top of page

TECNOLOGIA E STACK

Listagem de tecnologias, ferramentas, softwares e componentes de hardware utilizados no sistema Cuvex de Recuperação da seed phrase, Criptografada e Hardware Wallet com Duplo AirGap (PSBT)

Diagram

Compilamos as informações com máxima atenção aos detalhes, explorando cuidadosamente os principais aspectos que compõem este dispositivo disruptivo: as características essenciais dos componentes, detalhes dos fluxos de trabalho do software e observações importantes sobre os mecanismos de segurança implementados.

Com o objetivo de oferecer total transparência quanto à implementação da solução, incluímos o identificador do fabricante de cada componente de hardware. Isso permitirá que você realize suas próprias pesquisas sobre cada um deles.

Na imagem a seguir, é possível visualizar o diagrama de alto nível que reúne os principais componentes de Hardware e Software, assim como os elementos externos e os atores que compõem o sistema.

Component_diagram_cuvex
Component_diagram_cuvex
Component_diagram_cuvex

  • O CORAÇÃO DO SISTEMA

    Último modelo da série STM32 da STMicroelectronics, o STM32U585.

    Último modelo da série STM32 da STMicroelectronics, o STM32U585.

    Este microcontrolador é baseado na arquitetura ARM Cortex-M, com um design especialmente desenvolvido para atender aos mais altos padrões de segurança, voltado para as exigências dos setores de defesa e aeronáutica. Ele oferece desempenho eficiente com consumo mínimo de energia. Entre suas principais características, destacam-se:
     

    • 2 unidades de coprocessador AES.

    • Alta resistência a técnicas de Análise de Potência Diferencial (Differential Power Analysis).

    • Acelerador de hardware para funções HASH.

    • Interfaces de entrada/saída e memória seguras (Arm® TrustZone®).

    • Caminho confiável graças à entrada exclusiva de boot e à Área de Proteção Oculta Segura (Secure Hidden Protection Area – HDP).

    • Instalação segura de firmware (Secure Firmware Installation – SFI) com serviços de raiz segura integrados (Secure Root Services – RSS).

    • Armazenamento seguro de dados com chave de hardware única (Hardware Unique Key – HUK).
       

    Em resumo, este componente de nível militar foi integrado ao seu Cuvex para proporcionar as mais avançadas capacidades do mercado em criptografia e segurança computacional. Isso confere ao seu dispositivo a capacidade de realizar criptografia a frio e gerenciar dados com altíssimo nível de proteção.

  • DESIGN PARA NÃO ARMAZENAR DADOS NO DISPOSITIVO

    Memória totalmente protegida 

    O Cuvex foi projetado para nunca armazenar dados na memória do dispositivo. O seu segredo mais valioso passa pelo dispositivo apenas de forma temporária, para ser processado e convertido em um criptograma, que é então transferido para um cartão via NFC. Assim que qualquer processo é concluído, a memória é limpa. Da mesma forma, ao cortar a alimentação ou reiniciar o dispositivo, um reset completo da memória é automaticamente executado.

    Com o modo TrustZone ativado baseado na segurança por marcação d'água não volátil, securitização de controle de acesso e ocultação via HDP (Hidden Protection Area) a memória permanece totalmente protegida. Além disso, para proteção contra leitura, foi definido o nível RDP 2, estabelecido pelo próprio fabricante.

    Isso significa que funções de depuração, boot em RAM e seleção do bootloader são permanentemente desativadas, o que é irreversível, tornando o dispositivo inalterável e bloqueado contra qualquer tentativa de destravamento. Com isso, o hardware se torna inutilizável para qualquer outro propósito e todo o conteúdo da memória torna-se inacessível a qualquer intruso.

    Em resumo:

    • Nenhum dado é armazenado em memória não volátil.

    • A memória volátil é protegida, com conteúdo criptografado e apagado automaticamente ao final de qualquer fluxo ou ao desligar/ligar o dispositivo.

    • O dispositivo é bloqueado de fábrica, evitando qualquer forma de violação física ou lógica.

