Леджер - аппаратный кошелек для хранения к - page 8.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: tenant48 on May 27, 2023, 07:08:14 AM

Я что то не могу понять ход вашей мысли?
Вы написали, в Леджер могут перехватить Сид bip-32, но я в инструкции четко написал, что сначала настраиваем Леджер через Ledger Live, а затем удаляем LL и только затем вводим в кошелек парольную фразу. После ввода парольной фразы сид bip-32 ИЗМЕНИТСЯ на новый и в Леджер до него уже не дотянутся. То что Сид bip-32 изменится можно легко убедится через конвертер iancoleman.

Я вас понял, и ваш метод, конечно, рабочий против каких-то действий со стороны Ledger Live. Но можно обойтись и без внешнего управления - бэкдор в прошивке будет помещать в каждую подпись от нескольких бит до нескольких байт секрета (зависит от производительности процессора кошелька), а дальше владелец бэкдора просто соберет эту информацию из блокчейна и сконструирует сид.

tenant48

full member

Activity: 343

Merit: 167

Quote from: igor72 on May 27, 2023, 06:43:02 AM

Quote from: tenant48 on May 27, 2023, 06:37:31 AM

Что значит наличие парольной фразы не спасет?
Прописываете в Электрум правильный путь деривации:
m/49'/0'/0' - для segwit адрессов или
m/84'/0'/0' - для native segwit
И пусть угоняют любой сид.

При чем тут Электрум? Секрет можно вывести через любой интерфейс, так как он будет вмонтирован в текст транзакций.

Я что то не могу понять ход вашей мысли?
Вы написали, в Леджер могут перехватить Сид bip-32, но я в инструкции четко написал, что сначала настраиваем Леджер через Ledger Live, а затем удаляем LL и только затем вводим в кошелек парольную фразу. После ввода парольной фразы сид bip-32 ИЗМЕНИТСЯ на новый и в Леджер до него уже не дотянутся. То что Сид bip-32 изменится можно легко убедится через конвертер iancoleman.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: tenant48 on May 27, 2023, 06:37:31 AM

Что значит наличие парольной фразы не спасет?
Прописываете в Электрум правильный путь деривации:
m/49'/0'/0' - для segwit адрессов или
m/84'/0'/0' - для native segwit
И пусть угоняют любой сид.

При чем тут Электрум? Секрет можно вывести через любой интерфейс, так как он будет вмонтирован в текст транзакций.

tenant48

full member

Activity: 343

Merit: 167

Quote from: igor72 on May 27, 2023, 02:29:29 AM

Теоретически в закрытой прошивке возможен бэкдор, угоняющий BIP32-сид (не путать с BIP39 сид-фразой), в этом случае наличие парольной фразы не спасет. Тут только мультисиг обезопасит.

Что значит наличие парольной фразы не спасет?
Прописываете в Электрум правильный путь деривации:
m/49'/0'/0' - для segwit адрессов или
m/84'/0'/0' - для native segwit
И пусть угоняют любой сид.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: tenant48 on May 24, 2023, 10:43:10 PM

Даже если у сотрудников Леджер получится перехватить ваш Сид через Ledger Live, то до ваших монет они добраться не смогут, так как кошелек будет надежно защищен парольной фразой.

Теоретически в закрытой прошивке возможен бэкдор, угоняющий BIP32-сид (не путать с BIP39 сид-фразой), в этом случае наличие парольной фразы не спасет. Тут только мультисиг обезопасит.

satscraper

hero member

Activity: 714

Merit: 1298

^

У ColdCard MK4 нет соряжения через QR коды и это решающий фактор почему я выбрал Passport 2. Последний может работать через QR коды.

Кроме того ColdCard MK4 немного замороченный в смысле настроек и работы с ним. Там есть функции, которые при неосторожном с ними обращении могут превратить кошелек в кирпич.

Кстати более продвинутая модель от этого производителя - ColdcardQ1. Она должна появиться в 4 квартале сего года и у неё будет возможность работать с QR.

Есть ещё очень хорошее и главное не требующее больших капиталовложений решение - Specter-DIY

Одно ясно, Нужно выбирать бесконтактный (air-gapped) дивайс с открытыми исходниками.

