何后门】

【Ledger澄清：新推出的密钥恢复服务LedgerRecover没有任何后门】硬件钱包制造商Ledger在社交媒体发文澄清，新推出的密钥恢复服务LedgerRecover没有任何后门，用户需要在Ledger上批准该服务，否则永远不会创建备份，Ledger表示这就是拥有安全硬件和安全屏幕的原因并呼吁用户相信设备安全。Ledger今日发布LedgerNanoX固件(2.2.1)版本更新引入一项名为“LedgerRecover”的服务/功能，可以备份恢复用户的私钥助记词(SRP)，但引起Web3用户的强烈批评，因为该功能需要在线存储秘密助记词并与护照或证件信息相关联且要求KYC注册。

微软更新源自Windows 8时代的安全启动密钥 让现代PC保持无故障启动

微软更新源自Windows8时代的安全启动密钥让现代PC保持无故障启动该公司发布的另一项重要公告是关于安全启动的。微软宣布从2023年开始推出新的安全启动密钥（CA）以取代之前的密钥。即将到期的安全引导密钥（CA）最早来自2011年，是在雷德蒙德巨头首次推出安全引导功能的Windows8期间签发的。这些证书将在几年后的2026年到期，届时它们的将达到15岁高龄。证书颁发机构（CA）或密钥主要帮助管理引导加载程序、驱动程序、固件和各种应用程序等各种组件的真实性和有效性。微软在其技术社区博文中宣布了这一变化：微软与我们的生态系统合作伙伴合作准备推出替代证书，为未来的安全启动设置新的统一可扩展固件接口（UEFI）证书颁发机构（CA）信任锚。请关注分阶段推出的安全启动数据库更新，以增加对新数据库(DB)和密钥交换密钥(KEK)证书的信任。从2024年2月13日起，所有启用安全启动的设备都可选择使用新的数据库更新。从广义上讲，这将是对安全启动DB（数据库）的一次重大更新，而安全启动DBX并不像安全启动DBX那样定期更新，安全启动DBX列表本质上是不安全模块的撤销列表，这也是它被称为安全启动禁用签名数据库(DBX)的原因。因此，MicrosoftCorporationKEKCA2011、MicrosoftWindowsProductionPCA2011和MicrosoftUEFICA2011都将被相应的2023版本取代。微软计划分阶段进行，以确保兼容性和无错误推广，并在2026年之前完成整个过程。...PC版：https://www.cnbeta.com.tw/articles/soft/1418179.htm手机版：https://m.cnbeta.com.tw/view/1418179.htm

【Web3钱包Bitski集成硬件钱包Ledger以提高安全性】

【Web3钱包Bitski集成硬件钱包Ledger以提高安全性】2023年05月16日10点22分5月16日消息，Web3钱包Bitski正在集成对硬件钱包Ledger的支持，为其浏览器应用程序带来更高的安全功能。Bitski将允许Ledger用户使用自托管密钥将他们的钱包凭证导入Bitski，从而将Bitski钱包连接到DApp，并安全地进出Ledger钱包。Bitski还将集成一个交易模拟器，以帮助用户在正式签署转账之前识别潜在的安全风险。该钱包将允许用户在以太坊和Polygon网络之间切换，支持用户在两个网络上购买NFT。

英国通过立法打击默认的弱密码来加强智能家居的安全性

英国正在取消不安全的默认密码。随着该国的今天生效，监管机构表示，能够连接到互联网或本地有线网络的技术设备必须具有唯一的默认密码，或者可以由设备所有者定义。根据这次更新，制造商将必须简化人们报告安全问题的流程。PSTI现在还要求他们为报告者提供明确的期望，告知他们何时可以期待得到回应和状态更新。违反法律的行为可能会导致高达1000万英镑（约合1250万美元）或其“合格全球收入”的4%的罚款，视两者中的较高者而定。这项法律将适用于广泛的产品，但主要目标很可能是物联网设备，如智能电视、智能插座或智能扬声器。其中许多设备，尤其是最便宜的商品化产品，由于安全措施松懈，成为网络攻击的目标，这些设备曾是几年前基于Mirai的僵尸网络DDoS攻击的一部分。这并不一定解决所有这些问题，但糟糕的默认密码是一个应该解决的低悬果实。在美国，联邦通信委员会（FCC）正在尝试类似的措施—即将推出的网络信任标志计划。这个计划很像联邦能源之星计划，网络信任标志标识符表明哪些产品符合该计划的要求，包括强大的默认密码。标签:#英国#网络安全频道:@GodlyNews1投稿:@GodlyNewsBot

Cloudflare 推出零信任 SIM，确保移动设备安全

Cloudflare推出零信任SIM，确保移动设备安全智能手机是否完全安全？这取决于一个人对"安全"的定义，特别是在处理企业环境时。大多数实行"自带设备"政策的公司在员工的智能手机上安装应用程序或代理，利用安卓和iOS等操作系统内置的管理功能来帮助保护他们。但这些可能还不够。这就是Cloudflare在本周推出的新服务的宣传中所主张的。今天，该公司宣布了ZeroTrustSIM和ZeroTrustforMobileOperators，这两个产品的目标是智能手机用户、保障企业电话安全的公司和销售数据服务的运营商。在最近的一次电子邮件采访中，Cloudflare首席技术官JohnGraham-Cumming指出，ZeroTrustSIM可以完成VPN和其他安全层无法完成的事情：单元级保护。他认为，SIM卡可以作为另一个安全因素，与硬件密钥结合使用，几乎不可能冒充员工。——