Pages:
Author

Topic: Леджер - аппаратный кошелек для хранения к - page 27. (Read 49371 times)

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Как я помню, у каждой ветки размер возможных приватников - 2^32. И найти можно только первые, 2^31. А вот диапазон вторых, 2^31+1 (вторая часть) даже зная xpub и приватник найти не получится. Помню это товарищ Ксенон131 объяснял да и я потом в документации по Бипам читал.
Очень может быть, так как приватники в разных половинах диапазона ключей по разным формулам вычисляются. По-моему, только кор использует hardened-ключи для адресов, в остальных ключи простые, с индексом до 231.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
Мда. Как я помню, если известен xpub к m / 44 '/ 0' / 1 ' и хотя бы один из приватных ключей этой цепочки, то будут известны все остальные приватные ключи. (по крайней мере первые 2^31 из диапазона 2^32, тоесть как я помню "слабые" приватники).
Да, зная xpub и любой приватник, полученный из соответствующего этому xpub-у xprv-а, можно найти остальные приватники этой ветви.

Как я помню, у каждой ветки размер возможных приватников - 2^32. И найти можно только первые, 2^31. А вот диапазон вторых, 2^31+1 (вторая часть) даже зная xpub и приватник найти не получится. Помню это товарищ Ксенон131 объяснял да и я потом в документации по Бипам читал.

Так что на самом деле, страшно только если сотни битков и боишься что придут прямо домой бить по башке.

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Мда. Как я помню, если известен xpub к m / 44 '/ 0' / 1 ' и хотя бы один из приватных ключей этой цепочки, то будут известны все остальные приватные ключи. (по крайней мере первые 2^31 из диапазона 2^32, тоесть как я помню "слабые" приватники).
Да, зная xpub и любой приватник, полученный из соответствующего этому xpub-у xprv-а, можно найти остальные приватники этой ветви.
Quote
Леджер лайв не первый раз уже подводит.
Да в общем-то ничего такого уж страшного, приватники-то не утекают. Тут вопрос только в приватности. Большинство, я думаю, это не волнует ).
Quote
Без него кстати обновиться не выйдет? Или с гитхаба все ок идет?
Насколько я знаю, прошивка только с сервера, на гитхабе ее нет и быть не должно, раз она закрыта. Но xpub-ы в LL из леджера получаются только при создании аккаунтов, при прошивке, смене и обновлении приложений они не извлекаются.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую:
Quote
when possible, you should avoid using the wallet software supplied by the hardware wallet vendor to maximize your privacy
что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность".
Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций. Так что критика, на мой взгляд, вполне заслуженная, можно было бы даже пожестче )

Мда. Как я помню, если известен xpub к m / 44 '/ 0' / 1 ' и хотя бы один из приватных ключей этой цепочки, то будут известны все остальные приватные ключи. (по крайней мере первые 2^31 из диапазона 2^32, тоесть как я помню "слабые" приватники).

Леджер лайв не первый раз уже подводит. Без него кстати обновиться не выйдет? Или с гитхаба все ок идет?
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Вот про то, что в ЛЛ в открытом виде где-то лежит база с публичными ключами и можно транзы просмотреть - этого не знал.
Сейчас проверил - да, видны xpub-ы, у меня в линуксе это файл ~/.config/Ledger Live/sqlite/database_v3_ledgerlive, в винде, наверное, это будет %appdata%/Ledger Live/sqlite/database_v3_ledgerlive.
member
Activity: 497
Merit: 77
Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций.
Вот про то, что в ЛЛ в открытом виде где-то лежит база с публичными ключами и можно транзы просмотреть - этого не знал. Тогда да - критика ЛЛ вполне уместна, согласен.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую:
Quote
when possible, you should avoid using the wallet software supplied by the hardware wallet vendor to maximize your privacy
что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность".
Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций. Так что критика, на мой взгляд, вполне заслуженная, можно было бы даже пожестче ).
Quote
с другой стороны мы имеем, что ЛЛ - самый надежный способ проверки оригинальности самой приблуды, поскольку проверяет ее прошивку всякий раз при подключении, ну и быстрое легкое обновление прошивок и app тоже через ЛЛ.
Это правда, но проверить на оригинальность достаточно один раз после покупки, для прошивки и обновления приложений LL тоже можно устанавливать ненадолго, это на приватность не повлияет.
member
Activity: 497
Merit: 77
После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt
По-моему, не было никакого камня и наезда. Насколько я понял, он хотел сказать. что наличие Ledger Live на компе однозначно указывает на наличие леджера у владельца компа, поэтому, допустим, если у вас только биткоин и эфиры с токенами, вам для повышения конфиденциальности лучше вместо LL пользоваться Electrum и MEW.
С другой стороны, леджеровцам все равно, что у вас там установлено, они сами часто рекомендуют сторонний софт в случае проблем и недостатка функциональности. Их бизнес - продажа железа.
Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую:
Quote
when possible, you should avoid using the wallet software supplied by the hardware wallet vendor to maximize your privacy
что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность".
Да, можно трактовать это как "ЛЛ, установленный на вашем компе выдает вас как владельца Леджера с потрохами" - и опасность потери конфиденциальности таком вот образом довольно призрачна, а вот с другой стороны мы имеем, что ЛЛ - самый надежный способ проверки оригинальности самой приблуды, поскольку проверяет ее прошивку всякий раз при подключении, ну и быстрое легкое обновление прошивок и app тоже через ЛЛ. Так что будь на на месте СТО, я бы где-то вот так парировал. ))
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt
По-моему, не было никакого камня и наезда. Насколько я понял, он хотел сказать. что наличие Ledger Live на компе однозначно указывает на наличие леджера у владельца компа, поэтому, допустим, если у вас только биткоин и эфиры с токенами, вам для повышения конфиденциальности лучше вместо LL пользоваться Electrum и MEW.
С другой стороны, леджеровцам все равно, что у вас там установлено, они сами часто рекомендуют сторонний софт в случае проблем и недостатка функциональности. Их бизнес - продажа железа.
member
Activity: 497
Merit: 77
Насколько я понял, это сказал Yocom-Piatt, а не CTO леджера.