У Passport 2 не только исходники открыты, но и полный его дизайн, включая элементную базу и схемные решения. И у него форм фактор не вызывающий подозрения. Что-то типа старых кнопочных Нокиа. При пересечении границ для меня это очень важное обстоятельство.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on May 24, 2023, 09:44:56 AM

Вы какими аппаратными кошельками будете теперь пользоваться? Жалко 12 тысяч выкинуть или попробую продать, что купить советуйте?

Сейчас в тренде Passport от Foundation Devices, форк ColdCard от Coinkite, опенсорсный аппаратный кошелек, который использует камеру для передачи и получения информации. Сам я его не использовал, но на форуме многие предпочитают этот кошелек всем другим. Также можно присмотреться к самому ColdCard и его новой модели mk4: этот использует SD карты и NFC для передачи информации и имеет проверяемый код (код открыт, но не может использоваться свободно). Ценники у этих кошельков не маленькие, но зато вы не получите кусок дешеаого пластика как в случае с Ledger. Ну или еще как вариант можно купить старенький ноутбук, отпаять у него всякие Wi-Fi модули и прочее и использовать как холодное хранилище. В свете последних событий, это будет намного безопаснее, чем использовать проприетарное Ledger API для расшаривания секретных ключей со сторонними компаниями.

fruktik

hero member

Activity: 1176

Merit: 578

Quote from: witcher_sense on May 24, 2023, 02:26:48 AM

После всей критики они даже не осознали ее суть: дело не в том, что код у Ledger Recover открытый или закрытый. Суть в том, что аппаратный кошелек вообще не должен позволять извлекать сид фразу и пересылать ее третьим лицам. Суть в том, что аппаратный кошелек должен защищать от конфискации криптовалюты, а не способствовать ей. Суть в том, что зарабатывать на продаже данных своих клиентов - это как минимум не очень красиво. Но видимо сами эти идеи очень нравятся Ledger, потому что они предвидят неплохие доходы от таких сомнительных услуг, поэтому и не отказываются от них полностью, а просто приостанавливают на время. Ну что ж, частичное открытие исходного кода ничего кардинально не изменит, разве что ухудшит ситуацию и позволит хакерам легче анализировать дыры в безопасности. Я не знаю что движет людьми, которые будут продолжать пользоваться продуктами Ledger после всех этих анонсов, возможно они своего рода криптовалютные мазозисты.

Может быть это тот случай, когда следует смириться с данным фактом на счет кода и перестать пользоваться этими кошельками? Пусть другие это делают, которые являются ярыми фанами или что-то того. Если есть такое отношение к своим клиентам, то не завидное будущее у производителей подобных устройств. Сами пилят сук, на котором сидят.
Да, сейчас "модно" хранить персональные данные пользователей. Эта база будет актуальна долгое время и денег можно заработать весьма приличное количество с этого в любой момент.

tenant48

full member

Activity: 343

Merit: 167

Для тех, кто хочет и дальше продолжать безопасно использовать свой Леджер, напишу краткую инструкцию на примере с биткоином.

1. Устанавливаем приложение биткоина на кошелек через Ledger Live и затем удаляем Ledger Live со своего комьютера.
2. Устанавливаем на кошелек надежную парольную фразу.
3. Пользуемся кошельком через Електрум. (К Ledger Live больше кошелек не подключаем).
4. Если в будущем возникнет необходимость обновить кошелек через Ledger Live, то после его обнавления, обязательно переносим монеты на новую парольную фразу.

Даже если у сотрудников Леджер получится перехватить ваш Сид через Ledger Live, то до ваших монет они добраться не смогут, так как кошелек будет надежно защищен парольной фразой.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: witcher_sense on May 24, 2023, 02:26:48 AM

Quote from: jokers10 on May 24, 2023, 02:14:29 AM

Собственно, как все и подозревали последнее время! Всё-таки программные продукты с закрытым кодом это, мягко говоря, не совсем кошерно для децентрализованных финансов. И испуганные последствиями своих заявлений разработчики Ledger засуетились, и Гийоме написал, что они постепенно будут открывать код своих программных продуктов, а начнут именно с Ledger Recover. А до публикации кода они повременят с его внедрением.

Оно, конечно, похвально, что они пытаются как-то вырулить, но централизованному хранению ключиков от кошельков нет, нет и ещё раз нет, даже с открытым кодом! Grin

После всей критики они даже не осознали ее суть: дело не в том, что код у Ledger Recover открытый или закрытый. Суть в том, что аппаратный кошелек вообще не должен позволять извлекать сид фразу и пересылать ее третьим лицам. Суть в том, что аппаратный кошелек должен защищать от конфискации криптовалюты, а не способствовать ей. Суть в том, что зарабатывать на продаже данных своих клиентов - это как минимум не очень красиво. Но видимо сами эти идеи очень нравятся Ledger, потому что они предвидят неплохие доходы от таких сомнительных услуг, поэтому и не отказываются от них полностью, а просто приостанавливают на время. Ну что ж, частичное открытие исходного кода ничего кардинально не изменит, разве что ухудшит ситуацию и позволит хакерам легче анализировать дыры в безопасности. Я не знаю что движет людьми, которые будут продолжать пользоваться продуктами Ledger после всех этих анонсов, возможно они своего рода криптовалютные мазозисты.

Вы какими аппаратными кошельками будете теперь пользоваться? Жалко 12 тысяч выкинуть или попробую продать, что купить советуйте?

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: jokers10 on May 24, 2023, 02:14:29 AM

Собственно, как все и подозревали последнее время! Всё-таки программные продукты с закрытым кодом это, мягко говоря, не совсем кошерно для децентрализованных финансов. И испуганные последствиями своих заявлений разработчики Ledger засуетились, и Гийоме написал, что они постепенно будут открывать код своих программных продуктов, а начнут именно с Ledger Recover. А до публикации кода они повременят с его внедрением.

Оно, конечно, похвально, что они пытаются как-то вырулить, но централизованному хранению ключиков от кошельков нет, нет и ещё раз нет, даже с открытым кодом! Grin

После всей критики они даже не осознали ее суть: дело не в том, что код у Ledger Recover открытый или закрытый. Суть в том, что аппаратный кошелек вообще не должен позволять извлекать сид фразу и пересылать ее третьим лицам. Суть в том, что аппаратный кошелек должен защищать от конфискации криптовалюты, а не способствовать ей. Суть в том, что зарабатывать на продаже данных своих клиентов - это как минимум не очень красиво. Но видимо сами эти идеи очень нравятся Ledger, потому что они предвидят неплохие доходы от таких сомнительных услуг, поэтому и не отказываются от них полностью, а просто приостанавливают на время. Ну что ж, частичное открытие исходного кода ничего кардинально не изменит, разве что ухудшит ситуацию и позволит хакерам легче анализировать дыры в безопасности. Я не знаю что движет людьми, которые будут продолжать пользоваться продуктами Ledger после всех этих анонсов, возможно они своего рода криптовалютные мазозисты.

jokers10

legendary

Activity: 1974

Merit: 3049

Quote from: Cryptmuster on May 24, 2023, 01:49:07 AM

...
В день выхода подкаста служба поддержки указала, что ПО «всегда разрешало извлечение ключей». Впоследствии твит удалили, но сообщество на него отреагировало резко.

Похоже трюм у этого корабля не плохо так протекает...

Собственно, как все и подозревали последнее время! Всё-таки программные продукты с закрытым кодом это, мягко говоря, не совсем кошерно для децентрализованных финансов. И испуганные последствиями своих заявлений разработчики Ledger засуетились, и Гийоме написал, что они постепенно будут открывать код своих программных продуктов, а начнут именно с Ledger Recover. А до публикации кода они повременят с его внедрением.

Оно, конечно, похвально, что они пытаются как-то вырулить, но централизованному хранению ключиков от кошельков нет, нет и ещё раз нет, даже с открытым кодом! Grin

Quote from: satscraper on May 24, 2023, 02:04:07 AM

...
Полностью open source разработчик. А вы на него накинулись. Grin

Стыдно, очень стыдно! ... обманывать пользователей и даже просто иметь возможность тырить их ключики от денежек! Даже если в заявленных якобы благих целях! Grin

satscraper

hero member

Activity: 714

Merit: 1298

Ledger продолжает отжигать.

У них оказывается open source это SDK (который по определению должен быть открытым, иначе разработчики сторонних приложений -Леджер сам их не разрабатывает- не могли бы их разрабатывать).

И позиционирует как open source решение свою белую бумагу "поделись- со -всеми -своим- СИД"-севиса , которую обещают выложить наднях. Белая бумага как open source. Такого бреда я ещё не слышал. Grin

Quote from: https://twitter.com/P3b7_/status/1661012196397305859/photo/1

Полностью open source разработчик. А вы на него накинулись. Grin

Cryptmuster

legendary

Activity: 1904

Merit: 1176

Glory To Ukraine! Glory to the heroes!

CEO Ledger признал возможность доступа властей к активам в кошельке. Правительственные органы могут через суд потребовать доступ к средствам в кошельке Ledger, подключенном к сервису восстановления закрытых ключей Recover. Это подтвердил CEO производителя Паскаль Готье.

Однако, выступая в подкасте What Bitcoin Did, он назвал подобный сценарий маловероятным (но кто ж ему поверит).

В день выхода подкаста служба поддержки указала, что ПО «всегда разрешало извлечение ключей». Впоследствии твит удалили, но сообщество на него отреагировало резко.

Похоже трюм у этого корабля не плохо так протекает...

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: satscraper on May 23, 2023, 01:00:14 AM

^
Не следует не только "доверять производителям кошелька " но и навеки прилипать к одному кошельку и становиться его рабом.

На рынке появляются новые игроки с решениями, которые бьют и втаптывают в грязь таких "мамонтов" как Леджер и Трезор по многим параметрам в том числе надежности, безопасности, удобству пользования. Поэтому если есть возможность, нужно смело переходить на эти решения, предварительно проведя их всесторонний анализ.

Радует, что на рынке аппаратных кошельков происходит жесткая конкуренция и производители все больше присматриваются к решениям с открытым исходным кодом для аппаратной и программной части. Сейчас определенно есть из чего выбрать, но в этом забеге фавориты имеют свойство меняться. Трезор и тем более Леджер не поняли ситуации и проиграли борьбу с позором. Или наоборот поняли, что надо действовать, но не поняли что определенные фичи могут не понравится сообществу. Правильно говорят, что репутацию зарабатывают годами, теряют за секунду и восстанавливают вечность.

Quote

Леджер по сути своей ширпотреб, основанный на очень и очень некачественных комплектующих. Чего только стоит один его дисплей.

Всегда удивляло, что люди так радуются низкой цене аппаратного кошелька. Комплектующие требуют вложений, а Леджер вывозил на маркетинге и листинге шитков, а не на качестве товара.

Quote

А тут ещё и проявилось его наплевательское отношение к установившейся общественный договорённости относительно приватности СИД фразы пользователя.

И дело даже не в этом. Самое страшное это то, что их прошивки будут содержать (или уже содержат как в случае Х ) API для манипуляций с SEED фразой, Это по своей сути открытое приглашение для хакеров.

"API для манипуляций с SEED фразой" - точнее и не скажешь. Они всегда могли просто скамануть всех пользователей и скрыться с деньгами, но решили поступить "благородно", монетизировав этот доступ и разделив доход еще с парой компаний.

satscraper

hero member

Activity: 714

Merit: 1298

^
Не следует не только "доверять производителям кошелька " но и навеки прилипать к одному кошельку и становиться его рабом.

На рынке появляются новые игроки с решениями, которые бьют и втаптывают в грязь таких "мамонтов" как Леджер и Трезор по многим параметрам в том числе надежности, безопасности, удобству пользования. Поэтому если есть возможность, нужно смело переходить на эти решения, предварительно проведя их всесторонний анализ.

Леджер по сути своей ширпотреб, основанный на очень и очень некачественных комплектующих. Чего только стоит один его дисплей.

А тут ещё и проявилось его наплевательское отношение к установившейся общественнoй договорённости относительно приватности СИД фразы пользователя.

И дело даже не в этом. Самое страшное это то, что их прошивки будут содержать (или уже содержат как в случае Х ) API для манипуляций с SEED фразой, Это по своей сути открытое приглашение для хакеров.

Сегодня ещё один адресный "привет" от Леджера. На этот раз пользователям Cardano.

У меня нет ни одного шитка, Один только биток. Но шиткохолдерам стоит задуматься.

Quote from: https://twitter.com/Ledger_Support/status/1630129320172695552

[/url]

Можно конечно ко мне не прислушиваться и пытаться "лепить из дерьма пулю" , но вот что думает по этому поводу один из самых уважаемых экспертов криптосообщества Andreas Antonopoulos, Советую послушать.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: Polkat on May 21, 2023, 03:11:08 AM

Вот интересно понаблюдать за хамелеоном satscraper, который тут недавно расхваливал Леджер и
и называл кошельки типа Keystone неудобными.
А теперь в англоязычной ветке выкладывает фото как молотком разбивает свой Леджер и агитирует переходить на Passport2.
Хочется спросить, не тяжело ли будет тягать по 30 раз в год через границу свой Passport2?
И если вдруг прочитаете плохие новости про Passport, то не бейте сразу по нему молотком, научитесь контролировать свои эмоции, оставьте его хотябы на память. Grin

Леджер и Трезор - это старейшие на рынке кошельки и до недавнего времени они были самыми лучшими и самыми рекомендуемыми для новичков. Сейчас на форуме сотни таких "хамелеонов", которые сожалеют о том, что когда-то рекомендовали эти кошельки. Я думаю, что в этом нет ничего плохого и сожалеть тут не о чем. На тот момент они действительно были лучшими, но никто никогда не знает что случится в будущем. Мораль сей истории такова - не стоит доверять производителям кошелька и не стоит на них надеяться. Если вы приобрели аппаратный кошелек, то обновляйте его с острожностью или не обновляйте совсем если там не фиксят каких-нибудь критических уязвимостей. Эта зависисмость от обновлений и производителей - фактически единственная "уязвимость" этих кошельков, но если подойти с умом, то можно минимизировать риски.

klarki

legendary

Activity: 3262

Merit: 3675

Top Crypto Casino

Quote from: Pavel.Savelev on May 22, 2023, 12:29:48 AM

Кто нибудь на Озоне или ВБ покупал? посоветуйте продавца.

На озоне нет официальных ресейлеров Ledger, так что на свой страх и риск. Если не продавец подлянку кинет, так система возврата товаров на макретплейсе может нехило подгадить юзеру.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: igor72 on May 22, 2023, 09:40:17 AM

Подарили бы кому-нибудь для мультиподписи, хоть толк был бы

Странно слышать это из уст казалось бы опытного человека.

Подарить кому-нибудь равнозначно надписи на лбу "у меня есть биткоины".

У каждого свои представления о мерах безопасности. У меня свои у вас видимо другие.

Quote from: igor72 on May 22, 2023, 09:40:17 AM

Вряд ли он вам пригодится,

Ну вообщем-то это не вам решать пригодится он мне или нет

Quote from: igor72 on May 22, 2023, 09:40:17 AM

фоточку необычную можно запостить. Grin

фоточка, да, классная получилась и в русле тенденций. Tongue

и криптаны заценили флеш моб.

tenant48

full member

Activity: 343

Merit: 167

Quote from: be.open on May 22, 2023, 06:00:04 AM

Лично я больше жалею не о том, что у меня леджер, а о том, что неоднократно рекомендовал его новичкам в качестве хорошего аппаратного кошелька, в том числе кажется и в этой теме. Это было ошибкой. Попытка скрестить удобство использования с безопасностью опять закончилась нокаутирующей победой удобства.

Жалеть думаю не стоит, ведь монеты у ваших знакомых пока не никто не украл, да и кто мог знать наперед как все сложится с Леджером.
Так что при желании пусть купят другой, а если нет лишних денег, то использовать Леджер в мультисиге, про который пишет igor72 тоже отличный вариант.
Ко мне периодически обращаются знакомые, с просьбой помочь восстановить Сид в котором небрежно было записано несколько слов. Так что лишний мультивалютный кошелек, куда можно временно ввести востановленный Сид, чтобы вывести монеты мне точно не помешает.

Topic: Леджер - аппаратный кошелек для хранения к - page 8. (Read 49695 times)