Pages:
Author

Topic: Леджер - аппаратный кошелек для хранения к - page 27. (Read 49487 times)

legendary
Activity: 2100
Merit: 1340
 Ledger прошла аудит безопасности SOC 2 Type 1

Производитель аппаратных криптовалютных кошельков Ledger объявил о прохождении аудита безопасности SOC 2 Type 1. Аудитом занималась нью-йоркская консалтинговая фирма Friedman LLP.

В рамках теста SOC 2 была проанализирована безопасность компании, а также правильное обращение с персональными данными клиентов. Кроме того, в рамках аудита было проверено кастодиальное решение Ledger Vault. Представители Ledger подчеркнули:

«Благодаря прохождению аудита SOC 2 Type 1 мы можем гарантировать нашим клиентам дополнительный уровень безопасности, а также с уверенностью утверждать, что наше решение Vault защищено в любое время и у нас есть все необходимые процессы для обеспечения доступности решения».

Подробнее: https://bits.media/ledger-proshla-audit-bezopasnosti-soc-2-type-1/
member
Activity: 497
Merit: 77
CTO Леджерa объясняет, почему смартфоны не будут когда-либо быть полностью безопасным для использования крипто

Леджер использует чип, основанный на технологии Secure Element, которая, по словам CTO, является идеальной защитой от физической фальсификации.
Недавние шаги Samsung по интеграции аналогичных технологий в свои телефоны с поддержкой блокчейна несут в себе обещание сделать смартфоны такими же безопасными, как аппаратные кошельки, но Guillemet предупредил, что они замудохаются решать все связанные с этим проблемы

Я прочитал статью по ссылке и не понял, в чем там проблема для смартфонов. Если Самсунг собирается ставить секьюрную микросхему, аналогичную той, что в Леджер, и при этом нечто в дисплее смарта, точнее в самом андроиде, как я понял, не дает сделать безопасность на уровне того же Леджера.
Quote
Проблема заключается в дисплее телефона, где Android не дает никаких гарантий, что отображаемые на нем данные будут точными - функция, называемая «Trusted Display

Ну так есть простое решение, пусть вместе с секьюрным чипом в смартфон добавят и маленький экранчик.  Grin И чип, и экранчик будут стоить пару-тройку долларов каждый для вендора. Можно сделать вообще аппаратнк отдельным модулем внутри лопатофона Самсунг, при этом экранчик вывести на заднюю панель, под обложку. Шучу.  
legendary
Activity: 2702
Merit: 1465
CTO Леджерa объясняет, почему смартфоны не будут когда-либо быть полностью безопасным для использования крипто

Леджер использует чип, основанный на технологии Secure Element, которая, по словам CTO, является идеальной защитой от физической фальсификации.
Недавние шаги Samsung по интеграции аналогичных технологий в свои телефоны с поддержкой блокчейна несут в себе обещание сделать смартфоны такими же безопасными, как аппаратные кошельки, но Guillemet предупредил, что они замудохаются решать все связанные с этим проблемы
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Но вроде бы наоборот, все стараются использовать усиленные ключи.
Ну что значит "стараются"? ) Усиленные ключи используют на уровне аккаунта и выше. Ниже почти все используют неусиленные ключи. У них свои преимущества.
Quote
Здесь вот в чем еще загвоздка то: слить один приватны ключ, как два пальца. Ввел на говносайте, или же в какой нибудь кошелек скама типа биткоин даймонд и все. Мало кто из людей вообще разные аккаунты в своем HD кошельке использует, поэтому потеря даже левого ключа, и компроментация xpub-a может очень грустно закончиться.
Поэтому в аппаратниках приватные ключи делаются недоступными из интерфейса, чтобы неграмотные юзеры не компрометировали их.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
По-моему, только кор использует hardened-ключи для адресов, в остальных ключи простые, с индексом до 231.

Ну и Armory, насчет остальных не в курсе. Но вроде бы наоборот, все стараются использовать усиленные ключи.

Здесь вот в чем еще загвоздка то: слить один приватны ключ, как два пальца. Ввел на говносайте, или же в какой нибудь кошелек скама типа биткоин даймонд и все. Мало кто из людей вообще разные аккаунты в своем HD кошельке использует, поэтому потеря даже левого ключа, и компроментация xpub-a может очень грустно закончиться.

Но я бы насчет этого не переживал, что кто то там будет получать доступ к компу чтобы найти xpub. Как показывает мой опыт, люди сами охотно за три копейки их светят где попало  Smiley
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Как я помню, у каждой ветки размер возможных приватников - 2^32. И найти можно только первые, 2^31. А вот диапазон вторых, 2^31+1 (вторая часть) даже зная xpub и приватник найти не получится. Помню это товарищ Ксенон131 объяснял да и я потом в документации по Бипам читал.
Очень может быть, так как приватники в разных половинах диапазона ключей по разным формулам вычисляются. По-моему, только кор использует hardened-ключи для адресов, в остальных ключи простые, с индексом до 231.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
Мда. Как я помню, если известен xpub к m / 44 '/ 0' / 1 ' и хотя бы один из приватных ключей этой цепочки, то будут известны все остальные приватные ключи. (по крайней мере первые 2^31 из диапазона 2^32, тоесть как я помню "слабые" приватники).
Да, зная xpub и любой приватник, полученный из соответствующего этому xpub-у xprv-а, можно найти остальные приватники этой ветви.

Как я помню, у каждой ветки размер возможных приватников - 2^32. И найти можно только первые, 2^31. А вот диапазон вторых, 2^31+1 (вторая часть) даже зная xpub и приватник найти не получится. Помню это товарищ Ксенон131 объяснял да и я потом в документации по Бипам читал.

Так что на самом деле, страшно только если сотни битков и боишься что придут прямо домой бить по башке.

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Мда. Как я помню, если известен xpub к m / 44 '/ 0' / 1 ' и хотя бы один из приватных ключей этой цепочки, то будут известны все остальные приватные ключи. (по крайней мере первые 2^31 из диапазона 2^32, тоесть как я помню "слабые" приватники).
Да, зная xpub и любой приватник, полученный из соответствующего этому xpub-у xprv-а, можно найти остальные приватники этой ветви.
Quote
Леджер лайв не первый раз уже подводит.
Да в общем-то ничего такого уж страшного, приватники-то не утекают. Тут вопрос только в приватности. Большинство, я думаю, это не волнует ).
Quote
Без него кстати обновиться не выйдет? Или с гитхаба все ок идет?
Насколько я знаю, прошивка только с сервера, на гитхабе ее нет и быть не должно, раз она закрыта. Но xpub-ы в LL из леджера получаются только при создании аккаунтов, при прошивке, смене и обновлении приложений они не извлекаются.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую:
Quote
when possible, you should avoid using the wallet software supplied by the hardware wallet vendor to maximize your privacy
что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность".
Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций. Так что критика, на мой взгляд, вполне заслуженная, можно было бы даже пожестче )

Мда. Как я помню, если известен xpub к m / 44 '/ 0' / 1 ' и хотя бы один из приватных ключей этой цепочки, то будут известны все остальные приватные ключи. (по крайней мере первые 2^31 из диапазона 2^32, тоесть как я помню "слабые" приватники).

Леджер лайв не первый раз уже подводит. Без него кстати обновиться не выйдет? Или с гитхаба все ок идет?
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Вот про то, что в ЛЛ в открытом виде где-то лежит база с публичными ключами и можно транзы просмотреть - этого не знал.
Сейчас проверил - да, видны xpub-ы, у меня в линуксе это файл ~/.config/Ledger Live/sqlite/database_v3_ledgerlive, в винде, наверное, это будет %appdata%/Ledger Live/sqlite/database_v3_ledgerlive.
member
Activity: 497
Merit: 77
Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций.
Вот про то, что в ЛЛ в открытом виде где-то лежит база с публичными ключами и можно транзы просмотреть - этого не знал. Тогда да - критика ЛЛ вполне уместна, согласен.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую:
Quote
when possible, you should avoid using the wallet software supplied by the hardware wallet vendor to maximize your privacy
что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность".
Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций. Так что критика, на мой взгляд, вполне заслуженная, можно было бы даже пожестче ).
Quote
с другой стороны мы имеем, что ЛЛ - самый надежный способ проверки оригинальности самой приблуды, поскольку проверяет ее прошивку всякий раз при подключении, ну и быстрое легкое обновление прошивок и app тоже через ЛЛ.
Это правда, но проверить на оригинальность достаточно один раз после покупки, для прошивки и обновления приложений LL тоже можно устанавливать ненадолго, это на приватность не повлияет.
member
Activity: 497
Merit: 77
После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt
По-моему, не было никакого камня и наезда. Насколько я понял, он хотел сказать. что наличие Ledger Live на компе однозначно указывает на наличие леджера у владельца компа, поэтому, допустим, если у вас только биткоин и эфиры с токенами, вам для повышения конфиденциальности лучше вместо LL пользоваться Electrum и MEW.
С другой стороны, леджеровцам все равно, что у вас там установлено, они сами часто рекомендуют сторонний софт в случае проблем и недостатка функциональности. Их бизнес - продажа железа.
Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую:
Quote
when possible, you should avoid using the wallet software supplied by the hardware wallet vendor to maximize your privacy
что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность".
Да, можно трактовать это как "ЛЛ, установленный на вашем компе выдает вас как владельца Леджера с потрохами" - и опасность потери конфиденциальности таком вот образом довольно призрачна, а вот с другой стороны мы имеем, что ЛЛ - самый надежный способ проверки оригинальности самой приблуды, поскольку проверяет ее прошивку всякий раз при подключении, ну и быстрое легкое обновление прошивок и app тоже через ЛЛ. Так что будь на на месте СТО, я бы где-то вот так парировал. ))
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt
По-моему, не было никакого камня и наезда. Насколько я понял, он хотел сказать. что наличие Ledger Live на компе однозначно указывает на наличие леджера у владельца компа, поэтому, допустим, если у вас только биткоин и эфиры с токенами, вам для повышения конфиденциальности лучше вместо LL пользоваться Electrum и MEW.
С другой стороны, леджеровцам все равно, что у вас там установлено, они сами часто рекомендуют сторонний софт в случае проблем и недостатка функциональности. Их бизнес - продажа железа.
member
Activity: 497
Merit: 77
Насколько я понял, это сказал Yocom-Piatt, а не CTO леджера.

Да, Вы правы, спасибо за уточнение, еще раз перечитал статью в Коинтелеграфе:
Quote
Yocom-Piatt also spoke on protection against company data breaches, such as the one Ledger suffered. “Since e-commerce systems typically have weak security, I recommend that users ordering these devices have them sent to an address that is not their primary residence,” he said.
Конечно такая цитата довольно странно смотрится в статье, где Ledger CTO отвечает на вопросы и критику. После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt, но возможно журналист Коинтелеграфа не счел необходимым получить ответ от Charles Guillemet по этому поводу. ))
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
«Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.
Да уж, очень странно читать такое от технического директора Ledger, я даже не поленился почитать статью в оригинале. И да, именно это он и говорит. Первый раз встречаю CTO проекта, который прямо призывает НЕ пользоваться родным софтом проекта.  Huh Может cointelegraph что-то в самом интервью напутал и слова CTO как-то исказил? Но это вряд ли, конечно.
Насколько я понял, это сказал Yocom-Piatt, а не CTO леджера.
member
Activity: 497
Merit: 77
«Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.
Да уж, очень странно читать такое от технического директора Ledger, я даже не поленился почитать статью в оригинале. И да, именно это он и говорит. Первый раз встречаю CTO проекта, который прямо призывает НЕ пользоваться родным софтом проекта.  Huh Может cointelegraph что-то в самом интервью напутал и слова CTO как-то исказил? Но это вряд ли, конечно.
legendary
Activity: 2702
Merit: 1465
Технический директор Ledger обсуждает безопасность кошельков после нескольких неудач компании в сфере безопасности

