Pages:
Author

Topic: hardware wallet nano ledger s - page 3. (Read 18141 times)

legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
November 23, 2018, 05:17:34 PM
#76
Ragazzi buongiorno!
Se provo a spostare dal mio ledger nano s bitcoin cash (bch) mi dà un errore e non mi fa inviare (errore 503 HTTP API). Sapete da cosa dipende? Grazie

X queste problematiche così particolari t conviene leggere sul loro subreddit ufficiale
Troverai sicuramente qualcuno col tuo problema
legendary
Activity: 1061
Merit: 1283
November 23, 2018, 02:21:56 PM
#75
Oggi c'è lo sconto sul sito ufficiale per il Black Friday, https://www.ledger.com/products/ledger-nano-s
full member
Activity: 392
Merit: 100
November 23, 2018, 10:59:39 AM
#74
Ragazzi buongiorno!
Se provo a spostare dal mio ledger nano s bitcoin cash (bch) mi dà un errore e non mi fa inviare (errore 503 HTTP API). Sapete da cosa dipende? Grazie
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
full member
Activity: 1064
Merit: 166
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
November 23, 2018, 07:56:42 AM
#71
il Ledger Nano S é scontato fino al 26 Novembre

50% di sconto


legendary
Activity: 1948
Merit: 2097
October 26, 2018, 03:06:02 PM
#70
Torniamo in topic.

Se le app di chrome un giorno non fossero più disponibili ( ed è a discrezionalità di Mr. google) con la mia frase di recupero cosa ne faccio? dove me la metto? :-)

Il full node sarà paccoso da mantenere.... sarà meno sicuro nello storage delle priv key.. ma con il wallet dat lo recupero su ogni cliient e pc nel mondo....o sbaglio?

Con il nano ledger se non ho più le app di chrome? come si fa?
Grazie a tutti in anticipo!!!!

Puoi usare l'app "ledger live" :
https://bitcointalksearch.org/topic/nuova-desktop-app-di-ledger-live-4628963
https://bitcointalksearch.org/topic/m.46174989

ll ledger funziona anche con uno smartphone/tablet android : https://medium.com/akomba/using-the-ledger-nano-s-hardware-wallet-with-android-35a38c06c18c
legendary
Activity: 1948
Merit: 2097
October 23, 2018, 10:48:23 AM
#69
Il passaggio della transazione  tra un pc e l'altro potrebbe avvenire attraverso una di quelle app/software che leggono il testo da un immagine, una volta che trovi la configurazione/contrasto giusto non dovrebbe creare troppi problemi.

Copiare manualmente c'è sempre il rischio di commettere errori, ma sembra quantomeno interessante calcolarsi la chiave privata a mano. Smiley

Tra l'altro nei passaggio tra pc offline / pc online tutto ciò che viene scambiato può essere pubblico, infatti né l'impronta digitale della tx non firmata né la firma sono dati riservati, ma finiranno tutti nella blockchain.

Si cerca di tenere separati però i 2 dispositivi solo per evitare che passi anche altro oltre a questi dati.


EDIT: esempio di sistema di protezione delle chiavi private:

 https://medium.com/square-corner-blog/open-sourcing-subzero-ee9e3e071827
hero member
Activity: 784
Merit: 1416
October 23, 2018, 10:39:11 AM
#68
legendary
Activity: 1948
Merit: 2097
October 23, 2018, 10:29:02 AM
#67
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
October 22, 2018, 02:31:45 PM
#66
legendary
Activity: 1948
Merit: 2097
October 22, 2018, 02:03:45 PM
#65
Comunque in generale penso sia importante avere una "scatola nera" disconnessa da internet con un rigido protocollo di comunicazione, la quale si occupi di firmare internamente le transazioni senza esporre chiavi private, per poi semplicemente buttarle fuori.

Poi che questo sia un pc o hardware dedicato se ne può discutere Smiley

In effetti serve una scatola che

1) generi sequenze pseudocasuali di 256 bit
2) sia in grado di calcolare una chiave pubblica da una privata (curva ellittica)
3) sia in grado di firmare una transazione, cioè di generare una coppia (r, s) di sequenze di 256 bit che dipendono dalla chiave privata e dalla transazione

Sarebbe interessante verificare quanto di questo processo si possa fare a "mano", non letteralmente ma utilizzando strumenti su cui si abbia il controllo massimo possibile.
Generare "s" da "r" è relativamente semplice, si tratta di 3-4 operazioni algebriche modulo n, per generare "r" invece bisogna lavorare con la matematica delle curve ellittiche.

Il punto 1) rimane un punto intrigante, e cioè riuscire a costruire una sorgente di sequenze pseudocasuali che abbia un'entropia sufficiente.

Per quanto riguarda la comunicazione scatola <->  pc connesso a Internet, dal pc bisogna importare lo sha256 della tx non firmata nella scatola che deve restituire solo la firma (r, s) al pc connesso, dove infine viene formata la tx finale firmata e inviata.

La cosa più facile che mi viene in mente sarebbe quella di utilizzare come scatola un vecchio pc in disuso (senza scheda di rete, wifi, microfono, scheda audio, videocamera, ovviamente quindi non connesso a Internet), sul quale utilizzare una distro live minima con un paio di programmini in Python che assolvano alle funzioni 1) 2) e 3).

Per quanto riguarda la comunicazione scatola <-> pc connesso, bisognerebbe trovare un modo di trasportare i dati tra i due dispositivi. Io utilizzerei la seguente procedura:

ogni stringa di 256 bit viene convertita in un insieme di 12 (o quante ne servono) parole prese da una lista precaricata. In questo modo l'operatore umano può copiare abbastanza agevolmente i dati a mano, eliminando ogni contatto diretto tra i due dispositivi. Poi la sequenza di 12 parole viene automaticamente riconvertita nella stringa a 256 bit (64 cifre hex) ed eventualmente si controlla a mano di non aver fatto errori (ma se la firma è sbagliata in ogni caso la procedura si bloccherebbe da sola).

Sulla carta è tutto abbastanza facile da realizzare (anche se non praticissimo, ovvio) tranne il punto 1), cioè costruire in maniera autonoma un generatore pseudocasuale con tutta quella entropia. Questo sarebbe il punto più intrigante di tutta la faccenda.

EDIT: per chi volesse iniziare a implementare da solo (o capire meglio) il funzionamento di queste funzioni essenziali:

https://medium.com/coinmonks/introduction-to-blockchains-bedrock-the-elliptic-curve-secp256k1-e4bd3bc17d
hero member
Activity: 784
Merit: 1416
October 19, 2018, 03:08:27 PM
#64

I keylogger in effetti possono essere un grosso problema, ma la password è utile solo se contemporaneamente riescono anche a prelevare il tuo file wallet.dat (cosa sempre possibile in teoria ma non facile).

Un PC invece lo trovo mediamente più sicuro a livello hardware proprio perchè è "general porpose", cioè è difficile che su componenti hardware prodotti da case diverse e poi assemblati per scopi molto diversi e non inerenti alle criptovalute siano stati inseriti elementi che consentano di cercare specificatamente le chiavi private di un wallet.

In un pc io posso programmare la mia cpu perchè generi le chiavi private senza che questa sia "consapevole" di cosa sta facendo, posso memorizzarle sull'hard disk nel formato che voglio e poi criptarle come voglio io, ecc.  mentre in un hardware specializzato per i wallet ogni componente serve solo a fare una cosa ben specifica e per questo mi pare più prevedibile come comportamento, nel senso che è più facile sapere dove andare a guardare e cosa manomettere per ottenere le chiavi private.
Ma si tratta più che altro di una sensazione, non posso dimostrare questa mia ultima considerazione.


Si hai ragione anche tu, alla fine ci sono pro e contro per entrambe le soluzioni. Sono tutti punti condivisibili quelli che hai descritto.

Comunque in generale penso sia importante avere una "scatola nera" disconnessa da internet con un rigido protocollo di comunicazione, la quale si occupi di firmare internamente le transazioni senza esporre chiavi private, per poi semplicemente buttarle fuori.

Poi che questo sia un pc o hardware dedicato se ne può discutere Smiley
legendary
Activity: 1948
Merit: 2097
October 19, 2018, 08:11:12 AM
#63
Se qualcuno accede alla tua macchina e legge la password mentre la digiti la complessità della tua password poco importa, senza contare che anche la tua macchina è composta da hardware che può essere manomesso.
Su un PC imo dal punto di vista della sicurezza ci sono molte più variabili da tenere in considerazione (e devi fidarti maggiormente di terze parti) rispetto ad un hardware wallet.

I keylogger in effetti possono essere un grosso problema, ma la password è utile solo se contemporaneamente riescono anche a prelevare il tuo file wallet.dat (cosa sempre possibile in teoria ma non facile).

Un PC invece lo trovo mediamente più sicuro a livello hardware proprio perchè è "general porpose", cioè è difficile che su componenti hardware prodotti da case diverse e poi assemblati per scopi molto diversi e non inerenti alle criptovalute siano stati inseriti elementi che consentano di cercare specificatamente le chiavi private di un wallet.

In un pc io posso programmare la mia cpu perchè generi le chiavi private senza che questa sia "consapevole" di cosa sta facendo, posso memorizzarle sull'hard disk nel formato che voglio e poi criptarle come voglio io, ecc.  mentre in un hardware specializzato per i wallet ogni componente serve solo a fare una cosa ben specifica e per questo mi pare più prevedibile come comportamento, nel senso che è più facile sapere dove andare a guardare e cosa manomettere per ottenere le chiavi private.
Ma si tratta più che altro di una sensazione, non posso dimostrare questa mia ultima considerazione.
full member
Activity: 1064
Merit: 166
October 19, 2018, 08:06:50 AM
#62
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
October 19, 2018, 07:33:53 AM
#61
se qualcuno accede al tuo PC, e ruba i file del bitcoin core nell'C:\utente_xy\AppData.... , inserendoli poi in un altro PC, puó accedere direttamente al tuo bitcoine core
puoi fare un prova:
copia questi file su un altro PC e vai a vedere quanto sei sicuro, sempre dipende quanto forte é la tua password, ma esistono programmi forti che sono in grado di decriptare facilmente password complesse

Parlo di password molto lunghe, almeno 25-30 caratteri, scelti tra maiuscole, minuscole, numeri, simboli vari e senza parole di senso compiuto al suo interno. Cioè di una password che alla fine abbia una entropia paragonabile a quella di una chiave privata vera e propria. E' chiaro che se metto come password "ciao" la sicurezza è nulla.

Se qualcuno accede alla tua macchina e legge la password mentre la digiti la complessità della tua password poco importa, senza contare che anche la tua macchina è composta da hardware che può essere manomesso.
Su un PC imo dal punto di vista della sicurezza ci sono molte più variabili da tenere in considerazione (e devi fidarti maggiormente di terze parti) rispetto ad un hardware wallet.

gli utenti sanno usare il copy/paste per inserire le password o chiavi private...
io quando lo faccio, non copio la chiave/password completa, per esempio  22h.5}]n!kc`Ly(K285Up5X  - copio la parte centrale e inserisco a mano il "22" e "5X"
é forse un pó di paranoia in piú  Smiley Cool ma, occhi aperti, perché una volta perse le coin, non le trovi mai piú
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
October 19, 2018, 07:27:27 AM
#60
se qualcuno accede al tuo PC, e ruba i file del bitcoin core nell'C:\utente_xy\AppData.... , inserendoli poi in un altro PC, puó accedere direttamente al tuo bitcoine core
puoi fare un prova:
copia questi file su un altro PC e vai a vedere quanto sei sicuro, sempre dipende quanto forte é la tua password, ma esistono programmi forti che sono in grado di decriptare facilmente password complesse

Parlo di password molto lunghe, almeno 25-30 caratteri, scelti tra maiuscole, minuscole, numeri, simboli vari e senza parole di senso compiuto al suo interno. Cioè di una password che alla fine abbia una entropia paragonabile a quella di una chiave privata vera e propria. E' chiaro che se metto come password "ciao" la sicurezza è nulla.