  • INTEGRAÇÃO DE COMPONENTES SEGUROS

    Modelo ST, STM32WB5MMG

    Mantendo o compromisso de integrar os componentes mais seguros disponíveis no mercado, para o módulo de comunicação via Bluetooth optamos pelo modelo da ST, o STM32WB5MMG. Entre suas funcionalidades de segurança mais relevantes, destacam-se:

    • Serviços de gerenciamento de chaves / armazenamento de chaves do cliente, PKA, AES de 256 bits, TRNG, PCROP, CRC e UID de 96 bits.

    • Capacidade de derivar UEI de 48 bits a partir de 802.15.4 e Bluetooth® Low Energy.

    • Suporte a Bluetooth® Low Energy 5.4, Zigbee® 3.0 com certificação OpenThread.

    Em termos operacionais, este módulo só é ativado durante o processo de atualização de firmware do Cuvex, garantindo que ele permaneça indisponível durante qualquer outra operação. De fato, o próprio dispositivo realiza uma verificação antes de iniciar qualquer processo e, se detectar o módulo ativado, a ação é imediatamente abortada.

    O cliente também pode verificar a atividade do módulo. Um LED azul visível na parte frontal do CASE indica quando o Bluetooth está ativo, permitindo que o usuário acompanhe o status da conectividade em tempo real. Este LED é parte física do próprio módulo Bluetooth e acende somente quando há alimentação elétrica, impossibilitando sua adulteração para gerar falsos negativos.

    Quanto ao pareamento, foi definido um protocolo específico para a comunicação de pacotes com o App Cuvex, utilizando o modo LE Secure Connection, com rejeição explícita ao Legacy Pairing, devido aos riscos de segurança associados.

    No que se refere à troca de chaves de sessão (link key), a opção "Just Works" foi descartada. O protocolo exige proteção contra ataques MITM, com base em um PIN entrópico, além de exigir a exclusão das chaves trocadas após o encerramento da conexão.

    Por fim, a potência do sinal foi calibrada para um alcance inferior a um metro, mitigando qualquer tentativa de acesso remoto não autorizado ao dispositivo. E embora o módulo ofereça suporte ao sistema Secure Firmware Installation (SFI), essa função encontra-se desativada por padrão, bloqueando possíveis vetores de risco à segurança.

  • MÓDULO PARA OS PROCESSOS DE CRIPTOGRAFAR, DESCRIPTOGRAFAR

    E CLONAR

    Transdutor CR95HF - RFID

    Para leitura e gravação dos cartões NFC, optamos pelo transdutor RFID CR95HF (parte da família ST25), especialmente desenvolvido para soluções contactless na indústria de meios de pagamento. Este componente é responsável pela codificação e decodificação de quadros em aplicações de Near Field Communication (NFC), permitindo a detecção, leitura e gravação de tags dos Tipos 1, 2, 3 e 4 conforme o padrão NFC Forum.

    O módulo NFC é ativado apenas nas etapas finais dos processos "Encrypt" e "Clone", quando o criptograma já se encontra dentro do elemento de memória segura e está pronto para ser gravado em uma TAG NFC CUVEX, ou no início do processo "Decrypt", quando o conteúdo de uma TAG deve ser lido. Todo esse controle é gerenciado diretamente pelo microcontrolador, em conjunto com os elementos de segurança da memória previamente descritos.

    Vale destacar que todo o conteúdo trafegado entre o controlador NFC e o microcontrolador (e vice-versa) é sempre criptografado, pois trata-se do criptograma gerado em uma das funções do dispositivo Cuvex. Dessa forma, não há risco de exposição de dados sensíveis em nenhuma circunstância.

  • VERSÃO COM DOIS TIPOS DE NFC TAG

    MIFARE DESFIRE EV1 8K E NTAG216 888 BYTES

    Os cartões Cuvex, nos quais você armazena seus criptogramas, estão disponíveis em duas versões de NFC TAGs: uma do tipo MIFARE DESFIRE EV1 8K e outra do tipo NTAG216 com 888 Bytes. Trata-se de cartões NFC passivos, ou seja, não possuem bateria nem fonte de alimentação interna; a energia necessária para ativação é fornecida pelo transdutor RFID. Esse processo ocorre a distâncias extremamente curtas (na escala de milímetros), impedindo que outros dispositivos fora do alcance consigam interagir com o TAG.

    O cartão armazena uma série de metadados necessários para a comunicação com o dispositivo Cuvex e, naturalmente, o criptograma contendo seu segredo criptografado com AES 256, o que torna ineficazes ataques criptográficos contra ele.

    A durabilidade dos cartões Cuvex é reforçada por diversos fatores: a resistência física do material utilizado, a qualidade da impressão, o método de armazenamento e o manuseio no ambiente real de uso. Todos esses elementos proporcionam uma vida útil estimada em cerca de 10 anos ou 15.000 ciclos, o que representa um excelente custo-benefício como meio de backup seguro.

    De qualquer forma, o App Cuvex se encarregará de lembrar você sobre o tempo restante de vida útil do cartão, permitindo que, conforme as boas práticas, você realize a renovação periódica das cópias.

    Para preservar a integridade dos dados armazenados, recomenda-se o uso de uma Gaiola de Faraday para guardar os cartões NFC. Essa proteção evita interferências eletromagnéticas, indução de corrente ou distúrbios elétricos, sejam eles provocados por fenômenos naturais (como tempestades solares) ou por tentativas maliciosas de terceiros.

  • INTERFACE PRINCIPAL DE COMUNICAÇÃO

    Controlador de toque capacitivo FT5446DQS

    A tela atua como interface principal de comunicação com o cliente, motivo pelo qual escolhemos o controlador capacitivo FT5446DQS. Trata-se de uma solução single-chip com uma unidade de microcontrolador (MCU) avançada integrada, que oferece os benefícios da tecnologia de varredura em modo comum em tela cheia, tempo de resposta rápido e alto nível de precisão.

    A tela possui 4 polegadas, oferecendo conforto ao usuário, com uma interface intuitiva (UIX) baseada em telas de navegação simples e com teclado alfanumérico em layout semelhante ao de dispositivos móveis, o que permite que o usuário se sinta familiarizado com a interface desde o primeiro uso.

    Na primeira versão do Firmware, a captura de dados aceita entrada de texto plano ou palavras chave conforme o padrão BIP39, com funcionalidades de autocompletar e validação por dicionário, que contribuem para a segurança e tranquilidade do usuário ao inserir suas palavras. Atualizações para os dicionários Monero e Shamir serão publicadas em breve.

    Assim como ocorre com qualquer outro componente do sistema, ao cortar a alimentação elétrica, a tela é imediatamente desligada e toda a memória é reiniciada, garantindo que nenhuma informação possa ser recuperada por intrusos.

  • CÓDIGO 100% VERIFICÁVEL

    Atualização de firmware via aplicativo móvel cuvex

    O firmware atua como o mestre de cerimônias, orquestrando todas as funcionalidades disponibilizadas ao cliente. Desde o manuseio dos cartões até os processos de criptografar, descriptografar e clonar, todos esses fluxos são definidos e executados com base nas linhas de código do firmware, que fornecem as instruções apropriadas para cada um dos componentes anteriormente descritos.

    Mas fique tranquilo: o algoritmo que criptografa seu segredo não está definido aqui. Como já mencionamos, esse processo é realizado a frio, baseado em hardware. O que o firmware faz é utilizar as APIs do microcontrolador para executar as funções criptográficas expostas por ele, seguindo a sequência lógica dos passos para:

    • capturar os dados inseridos pela tela,

    • convertê-los em um criptograma (com o poder do seu STM32U585),

    • e transmiti-los para seu cartão NFC por meio do transdutor NFC/RFID CR95HF.

    Se essa explicação despertou ainda mais o seu interesse, então você é um verdadeiro custodiante. Para que possa verificar por conta própria tudo o que dissemos, o código-fonte completo do Firmware está disponível neste link. Nosso código é 100% verificável, aberto, editável, e você mesmo pode compilá-lo. Incluímos também informações adicionais sobre esse processo na seção “Criptografia” deste documento.

    A atualização do Firmware é realizada através do aplicativo móvel da Cuvex, utilizando o canal Bluetooth previamente descrito. Dessa forma, o seu celular funciona como um “Firewall”, abstraindo tudo o que se refere ao download da atualização da internet.

    Em resumo:

    • o App notificará quando houver uma nova atualização,

    • ela será baixada para o elemento seguro do seu smartphone,

    • e, uma vez pareado via Bluetooth, o binário será transferido com segurança para o seu dispositivo Cuvex.

     

    É importante destacar que, antes de gravar o novo firmware no dispositivo, é realizada uma validação da integridade e autenticidade do software com base em uma assinatura digital. Isso garante que nenhum outro software e/ou versão adulterada possa ser executada no seu Cuvex. Caso o dispositivo detecte qualquer anomalia, ele automaticamente reinicia e retorna ao modo de fábrica, solicitando a instalação de um binário válido.

  • O PAPEL FUNDAMENTAL DO BOOTLOADER

    Ele atua como um guardião

    Se o firmware é o pianista, o bootloader é o afinador do piano. Este software é responsável por preparar os elementos básicos para que o firmware funcione corretamente, garantindo a integridade do hardware e impedindo a instalação de qualquer software não autorizado.

    Uma de suas funções mais importantes é ser a única entidade com permissão para gerenciar o controlador Bluetooth. Isso significa que nenhum processo de software fora do bootloader pode ativar ou utilizar o módulo Bluetooth.

    Ao iniciar o dispositivo, o bootloader verifica se há uma instância válida do firmware. Caso não exista, ele apaga completamente a partição de memória destinada ao aplicativo de firmware, ativa o modo de atualização, liga o módulo Bluetooth e entra em um loop de espera, aguardando que um novo firmware seja gravado na memória dedicada.

    De forma semelhante, quando o usuário inicia a função de atualização, o firmware instalado apaga sua assinatura verificada, o que aciona automaticamente a exclusão total da memória onde está instalado, forçando o dispositivo a operar novamente sob o controle do bootloader.

    Outra função crítica do bootloader é validar a assinatura digital do software antes de sua execução, utilizando para isso a função criptográfica RSA exposta pelo microcontrolador. Caso o conteúdo do firmware a ser instalado tenha sido alterado e/ou não esteja assinado com a chave privada da Cuvex, o bootloader apaga o binário e retorna ao estado de fábrica, aguardando uma nova atualização legítima.

    Em resumo, podemos afirmar que o bootloader atua como um software de recuperação de fábrica, que só permite a instalação de firmwares assinados pela Cuvex e isola o acesso ao canal de comunicação Bluetooth.

  • POLÍTICA DE CONHECIMENTO ZERO

    ttalmente desenvolvido com código nativo

    Construído sob uma política de conhecimento zero e projetado segundo os mais altos padrões de segurança computacional, o App Cuvex oferece uma variedade de funções complementares tanto para os proprietários de um dispositivo Cuvex quanto para quem deseja migrar para uma verdadeira autocustódia soberana.

    Uma das principais funções do aplicativo é fornecer ao dispositivo Cuvex as atualizações mais recentes de firmware, atuando como intermediário entre os serviços de download e o dispositivo de criptografia a frio. Ele funciona como um Firewall, garantindo a comunicação exclusiva com os serviços oficiais de fábrica e enviando o binário por um canal BL alternativo com criptografia P2P. Isso assegura que seu Cuvex nunca esteja exposto à internet e que toda comunicação ocorra de forma segura com o aplicativo oficial publicado nas lojas de plataformas.

    O app é totalmente desenvolvido com código nativo, aproveitando os frameworks das plataformas iOS e Android, e seguindo as melhores práticas de segurança da informação. Entre os controles implementados, destacam-se a detecção de funções de comunicação BL/Wi-Fi e a presença de SIM Card no dispositivo. Esses controles são ativados em processos críticos, impedindo a continuidade de ações quando não se cumprem os requisitos de segurança.

    Outras funcionalidades do App Cuvex:

    Criação de Wallet BTC: Permite que você mesmo gere a entropia da sua seed phrase, por meio do processo de dados e moedas para as primeiras 23 palavras. Além disso, o App calcula a 24ª palavra e gera as chaves pública e privada. O resultado é uma wallet não gerada por software de terceiros e totalmente independente (liberdade real). Você não precisa de mais nada: com isso, já pode custodiar seus satoshis.
    Não se esqueça de criptografar sua seed phrase, e suas chaves com o seu Cuvex.

    Verificação de Saldo da Wallet: Este serviço inovador envia notificações em tempo real sobre qualquer movimentação na blockchain relacionada às suas wallets um verdadeiro guardião dos seus criptoativos. O melhor: você só precisa registrar a chave pública (Xpub) da sua Wallet. Além disso, em conformidade com a política de conhecimento zero, é impossível estabelecer qualquer vínculo entre usuários e chaves públicas (na verdade, não temos nenhum dado sobre os usuários do App).

    Gestão dos Cartões Cuvex: Serviços de suporte para gerenciar os cartões onde você armazena seus segredos. Com o App, é possível associar informações de identificação aos cartões sem precisar rotulá-los fisicamente, evitando uma prática de segurança frágil. O aplicativo também oferece tarefas de lembrete programadas para garantir a consistência e a longevidade do criptograma.

    Comunicações via TOR: O App possui um cliente próprio de conexão à rede TOR, garantindo privacidade total nas chamadas externas. Isso reforça ainda mais processos como a verificação de saldo e os alertas de movimentação da wallet.

  • A ROBUSTEZ DO AES256

    Reconhecimento global, adotado por entidades militares e governamentais

    Os fluxos de criptografia e descriptografia disponibilizados aos usuários utilizam o algoritmo de criptografia simétrica AES 256 GCM, o padrão de criptografia mais reconhecido globalmente, adotado pela grande maioria das instituições militares e governamentais.

    Desde sua padronização em 2001, o AES passou por exaustivas análises e auditorias criptográficas, com sua consistência e robustez sendo constantemente reafirmadas pela comunidade científica e de segurança da informação. Na prática, nem mesmo os computadores quânticos do futuro conseguirão obter a vantagem quântica necessária para quebrar sua segurança por meio de cálculos de força bruta.

    No seu dispositivo Cuvex, esse algoritmo é implementado diretamente no hardware. Para isso, o microcontrolador conta com unidades dedicadas de processamento AES, que não apenas aceleram os cálculos, como também eliminam a necessidade de intervenção do software nesses processos. Isso garante maior segurança, integridade e velocidade nas operações criptográficas realizadas pelo dispositivo.

    Encryption_process_Cuvex

    No que diz respeito à assinatura digital do Firmware, o algoritmo assimétrico RSA foi escolhido. Novamente, a implementação é baseada em hardware, capaz de lidar com o par de chaves para validação de assinatura digital e funções de CRC e HASH para geração de impressões digitais. Com a Chave Privada, os serviços da Cuvex assinam o binário instalado no dispositivo. Com a chave pública, o próprio dispositivo pode verificar a autoria do software. Além disso, a integridade do software é verificada usando SHA256.

    Vale mencionar que estamos cientes de que o RSA, como qualquer outro padrão de criptografia assimétrica, tem seus dias contados com o advento da computação quântica, que demonstrou que o trabalho de força bruta é exponencialmente reduzido ao tentar encontrar a chave privada a partir da pública. Sabendo que o Y2Q (Years to Quantum) está a menos de uma década de distância, nosso backlog já inclui a implementação do algoritmo Crystal Dilithium, projetado para a era pós-quântica.

    Outro recurso interessante a destacar é a capacidade de gerar dados aleatórios. O microcontrolador possui seu próprio gerador chamado RNG (True Random Number Generator) que fornece saídas totalmente entrópicas a partir de uma fonte analógica, em conformidade com o NIST SP 800-90B como uma fonte válida de entropia e, portanto, pode ser usado como um gerador não determinístico de bits aleatórios.

    Isso é particularmente relevante para processos como o pareamento via Bluetooth, onde o processo de entrada do PassKey é baseado na geração de um PIN a partir do dispositivo Cuvex que, sendo verdadeiramente entrópico, impede ataques baseados em dicionários e/ou força bruta.

bottom of page