В том числе оригинальным мне показалась его заявление о том, что (выделено в тексте) :
....
Фишинг-мошенничество происходит, когда злоумышленник отправляет электронное письмо маскируясь под другое лицо или компанию, в попытке получить конфиденциальную информацию от клиента.  «Мы никогда не будем спрашивать у наших клиентов 24 слова из их фразы для восстановления», - сказал Гиллеме, призвав клиентов использовать двухфакторную аутентификацию, а также указал на образовательную информацию по безопасности, которую можно найти на сайте Ledger.

 Помимо фишинговых атак, Ledger защищает и от вредоносных программ.  «Устройства Ledger предназначены для защиты средств пользователей от вредоносных программ на компьютерах пользователей, в том числе от поддельных приложений Ledger Live», - пояснил Гиллемет, ссылаясь на настольное приложение Ledger для взаимодействия с устройствами-кошельками.  Он уточнил, что пользователи должны убедиться, что получили приложение на официальном онлайн-сайте Ledger или в магазине приложений.

 Yocom-Piatt также рассказала о защите от утечки данных компании, например, от которой пострадала Ledger.  «Поскольку системы электронной коммерции обычно имеют слабую защиту, я рекомендую пользователям, заказывающим эти устройства, отправлять их на адрес, который не является их основным местом жительства», - сказал он.

 Использование другого физического адреса защищает клиентов от разоблачения их места жительства в случае такого нарушения, помогая защититься от потенциальной личной кражи устройства кошелька Ledger. «Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.

Это как же понимать по отношению в леджер лайфHuh  Smiley

Хотя, да... Может быть, может быть...
member
Activity: 497
Merit: 77
Leger может заставить тратить биткойн вместо альткоинов
 Huh Huh Huh
В статье говорится о том, что
"Уязвимость в аппаратных кошельках  Leger позволяет по запросу на транзакцию altcoin фактически запросить Bitcoin"
Сообщается, что эксплойт был раскрыт leger еще в 2019 году, но до сих пор девы не исправили его.
Эта уязвимость может позволить злоумышленникам украсть Bitcoin, согласно отчету, опубликованному разработчиком Liquality Мохаммедом Нохбехом вчера.
Всё это связано с приложениями леджер лайфа, используемым для разных монет.
Это означает что хотел отправить допустим 5 догов, а отправишь 5 битков вместо этого кому-то ? Звучит совсем плохо. Такому счастливчику не позавидуешь если это случится.

Вероятность попасть на такую ситуацию практически равна нулю. Для начала надо суметь заразить свой кошелек (не буду пересказывать маловероятность этого, в постах выше все описано), и потом, я как-то мало себе представляю человека, у которого на леджере лежит свыше 5 битков и он при этом оправляет 5 (пять) догов. )) Кто вообще в наше время отправляет куда-то 5 догов, зачем, с какой целью?  Roll Eyes
И вообще, я думаю, что люди, у которых количество битков исчисляется целыми единицами, десятками и паче того, скорей всего создали для этих целей реально холодный кошелек, а не хранят доступ к этим биткам на леджере или трезоре. Леджер иди трезор - это, имхо, компромиссный вариант, между настоящим холодным кошельком и всякими горячими вариантами, клиентами и т.д. Будь у меня овер 5 битков, я бы их положил на настоящий холодный, хотя леджер люблю и пользуюсь им регулярно для всяческой альты.   
newbie
Activity: 46
Merit: 0
Почитал за леджеры, устройство классное тут и придраться не к чему. Только ситуации разные бывают, что бы пользоваться таким устройством нужно должное обращение с ним, впринципе задумка классная, хоть сам и не пользовался лично, скажу ток то что как криптовалюта идёт в перёд так и технологии начали подгонять под нее, а это прогресс друзья мои. Приятно видеть что есть перспективы в будущем, хотя и прийдеться перетерпеть многое, пользоваться и развивать разными способами крипту это наш долг
Pages:
Jump to: