Breez SDK запускає вхід через Passkey для біткойн-гаманців без насіння

Breez, провайдер сервісів Lightning та лабораторія програмного забезпечення Bitcoin, впровадила Passkey Login у свій SDK Breez. Ця функція дозволяє розробникам створювати самокеровані гаманці, що використовують паскейки для автентифікації та вироблення ключів, усуваючи необхідність у традиційній фразі-сідові під час звичайного використання.

Підтримка фраз-сідов залишається доступною для користувачів, які віддають перевагу цьому, зберігаючи зворотну сумісність із галузевими стандартами, але усуваючи «швидку перешкоду» у Bitcoin-гаманцях, яка спонукає користувачів робити резервні копії своїх 12 слів.

Breez пояснив мотивацію цієї нової функції у прес-релізі, поширеному Bitcoin Magazine: «Фраза-сідов була бар’єром для самокерування з перших днів. Вона відлякує новачків від зберігання власного Bitcoin, і це цілком обґрунтована причина, чому люди приймають контрагентський ризик бірж і кастодіальних додатків». Додавши, що «Passkey Login не усуває компроміси самокерування, але переосмислює їх навколо чогось, що люди вже розуміють і використовують — біометричної автентифікації, яка захищає їх банківські додатки та менеджери паролів. Для більшості користувачів це набагато інтуїтивніша модель безпеки, ніж папірець у ящику».

Passkeys: ключові пари для сайтів у сучасному обладнанні

Passkeys — досить новий стандарт безпеки, що набирає широкого поширення в Інтернеті — є криптографічними обліковими даними, заснованими на стандарті FIDO2 WebAuthn, який з 2022 року просувають Apple, Google, Microsoft і FIDO Alliance. Кожен паскейс складається з унікальної пари відкритого та приватного ключів, згенерованих для конкретного сайту або додатку.

Приватний ключ зберігається у захищеному елементі або подібному обладнанні на пристрої користувача, наприклад, у Secure Enclave від Apple, чипі Titan від Android, TPM від Windows, зовнішніх ключах безпеки, таких як YubiKey, або у менеджері паролів користувача.

Звичайні онлайн Passkeys нагадують оригінальний файл Bitcoin wallet.dat, впроваджений Сатоші Накамото у ранніх версіях клієнта Bitcoin, де приватні ключі зберігаються локально на пристрої користувача, а публічні — передаються третім сторонам.

Однак стандарт FIDO2 реалізує цю ідею приватних і публічних ключів більш стандартизовано та сучасно. Веб-сайти надсилають користувачу виклик, посилаючись на відомий публічний ключ користувача для цього облікового запису. Повідомлення виклику підписується приватним ключем користувача, підтверджуючи його особу у конфіденційний спосіб. Кожна служба отримує різний публічний ключ для одного й того ж користувача, тому зламані дані на одному сайті не можуть бути використані для доступу до інших сайтів, і вони не містять ідентифікаційних даних користувача.

FIDO2 тепер широко застосовується, використовує захищені елементи пристрою, інтегрується з менеджерами паролів (наприклад, iCloud Keychain, Google Password Manager), браузерами та API WebAuthn від W3C. Автентифікація відбувається через виклик-підписання відповіді, при цьому приватний ключ прив’язаний до домену для запобігання фішингу.

Passkeys підтримують біометричне розблокування (Face ID, відбиток пальця, PIN) і синхронізацію між пристроями в межах екосистеми (наприклад, через iCloud або Google) — станом на середину 2025 року FIDO Alliance повідомила про понад мільярд активних пристроїв, підтримку на основних платформах і багатьох популярних сайтах.

FIDO2 не був достатньо хорошим для Bitcoin-гаманців

Стандартні паскейки чудово підходять для автентифікації (підтвердження особи сервісу), але їм бракувало ключової функціональності, необхідної сучасній індустрії Bitcoin.

Самокерування Bitcoin зазвичай базується на одному джерелі ентропії (фразі-сідові), яке через стандарти на кшталт BIP-39 дозволяє детерміновано генерувати всі адреси та ключі. Користувачі очікують, що ці 12 слів будуть достатні для відновлення всіх балансів і облікових записів у Bitcoin-гаманці. Стандарт Passkey потрібно було розширити для підтримки цього сценарію.

Рішення Breez: використання розширення PRF

Breez вирішує цю проблему, використовуючи розширення Pseudo-Random Function (PRF) у WebAuthn Level 3. PRF дозволяє паскейку генерувати детермінований криптографічний вихід для будь-якого вхідного значення під час автентифікації.

Як описано у матеріалах оголошення Breez, «Саме те, що вирішує розширення PRF у WebAuthn, і є ключовим у Passkey Login. PRF — це нова можливість, частина стандарту WebAuthn Level 3, яка дозволяє вашому паскейку виробляти детермінований криптографічний вихід для будь-якого вхідного значення. Той самий паскейк, той самий вхід, той самий вихід. Завжди. Паскейк ніколи не залишає захищену частину вашого пристрою.»

Втрата пристрою та відновлення

Якщо пристрій втрачається, відновлення залежить від платформи збереження паскейка. Синхронізовані паскейки — через iCloud Keychain, Google Password Manager тощо — відновлюються на новому пристрої після отримання доступу до відповідного облікового запису.

Breez пропонує опціональний зворотно сумісний шлях: користувачі можуть експортувати звичайну 12-словну мнемоніку BIP-39 для свого гаманця, щоб відновити обліковий запис у інших Bitcoin-гаманцях, відповідно до галузевих стандартів. У прес-релізі додається, що «Passkeys також ще не повністю сумісні між платформами. Якщо вам потрібно перейти на платформу або гаманець, що не підтримує паскейки, у вас є стандартна фраза-сідов для резервного копіювання.»

Повна технічна специфікація Passkey Login є публічною, і демонстраційний додаток Glow вже реалізує цю функцію. Breez позиціонує це як крок до більш доступного самокерування Bitcoin, яке поєднує знайому біометричну автентифікацію, використовувану у банках і менеджерах паролів, з збереженням некостодіального контролю. Розробники, що інтегрують SDK Breez, тепер можуть пропонувати онбординг без традиційного кроку «запишіть ці слова» для підтримуваних середовищ.

Повна технічна специфікація Passkey Login є публічною, і наш референсний додаток Glow вже її реалізує, і тепер доступна для всіх розробників SDK Breez.