Аппаратные кошельки - page 36.

FontSeli

hero member

Activity: 1232

Merit: 858

Quote from: johhnyUA on December 22, 2019, 01:20:50 PM

Здесь на самом деле сложная штука, нельзя сразу получить все что хочешь.

Или берешь Трезор и остаешься уверен что Трамп не сворует твои битки, но при этом, при потере Трезора будь готов что битки уйдут к тем,кому хватит ума сдампить память.

Или берешь Леджер, тогда все наоборот.

В жизни нет вещей которые охватывают сразу все. Всегда нужно выбирать.

Напомнило анекдот:
"-Мама, что одеть на первую брачную ночь?
-А что не одень, доченька, все равно вые..т!"

Так если все равно, так может и не нужен тогда этот аппаратник? Cheesy

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: johhnyUA on December 22, 2019, 01:20:50 PM

Здесь на самом деле сложная штука, нельзя сразу получить все что хочешь.

Да ну, это не тот случай

Quote

Или берешь Трезор и остаешься уверен что Трамп не сворует твои битки, но при этом, при потере Трезора будь готов что битки уйдут к тем,кому хватит ума сдампить память.

Passphrase убирает эту уязвимость. Главное, чтобы в STM32 "трамп" не сидел.

Quote

Или берешь Леджер, тогда все наоборот.

Это домыслы, но кто знает?

Quote

В жизни нет вещей которые охватывают сразу все. Всегда нужно выбирать.

Что мешает взять оба и сделать из них мультиподписной кошелек? Wink

johhnyUA

legendary

Activity: 2436

Merit: 1849

Crypto for the Crypto Throne!

Здесь на самом деле сложная штука, нельзя сразу получить все что хочешь.

Или берешь Трезор и остаешься уверен что Трамп не сворует твои битки, но при этом, при потере Трезора будь готов что битки уйдут к тем,кому хватит ума сдампить память.

Или берешь Леджер, тогда все наоборот.

В жизни нет вещей которые охватывают сразу все. Всегда нужно выбирать.

FontSeli

hero member

Activity: 1232

Merit: 858

Quote from: igor72 on December 21, 2019, 12:09:44 PM

Quote from: FontSeli on December 21, 2019, 10:36:07 AM

Я вот очкую пользовать леджер который мне купит родственник и в любом случае буду его проверять. А кто-то готов покупать с рук)
Нафига тогда таким людям леджер если им наплевать на безопасность.

На самом деле пока это только страшилки, о случаях каких-то подделок/модификаций леджера я не слышал. А если прошить перед использованием и внутрь заглянуть, то можно и не волноваться. Но в общем вы правы, конечно - глупо экономить 20 баксов, чтобы рисковать потом потерять в сотни/тысячи раз больше.

Кстати, скорее всего, вам леджер придет еще со старой прошивкой. Я бы на вашем месте сначала инициализировал девайс, потом перепрошил, затем полностью сбросил до заводского состояния и инициализировал заново (с генерацией нового набора 24 слов, который уже записать и надежно спрятать). И только после этого начинать загружать монеты. Генерацию сида можно сделать контролируемой и точно случайной (монеткой, кубиками), но для этого требуется "холодный" комп, иначе лучше не надо.

Я не страдаю паранойей, но уж если брать защищенное устройство, то очень хотел бы быть в нем полностью уверенным. Спасибо за совет, я тут уже обчитался как проверить и как перепрошить. Компов холодных хватает, только вчера пришла очередная партия расберри для экспериментов)

Quote from: igor72 on December 21, 2019, 12:09:44 PM

Quote from: johhnyUA on December 21, 2019, 11:32:06 AM

Также может быть и в Леджер Лайве

Не знаю, может и может, не могу спорить. В любом случае, я согласен, что допускать возможность наличия бэкдора не помешает. Хоть у меня крипты немного, но большую часть держу на мультисиг-кошельке (ledger + electrum), никаким бэкдором не достанут )).

Джонни хорошую мысль высказал. О бэкдорах стоит помнить, и не доверять Леджеру все свои монеты. Однако пока монет нет более чем на миллион долларов я не стал бы беспокоиться что бекдор будет использован.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: FontSeli on December 21, 2019, 10:36:07 AM

Я вот очкую пользовать леджер который мне купит родственник и в любом случае буду его проверять. А кто-то готов покупать с рук)
Нафига тогда таким людям леджер если им наплевать на безопасность.

На самом деле пока это только страшилки, о случаях каких-то подделок/модификаций леджера я не слышал. А если прошить перед использованием и внутрь заглянуть, то можно и не волноваться. Но в общем вы правы, конечно - глупо экономить 20 баксов, чтобы рисковать потом потерять в сотни/тысячи раз больше.

Кстати, скорее всего, вам леджер придет еще со старой прошивкой. Я бы на вашем месте сначала инициализировал девайс, потом перепрошил, затем полностью сбросил до заводского состояния и инициализировал заново (с генерацией нового набора 24 слов, который уже записать и надежно спрятать). И только после этого начинать загружать монеты. Генерацию сида можно сделать контролируемой и точно случайной (монеткой, кубиками), но для этого требуется "холодный" комп, иначе лучше не надо.

Quote from: johhnyUA on December 21, 2019, 11:32:06 AM

Также может быть и в Леджер Лайве

Не знаю, может и может, не могу спорить. В любом случае, я согласен, что допускать возможность наличия бэкдора не помешает. Хоть у меня крипты немного, но большую часть держу на мультисиг-кошельке (ledger + electrum), никаким бэкдором не достанут )).

johhnyUA

legendary

Activity: 2436

Merit: 1849

Crypto for the Crypto Throne!

Quote from: igor72 on December 20, 2019, 07:56:09 AM

Да, расширьте, непонятно.

Ну обход DPI по опережающему запросу происходит таким вот методом: при обращении к скрытому сайту, он выдает один результат, а при обращении к примеру с отправкой пакета "1111" он редиректит тебя совсем в другое место, запрещенное. Это если очень и очень грубо.

Также может быть и в Леджер Лайве: код открыт, все чисто, но при обращении Ledger Live на указанный домен (проверка времени по Токио) и при получении определенного ответа, чип генерирует транзакцию и подтверждает ее, а леджер лайв просто считай наблюдает, для него это как будто пользователь работает. Как то так, грубо, интересно было бы в этом покопаться. Микроконтроллеры в принципе могут делать такие вот штуки, и очень даже просто.

FontSeli

hero member

Activity: 1232

Merit: 858

Quote from: tenant48 on December 20, 2019, 02:28:25 AM

Quote from: FontSeli on December 20, 2019, 02:06:02 AM

А давайте представим, что будет потом со всеми кошельками леджер, да и трезор. Поэтому такой возможностью по пустякам пользоваться не будут. А если и воспользуются, то со всех кошельков не украдут, иначе это будет грандиозный скандал с уголовным преследованием.

Я про это уже писал, что красть мелкие суммы смысла нет, так как красть прийдется у большого количества людей, а это гарантированый скандал на форумах. Хотя почву к таким скандалам они готовят, периодически вбрасывая статьи про мнимую угрозу квантовых компьютеров.
Гораздо проще присваивать средства одиноких пристарелых милионеров, которые периодически умирают и доступа к их средствам уже ни укого нет.

Очень сложно определить кошелек миллионера который умер или который как ленин "всегда молодой". Да и на наследство таких миллионеров очень много ртов, которые своего не упустят и будут разбираться.

Quote from: igor72 on December 21, 2019, 02:12:36 AM

Quote from: ?? on ??

Если не подарить, то можно по продавать, почему бы и нет

Потому что продать трудно, большинство с рук не купит, как бы дешево не стоил.

Я вот очкую пользовать леджер который мне купит родственник и в любом случае буду его проверять. А кто-то готов покупать с рук)
Нафига тогда таким людям леджер если им наплевать на безопасность.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: ?? on ??

Если не подарить, то можно по продавать, почему бы и нет

Потому что продать трудно, большинство с рук не купит, как бы дешево не стоил.

