【開封】Cobo Vault Proはスマホと連携して使うエアギャップ・コールドウォレット

【開封】Cobo Vault Proはスマホと連携して使うエアギャップ・コールドウォレット

みなさん、ハードウェアウォレットはお使いでしょうか。使ってないよ、って方も多いと思います。今回紹介するCobo Vaultを作った人も、販売側の経験からしてハードウェアウォレットの市場はほとんどアメリカなんじゃないかなと言っています。

ところが、当然のことですが取引所は資金が不正流出したり、持ち逃げされるリスクがあります。その対策としてウォレットに引き出す人の中では、秘密鍵をそもそも一度もネットに接続しない(コールドウォレット)ことが最善の流出対策なのでハードウェアウォレットを使って実現しているという人が多いかと思います。

しかし、Ledger Nano S、Trezorはともに操作性が低く、そもそもスマホというよりはパソコンと組み合わせて使うことを念頭に設計されています。
また、エアギャップを使用したコールドウォレットであるColdcardも同様にハードコアな使い心地です。

Cobo Vaultは、スマホと組み合わせて使うことが前提の、エアギャップウォレットという、2つのニッチを攻めたハードウェアウォレットです。

※この記事はレビュー用にCobo Vaultの提供を受けて書いていますが、客観的な事実を中心に書いていきます。お金はもらってないし、アフィリエイトでもありません。

エアギャップとは

コールドウォレットとは秘密鍵をオフラインで保管するウォレットのことですが、コンピューターセキュリティには「一度でもインターネットに接続された端末は、それまでにインターネットに接続された全ての端末とつながっているようなもの」という考え方があります。そこで、一生を通して一度もインターネットに接続しないデバイス上のビットコインウォレットを「エアギャップウォレット」と言います。

(エアギャップ = インターネットとの間に空気を挟んでいる)

ではどうやって実現するかというと、インターネットにつながっていて最新のUTXOセットにアクセスでき、またトランザクションを配信できるデバイスと、有線や無線の接続とは異なる方法で署名前後のトランザクションのデータをやりとりする必要があります。

例えばColdcardではそのデータはmicroSDカードを介してやりとりしますが、Cobo VaultではQRコードを利用します。AndroidベースのCobo Vaultには通信機能はありませんが、カメラと画面がついているのです。

トランザクションをスマホで作成して、Cobo Vaultで読み取り、署名して、署名済みのトランザクションをスマホで読み取って配信する、というのが利用の流れになります。

ちなみにGlacier Protocolとよばれるビットコインの長期保管方法のセットアップにも、エアギャップ用のPCのセットアップにUSBを利用しますが、トランザクションデータのやりとりにはQRコードを活用します。
USBやmicroSDカードなどはウイルスなどに弱く、パソコンにはウイルスに感染した際に情報が流出しうる経路が多数あります。(スピーカーやファンやハードディスクの音、電力消費、画面の高速点滅など)

Cobo Vaultの設計は、そもそも一度も何にも接続する必要がないようにして、本体へのウイルス感染の可能性を排除しようとしているようです。

開封

こんな箱に入ってました。比較用に、Trezorの箱と、1円玉が写ってます。

Trezorと比較してかなり大きいことがわかりますね。

アイスクリームの箱のような外箱を開けると、内箱が2つ出てきます。Cobo Vault本体が入っている開封防止シールで閉じられている箱と、電池と電池充電用ケーブル(USB-A to USB-C)が入っている箱です。

内容物は以上です。本体はスマホより2回りくらい小さいです。(ちなみに$150するこのCobo Vault Proは充電池と単4電池のどちらにも対応しています。この電池モジュール、磁石でカチッとはまるので気持ちいいです)

単4電池という選択肢は、充電池・充電器に何か仕掛けがある可能性や、単純に長期保存する際に充電池が完全放電したり壊れたりする可能性に備えて存在するのだと思います。一番安い$100のCobo Vault Essentialは単4電池オンリーだそうです。

まずはウェブサイトと連携して、ファームウェアの偽造防止の確認をします。サイトのQRコードを読み取って、その結果Vaultに表示されたコードをサイトに入力します。二段階認証の要領ですね。

セットアップは画面の指示に従うだけでシンプルです。最初にVaultのパスワードを設定します。(個人的には現状の10文字以上で大文字・小文字・数字の全てを使う必要があるという制限よりは、十分に長いパスワードであることのほうが大事かなと思います)
でも、その後リカバリーシードを書きとめ、確認のため入力した際、Androidのキーボードが小さいのでなんやかんや苦戦しました笑 (どれも最大4文字まででオートコンプリートされるので所詮96文字なのですが…)

ちなみにセットアップ後は指紋認証も設定できます。

既存ウォレット(シード)のインポートにも、新規ウォレットの作成にも対応しています。

ちなみにCobo Vaultには"Bitcoin-only Firmware"という選択肢があり、公式サイトからダウンロードしてインストールすればアルトコインは使えなくなりますが、その分の機能を省くことで予期せぬ脆弱性が悪用される確率は下がると思われます。(今回はそこまでしていません)

ウォレットを作成したら、次はスマホのアプリと連携します。これもVaultで動くQRコードを表示して、スマホアプリで読み取ることで行います。(以後、スマホは読み取り専用ウォレットとして機能します)

おわかりでしょうが、けっこう電池の消費は激しいです。ちゃんと充電してから始めたほうがよさそう。(セットアップ全体を通して20%弱を消費しました。)

スマホのほうでは、このようなアプリが表示されました。他の通貨があればここに一覧表示されるんでしょう。

ハードウェアウォレットなので送金ページを確認したら、とてもよくできていました。

お気づきでしょうか?
・多くのウォレットが対応していない、GUIでの複数アドレスへの送金
(複数の宛先への送金を1つのトランザクションにまとめて節約できる)
・手数料の推奨値も表示され勝手に選択されるが、自分でも設定できる
割とこのへんはハードウェアウォレットのユーザーの多くが求めている機能だと思います。

ただ個人的には、宛先アドレスごとにタブで送金額を決めるよりは、一覧として見たいなと思いました。

宛先を入力して手数料を決め、画面最下部(スクショでは見切れてしまっていますが)にあるSendボタンを押すと、画面にQRコードが表示されます。それをCobo Vaultで読み取ると、トランザクションの内容が表示されて、署名するダイアログが表示されます。署名したらQRコードが表示されるのでスマホで読み取って、アプリ内で確認して配信します。

魅力的な機能

QRコードによるエアギャップだけでも面白いですが、前述した付属ソフトウェアウォレットがちゃんと複数アドレスへの送金に対応している他にも、Cobo VaultがPSBTによるマルチシグに対応している点も特筆すべきです。(おそらくColdcardを意識しているという側面もあるでしょう)

スマホと合わせて使うという点を含め、比較的コールドウォレットを使用する頻度が多いユーザー向けの商品という印象を受けました。

Cobo Vaultに興味があって、より詳しく知りたいことがある方は、めっちゃ丁寧に答えてくれると思うので、ぜひCoboのLiu Lixinさんに聞いてみてください。製品改善のためのいろんな意見を求めているそうです。

100