Pages:
Author

Topic: Аппаратные кошельки - page 58. (Read 154352 times)

legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
August 06, 2019, 03:47:04 AM
Принципиально отличается наличием встроенной камеры с помощью которой можно считывать QR коды
Нет там камеры, QR-код на дисплее показывает и всё.

Да и вообще, я бы такой девайс не купил.
1. Никому не известный производитель, и (насколько я понял) нет открытых исходников. Стремно нормальные суммы там держать. Дальше минусы можно не перечислять ).
2. Мало поддерживаемых валют.
3. Неизвестно, сколько он работает от своей батарейки (в таком тонком корпусе, думаю, она совсем слабенькая), как бы в нужный момент не выключился. Носить с собой внешний powerbank ))? А когда батарея сдохнет, что тогда?

Меня вот порадовал их ToS: "You acknowledge and agree that from time to time we may implement remotely the download and installation on your device of software updates or bug fixes to the App(s) when your device is connected to the internet, without giving you further notice or seeking any further consent. This EULA will also apply to all such software updates and bug fixes."

Сказка, что здесь еще скажешь.

По поводу того, сколько он работает, указано на сайте: "Lasts 30 days per charge." А портативный павербанк дает еще одну подзарядку. В режиме стенд бай 90 дней - "Standby - 90~150 days"
Вот - https://fuzecard.com/products/fuzew-bitcoin-hardware-wallet

Меня правда смутила емкость их батареи - 13 мА/час, звучит как шутка или ошибка. Там потребляемый устройством ток (чтобы на месяц использования хватило) - 18 микро Ампер.
Опять таки, если бы это было столько в режиме стенд бай, я бы еще понял, ну запитать там чип-контроллер много мощности не нужно, но это ведь активное (!!!) использование.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
August 06, 2019, 12:40:22 AM
Принципиально отличается наличием встроенной камеры с помощью которой можно считывать QR коды
Нет там камеры, QR-код на дисплее показывает и всё.

Да и вообще, я бы такой девайс не купил.
1. Никому не известный производитель, и (насколько я понял) нет открытых исходников. Стремно нормальные суммы там держать. Дальше минусы можно не перечислять ).
2. Мало поддерживаемых валют.
3. Неизвестно, сколько он работает от своей батарейки (в таком тонком корпусе, думаю, она совсем слабенькая), как бы в нужный момент не выключился. Носить с собой внешний powerbank ))? А когда батарея сдохнет, что тогда?

Если нужен мобильный аппаратный кошелек для связи с айфоном, лучше взять Nano X (а для андроида - любой трезор/Nano S с otg-шнурком).
full member
Activity: 314
Merit: 108
August 05, 2019, 02:44:58 PM
То не аппаратный кошелек, а как  подметил igor72 кусок пластика с напечатанным адресом и заклеенным к нему приватным ключем.  Аппартный кошелек в виде карточки, который содержит чипы генерации ключей  это,  FuseW, цена снижена до 99$ и купить его можно на амазоне.
интересно, первый раз вижу, хотя у меня несколько хардваров разных, может это тоже прикупить...
чем это принципиально отличается от других кроме как формой? кто юзал?
еще конечно смущает что связь по безпроводу..
а так вроде по идее приватники тоже только на чипе, 2фа, пины итд
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
August 05, 2019, 12:51:42 PM

Так а чем плохи допустим ГПСЧ, особенно если они используют качественные алгоритмы? например используют колебания квантов. Такая вещь может то и получше монетки оказаться.  Smiley

Квант трудно поймать, а если поймаешь то из рук вырвется. И что это за колебания квантов такие, просветите.

Извиняюсь, квантовые флууктации имелись ввиду, если что. Когда так называемые виртуальный частицы появляются и исчезают.

Да крупные компании что угодно могут использовать (и используют), к примеру сводку прогнозов погоды за последние сколько то там лет, или же вот как можно - https://cyberleninka.ru/article/n/realizatsiya-generatora-sluchaynyh-chisel-na-baze-zvukovoy-karty
sr. member
Activity: 1162
Merit: 312
August 04, 2019, 04:08:10 AM
Тема называется "Аппаратные кошельки". Что в этом кошельке аппаратного? Это просто бумажный кошелек - кусок пластика с написанным на нем ключом и адресом. Но ключ сгенерирован и записан на пластик каким-то дядей... Я бы на такой битки не отправил, даже если бы мне 50 евро заплатили ).
Полностью поддерживаю и не вижу смысла в таком кошельке, уж лучше стальной или титановый кошель брать и самостоятельно в него забить сид. Но все же компания с 200 летней историей и пластик с разными видами защит, так что им наверняка можно доверять.. но я бы если и использовал, то только как сувенирку в подарок - вот только подарочек должен тоже быть соответствующим.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
August 04, 2019, 02:51:51 AM
Тема называется "Аппаратные кошельки". Что в этом кошельке аппаратного? Это просто бумажный кошелек - кусок пластика с написанным на нем ключом и адресом. Но ключ сгенерирован и записан на пластик каким-то дядей... Я бы на такой битки не отправил, даже если бы мне 50 евро заплатили ).
member
Activity: 938
Merit: 76
August 04, 2019, 02:27:05 AM
Еще один аппаратник начинают делать, в виде кредитки, 60 евро стоит.
Начал заполнять заказ (не заказывал, просто посмотреть), поставил Россия - цена 50 евро вышла.
Одно плохо, если я правильно понял - кошельки отдельные, для битка и эфира

https://bitnovosti.com/2019/07/30/avstrijskaya-pechatnaya-kompaniya-s-200-letnej-istoriej-zapuskaet-apparatnyj-koshelek-chainlock/
https://www.cardwallet.com/en/shop/
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!

Как будет, поставлю мерит за старания. Но честно говоря лично я не уверен что AES имеет алгоритмические бэкдоры, оставленные ЦРУ. Ну тоесть сам алгоритм много раз проверялся и не только США, а и другими соответствующими конторами в разных странах. Но да,  нельзя все же исключать варианта с бэкдорами. Ну придется тогда использовать какой нибудь Rainbow или Twofish(Blowfish), или Salsa20 которые не сертифицированны, и может так оказаться что никем нормально не проверялись. Зато можно не бояться АНБ  Smiley

Да не важно, какой там алгоритм генерации мнемоники ). Важнее, насколько случайные числа дает ГСЧ. Параноикам лучше генерировать монеткой ).

👍 Прямо мою мысль высказали. True  ГСЧ это основа. Я где-то уже говорил, что было бы у меня от 10 биткоинов, я бы занялся   подбрасыванием монетки. 256 раз подбросить не сложно Wink

Так а чем плохи допустим ГПСЧ, особенно если они используют качественные алгоритмы? например используют колебания квантов. Такая вещь может то и получше монетки оказаться.  Smiley
member
Activity: 826
Merit: 56
256 раз подбросить не сложно Wink
2011год..
Quote
https://kiwibyrd.org/2017/07/17/1185/#more-3766
одна из наиболее интересных за последнее время конструкций для «генератора случайностей» была представлена в августе этого (2011) года корпорацией Intel – на конференции Hot Chips 23, проходившей в Стэнфордском университете, США.
Инженерам интеловского исследовательского центра Circuit Research Lab в г. Хиллсбро, штат Орегон, удалось-таки сконструировать внутри микросхемы настоящий DRNG или Digital RNG
но имхо надо беспокоиться о более насущных вещах
Quote
https://kiwibyrd.org/2019/07/21/808/
В течение одной из недель августа сразу три видных деятеля из мира компьютерной безопасности (Alan Schimel, Petko Petkov, Tom Ferris) были публично унижены, когда гигабайты личной переписки из их почтовых ящиков были кем-то вывалены на всеобщее обозрение, а персональные блоги стали переадресовывать посетителей на похабные порнографические сайты.
Известен также список и других известных экспертов, объявленных в качестве целей аналогичных атак: Dan Kaminsky, Joanna Rutkowska, Gadi Evron, Matasano, Theo de Raadt. Что отличает эти атаки от всех прочих, в изобилии происходящих в сети, это, так сказать, их мощная эмоциональная составляющая — наглядно продемонстрировать всем и каждому некомпетентность в собственной защите тех людей, что слывут авторитетными специалистами по инфобезопасности.
«Вот вам наглядное доказательство, что ИТ-сектор безопасности заполнен клоунами, которые не способны следовать самым основным принципам защиты информации»
Quote
https://pioneer-lj.livejournal.com/1637915.html?thread=95225371&nojs=1#t95230747
...В криптоалгоритме не может разобраться любой "мало мальски сведущий кодер". Он может кое-как проверить корректность его реализации, и то не каждый (уже несколько раз в давно используемых популярных опенсорсных крипто-пакетах находили дыры, возможно специально оставленные). А если вдобавок сам алгоритм сильно запутан и специально создавался спецслужбами чтобы его можно было взломать (пример - AES), то здесь вообще ничего не проверить. Специалистов такого уровня, которые могут проверить, можно пересчитать на пальцах
...Порог вхождения в серьезную математику, а уж связанную с криптографией-сильно высокий.
Причины как очевидные(время, способности и т.д. и т.п.), так и не очень очевидные(значимая часть работ в области криптографии находятся под серьезными грифами секретности).
То что есть в открытом доступе-откровенно не все. Да, есть много интересного, работоспособного, часто не менее замечательного-чем то, что лежит под грифом. Но вот какой парадокс-ни один человек на планете физически не может знать всего того, что лежит под всеми грифами секретности нескольких ведущих в криптографии стран на планете
и т д
https://kiwibyrd.org/category/криптография/
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Да не важно, какой там алгоритм генерации мнемоники ). Важнее, насколько случайные числа дает ГСЧ. Параноикам лучше генерировать монеткой ).
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Quote
Если есть ссылка именно на аппаратные кошельки, то буду благодарен за нее.
https://ledger.readthedocs.io/en/latest/background/master_seed.html
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Насчет того, что добавляется 8 бит хеша, то наверное не так  потому, что последнее слово из SEED одновременно является и контрольным для всей последовательности. С хешом   не представляю себе как такое  можно реализовать.
https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki

https://www.youtube.com/watch?v=hRXcY_tIlrw
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Встроенный в кошелек генератор случайных чисел генерирует 256-битное случайное число R. Первые 11 бит этого числа добавляются к концу R и получается 264- битное число N.
Кажется, в электруме такой алгоритм генерации (кстати, 256+11 будет 267, а не 264).
А в аппаратниках (и вообще по BIP39) к 256 битам прибавляются первые 8 бит хеша SHA256 того 256-битного числа. Ну а дальше как вы написали.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Мне вот что интересно узнать, тоже хочу купить такой кошелек. 24 слова которые ты сохраняешь, откуда берутся? Сами разработчики эти слова придумали и они просто не знают порядок их ввода?
Генерируются (псевдо)случайно в самом устройстве из словаря в 2048 слов.
Quote
Или все же они могут иметь доступ к секретным словам, и в какой-то момент войти в ваш кошелек?
Не могут иметь доступ. Некоторые пользователи сомневаются в случайности генерации слов. Но ничто не мешает сгенерировать слова самому вне устройства (монеткой, кубиками и т. п.).
copper member
Activity: 770
Merit: 2
Мне вот что интересно узнать, тоже хочу купить такой кошелек. 24 слова которые ты сохраняешь, откуда берутся? Сами разработчики эти слова придумали и они просто не знают порядок их ввода? Или все же они могут иметь доступ к секретным словам, и в какой-то момент войти в ваш кошелек?
member
Activity: 826
Merit: 56
https://www.reddit.com/r/TREZOR/ не прислушиваются к народной воле ..

Quote
https://www.reddit.com/r/TREZOR/comments/b06rlq/our_response_to_ledgers_mitbitcoinexpo_findings/

что trezor может сделать, чтобы остановить атаки цепочки поставок.
Например, трезор может иметь уникальный идентификатор. И этот идентификатор хранится в какой-то публичной книге.
Затем, когда вы отправляете устройство клиенту, сообщите ему идентификатор, который он должен ожидать.
Таким образом, злоумышленник не может слепо заменить свое устройство клоном. Они должны перехватить вашу электронную почту ...
Это тоже атака цепочки поставок ....
Это лучше, чем проверять голограммы

Theres more trezor can do to stop supply chain attacks.
Eg trezor could have a unique id. And this id is stored in some public ledger.
Then when you ship the device to the customer tell them the id they should expect.
This way an attacker cannot blindly replace their device with a clone. They need to intercept your email to...
This is also a supply chain attack....
This is better than inspecting holograms

Микроконтроллер STM имеет уникальный серийный номер. Это отображается в режиме загрузчика.
Было бы неразумно связывать серийный номер Trezor с базой данных продаж клиентов (и их именем / адресом / адресом электронной почты / IP-адресом), но может быть размещена защищенная с помощью капчи страница, чтобы пользователи могли посмотреть свой серийный номер Trezor (и, возможно, показать последние 5 раз этот серийный номер был найден, в случае, если несколько поддельных клонов Трезора олицетворяют настоящий подлинный серийный номер)

The STM Microcontroller has a unique serial number. This is displayed in bootloader mode.
It would be unwise to link the Trezor Serial number to the customer sales database (and their name / address / email / IP), but a captcha protected page could be hosted to allow users to look up their Trezor serial number (and perhaps show the last 5 times that serial number was looked up, in case multiple fake Trezor clones impersonate a real genuine serial number)

Когда я купил свою модель T, я целую вечность искал, как выглядят настоящие голографические наклейки. А так как его несколько раз меняли, я чувствовал себя неуверенно. Как только я вставил устройство, веб-сайт попросил проверить наклейку модели T, но для того, чтобы подключить его к сайту, мне пришлось удалить его /facepalm... Это было немного раздражает.
Я согласен, что было бы нарушение opsec, если бы люди получили список адресов владельцев трезоров.
Они могли отследить, когда сериал был отправлен и в какую страну, по крайней мере. Этого достаточно, чтобы знать, что это не клон, который был заменен на маршруте.

When I bought my model T i spent ages looking for what legit holographic stickers looked like. A since its been changed a few times I felt unsure. Once I put in the device the website asked to check the model T sticker but in order to connect it the site i had to remove it /facepalm...That was kind of annoying.
I agree it would be an opsec violation if people got a list of trezor owners addresses.
They could track when the serial was shipped and to what country at least. This is enough to know its not a clone that's been replaced enroute.

Я не вижу рекомендуемой длины пароля.
Это вопрос личного выбора. Если вы хотите, чтобы «экспортный уровень» безопасности составлял 40 бит (то есть АНБ или Google могут легко украсть ваши монеты), тогда достаточно 7 случайных символов (верхний / нижний / цифровой). Для 80-битной защиты (в основном SHA-1) используйте 14 случайных символов. Для полного 128-битного (в основном SHA-2 / SECP256k1 безопасности) используйте 22 случайных символа, а затем вы даже можете сделать свои 24 слова публичными.

I see no suggested passphrase length requirement.
That's a matter of personal choice. If you want "export grade" security of 40 bit (i.e. NSA or Google can easily steal your coins) then 7 random characters (upper/lower/digit) are enough. For 80 bit of security (basically SHA-1 security), use 14 random characters. For full 128 bit (basically SHA-2/SECP256k1 security) use 22 random characters and then you can even make your 24 words public.

sr. member
Activity: 1162
Merit: 312
Ладно, википедию в мусорку ). Вернемся к первому посту.

Имеем ли мы право называть эти устройства аппаратными кошельками? Сами по себе они не выполняют несколько базовых функций, которые присущи кошелькам. Чтобы много не перечислять, назову только одну из этих функций - отображение баланса.

На каком основании вы утверждаете, что криптовалютный кошелек должен отображать баланс и выполнять какие-то еще функции, кроме хранения ключей?

Зачем это википедию в мусорку?) Мне кажется на вики дано правильное определение и не противоречащее себе. Основное определение для аппаратных кошельков это первая часть: "Криптовалютный кошелек - это устройство, физический носитель данных, программа или сервис, который хранит публичные и/или приватные ключи", а вторая часть как бы дополняет первую и там не просто так использовано слово "может".
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Ладно, википедию в мусорку ). Вернемся к первому посту.

Имеем ли мы право называть эти устройства аппаратными кошельками? Сами по себе они не выполняют несколько базовых функций, которые присущи кошелькам. Чтобы много не перечислять, назову только одну из этих функций - отображение баланса.

На каком основании вы утверждаете, что криптовалютный кошелек должен отображать баланс и выполнять какие-то еще функции, кроме хранения ключей?
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Википедия только подтверждает мою мысль. Для рассматриваемых устройств утверждение Википедии не выполняется.
А как вы объясните, что в той же статье показан скриншот бумажного кошелька? Сами себе противоречат?
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange

 [?] аппаратных кошельков Trezor, Ledger, Keepkey.


Имеем ли мы право называть эти устройства аппаратными кошельками? Сами по себе они не выполняют несколько базовых функций, которые присущи кошелькам.

В википедии написано:
Quote
A cryptocurrency wallet is a device, physical medium, program or a service which stores the public and/or private keys and can be used to track ownership, receive or spend cryptocurrencies.
Перевод: "Криптовалютный кошелек - это устройство, физический носитель данных, программа или сервис, который хранит публичные и/или приватные ключи и может использоваться для отслеживания владения, получения или расходования криптовалют".

Из другой статьи википедии:
Quote
Bitcoin uses public-key cryptography, in which two cryptographic keys, one public and one private, are generated. At its most basic, a wallet is a collection of these keys.
Перевод: "Биткоин использует public-key криптографию, в которой генерируются два ключа - публичный и приватный. По сути, кошелек - набор этих ключей."

То есть, надо понимать, кошелек - хранилище ключей. Остальное все факультативно.
Pages:
Jump to: