Pages:
Author

Topic: Аппаратные кошельки - page 37. (Read 154352 times)

full member
Activity: 343
Merit: 167
December 18, 2019, 09:45:47 AM
Вы это знаете, так расскажите, какими нужно обладать, и какими они обладают? С интересом почитаю, хотя это не доказывает наличие бэкдоров в алгоритме.
Какими они обладают ресурсами можно судить только косвено, исходя из выделяемых им бюджетов, которые легко нагуглить: https://ru.m.wikipedia.org/wiki/Агентство_национальной_безопасности
Так же знаю, что дураков там не держат, и от знакомых програмистов работающих в США слышал, что средние зарплаты програмистов там около 300$ в час.
Так что можете не особо не переживать за сохранность своих средств. Сумы, которые хранят на кошельках обычные люди их не интересуют.
А доказать наличие бэкдоров кроме них самих вам врядли ктото сможет. Но предполагать что их там нет так же наивно, как думать, что биткоин самостоятельно создал некий мифический Сатоши Накамото, который сам обладал отличными знаниями по криптографии, сетевыми технологиями, да еще и умудрился толкнуть капитализацию мусорного актива на сотни миллиардов долларов Smiley
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 18, 2019, 03:32:35 AM
Во-первых, ничего надежнее еще не придумали.
Придумали - холодные кошельки.
Quote
Во-вторых, если злоумышленники не получат их в руки, ваши крипто-активы, скорее всего, не потеряются
Этот тезис у вас противоречит фразе про беспомощность устройств при физической атаке. Кстати, в случае трезора (и клонов) при физическом доступе 24 слова действительно можно извлечь.
Quote
В-третьих, производители выводят на рынок новые решения для защиты средств пользователей: биометрия, геолокация, смарт-карты, новые алгоритмы шифрования.
При чем тут аппаратные кошельки?

Спасибо за содержательную картинку на полстраницы.
full member
Activity: 390
Merit: 106
Mining-Cryptocurrency.ru
December 18, 2019, 02:58:18 AM
Безопасны ли аппаратные криптокошельки? Уязвимости и меры предосторожности.

Аппаратные кошельки могут защитить средства клиентов от наиболее распространенных атак: вирусов, вредоносных программ и хакеров. При этом устройства так же беспомощны, как и любые другие кошельки, когда речь заходит о защите устройств клиентов от физических атак.

Но не торопитесь выбрасывать свой аппаратный кошелек или искать ему альтернативу, поскольку:
  • Во-первых, ничего надежнее еще не придумали.
  • Во-вторых, если злоумышленники не получат их в руки, ваши крипто-активы, скорее всего, не потеряются.
  • В-третьих, производители выводят на рынок новые решения для защиты средств пользователей: биометрия, геолокация, смарт-карты, новые алгоритмы шифрования.

Какие меры предосторожности нужно соблюдать при работе с аппаратными кошельками?

Читать подробнее: https://mining-cryptocurrency.ru/naskolko-bezopasny-apparatnye-kriptokoshelki/
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 18, 2019, 02:22:49 AM
[...]
Внутри девайса можно много чего натворить, это понятно. Можно генерировать сид по определенному алгоритму, можно выводить на дисплей любую информацию, можно кнопки "нажимать". Но это слишком грубо и очевидно (кроме сида). Мне интересно другое - можно ли секреты незаметно передать наружу через usb? Насколько я понимаю, такую передачу может инициировать только host-устройство, а на компе с аппаратником взаимодействует опенсорсный софт. Нужно между ними что-то в драйвер внедрять, так получается?

Вы вообще представляете какими нужно обладать техническими ресурсами, чтобы проводить эксперементы с функциями типа SHA2 и пытаться изучать ихние колизии?
Вы это знаете, так расскажите, какими нужно обладать, и какими они обладают? С интересом почитаю, хотя это не доказывает наличие бэкдоров в алгоритме.
full member
Activity: 343
Merit: 167
December 18, 2019, 02:12:19 AM
Опять домыслы.
Это не домыслы а банальная логика. Вы вообще представляете какими нужно обладать техническими ресурсами, чтобы проводить эксперементы с функциями типа SHA2 и пытаться изучать ихние колизии?
Quote
Нет смысла спорить без аргументов. Считаете "дырявыми" леджер/трезор, есть и холодные аппаратники (типа ellipal), где утечка ключей исключена в принципе. Продаются в том числе и в США, кстати.
Я считаю из "дырявыми" только для АНБ и самих производителей, но меня это не очень сильно беспокоит так как суммы которые я там храню их врядли заинтересуют.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
December 17, 2019, 05:09:24 PM
Давайте пофантазируем и допустим, что в леджере стоит бэкдор. Какие действия он может исполнить? Единственное, что я могу придумать, так это генерация неслучайных сидов (против такого бэкдора достаточно сгенерировать сид самому или добавить хороший пароль). В возможность через USB достать наружу секреты я не верю, да и это требовало бы взаимодействия с десктопным ПО, которое open source и контролируется.


Да любые. Там чип закрыт, понимаешь? Защищен от атаки по таймингу, от атаки на основе света (когда светят ультрафиолетом на участки чипа и смотрят на сигналы), от реверсивной инженерии. К примеру при попытке найти "сердце" чипа и просверлить к нему дырочку для дальнейшего считывания прямо с железа, чипу хватает мозгов чтобы самоочиститься (удалить всю информацию). А думаешь ему не хватит мозгов при нужном сигнале выдать все свое содержимое? Учитывая что команда будет на пару бит, или даже просто в нужное место посветить лучом определенной длинны волны и все, вуаля.

Притом, что возможности позволяют: Вот картинка (правда ST32, но тоже секьюрного чипа) того, что является начинкой таких чипов - https://www.st.com/en/secure-mcus/st32-arm-core.html

Там и внутренний CPU, и power management, и clock, и trng (ну генератор рандома). И что в них зашито только богу известно. А размеры этих секций довольно большие, от пары килобайт (не байт, а тысяч байт !!!) до хрен знает каких размеров. Туда можно хоть гим США и портрет Трампа зашить. А так как код закрыт, и взламывать их по лицензии нельзя (иначе компания оставляет право хоть в суд на тебя подать) то остается только надеяться на честность разработчиков.

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 17, 2019, 04:17:40 PM
просто так там ничего разрабатывать не будут.
Опять домыслы.
Quote
Кроме того зачем им бэкдоры ко всем криптовалютам, если достаточно иметь доступ к приватным ключам через "дырявые" кошельки" или технологии которые в них применяются.
Нет смысла спорить без аргументов. Считаете "дырявыми" леджер/трезор, есть и холодные аппаратники (типа ellipal), где утечка ключей исключена в принципе. Продаются в том числе и в США, кстати.
full member
Activity: 343
Merit: 167
December 17, 2019, 01:03:21 PM
Вы намекаете, что все подобные устройства, продаваемые в США имеют бэкдоры АНБ? Я с этим не согласен, это необоснованные домыслы.
Я в этом вообще не сомневаюсь, данные кошельки хорошо спасают от доморощеных хакеров, у котрых в принципе отсутствует доступ к серьезным многомилионным техническим ресурсам. Если бы у АНБ были какието проблемы с этими кошельками, то как минимум их запретили бы продавать на територии США, как максимум этим компаниям устроили международную травлю с последующей посадкой ихних руководителей.
Ну, тогда из вашей логики следует, что ECDSA, SHA2 и криптовалюты в целом имеют бэкдоры АНБ, иначе их не допустили бы в США.
SHA2 это разработка АНБ, а просто так там ничего разрабатывать не будут.
Что касается криптовалют в целом, то здесь не все так однозначно, со многими американцы активно борятся, особенно с анонимными. Кроме того зачем им бэкдоры ко всем криптовалютам, если достаточно иметь доступ к приватным ключам через "дырявые" кошельки" или технологии которые в них применяются.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 17, 2019, 12:42:27 PM
Вы намекаете, что все подобные устройства, продаваемые в США имеют бэкдоры АНБ? Я с этим не согласен, это необоснованные домыслы.
Я в этом вообще не сомневаюсь, данные кошельки хорошо спасают от доморощеных хакеров, у котрых в принципе отсутствует доступ к серьезным многомилионным техническим ресурсам. Если бы у АНБ были какието проблемы с этими кошельками, то как минимум их запретили бы продавать на територии США, как максимум этим компаниям устроили международную травлю с последующей посадкой ихних руководителей.
Ну, тогда из вашей логики следует, что ECDSA, SHA2 и криптовалюты в целом имеют бэкдоры АНБ, иначе их не допустили бы в США.
full member
Activity: 343
Merit: 167
December 17, 2019, 12:22:58 PM
Если подобные устройства свободно продаются на територии соединеных штатов значит АНБ это устраивает. Выводы делайте сами.
Какие выводы? Вы намекаете, что все подобные устройства, продаваемые в США имеют бэкдоры АНБ? Я с этим не согласен, это необоснованные домыслы.
Я в этом вообще не сомневаюсь, данные кошельки хорошо спасают от доморощеных хакеров, у котрых в принципе отсутствует доступ к серьезным многомилионным техническим ресурсам. Если бы у АНБ были какието проблемы с этими кошельками, то как минимум их запретили бы продавать на територии США, как максимум этим компаниям устроили международную травлю с последующей посадкой ихних руководителей.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 17, 2019, 11:25:06 AM
Если подобные устройства свободно продаются на територии соединеных штатов значит АНБ это устраивает. Выводы делайте сами.
Какие выводы? Вы намекаете, что все подобные устройства, продаваемые в США имеют бэкдоры АНБ? Я с этим не согласен, это необоснованные домыслы.
full member
Activity: 343
Merit: 167
December 17, 2019, 08:46:49 AM
Но сам факт возможности обхода всей этой защиты через бэкдоры в St31 заставляет задуматься, как ни крути. Нажмет Трамп кнопку, и все биткоины из Леджеров отправятся на хранение в Форт Нокс.
Давайте пофантазируем и допустим, что в леджере стоит бэкдор. Какие действия он может исполнить? Единственное, что я могу придумать, так это генерация неслучайных сидов (против такого бэкдора достаточно сгенерировать сид самому или добавить хороший пароль). В возможность через USB достать наружу секреты я не верю, да и это требовало бы взаимодействия с десктопным ПО, которое open source и контролируется.

Если подобные устройства свободно продаются на територии соединеных штатов значит АНБ это устраивает. Выводы делайте сами.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 17, 2019, 07:33:35 AM
Но сам факт возможности обхода всей этой защиты через бэкдоры в St31 заставляет задуматься, как ни крути. Нажмет Трамп кнопку, и все биткоины из Леджеров отправятся на хранение в Форт Нокс.
Давайте пофантазируем и допустим, что в леджере стоит бэкдор. Какие действия он может исполнить? Единственное, что я могу придумать, так это генерация неслучайных сидов (против такого бэкдора достаточно сгенерировать сид самому или добавить хороший пароль). В возможность через USB достать наружу секреты я не верю, да и это требовало бы взаимодействия с десктопным ПО, которое open source и контролируется.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
December 17, 2019, 05:29:18 AM
Могу предположить что ваши пару Биткоинов не сильно нужны АНБ.

Ну по такой логике "мне нечего скрывать, я "маленький человек" (как Акакий Акакиевич)" можно вообще никаких действий не предпринимать.
Конкретно мои может и нет. Но сам факт возможности обхода всей этой защиты через бэкдоры в St31 заставляет задуматься, как ни крути. Нажмет Трамп кнопку, и все биткоины из Леджеров отправятся на хранение в Форт Нокс.
hero member
Activity: 1232
Merit: 858
December 17, 2019, 05:09:50 AM
Леджер запустили акцию в честь предстоящего рождества. Если покупаешь нано икс, то нано с дают бесплатно.
https://shop.ledger.com/products/ledger-christmas-pack
На черную пятницу скидки явно лучше были.

Такая возможность может быть востребована только у перекупов. Зачем мне два кошелька пусть даже и по цене одного самого дорогого? На одном кошельке могут уместиться все монеты которые есть у вас в наличии.



Решение делать такую конструкцию, было решением Леджера, их никто не заставлял. Речь о том, что поставщик этой всей электроники, компания STMicroelectronics, вполне может быть под колпаком того же АНБ. Если вдаваться в параною уж очень сильно, то и в STM32 могут бэкдоры заложить, в самую нижнюю память - bootROM и заметить это без спец оборудования и реверсивной инженерии никак нельзя (об этом сообщил толковый ньюбай десяток страниц тому назад).

Но более вероятен вариант что черные ящички именно в таких закрытых чипах.

Могу предположить что ваши пару Биткоинов не сильно нужны АНБ.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
December 16, 2019, 01:22:29 PM
Почему гос власти и спецслужбы не надавили на Трезор установить такой же чип ST31?

Решение делать такую конструкцию, было решением Леджера, их никто не заставлял. Речь о том, что поставщик этой всей электроники, компания STMicroelectronics, вполне может быть под колпаком того же АНБ. Если вдаваться в параною уж очень сильно, то и в STM32 могут бэкдоры заложить, в самую нижнюю память - bootROM и заметить это без спец оборудования и реверсивной инженерии никак нельзя (об этом сообщил толковый ньюбай десяток страниц тому назад).

Но более вероятен вариант что черные ящички именно в таких закрытых чипах.
legendary
Activity: 3080
Merit: 2330
December 16, 2019, 12:45:27 PM
Леджер запустили акцию в честь предстоящего рождества. Если покупаешь нано икс, то нано с дают бесплатно.
https://shop.ledger.com/products/ledger-christmas-pack
На черную пятницу скидки явно лучше были.
hero member
Activity: 1232
Merit: 858
December 16, 2019, 05:51:29 AM
Будем надеяться что Леджер намного надежнее. Но при этом лучше исходить из того, что нет надежных на 100% систем и устройств.

А Трезор думает по другому. не доверяют властям. У Леджера есть защищенный чип ST31, где собственно все и хранится. Так вот, Антонопулус писал, что учитывая уровень давления гос власти и спецслужб на производителей, в таких чипах где закрыт и код и железо, очень вероятно могут быть бэкдоры. Я уже писал о похожем ранее в этой же теме.

Ходят слухи, что бэкдоры по умолчанию есть на каждом компьютере на аппаратном уровне. Поэтому страха еще больше быть не может.
Антонуполос авторитетный дядька и к его слова как минимум стоит иметь в виду.
hero member
Activity: 1204
Merit: 518
December 15, 2019, 12:30:56 PM
Не храните все яйца в одной корзине, даже если что взломают или сами потеряете или где то не там введете, потеря будет лишь части депозита, а не всего вашего криптоимущества.
Согласен. Но при условии, что другие "корзины" не будут уступать по безопасноcти. Простейший способ диверсификации с аппаратным кошельком - это создать несколько кошельков с разными 25-ми словами (24 слова можно не менять). При желании, можно немного заморочиться и сделать мультиподписной кошелек аппаратного с Electrum.
Да, все так, можно вообще без аппаратника обойтись если придумать алгоритм по которому записывать слова в неправильном порядке + пара мусорных слов . И можно эти слова хоть на заборе возле дома писать, никто не восстановит.
sr. member
Activity: 687
Merit: 259
December 15, 2019, 10:55:05 AM
Будем надеяться что Леджер намного надежнее. Но при этом лучше исходить из того, что нет надежных на 100% систем и устройств.

А Трезор думает по другому. не доверяют властям. У Леджера есть защищенный чип ST31, где собственно все и хранится. Так вот, Антонопулус писал, что учитывая уровень давления гос власти и спецслужб на производителей, в таких чипах где закрыт и код и железо, очень вероятно могут быть бэкдоры. Я уже писал о похожем ранее в этой же теме.
Почему гос власти и спецслужбы не надавили на Трезор установить такой же чип ST31?
Pages:
Jump to: