Pages:
Author

Topic: hardware wallet nano ledger s - page 4. (Read 18141 times)

legendary
Activity: 1948
Merit: 2097
October 19, 2018, 06:01:45 AM
#56
Soprattutto questa parte (da https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/) :

Quote
It is incredibly important to note that, for these devices to be secure at all, you must completely verify the physical hardware.

Since neither the packaging nor the actual device are tamper-evident, it is trivial for an attacker to modify the device. I cannot repeat this enough: if you do not verify the physical hardware, it is game over.

mi conferma su un punto cruciale: di per sè bisognerebbe controllare l'hardware.

Non sto dicendo che penso che Ledger manometta intenzionalmente i suoi dispositivi, sia chiaro, dico solo che un hardware che ha come scopo prioritario quello di generare e custodire le chiavi private di un wallet è il punto debole da controllare (oltre a far attenzione a come si conserva il backup del seed).

Dal mio punto di vista è molto più semplice per un utente comune verificare di avere una copia identica di un software scaricato dalla rete piuttosto che verificare che un certo hardware sia originale/non manomesso. Tutto qui.

Poi le probabilità che uno riceva un pezzo contraffatto sono sicuramente bassissime, e sono d'accordo che come comodità per quanto riguarda la mobilità un wallet hardware è il massimo.


Invece vorrei chiedervi, come vedete voi la sicurezza di un wallet software (tipo Bitcoin Core), su un pc connesso? Ovviamente parlo di wallet criptati con una password molto robusta.
Anche in caso qualcuno riuscisse ad accedere al mio computer (da remoto o fisicamente in locale), senza password non ci sarebbe modo di accedere alle chiavi private, giusto?

Nel momento in cui firmo una transazione c'è un istante nel quale le chiavi private diventano teoricamente disponibili per qualche malware?

legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
October 19, 2018, 01:20:04 AM
#55


Qualche mese fa era uscito questo articolo che spiega come fosse possibile modificare il wallet e bypassare il controllo di autenticità, serviva però avere acesso diretto alla chiavetta.

https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/

grazie per il link
me lo leggo con calma

io per anni ho usato solo una soluzione software, ma questo mi legava indissolubilmente al mio unico e solo computer
quindi il pro e' che avevo TUTTO sotto controllo,
il contro e' che ero limitato nei movimenti

l'hw wallet e' il connubio perfetto di mobilita e sicurezza, la chiavetta puo viaggiare sempre con te e di conseguenza i tuoi soldi in maniera sicura

ricordiamo che da sempre, in ambito di sicurezza, l'anello debole e' lo humanware e non la parte hw/sw

metterei piu un appunto su come la gente conserva il seed... piu che su eventuali backdoor
e vi spiego anche perche, il mercato

se venissa scoperta una cosa del genere, ledger (o trezor) metterebbe fine a un business redditizio che gestiscono in 2 (appunto trezor e ledger)

non e' proficuo
hero member
Activity: 784
Merit: 1416
October 19, 2018, 12:43:30 AM
#54
non ci sono chiavi segrete iniziali

Riporto da https://support.ledgerwallet.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine -->
io lo uso due anni
é praticamente perfetto e 100% sicuro

Non mi sembra un'argomentazione. Come fai a dire che è 100% sicuro? Io uso da 5 anni un wallet software, posso dire allora che è praticamente perfetto e 100% sicuro solo perchè finora non ho perso nulla?


Qualche mese fa era uscito questo articolo che spiega come fosse possibile modificare il wallet e bypassare il controllo di autenticità, serviva però avere acesso diretto alla chiavetta.

https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
October 18, 2018, 05:54:48 PM
#53
non ci sono chiavi segrete iniziali

Riporto da https://support.ledgerwallet.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine -->
io lo uso due anni
é praticamente perfetto e 100% sicuro

Non mi sembra un'argomentazione. Come fai a dire che è 100% sicuro? Io uso da 5 anni un wallet software, posso dire allora che è praticamente perfetto e 100% sicuro solo perchè finora non ho perso nulla?


Hai completamente ragione che non é un’argomentazione, ma intanto, lo uso e fin ora, non ho avuto problemi
Sempre meglio che tenere varie monete sparse per exchange che poi possono finire come la mtGox...

Chi ti da una garanzia che il MEW non ha una porta posteriore la quale dá accesso alle chiavi private che vengono generate? questa  é solo una possibilitá di truffa
Non ci sono garanzie al 100%
É un fatto di fiducia
legendary
Activity: 1948
Merit: 2097
October 18, 2018, 02:22:43 PM
#52
Battute a parte, credo che il concetto sia cosa si intende per "key":
- quello che dice big_daddy e su cui tutti (in teoria / si spera) concordano è che non ci sono private key preimpostate ma il dispositivo genera il wallet (seed + coppia chiavi) nel momento in cui si inizializza
- quello che chiamano key sul link al supporto che indichi tu è probabilmente "un'altra cosa", che come si legge li sembra appunto essere un sistema ulteriore (iniziale) di sicurezza/verifica del ledger, che serve a confermare al momento del primo utilizzo che il dispositivo sia autentico e nuovo (a differenza per esempio di quel che può succedere se non compri dai canali ufficiali, come si diceva pochi commenti più sopra)

Su questo io non ho dubbi, non intendevo infatti private key relativa a bitcoin ma all'inizializzazione del dispositivo. In pratica per verificare che un dispositivo non sia stato manomesso ogni dispositivo ha un suo codice particolare.


Il Trezor per esempio, avendo il software opensource, è probabilmente "più trustless" e se il dubbio riguarda cose tipo l'onestà dei dipendenti ledger e cerchi sicurezza 100% l'unico modo per averla a questo punto è costruirsi un Trezor in casa, cosa che appunto è possibile dato il software opensource e difatti ci sono online video che mostrano come fare, esempio:
https://www.youtube.com/watch?v=mZmv4wG6_PE

Questo già mi piace di più.

PS cercando "Ledger opensource" su Google si trovano discussioni tipo questa dove è specificato che:

Quote
btchip - Ledger CTO
The applications are Open Source and available on https://github.com/LedgerHQ
The firmware itself is not Open Source yet, but most parts will be in the future (see https://blog.ledger.co/secure-hardware-and-open-source-ecd26579d839 for an architecture description). In the meantime a motivated party can verify that the isolation works as described.
e dove a specifica domanda
"How can somebody tell that the proprietary firmware is not, for example, sending the private keys somewhere?"
la risposta è
"By looking closely at how the interface between the firmware and the application works"

(looking closely che non so personalmente fare quindi magari quest'ultima parte la lascio a te per dissipare ulteriori dubbi  Wink)

Grazie delle informazioni, darò un'occhiata.

Sul tema della sicurezza è sempre bene andarci con i piedi di piombo, sento spesso dire che gli hardware wallet sono evidentemente più sicuri di quelli software, ma poi a ben vedere a un certo punto con i dispositivi fisici ti devi fidare.

La grossa differenza tra software e hardware, per me, è che un software spesso è unico e quindi controllato da molti occhi, io devo solo essere in grado di farne una copia fedele. Il software spesso ha un'unica firma digitale riconoscibile in tutto il mondo.

Con i dispositivi fisici invece, ogni singolo pezzo è come una black box, in generale il singolo utente come può essere sicuro che quel pezzo sia uguale a tutti gli altri? Quando si dice "a motivated party can verify ..." come posso io singolo utente verificare da solo il mio singolo dispositivo?  Questa era ed è la mia considerazione.

Senza paranoie  Wink

sr. member
Activity: 490
Merit: 353
this is not a bounty avatar
October 18, 2018, 01:46:34 PM
#51
Dai arulbero non ci far venire queste paranoie  Cry


Battute a parte, credo che il concetto sia cosa si intende per "key":
- quello che dice big_daddy e su cui tutti (in teoria / si spera) concordano è che non ci sono private key preimpostate ma il dispositivo genera il wallet (seed + coppia chiavi) nel momento in cui si inizializza
- quello che chiamano key sul link al supporto che indichi tu è probabilmente "un'altra cosa", che come si legge li sembra appunto essere un sistema ulteriore (iniziale) di sicurezza/verifica del ledger, che serve a confermare al momento del primo utilizzo che il dispositivo sia autentico e nuovo (a differenza per esempio di quel che può succedere se non compri dai canali ufficiali, come si diceva pochi commenti più sopra)

Poi, non ho competenze tecniche troppo elevate quindi magari questo è un mucchio di cavolate:) ma è quello che capisco e deduco leggendo li.


E sempre parlando di competenze che non ho, suppongo non si riesca a fare reverse engineering su di un ledger giusto?
Perchè in effetti
Quote
Molto più complesso mi sembra verificare che un dispositivo hardware non nasconda sorprese, ogni singolo dovrebbe essere in grado di verificare il proprio dispositivo fisico.
su questo si può concordare.
Il Trezor per esempio, avendo il software opensource, è probabilmente "più trustless" e se il dubbio riguarda cose tipo l'onestà dei dipendenti ledger e cerchi sicurezza 100% l'unico modo per averla a questo punto è costruirsi un Trezor in casa, cosa che appunto è possibile dato il software opensource e difatti ci sono online video che mostrano come fare, esempio:
https://www.youtube.com/watch?v=mZmv4wG6_PE



PS cercando "Ledger opensource" su Google si trovano discussioni tipo questa dove è specificato che:

Quote
btchip - Ledger CTO
The applications are Open Source and available on https://github.com/LedgerHQ
The firmware itself is not Open Source yet, but most parts will be in the future (see https://blog.ledger.co/secure-hardware-and-open-source-ecd26579d839 for an architecture description). In the meantime a motivated party can verify that the isolation works as described.
e dove a specifica domanda
"How can somebody tell that the proprietary firmware is not, for example, sending the private keys somewhere?"
la risposta è
"By looking closely at how the interface between the firmware and the application works"

(looking closely che non so personalmente fare quindi magari quest'ultima parte la lascio a te per dissipare ulteriori dubbi  Wink)
legendary
Activity: 1948
Merit: 2097
October 18, 2018, 01:00:38 PM
#50
non ci sono chiavi segrete iniziali

Riporto da https://support.ledgerwallet.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine -->
io lo uso due anni
é praticamente perfetto e 100% sicuro

Non mi sembra un'argomentazione. Come fai a dire che è 100% sicuro? Io uso da 5 anni un wallet software, posso dire allora che è praticamente perfetto e 100% sicuro solo perchè finora non ho perso nulla?
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
October 18, 2018, 12:14:02 PM
#49
Sto dando un'occhiata al sito del ledger, per quanto riguarda la sicurezza:

https://support.ledgerwallet.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine

mi sembra di capire che il dispositivo sia inizializzato con una chiave segreta iniziale, che serve a garantire che il dispositivo non sia mai stato usato quando arriva nelle mani del cliente.

Rimane il fatto che ci si deve fidare del fatto che in quell'azienda tutti si comportino in maniera onesta, oppure non ho capito bene io?

Insomma, il sistema è veramente trustless o no?

Alla fine è più facile verificare un software (se è open source è controllato da tutti in un repository), e ottenere infine una copia verificata di un software è abbastanza facile.

Molto più complesso mi sembra verificare che un dispositivo hardware non nasconda sorprese, ogni singolo dovrebbe essere in grado di verificare il proprio dispositivo fisico.



non ci sono chiavi segrete iniziali
il wallet Nano S genera 24 parole random (memonic) dopo le quali ti chiede di reinserirle per attivare il dispositivo, e poi di inserire un tuo pin

io lo uso due anni
é praticamente perfetto e 100% sicuro
legendary
Activity: 1948
Merit: 2097
October 18, 2018, 12:03:00 PM
#48
Sto dando un'occhiata al sito del ledger, per quanto riguarda la sicurezza:

https://support.ledgerwallet.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine

mi sembra di capire che il dispositivo sia inizializzato con una chiave segreta iniziale, che serve a garantire che il dispositivo non sia mai stato usato quando arriva nelle mani del cliente.

Rimane il fatto che ci si deve fidare del fatto che in quell'azienda tutti si comportino in maniera onesta, oppure non ho capito bene io?

Insomma, il sistema è veramente trustless o no?

Alla fine è più facile verificare un software (se è open source è controllato da tutti in un repository), e ottenere infine una copia verificata di un software è abbastanza facile.

Molto più complesso mi sembra verificare che un dispositivo hardware non nasconda sorprese, ogni singolo dovrebbe essere in grado di verificare il proprio dispositivo fisico.

sr. member
Activity: 1568
Merit: 300
October 17, 2018, 02:58:25 PM
#47
no io all'epoca .. parecchio tempo fa
ho pagato con carta di credito, perche non mi volevo separare di quella quantita di bitcoin Smiley

tutto qua

Capisco.

Io ho provato a fare l'ordine e pagare con btc, ma non ci sono riuscito. È venuto fuori che bitpay non è compatibile che il wallet coinomi che sto usando.....  Shocked

A questo punto mi sa che aspetto il prossimo sconto.

Io ho acquistato il ledger l'anno scorso pagando in BTC da wallet electrum, è filato tutto liscio.
hero member
Activity: 1442
Merit: 578
October 17, 2018, 01:56:44 PM
#46
no io all'epoca .. parecchio tempo fa
ho pagato con carta di credito, perche non mi volevo separare di quella quantita di bitcoin Smiley

tutto qua

Capisco.

Io ho provato a fare l'ordine e pagare con btc, ma non ci sono riuscito. È venuto fuori che bitpay non è compatibile che il wallet coinomi che sto usando.....  Shocked

A questo punto mi sa che aspetto il prossimo sconto.
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
October 17, 2018, 07:02:19 AM
#45
no io all'epoca .. parecchio tempo fa
ho pagato con carta di credito, perche non mi volevo separare di quella quantita di bitcoin Smiley

tutto qua
hero member
Activity: 1442
Merit: 578
October 17, 2018, 06:20:55 AM
#44

Babo ma tu hai comprato su ledger.com con i btc? Ci sono problemi pagando con btc sul loro sito?

Qualcuno ci ha provato?
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
October 17, 2018, 05:28:47 AM
#43
si @piggy in teoria e' come dici tu

ma spesso vale la regola del buon senso

comprarli usati  per risparmiare, 30 euro? e poi quanti soldi ci metti su?
meglio spendere 30 euro in piu.. imho ovviamente
hero member
Activity: 784
Merit: 1416
October 17, 2018, 05:17:33 AM
#42
Non solo è un’azienda seria, se vuoi acquistare un ledger (o trezor) passare dal sito ufficiale è la scelta migliore se non l’unica consigliabile! A parte i pochi rivenditori ufficiali, se compri tramite altri canali il rischio di truffa è alto (es wallet usati con seed già preimpostati)

esatto
state in guardia da offerte troppo ghiotte, al solito se e' troppo bello per essere vero
magari.. non lo e'

quindi comprando dal produttore ufficiale o dai RESELLER UFFICIALI (esiste in italia) non rischiate

Si sempre meglio comprare tutto nuovo dal rivenditore originale, non vale la pena perdere tutto per risparmiare qualche euro Smiley

Comunque avevo letto qualche articolo a riguardo, l'hardware e l'app hanno una sorta di handshake e si controllano a vicenda per verificare che il firmware nell'hardware e il software dell'applicazione non siano stati modificati, se lo sono dovrebbe comparire qualche messaggio di errore. Quindi dovrebbe essere sicuro anche comprarli usati (io non mi fiderei comunque, non si sà mai), basta che si fa un reset delle parole per creare gli indirizzi.

legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
October 17, 2018, 04:52:19 AM
#41
Non solo è un’azienda seria, se vuoi acquistare un ledger (o trezor) passare dal sito ufficiale è la scelta migliore se non l’unica consigliabile! A parte i pochi rivenditori ufficiali, se compri tramite altri canali il rischio di truffa è alto (es wallet usati con seed già preimpostati)

esatto
state in guardia da offerte troppo ghiotte, al solito se e' troppo bello per essere vero
magari.. non lo e'

quindi comprando dal produttore ufficiale o dai RESELLER UFFICIALI (esiste in italia) non rischiate
hero member
Activity: 1442
Merit: 578
October 17, 2018, 02:59:25 AM
#40

Grazie a tutti per le info. Mi sa che lo ordino.

Problemi particolari se lo pago in btc sul sito ledger.com?
sr. member
Activity: 490
Merit: 353
this is not a bounty avatar
October 17, 2018, 02:31:40 AM
#39
Non solo è un’azienda seria, se vuoi acquistare un ledger (o trezor) passare dal sito ufficiale è la scelta migliore se non l’unica consigliabile! A parte i pochi rivenditori ufficiali, se compri tramite altri canali il rischio di truffa è alto (es wallet usati con seed già preimpostati)
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
October 17, 2018, 02:20:47 AM
#38
ledger (francese) e' una azienda molto seria
io ho 3 ledger nano s
1 mio con le mie poche cryptos
1 di backup mio
1 di lavoro

trezor e' altrettanto seria come ditta, a me non piace esteticamente e poi ha poche coins - anche se e' piu stabile

ora si sta affacciando sul mercato anche un'altra big francese.. archos
hero member
Activity: 1442
Merit: 578
October 17, 2018, 02:18:07 AM
#37

Un poco di piu, forse il 30%
Se non hai esigenze, puoi aspettare tranquillamente

Ci sono altri vendor che si stanno affacciando

Sono andato a vedere l'ordine che avevo fatto agli ultimi sconti, veniva ~70€ inclusa la spedizione, quindi si sarà stato il -30% di sconto come dice babo


Babo, a quali altri vendor ti riferisci?

Ma ledger è un'azienda seria? Perché ovviamente per acquistare sul loro sito devo fornire tutti i miei dati....

Voi avete un ledger nano s? O se avete qualche wallet hardware, quale avete? Piggy, hai solo questo?


Pages:
Jump to: