Ledger在MIT比特幣世博會上現場演示了Trezor的五種攻擊方式

安全是一種狀態(tài)，即通過持續(xù)的危險識別和風險管理過程，將人員傷害或財產損失的風險降低并保持在可接受的水平或其以下。安全是一種相對狀態(tài)，而非絕對結果，針對供應鏈攻擊，不同的公司會采用不同的方法來緩解這一問題。

在今年的 MIT 比特幣世博會上，硬件錢包廠商Ledger 在會議現場演示了針對同行 Trezor 的五種攻擊方式，其中一種方式就是供應鏈攻擊，Ledger和 Trezor 的互懟事件將硬件錢包的供應鏈攻擊“曝光”在大眾視野之中。

對于硬件團隊而言，供應鏈管理是一門必修課，供應鏈是十分復雜的，包含諸多環(huán)節(jié)，而每個環(huán)節(jié)都存在潛在風險，因此加強供應鏈的安全管理是一項非常復雜而又艱巨的工作。

對于安全，imKey 團隊自始至終懷有敬畏之心，著眼于 imKey 的供應鏈全生命周期過程，包含供應商篩選、物料采購、生產制造、倉儲管理、物流運輸、市場銷售、售后服務等階段，各環(huán)節(jié)均嚴格把關，并確保各項安全機制的有效實施。

imKey 團隊的供應鏈安全管理主要涉及以下方面：

?生產制造

?包裝

?貨品貯藏和運輸

?審批第三方參與者

源頭控制，精益生產

imKey 作為一款硬件錢包產品，不同于快速開發(fā)與版本迭代的熱錢包，除了保證軟件端的設計開發(fā)的安全性外，也把相當多的精力聚焦于是硬件生產供應鏈的管理。眾所周知，供應鏈管理向來是硬件創(chuàng)業(yè)的重中之重，是決定硬件產品成敗的關鍵因素。imKey 供應鏈的管理涵蓋供應商篩選、工業(yè)設計、配件選型、工程樣機、物料采購、BOM 物料入庫管理及來料良率把關、試產、大規(guī)模生產制造、產品質量控制、倉儲管理、物流網絡、市場銷售、售后服務等等諸多環(huán)節(jié)。

正因為imKey 團隊小伙伴們多年以來一直深耕智能硬件方向，涉及移動金融、數字身份認證、PKI密碼體系、智能卡、可穿戴設備等領域，因此具備了豐富的行業(yè)經驗和扎實的技術沉淀。imKey 團隊小伙伴們花費了無數個不眠日夜進行產品原型設計、優(yōu)化、改進，同時也深知成熟、靠譜的生產制造商對于產品能否大規(guī)模量產以及產品的質量起著至關重要的作用。

在經過多輪洽談和多方論證評估后，imKey 團隊與國內知名的安全硬件供應商飛天誠信達成共識，并簽署了戰(zhàn)略合作協(xié)議，這為 imKey 提供了強有力的技術支持和供應鏈保障。

為了確保訂單按期交付以及產品質量，imKey 團隊奔赴生產車間，與工人共同奮戰(zhàn)一線。從貼片焊接、物料入庫全檢、焊接、組裝、QC到包裝，整整63個步驟，歷經14天時間，imKey 團隊全程參與，確保 imKey 錢包在生產過程嚴格遵循生產管理規(guī)程，并對產品進行了苛刻的全檢、抽檢，以確保產品達到預期良品率。經過了這一系列的過程，imKey團隊小伙伴們才放心把產品交到用戶手中。

同時，為了避免產品在供應鏈源頭被污染，一方面，錢包加入了防惡意篡改的安全設計，生產期間生產寫入時必須要進行全面校驗，并且產品首次使用時強制激活驗證，這極大提高了產品的安全性，另一方面，用于生產的專用工具由 imKey 團小伙伴使用專用設備現場親自導入生產服務器，確保數據自始至終都沒有被污染。

細節(jié)決定安全，不怕多此一舉

原廠包裝 & 不可逆封條 & 防偽激活驗證

為了預防物流運輸過程中 imKey 被惡意替換，產品做了兩層防護措施，一方面在包裝上采用不可逆封條，一旦撕開后將徹底無法恢復，并且發(fā)貨時必須采用飛天誠信的原廠包裝與膠帶，并約定包裝規(guī)則，作為貨物接收的簽收標準；另一方面產品在首次使用時要強制進行防偽激活驗證，如果是非法設備將會提示用戶。

順豐直郵，安全高效

為了確保貨品交付的安全、高效，imKey 團隊與飛天誠信簽訂協(xié)議，運輸方式采用順豐快遞。同時，imKey 團隊也對外承諾用戶下單后48小時內進行發(fā)貨，除非遇到不可抗力，運輸也同樣采用順豐快遞，以保證運輸的時效性和可靠性。

目前，imKey 團隊尚未授權其他任何個人、團體或公司經銷、代理 imKey 及周邊產品，每一臺 imKey設備均由 imKey 團隊小伙伴親自直郵送達。

專用倉儲，專人負責

目前針對產品倉儲，imKey團隊專門 建有杭州、北京兩個倉庫，充分做好防水、防火、防盜的倉儲管理安全措施，并由專人負責管理，供應鏈安全管理是預防供應鏈攻擊的最重要措施，重在點點滴滴的細節(jié)，安全無小事，imKey 團隊從來不怕「 多此一舉 」，并持續(xù)不斷優(yōu)化精進，只為「 更安全 」。