Да, Вы правы, спасибо за уточнение, еще раз перечитал статью в Коинтелеграфе:
Quote
Yocom-Piatt also spoke on protection against company data breaches, such as the one Ledger suffered. “Since e-commerce systems typically have weak security, I recommend that users ordering these devices have them sent to an address that is not their primary residence,” he said.
Конечно такая цитата довольно странно смотрится в статье, где Ledger CTO отвечает на вопросы и критику. После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt, но возможно журналист Коинтелеграфа не счел необходимым получить ответ от Charles Guillemet по этому поводу. ))
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
«Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.
Да уж, очень странно читать такое от технического директора Ledger, я даже не поленился почитать статью в оригинале. И да, именно это он и говорит. Первый раз встречаю CTO проекта, который прямо призывает НЕ пользоваться родным софтом проекта.  Huh Может cointelegraph что-то в самом интервью напутал и слова CTO как-то исказил? Но это вряд ли, конечно.
Насколько я понял, это сказал Yocom-Piatt, а не CTO леджера.
member
Activity: 497
Merit: 77
«Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.
Да уж, очень странно читать такое от технического директора Ledger, я даже не поленился почитать статью в оригинале. И да, именно это он и говорит. Первый раз встречаю CTO проекта, который прямо призывает НЕ пользоваться родным софтом проекта.  Huh Может cointelegraph что-то в самом интервью напутал и слова CTO как-то исказил? Но это вряд ли, конечно.
legendary
Activity: 2702
Merit: 1465
Технический директор Ledger обсуждает безопасность кошельков после нескольких неудач компании в сфере безопасности

В том числе оригинальным мне показалась его заявление о том, что (выделено в тексте) :
....
Фишинг-мошенничество происходит, когда злоумышленник отправляет электронное письмо маскируясь под другое лицо или компанию, в попытке получить конфиденциальную информацию от клиента.  «Мы никогда не будем спрашивать у наших клиентов 24 слова из их фразы для восстановления», - сказал Гиллеме, призвав клиентов использовать двухфакторную аутентификацию, а также указал на образовательную информацию по безопасности, которую можно найти на сайте Ledger.

 Помимо фишинговых атак, Ledger защищает и от вредоносных программ.  «Устройства Ledger предназначены для защиты средств пользователей от вредоносных программ на компьютерах пользователей, в том числе от поддельных приложений Ledger Live», - пояснил Гиллемет, ссылаясь на настольное приложение Ledger для взаимодействия с устройствами-кошельками.  Он уточнил, что пользователи должны убедиться, что получили приложение на официальном онлайн-сайте Ledger или в магазине приложений.

 Yocom-Piatt также рассказала о защите от утечки данных компании, например, от которой пострадала Ledger.  «Поскольку системы электронной коммерции обычно имеют слабую защиту, я рекомендую пользователям, заказывающим эти устройства, отправлять их на адрес, который не является их основным местом жительства», - сказал он.

 Использование другого физического адреса защищает клиентов от разоблачения их места жительства в случае такого нарушения, помогая защититься от потенциальной личной кражи устройства кошелька Ledger. «Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.

Это как же понимать по отношению в леджер лайфHuh  Smiley

Хотя, да... Может быть, может быть...
member
Activity: 497
Merit: 77
Leger может заставить тратить биткойн вместо альткоинов
 Huh Huh Huh
В статье говорится о том, что
"Уязвимость в аппаратных кошельках  Leger позволяет по запросу на транзакцию altcoin фактически запросить Bitcoin"
Сообщается, что эксплойт был раскрыт leger еще в 2019 году, но до сих пор девы не исправили его.
Эта уязвимость может позволить злоумышленникам украсть Bitcoin, согласно отчету, опубликованному разработчиком Liquality Мохаммедом Нохбехом вчера.
Всё это связано с приложениями леджер лайфа, используемым для разных монет.
Это означает что хотел отправить допустим 5 догов, а отправишь 5 битков вместо этого кому-то ? Звучит совсем плохо. Такому счастливчику не позавидуешь если это случится.

Вероятность попасть на такую ситуацию практически равна нулю. Для начала надо суметь заразить свой кошелек (не буду пересказывать маловероятность этого, в постах выше все описано), и потом, я как-то мало себе представляю человека, у которого на леджере лежит свыше 5 битков и он при этом оправляет 5 (пять) догов. )) Кто вообще в наше время отправляет куда-то 5 догов, зачем, с какой целью?  Roll Eyes
И вообще, я думаю, что люди, у которых количество битков исчисляется целыми единицами, десятками и паче того, скорей всего создали для этих целей реально холодный кошелек, а не хранят доступ к этим биткам на леджере или трезоре. Леджер иди трезор - это, имхо, компромиссный вариант, между настоящим холодным кошельком и всякими горячими вариантами, клиентами и т.д. Будь у меня овер 5 битков, я бы их положил на настоящий холодный, хотя леджер люблю и пользуюсь им регулярно для всяческой альты.   
newbie
Activity: 46
Merit: 0
Почитал за леджеры, устройство классное тут и придраться не к чему. Только ситуации разные бывают, что бы пользоваться таким устройством нужно должное обращение с ним, впринципе задумка классная, хоть сам и не пользовался лично, скажу ток то что как криптовалюта идёт в перёд так и технологии начали подгонять под нее, а это прогресс друзья мои. Приятно видеть что есть перспективы в будущем, хотя и прийдеться перетерпеть многое, пользоваться и развивать разными способами крипту это наш долг
legendary
Activity: 2702
Merit: 1465
У леджера видно с финансами не очень, мало того, что цены снизили на леджер, так ещё в Leger Live v 2.9.0 рекламку впендюрили Grin
Раньше вроде не видел, глаза не мозолила.
member
Activity: 504
Merit: 19
Да, в трезоре можно залить спец. прошивку "только для BTC", без поддержки альтов.
Трезор как мне кажется даже если не брать в расчет то что у Леджера  в последнее время полоса неудач, все-таки более функционален. Там помимо основного функционала как кошелька есть еще хорошая вещь. Менеджер паролей. Который например очень удобно использовать с хромом для почты gmail.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Насколько я помню из описания в Трезоре том же можно не активировать мультивалютность, а пользоваться им лишь для хранения битков.
Да, в трезоре можно залить спец. прошивку "только для BTC", без поддержки альтов. Я, правда, так и не понял, какой в этом смысл. Никто не мешает изолировать разные монеты по разным аккаунтам или даже по разным сидам. В случае с сидами - это просто делается изменением passphrase при входе в трезор (к примеру, btcqwerty12345, xrpqwerty12345, ethqwerty12345 итд.), в леджере тоже можно, но там это глубоко запрятано - быстро надоест.
member
Activity: 532
Merit: 16
Это означает что хотел отправить допустим 5 догов, а отправишь 5 битков вместо этого кому-то ? Звучит совсем плохо. Такому счастливчику не позавидуешь если это случится.

Как я понимаю тому кто не работает с шитками, а отправляет только биткойны найденная уязвимость не грозит. Лишний раз убеждаюсь, что мультивалютные кошельки это палка о двух концах. Как ни старайся, а какая-нибудь засада да и найдется.
Насколько я помню из описания в Трезоре том же можно не активировать мультивалютность, а пользоваться им лишь для хранения битков. Но что есть то есть - и у Трезора были моменты не очень приятные и тут аналогично.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Насколько я понял, чтобы "заработать" на этой уязвимости, злоумышленник должен был:
1. Распространить модифицированный софт (Ledger Live, например). Что уже очень непросто, по-моему.
2. Как-то заставить жертву сделать ему перевод (то есть продать ему товар или услугу). Причем относительно экзотической монетой, что подозрительно (обычно расчеты производятся в битках или эфирах).
3. При этом сохранить анонимность (так как вскоре станет очевидно, что именно он и есть злодей). Пока не очень представляю, как это сделать.
4. Наконец, на кошельке жертвы должно быть нужное количество битков. То есть если товар/услуга стоит 10$, то при оплате в LTC битков в кошельке должно быть 0.2, а при оплате в DOGE должно быть уже 3000 BTC )).

Кстати, эта уязвимость была и в трезорах (уже вышла прошивка с фиксом), и, наверняка, в других аппаратниках.
Pages:
Jump to: