Topic: Аппаратные кошельки - page 66. (Read 154216 times)

Если не ошибаюсь, в леджере можно добавить лишь один пин-код с кодовой фразой. И да, это позволяет злоумышленнику перебирать один пин-код при известном втором (но это в теории, вряд ли кому-то придет в голову перебирать 100 000 000 вариантов)

первый раз вижу такой термин - "антизахваты". Я так понимаю, что имеется в виду защита кодовой фразы (passphrase, 25th word), которая была предложена в BIP39 вместе с мнемоникой, где можно разбавить энтропию еще дополнительной фразой. И фишка основная это создание доп кошельков на основе оригинальной мнемоники в случае давления на владельца крипты со стороны органов власти или атаки гаечным ключом. Я про это уже рассказывал на канале уже много раз и даже не знаю что и добавить, вроде про это уже все знают. Сейчас готовлю статью для coinspot на тему кодовой фразы, но я бы не сказал, что это что-то продвинутое о чем многие не знали. Или я ошибаюсь?

Кодовая фраза на Trezor One и T реализована почти одинаково. Единственные отличия, что в  Trezor One она вводится только через ПК (что не оч безопасно), а в Trezor T опционально - на девайсе или на ПК.
Ссылка часть1 - https://youtu.be/RrBeZlts4Rw, часть 2 - https://youtu.be/jAgsXD65-SU

На Ledger Nano S кодовая фраза реализована по другому:
Есть два способа. Первый - attach to a pin (привязка фразы к пин-коду), второй - set temporary (ввод вручную). Если не ошибаюсь, в Ledger Nano S нельзя добавлять более 2-3 Пин-кодов с кодовой фразой, так как это позволит злоумышленнику обходить сброс кошелька через 3 введенных неверных Пин-кода именно поэтому ввели такой лимит.
Ссылка - https://youtu.be/8Wpjd9-AZ5E, set temporary - https://youtu.be/8Wpjd9-AZ5E?t=238, attach to a pin - https://youtu.be/8Wpjd9-AZ5E?t=449

Keepkey в последней прошивке добавил возможность кодовой фразы. Ввод фразы осуществляется на ПК, как и у Trezor One.
Ссылка - https://youtu.be/Ne4Yvc90lgc

Фишки кодовой фразы:
1) защита от компрометации мнемонической фразы (seed)
2) защита от любого рода физических атак на аппаратный кошелек
3) дополнительная энтропия, которую задаете ВЫ, если не доверяете генератору случайных чисел девайса или программы
4) защита от давления со стороны органов власти и атаки гаечного ключа (5$ wrench attack)

Отлично, спасибо
А про "антизахваты-конфикации" будет ?
https://bitcointalksearch.org/topic/m.50443351
https://bitcointalksearch.org/topic/m.50415627

Подготовил видео - 10 фишек кошельков Trezor о которых вы не знали. Начинаю с простейших Remember device и заканчиваю запуском trezor.io на локальной машине и использованию энтропии для 18 и 24 слов в Trezor T.

00:14 - 1 фишка - Запомнить устройство (remember device)
ссылка - https://youtu.be/9kYINL-NjUs?t=14

При отключении устройства от ПК можно нажать на кнопку Remember Device и это позволит:

• мониторить баланс и будущие поступления без подключенного к ПК трезора
• смотреть настройки web-интерфейса
• смотреть настройки девайса
• экспортировать логи

Все операции по трате или отображению новых адресов потребуют уже подключения девайса. Примечательно, что если запомнить устройство, потом включить его заново и снова отключить, то устройство уже автоматом будет запомнено.

01:39 – 2 фишка – Входы и выходы транзакций
ссылка - https://youtu.be/9kYINL-NjUs?t=99

Не все знают, но когда мы заполнили все данные для совершения транзакции, то внизу под кнопкой Отправить (Send) появляется ссылка - Показать детали транзакции (Show tx details), где можно заранее "на берегу" увидеть, какие входы будут использоваться для данной транзакции. Это полезно для понимания, сколько денег мы будем "светить" получателю и в случае, если мы отправляем 1$, а используется вход с 3000$, можем изменить счет или через Electrum подобрать другие входы.
Детали также дают ссылку в виде - id_транзы:0 - последняя цифра это индекс выхода или входа в новой транзе.

04:55 – 3 фишка – Смена обозревателя блокчейна
ссылка - https://youtu.be/9kYINL-NjUs?t=295

В настройках интерфейса - Wallet Settings можно вручную поставить тот обозреватель блокчейна, который нам ближе по духу. После этого когда мы будем кликать на время подтверждения в истории транзакции, то мы будем попадать на введенный в настройках обозреватель блокчейна. Я использовал Blockcypher.com/btc. Стоит отметить, что не все обозреватели подходят, какие-то тупо игнорируются интерфейсом - надо пробовать.

06:27 – 4 фишка – Страница всех обозревателей trezor.io
ссылка - https://youtu.be/9kYINL-NjUs?t=387

Можно посмотреть все обозреватели компании трезор - https://status.trezor.io. Например, их удобно использовать в других интерфейсах. Мне нравится обозреватели от Satoshi Labs тем, что там:

• транзы представлены в сыром виде - raw
• можно серфить по входам/выходам по ссылкам пока не упремся в UTXO

08:04 – 5 фишка – Логи интерфейса (Show Log)
ссылка - https://youtu.be/9kYINL-NjUs?t=484

Логи интерфейса отображают много полезной информации, начиная от аутентификации и заканчивая настройками девайса. Полезная штука когда например есть два кошелька, один работает на ПК, а другой глючит. В этом случае, логи - это идеальное место для сравнения настроек кошелька. Конечно можно также воспользоваться командой get_features через библиотеку команд trezorctl, но она не всем доступна. Будьте осторожны с логами, так как там есть расширенный публичный ключ, компрометация которого чревата утерей конфиденциальности в прошлом/настоящем/будущем в периметре счета.

09:59 – 6 фишка – Работа без Trezor Bridge
ссылка - https://youtu.be/9kYINL-NjUs?t=599

С последними прошивками для Trezor One и T можно теперь подключаться к интерфейсу trezor.io без Trezor Bridge - можно смело его удалять это расширение, но стоит учесть, что протокол WebUSB, используемый в новых прошивках работает только в beta версии кошелька. https://beta-wallet.trezor.io. Бета версия почти ничем не отличается от обычной, за исключением сбора некоторой информации о взаимодействия пользователей с интерфейсом.

10:28 – 7 фишка – Как обойти лимит в 10 аккаунтов?
Ссылка - https://youtu.be/9kYINL-NjUs?t=628

У кошельков Trezor One и T есть лимит в 10 аккаунтов. Это означает, что нельзя добавить более 10 счетов для одной криптовалюты. Интерфейс это не поддерживает. Я полагаю, что это сделано, потому что загрузка 10 аккаунтов со всеми адресами и транзами будет сильно грузить интерфейс и девайс. Поэтому и есть этот лимит. Обойти его можно включением кодовой фразы.

11:21 – 8 фишка – Про карточку мнемонической фразы
Ссылка - https://youtu.be/9kYINL-NjUs?t=681

Оказывается карточка, которая поставляется с кошельками сделана из водостойкой бумаги и рекомендуется на ней писать водостойкой ручкой. Я проделал пару экспериментов и сравнил ее с обычной бумагой – пролил воду, кипяченную воду и кофе. В целом, если не мять бумагу то эффект один и тот же. Можно использовать и обычный блокнот)

12:39 – 9 фишка – Как генерируется случайное число для Сида в кошельках Trezor?
Ссылка - https://youtu.be/9kYINL-NjUs?t=759

При генерации случайного числа Трезор использует энтропию в 128, 192, 256 бит (зависит от количества слов, которые выбирает пользователь – 128 это 12 слов, 192 это 18, 256 это 24 слова). Первое число генерируется на STM чипе с помощью генератора случайных чисел, далее генерируется второе число 128/192/256 бит на ПК с помощью встроенных в ОС генераторов. Оба числа хешируются с помощью SHA2 и полученное значение 128/192/256 бит еще раз хешируется с помощью SHA2. Первые 4/6/8 бит полученного хеша прибавляется в конец первого хеша и получается 132/196/264 бита, которые удобно раскладываются по 11 бит. 2^11 это 2048. Столько слов содержится в словаре BIP39. То есть, любые 11 бит будут соответствовать какому-то слову в словаре. Последнее слово использует дополнительные 4/6/8 бит и это контрольная сумма всей мнемонической фразы. Именно поэтому во время проверки мнемоники чаще всего используется рандомно 2-3-4-5 и последнее слово – 12,18 или 24-ое слово.

14:50 – 10 фишка – Запуск Trezor.io на локальной машине
Ссылка - https://youtu.be/9kYINL-NjUs?t=891

Можно запустить trezor.io на локальной машине. Для этого надо скачать сам интерфейс mytrezor-archive.tgz (около 350мб). Далее в командной строке для Linux,Mac ввести python -m SimpleHttpServer 8000 и запустить сервер используя скачанный интерфейс. Далее вводим в адресной строке – localhost:8000 и попадаем на trezor.io через наш ПК. Если мы скачаем дополнение Blockbook (весь блокчейн битка в спец формате для интерфейса trezor.io) то можем полностью обособиться от серверов Satoshi Labs и подключаться к своему узлу на котором установлен blockbook.

16:45 – 11 фишка – Как сгенерировать на Trezor T сид из 18 и 24 слов?
https://youtu.be/9kYINL-NjUs?t=1005

При активации кошелька Trezor T можно задать энтропию в 192 и 256 бит. Это позволит сгенерировать мнемонику из 18 и 24 слов для модели T. Напомню, что по умолчанию Trezor T предлагает только 12 слов. Делается это с помощью команды «trezorctl reset_device -t 192». Эта команда сгенерит случайное число из 192 бит и предложит мнемонику из 18 слов. Значение 256 сгенерит 24 слова. Перед этой процедурой надо обязательно очистить девайс – “trezorctl wipe_device”.

Полное видео по ссылке - https://youtu.be/9kYINL-NjUs

Платите картой это намного удобней, раз не удается оплатить криптой  Или у вас нет возможности оплатить картой?

Доставка с оф. сайта как бы бесплатна, платите число за аппаратный кошелек и ждете когда курьер вам позвонит, мне кошелек доставили до двери.

Леджер говорили ведь что можете в любом месте покупать их кошелек, так как там все защищено у них и проверяется программой при установке приложения и доступу к адресам. Только после покупки сбросьте обязательно все настройки на заводские.

Надо смотреть есть ли доставка, а то некоторое время небыло доставки в РФ.

картой тоже не получается оплатить Authorization has status declined; cannot continue process

кто-нибудь заказывал с https://shop.ledger.com/apps/flow/ledger/

До сих пор на сайте не получается оплатить ledger криптой! An unknown error has occurred. Please try again or select a different payment method if the issue persists.

супорт ответил разбирайтесь с bitpay

А как с доставкой? Сколько в Россию доставка стоить будет?

Смею предположить, что на почте вышли какие-то заморочки и пришлось заплатить налог за устройство ака "растаможить" его. Либо пришло не то/брак, и пришлось отправлять обратно и ждать/платить за новую доставку.

С чем были связаны дополнительные затраты за доставку Trezor? 

Сейчас юзаю трезор, но пришлось нехило замарочиться с доставкой в прошлом году. На доставку ушло почти столько же, сколько стоил сам кошелек, если бы знал, то лучше бы за ним сам в Чехию съездил, хоть пива попил вкусного. С рук стремно брать, а так хоть меньше переживаешь. А то помню 100 раз проверишь MEW сайт . прежде чем ввести данные, а потом еще 100 раз после того как ввел.

А у трезораТ разборка тоже гитарным медиатором ? Почему оне на офсайте разборку не показали для проверки соответствия начинки.. упущение
И так же не написали что перепроверяют начинки-прошивки у партий возвращённых по манибэку..
И ничего не пишут про снятие с гарантии при наличии следов разборки на корпусе
а прозрачных корпусов у трезорцев не предвидится
кошмар что деется

у всех ledger сайт  не дает оплатить криптой ?  An unknown error has occurred. Please try again or select a different payment method if the issue persists.

Предлагают:

Ledger Nano S €55.00 was €100.00
Trezor One Black €80.00 was €100.00
Trezor Model-T €175.00 was €200.00

Посмотрел на сайты официалов - они предлагают еще разные кабели. В "посольстве" подобного нет.
Кстати, это посольство есть среди официальных ретейлеров, которых указал igor72 выше.

Правильнее всего покупать, безусловно, на оф.сайте, для леджера это https://shop.ledger.com/ , для трезора https://shop.trezor.io/ . Менее предпочтительно у оф. ретейлеров, для леджера список здесь https://shop.ledger.com/pages/retailers , для трезора здесь https://trezor.io/resellers/ .
Если таких возможностей нет, то в крайнем случае можно купить и в местных магазинчиках или даже с рук. Но в этом случае перед генерацией своего сида необходимо снять крышку девайса и убедиться в соответствии начинки и обязательно установить последнюю прошивку (если уже стоит последняя прошивка, то придется ждать выхода новой, поэтому, чтобы не ждать, желательно найти девайс с устаревшей прошивкой (но не совсем древней, а то там могут быть проблемы с обновлением)).

Рекомендую только у официальных производителей: Trezor или Ledger . Любой посредник создает вероятность риска (кто знает, что у них на уме) и немного паранойи не помешает.

Аппаратные кошельки - это не брелки и не игрушка, что можно купить в ближайшей подворотне. Зачем лишний раз создавать щекотливые ситуации для себя, когда можно их не создавать и заказывать напрямую у производителя?

Что по ценам в  "посольство" криптовалюты в городе за Trezor и Ledger?

Подскажите, а аппаратный кошелек стоит заказывать только у официального производителя ?

Просто у нас есть "посольство" криптовалюты в городе  ( как глупо звучит и я даже не знаю как это правильно перевести на русский). По факту - красивый офис, где я могу купить/продать крипту за фиат и купить различные крипто аксессуары.