Topic: Леджер - аппаратный кошелек для хранения к
- page 27. (Read 49734 times)

Конкурс от Ledger для технарей с крутыми призами.

(Адаптированный перевод темы Ledger Donjon Capture the Flag Challenge)


28-го октября, Ledger Donjon, департамент безопасности компании Ledger запустил конкурс для пользователей криптовалют - Capture The Flag. Продлится он три недели до 18-го ноября.

Пользователям будут даны различные конкурсные задания трёх типов:

- Jeopardy-style викторина
- Атака-нападение
- Смешанные соревнования

Можно ожидать задания на темы: сетевая безопасность, судебная экспертиза, крипто, веб-безопасность, игрули и т.д..
Почитать про задания чуть более подробно можно по ссылке https://ctftime.org/ctf-wtf/

Это бесплатно и участвовать может любой. Для участия, авторизуйтесь на сайте https://donjon-ctf.io.
За каждое выполненное задание вы будете получать очки. Лучшие участники получат набор призов.



Официальная ссылка на конкурс: https://donjon-ctf.io/?fbclid=IwAR1nY2BqV3YjMl4C54n-7YfcX-H36UkaarIiEOlAPVVzu00LcqeJrGMoXog
Правила: https://donjon-ctf.io/rules

Тут еще добавить стоит, что в самом устройстве они хранятся в секьюрном (сертифицированном ЕС и США) чипе ST31H из которого они не выходят никуда. Блок информации передается из STM32 в ST31, там происходит подпись и на выход отправляется только она. Какие то изменения в чип могут вноситься только при создании нового сида, как я помню

Приватные ключи не покидают устройство, они даже в комп/телефон никогда не передаются.

Скажите, пожалуйста, где Лэджер хранит приватные ключи? Внутри устройства или отправляет на сервера?

Подскажите, где узнать поддерживает леджер swap монеты Stratis?

Леджер хочет помочь MicroStrategy обеспечить безопасность своих активов  Bitcoin на $400 млн

Леджер в основном известен своими потребительскими аппаратными кошельками, но с прошлого года, ряд предприятий также начали использовать Леджер Vault, в соответствии с утверждением вице-президента по продукту, Jean-Michel Pailhon. Данный продукт ориентирован на предоставление решений для оказания помощи корпоративным клиентам. В самом деле, Леджер команда в настоящее время пытается убедить MicroStrategy в преимуществах своего продукта.

MicroStrategy является бизнес-аналитической компаниией, которая прозвучали в августе 2020 года из за преобразования значительной части активов в Bitcoin. Ещё совсем недавно Square, которая только что приобрела bitcoin на сумму $50млн, разработала собственную структуру с открытым исходным кодом Subzero для обеспечения своих активов.

Пэйлхон сказал, что оба используют HSMs, или модули аппаратной безопасности, для управления цифровыми активами. HSMs были использованы в течение десятилетий для обеспечения критических данных и, как правило, считаются неуязвимыми. Хотя Сабзеро сама разбирается, Pailhon выразил мнение, что его решения лучше всего подходит для технологических компаний, которые знают, как развернуть и управлять HSMs. Он сказал, что Леджер установит их для своих клиентов, и что "они не обязательно должны знать, как это работает. Они просто должны использовать решение" .

Мы попросили Пэйхона пояснить, как это будет для такой компании, как MicroStrategy. Он сказал, что одним из первых шагов он будет решить, сколько людей будет участвовать в авторизации транзакций, типичная настройка потребует 2-из-3 подписей; где, возможно, генеральный директор, главный финансовый директор, и генеральный адвокат ставят по одной подписи каждый. Все частные ключи будут храниться на HSM. В то же время части частных ключей могут храниться в нескольких физических хранилищах.

 Ledger прошла аудит безопасности SOC 2 Type 1

Производитель аппаратных криптовалютных кошельков Ledger объявил о прохождении аудита безопасности SOC 2 Type 1. Аудитом занималась нью-йоркская консалтинговая фирма Friedman LLP.

В рамках теста SOC 2 была проанализирована безопасность компании, а также правильное обращение с персональными данными клиентов. Кроме того, в рамках аудита было проверено кастодиальное решение Ledger Vault. Представители Ledger подчеркнули:

«Благодаря прохождению аудита SOC 2 Type 1 мы можем гарантировать нашим клиентам дополнительный уровень безопасности, а также с уверенностью утверждать, что наше решение Vault защищено в любое время и у нас есть все необходимые процессы для обеспечения доступности решения».

Подробнее: https://bits.media/ledger-proshla-audit-bezopasnosti-soc-2-type-1/

Я прочитал статью по ссылке и не понял, в чем там проблема для смартфонов. Если Самсунг собирается ставить секьюрную микросхему, аналогичную той, что в Леджер, и при этом нечто в дисплее смарта, точнее в самом андроиде, как я понял, не дает сделать безопасность на уровне того же Леджера.
Ну так есть простое решение, пусть вместе с секьюрным чипом в смартфон добавят и маленький экранчик.   И чип, и экранчик будут стоить пару-тройку долларов каждый для вендора. Можно сделать вообще аппаратнк отдельным модулем внутри лопатофона Самсунг, при этом экранчик вывести на заднюю панель, под обложку. Шучу.  

CTO Леджерa объясняет, почему смартфоны не будут когда-либо быть полностью безопасным для использования крипто

Леджер использует чип, основанный на технологии Secure Element, которая, по словам CTO, является идеальной защитой от физической фальсификации.
Недавние шаги Samsung по интеграции аналогичных технологий в свои телефоны с поддержкой блокчейна несут в себе обещание сделать смартфоны такими же безопасными, как аппаратные кошельки, но Guillemet предупредил, что они замудохаются решать все связанные с этим проблемы

Ну что значит "стараются"? ) Усиленные ключи используют на уровне аккаунта и выше. Ниже почти все используют неусиленные ключи. У них свои преимущества.Поэтому в аппаратниках приватные ключи делаются недоступными из интерфейса, чтобы неграмотные юзеры не компрометировали их.

Ну и Armory, насчет остальных не в курсе. Но вроде бы наоборот, все стараются использовать усиленные ключи.

Здесь вот в чем еще загвоздка то: слить один приватны ключ, как два пальца. Ввел на говносайте, или же в какой нибудь кошелек скама типа биткоин даймонд и все. Мало кто из людей вообще разные аккаунты в своем HD кошельке использует, поэтому потеря даже левого ключа, и компроментация xpub-a может очень грустно закончиться.

Но я бы насчет этого не переживал, что кто то там будет получать доступ к компу чтобы найти xpub. Как показывает мой опыт, люди сами охотно за три копейки их светят где попало 

Очень может быть, так как приватники в разных половинах диапазона ключей по разным формулам вычисляются. По-моему, только кор использует hardened-ключи для адресов, в остальных ключи простые, с индексом до 2³¹.

Как я помню, у каждой ветки размер возможных приватников - 2^32. И найти можно только первые, 2^31. А вот диапазон вторых, 2^31+1 (вторая часть) даже зная xpub и приватник найти не получится. Помню это товарищ Ксенон131 объяснял да и я потом в документации по Бипам читал.

Так что на самом деле, страшно только если сотни битков и боишься что придут прямо домой бить по башке.

Да, зная xpub и любой приватник, полученный из соответствующего этому xpub-у xprv-а, можно найти остальные приватники этой ветви.Да в общем-то ничего такого уж страшного, приватники-то не утекают. Тут вопрос только в приватности. Большинство, я думаю, это не волнует ).Насколько я знаю, прошивка только с сервера, на гитхабе ее нет и быть не должно, раз она закрыта. Но xpub-ы в LL из леджера получаются только при создании аккаунтов, при прошивке, смене и обновлении приложений они не извлекаются.

Мда. Как я помню, если известен xpub к m / 44 '/ 0' / 1 ' и хотя бы один из приватных ключей этой цепочки, то будут известны все остальные приватные ключи. (по крайней мере первые 2^31 из диапазона 2^32, тоесть как я помню "слабые" приватники).

Леджер лайв не первый раз уже подводит. Без него кстати обновиться не выйдет? Или с гитхаба все ок идет?

Сейчас проверил - да, видны xpub-ы, у меня в линуксе это файл ~/.config/Ledger Live/sqlite/database_v3_ledgerlive, в винде, наверное, это будет %appdata%/Ledger Live/sqlite/database_v3_ledgerlive.

Вот про то, что в ЛЛ в открытом виде где-то лежит база с публичными ключами и можно транзы просмотреть - этого не знал. Тогда да - критика ЛЛ вполне уместна, согласен.

Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций. Так что критика, на мой взгляд, вполне заслуженная, можно было бы даже пожестче ). Это правда, но проверить на оригинальность достаточно один раз после покупки, для прошивки и обновления приложений LL тоже можно устанавливать ненадолго, это на приватность не повлияет.

Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую:
что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность".
Да, можно трактовать это как "ЛЛ, установленный на вашем компе выдает вас как владельца Леджера с потрохами" - и опасность потери конфиденциальности таком вот образом довольно призрачна, а вот с другой стороны мы имеем, что ЛЛ - самый надежный способ проверки оригинальности самой приблуды, поскольку проверяет ее прошивку всякий раз при подключении, ну и быстрое легкое обновление прошивок и app тоже через ЛЛ. Так что будь на на месте СТО, я бы где-то вот так парировал. ))

По-моему, не было никакого камня и наезда. Насколько я понял, он хотел сказать. что наличие Ledger Live на компе однозначно указывает на наличие леджера у владельца компа, поэтому, допустим, если у вас только биткоин и эфиры с токенами, вам для повышения конфиденциальности лучше вместо LL пользоваться Electrum и MEW.
С другой стороны, леджеровцам все равно, что у вас там установлено, они сами часто рекомендуют сторонний софт в случае проблем и недостатка функциональности. Их бизнес - продажа железа.