Jes861ter

jr. member

Activity: 224

Merit: 2

Quote from: Panda357 on February 07, 2018, 11:16:18 AM

Решил себе заказать леджер и интересует вопрос,бывали ли случаи когда взламывали аппаратные кошельки?Такое вообще возможно?

Я по крайней мере о таких не слышал, а если и были по неосторожности

Quote from: igor72 on December 19, 2019, 09:05:47 AM

Quote from: grinvd410 on December 19, 2019, 08:54:47 AM

Ну так-то держать 2 кошелька имеет смысл на случай, если один выйдет из строя

Много вы слышали о случаях выхода из строя? Если даже предположить, что один из 1000 бракованный (а я думаю, что брак встречается гораздо реже), то страховкой от такого случая не стоит заморачиваться.

Quote

ну и второй можно подарить кому-нибудь в крайнем случае.

Обычно кому он нужен, тот его уже купил.

Я слышал об одном 1-2 двух случаях, не более. Выходов из строя кошельков. Если не подарить, то можно по продавать, почему бы и нет

tenant48

full member

Activity: 343

Merit: 167

Quote from: marfich97 on December 20, 2019, 11:16:03 AM

Quote from: tenant48 on December 20, 2019, 02:28:25 AM

Quote from: FontSeli on December 20, 2019, 02:06:02 AM

А давайте представим, что будет потом со всеми кошельками леджер, да и трезор. Поэтому такой возможностью по пустякам пользоваться не будут. А если и воспользуются, то со всех кошельков не украдут, иначе это будет грандиозный скандал с уголовным преследованием.

Я про это уже писал, что красть мелкие суммы смысла нет, так как красть прийдется у большого количества людей, а это гарантированый скандал на форумах. Хотя почву к таким скандалам они готовят, периодически вбрасывая статьи про мнимую угрозу квантовых компьютеров.
Гораздо проще присваивать средства одиноких пристарелых милионеров, которые периодически умирают и доступа к их средствам уже ни укого нет.

Много одиноких миллионеров вы знаете, у кого не нашлось ни одного кровного пусть и дальнего родственника и чьи состояния ушли правительствам? Это какая-то небылица, есть огромная очередь на наследства и пусть детей нет, но у родителей могут быть братья или сестры. И миллионеры не дураки и работают с нотариусами по завещаниям еще задолго до того как умрут - у них есть завещания и пароль к заветному леджеру тоже будет где-то записан и после передан в руки наследника, если там конечно большая доля состояния человека.

Милионеров сейчас развелось больше чем бродячих собак, выгляньте в окно и посмотрите сколько машин стоимостью 50 - 100 тыс $, купленых явно не на последние деньги. Многие уходят из жизни совершенно неожидано и просто не успевают передать пароли своим близким, а заранее не передают по причине недоверия. Масса корупционнров скрывают свои доходы даже от своих близких. По этим же причинам пенсионерам в банках дают повышеные проценты по депозитам, так как с достаточно высокой вероятностью деньги останутся там не востребоваными.

marfich97

sr. member

Activity: 1162

Merit: 312

Quote from: tenant48 on December 20, 2019, 02:28:25 AM

Quote from: FontSeli on December 20, 2019, 02:06:02 AM

А давайте представим, что будет потом со всеми кошельками леджер, да и трезор. Поэтому такой возможностью по пустякам пользоваться не будут. А если и воспользуются, то со всех кошельков не украдут, иначе это будет грандиозный скандал с уголовным преследованием.

Я про это уже писал, что красть мелкие суммы смысла нет, так как красть прийдется у большого количества людей, а это гарантированый скандал на форумах. Хотя почву к таким скандалам они готовят, периодически вбрасывая статьи про мнимую угрозу квантовых компьютеров.
Гораздо проще присваивать средства одиноких пристарелых милионеров, которые периодически умирают и доступа к их средствам уже ни укого нет.

Много одиноких миллионеров вы знаете, у кого не нашлось ни одного кровного пусть и дальнего родственника и чьи состояния ушли правительствам? Это какая-то небылица, есть огромная очередь на наследства и пусть детей нет, но у родителей могут быть братья или сестры. И миллионеры не дураки и работают с нотариусами по завещаниям еще задолго до того как умрут - у них есть завещания и пароль к заветному леджеру тоже будет где-то записан и после передан в руки наследника, если там конечно большая доля состояния человека.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: johhnyUA on December 20, 2019, 07:44:18 AM

тоесть твой Леджер - это и закрытое железо и закрытый код. Просто чудесно.

Это никто и не скрывал никогда. Чудесно, не спорю ).

Quote

А то, что Леджер Лайв открыт это такое себе. Как мне кажется, в память чипа вполне можно вшить адрес куда будет отправляться к примеру некий ключ генерации псевдосида (чтобы можно было перегенерировать у себя) если на чип подается некий сигнал. Я попозже более расширено отпишу, читал о похожем варианте для обхода DPI на системе "опережающий запрос" в Китае

Да, расширьте, непонятно.

Только зачем что-то мудрить, если можно просто сделать псевдогенерацию сида - генерировать сид по определенному алгоритму, ограничив число вариантов, скажем, до триллиона? Думаю, как минимум 90% пользователей не заморачиваются использованием 25 слова, а тем более генерацией 24-х слов вне устройства.

johhnyUA

legendary

Activity: 2436

Merit: 1849

Crypto for the Crypto Throne!

Quote from: igor72 on December 18, 2019, 04:36:59 PM

Я ручаться не могу, но производитель утверждает, что закрыто только firmware (операционка BOLOS), а приложения и Ledger Live полностью открыты. У вас другие сведения?

Ну тоесть операционка самого чипа Леджера закрыта, также закрыта операционка STMicroelectronics, тоесть твой Леджер - это и закрытое железо и закрытый код. Просто чудесно.

А то, что Леджер Лайв открыт это такое себе. Как мне кажется, в память чипа вполне можно вшить адрес куда будет отправляться к примеру некий ключ генерации псевдосида (чтобы можно было перегенерировать у себя) если на чип подается некий сигнал. Я попозже более расширено отпишу, читал о похожем варианте для обхода DPI на системе "опережающий запрос" в Китае

tenant48

full member

Activity: 343

Merit: 167

Quote from: FontSeli on December 20, 2019, 02:06:02 AM

А давайте представим, что будет потом со всеми кошельками леджер, да и трезор. Поэтому такой возможностью по пустякам пользоваться не будут. А если и воспользуются, то со всех кошельков не украдут, иначе это будет грандиозный скандал с уголовным преследованием.

Я про это уже писал, что красть мелкие суммы смысла нет, так как красть прийдется у большого количества людей, а это гарантированый скандал на форумах. Хотя почву к таким скандалам они готовят, периодически вбрасывая статьи про мнимую угрозу квантовых компьютеров.
Гораздо проще присваивать средства одиноких пристарелых милионеров, которые периодически умирают и доступа к их средствам уже ни укого нет.

FontSeli

hero member

Activity: 1232

Merit: 858

Quote from: johhnyUA on December 17, 2019, 05:29:18 AM

Quote from: FontSeli on December 17, 2019, 05:09:50 AM

Могу предположить что ваши пару Биткоинов не сильно нужны АНБ.

Ну по такой логике "мне нечего скрывать, я "маленький человек" (как Акакий Акакиевич)" можно вообще никаких действий не предпринимать.
Конкретно мои может и нет. Но сам факт возможности обхода всей этой защиты через бэкдоры в St31 заставляет задуматься, как ни крути. Нажмет Трамп кнопку, и все биткоины из Леджеров отправятся на хранение в Форт Нокс.

А давайте представим, что будет потом со всеми кошельками леджер, да и трезор. Поэтому такой возможностью по пустякам пользоваться не будут. А если и воспользуются, то со всех кошельков не украдут, иначе это будет грандиозный скандал с уголовным преследованием.

Quote from: grinvd410 on December 19, 2019, 08:54:47 AM

Ну так-то держать 2 кошелька имеет смысл на случай, если один выйдет из строя, ну и второй можно подарить кому-нибудь в крайнем случае.

Не вижу смысла держать второй кошелек "на всякий случай". Как подарок такой кошелек тоже так себе. Это как маркер: "я занимаюсь криптой". Не все афишируют свои занятия.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: grinvd410 on December 19, 2019, 08:54:47 AM

Ну так-то держать 2 кошелька имеет смысл на случай, если один выйдет из строя

Много вы слышали о случаях выхода из строя? Если даже предположить, что один из 1000 бракованный (а я думаю, что брак встречается гораздо реже), то страховкой от такого случая не стоит заморачиваться.

Quote

ну и второй можно подарить кому-нибудь в крайнем случае.

Обычно кому он нужен, тот его уже купил.

grinvd410

full member

Activity: 714

Merit: 101

Quote from: FontSeli on December 17, 2019, 05:09:50 AM

Quote from: dwyane36 on December 16, 2019, 12:45:27 PM

Леджер запустили акцию в честь предстоящего рождества. Если покупаешь нано икс, то нано с дают бесплатно.
https://shop.ledger.com/products/ledger-christmas-pack
На черную пятницу скидки явно лучше были.

Такая возможность может быть востребована только у перекупов. Зачем мне два кошелька пусть даже и по цене одного самого дорогого? На одном кошельке могут уместиться все монеты которые есть у вас в наличии.

Ну так-то держать 2 кошелька имеет смысл на случай, если один выйдет из строя, ну и второй можно подарить кому-нибудь в крайнем случае.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: johhnyUA on December 18, 2019, 01:47:00 PM

Код ledger-a вообще то не опенсорсный, а partial open.

Я ручаться не могу, но производитель утверждает, что закрыто только firmware (операционка BOLOS), а приложения и Ledger Live полностью открыты. У вас другие сведения?

Quote

Тоесть даже в нем есть хитрости, и не все можно увидеть.

Какие?

johhnyUA

legendary

Activity: 2436

Merit: 1849

Crypto for the Crypto Throne!

Quote from: igor72 on December 18, 2019, 02:22:49 AM

Внутри девайса можно много чего натворить, это понятно. Можно генерировать сид по определенному алгоритму, можно выводить на дисплей любую информацию, можно кнопки "нажимать". Но это слишком грубо и очевидно (кроме сида). Мне интересно другое - можно ли секреты незаметно передать наружу через usb? Насколько я понимаю, такую передачу может инициировать только host-устройство, а на компе с аппаратником взаимодействует опенсорсный софт. Нужно между ними что-то в драйвер внедрять, так получается?

Код ledger-a вообще то не опенсорсный, а partial open. Тоесть даже в нем есть хитрости, и не все можно увидеть. Код блокчейн инфо тоже partial open если что. Ну аналогия понятная, я думаю .

tenant48

full member

Activity: 343

Merit: 167

Quote from: igor72 on December 18, 2019, 02:22:49 AM

Вы это знаете, так расскажите, какими нужно обладать, и какими они обладают? С интересом почитаю, хотя это не доказывает наличие бэкдоров в алгоритме.

Какими они обладают ресурсами можно судить только косвено, исходя из выделяемых им бюджетов, которые легко нагуглить: https://ru.m.wikipedia.org/wiki/Агентство_национальной_безопасности
Так же знаю, что дураков там не держат, и от знакомых програмистов работающих в США слышал, что средние зарплаты програмистов там около 300$ в час.
Так что можете не особо не переживать за сохранность своих средств. Сумы, которые хранят на кошельках обычные люди их не интересуют.
А доказать наличие бэкдоров кроме них самих вам врядли ктото сможет. Но предполагать что их там нет так же наивно, как думать, что биткоин самостоятельно создал некий мифический Сатоши Накамото, который сам обладал отличными знаниями по криптографии, сетевыми технологиями, да еще и умудрился толкнуть капитализацию мусорного актива на сотни миллиардов долларов

Topic: Аппаратные кошельки - page 36. (Read 154216 times)