i miei "core" wallet, li tengo su macchine virtuali
queste virtuali, sono connesse su internet, ma non vengono usate per navigare su internet, sono messe in moto solo per tenere vivi i core
cosí, praticamente ho diminuito la possibilitá di infettare il sistema operativo
hero member
Activity: 784
Merit: 1416
October 19, 2018, 07:19:05 AM
#59
se qualcuno accede al tuo PC, e ruba i file del bitcoin core nell'C:\utente_xy\AppData.... , inserendoli poi in un altro PC, puó accedere direttamente al tuo bitcoine core
puoi fare un prova:
copia questi file su un altro PC e vai a vedere quanto sei sicuro, sempre dipende quanto forte é la tua password, ma esistono programmi forti che sono in grado di decriptare facilmente password complesse

Parlo di password molto lunghe, almeno 25-30 caratteri, scelti tra maiuscole, minuscole, numeri, simboli vari e senza parole di senso compiuto al suo interno. Cioè di una password che alla fine abbia una entropia paragonabile a quella di una chiave privata vera e propria. E' chiaro che se metto come password "ciao" la sicurezza è nulla.

Se qualcuno accede alla tua macchina e legge la password mentre la digiti la complessità della tua password poco importa, senza contare che anche la tua macchina è composta da hardware che può essere manomesso.
Su un PC imo dal punto di vista della sicurezza ci sono molte più variabili da tenere in considerazione (e devi fidarti maggiormente di terze parti) rispetto ad un hardware wallet.
legendary
Activity: 1948
Merit: 2097
October 19, 2018, 06:36:46 AM
#58
se qualcuno accede al tuo PC, e ruba i file del bitcoin core nell'C:\utente_xy\AppData.... , inserendoli poi in un altro PC, puó accedere direttamente al tuo bitcoine core
puoi fare un prova:
copia questi file su un altro PC e vai a vedere quanto sei sicuro, sempre dipende quanto forte é la tua password, ma esistono programmi forti che sono in grado di decriptare facilmente password complesse

Parlo di password molto lunghe, almeno 25-30 caratteri, scelti tra maiuscole, minuscole, numeri, simboli vari e senza parole di senso compiuto al suo interno. Cioè di una password che alla fine abbia una entropia paragonabile a quella di una chiave privata vera e propria. E' chiaro che se metto come password "ciao" la sicurezza è nulla.
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
October 19, 2018, 06:10:19 AM
#57
Soprattutto questa parte (da https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/) :

Quote
It is incredibly important to note that, for these devices to be secure at all, you must completely verify the physical hardware.

Since neither the packaging nor the actual device are tamper-evident, it is trivial for an attacker to modify the device. I cannot repeat this enough: if you do not verify the physical hardware, it is game over.

mi conferma su un punto cruciale: di per sè bisognerebbe controllare l'hardware.

Non sto dicendo che penso che Ledger manometta intenzionalmente i suoi dispositivi, sia chiaro, dico solo che un hardware che ha come scopo prioritario quello di generare e custodire le chiavi private di un wallet è il punto debole da controllare (oltre a far attenzione a come si conserva il backup del seed).

Dal mio punto di vista è molto più semplice per un utente comune verificare di avere una copia identica di un software scaricato dalla rete piuttosto che verificare che un certo hardware sia originale/non manomesso. Tutto qui.

Poi le probabilità che uno riceva un pezzo contraffatto sono sicuramente bassissime, e sono d'accordo che come comodità per quanto riguarda la mobilità un wallet hardware è il massimo.


Invece vorrei chiedervi, come vedete voi la sicurezza di un wallet software (tipo Bitcoin Core), su un pc connesso? Ovviamente parlo di wallet criptati con una password molto robusta.
Anche in caso qualcuno riuscisse ad accedere al mio computer (da remoto o fisicamente in locale), senza password non ci sarebbe modo di accedere alle chiavi private, giusto?

Nel momento in cui firmo una transazione c'è un istante nel quale le chiavi private diventano teoricamente disponibili per qualche malware?



se qualcuno accede al tuo PC, e ruba i file del bitcoin core nell'C:\utente_xy\AppData.... , inserendoli poi in un altro PC, puó accedere direttamente al tuo bitcoine core
puoi fare un prova:
copia questi file su un altro PC e vai a vedere quanto sei sicuro, sempre dipende quanto forte é la tua password, ma esistono programmi forti che sono in grado di decriptare facilmente password complesse
Pages:
Jump to: