Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 12. (Read 22369 times)

Trezor bietet bis morgen einen 15% rabatt auf seine beiden hardware wallets Trezor model t und model one an - auch eine überlegung wert!


https://trezor.io/compare

jeder andere hw-wallet anbieter nutzt jetzt die gunst der stunde und möchte mit diversen angeboten nun die 'alten' Ledger kunden für sich gewinnen

Zwar ist das aktuelle Update für den Ledger Nano S nicht verfügbar. Aber wir wissen ja eben nicht genau warum. Dies kann einerseits technische Hindernisse haben, dass genau dieses Update nicht aufgespielt werden kann. Andererseits kann es aber auch eine unternehmenspolitische Entscheidung sein, dass nur die neuen Produkte dieses Update bekommen, damit man sie besser verkaufen kann (total bescheuert, wer kauft die denn noch).

Zusätzlich wissen wir nicht wie ein bei einem weiteren möglicherweise kompromittierten Update aussieht. Und dieses könnte dann durchaus für jeden Ledger, unabhängig vom Modell, gelten. Auch wenn die Firma nun beteuert, dass auch für Ledger Recover ein physischer Druck auf den Button nötig ist, weiß man nicht ob nicht in Zukunft doch einfach ein anderes Update kommen kann, welches eben diesen Kopfdruck überflüssig macht. Ledger beteuert, dass dies nicht möglich ist. Aber kann man der Firma nach dieser Geschichte noch glauben? Meiner Meinung nach nicht. Das Vertrauen ist schon lange aufgebraucht.

Wie es nun weitergeht wird man sehen müssen. Mittel- bis langfristig ist eine neue Verwahrung für bisherige Ledger-Kunden sicherlich sinnvoll. Nur zu welchem Anbieter ist die große Frage. Die Konkurrenz verwendet ja zum Teil ähnliche bzw. das gleiche Secure Element. Oder doch wieder ein alter encrypteter, airgapped Laptop?

Schwieriges Thema, für das aber sicherlich bald Lösungen gefunden werden.

So meine Damen und Herren, das Update ist live!



Wollte meinen Ledger Nano X noch schnell eines der letzten unbedenklichen Updates rein drücken, aber leider begrüßt mich bereits die neue Version, auf die ich im Leben nicht updaten werde.

Besser sieht es auf dem Nano S aus:



Den kann ich dann ja auch zukünftig in Verbindung mit Electrum erstmal gefahrlos weiter benutzen, oder? An den wenigen Speicherplatz muss ich mich dann eben wieder gewöhnen.


Den Tipp haben wohl schon viele wahrgenommen, die Kollegen sind bereits ausverkauft



Ich hatte ja echt die Hoffnung, dass Ledger durch den Gegenwind in der Community einknickt und das Update nicht ausrollt...aber Pustekuchen!

Wie bitte was? Ich schaue ja selten hier rein aber immer wieder lese ich negative Sachen über Ledger und so langsam mache ich mir auch Gedanken um die Sicherheit meiner Coins. Aus welchem Grund baut man bitte eine Hintertür ein, wenn doch der eigentliche Zweck von Ledger die sichere Verwahrung ist und dies Priorität Nummer 1 sein sollte? 

Also ich hab eine BTC Adresse mit einem offline Generator erstellt und das auf einem PC der noch nie mit dem Internet verbunden war und auch nie wird. Die Software wurde per USB übertragen und per Linux System aus einer sicheren Quelle runtergeladen. Der key ist dann auf zwei Edelstahlplatten gesichert.

Für mich ausreichend und muss mich dazu auch nicht mit einem Ledger ärgern, aber die BTC stehen auch 100% auf HODL und werden erst wieder bewegt wenn sie verkauft werden.

Ein 100% wird es nie geben, aber man kann schon sehr viel für die Sicherheit machen und mögliche Angriffsziele ausschließen.

PS: hier die Software. Und immer die Version und Checksumme prüfen https://bitcointalksearch.org/topic/ann-bitaddressorg-safe-javascript-bitcoin-addressprivate-key-43496

Wohin denn. Das ist doch die Frage. Was ist denn 100% sicher ? Was wird als nächstes gehackt oder etwas Fehlerhaftes gefunden ?
Wer mir da jetzt die Eierfressende Wolfsmichsau ..oder wie heisst das Ding... zeigt ist echt gut.
Man muss doch erst einmal etwas anderes Hundertprozentiges haben. Und so schnell geht das nun mal nicht.
@bct_ail : Wo hast du denn deine BTC und ETH liegen wenn du keinen Ledger besitzt ?

Bisher hatte ich persönlich auch noch gar keine negativen Erfahrungen mit Ledger. Seit 2 1/2 Jahren habe ich jetzt einen Nano S und seit 1-2 Jahren auch einen Nano X. Meine Geräte sind hardwareseitig voll in Ordnung und vom Kundendaten-Diebstahl war ich auch nicht betroffen. Somit hatte ich bisher keinen Grund, schlecht über Ledger zu sprechen.

---

Ich fühle mich mit meinen Ledger Geräten definitiv nicht mehr sicher und daher werde ich mich wohl auch nach einer Alternative umsehen müssen.
Guten Gewissens kann man jetzt keine Coins mehr für sich oder sogar Familienangehörige verwahren.

Ich bin bisher immer fest fest davon ausgegangen, dass es bei einem Secure Element immer eine Hintertür gibt. Die Frage ist nur, wieviele wissen das, wie es auszunutzen ist? Ledger jedenfalls weiß es. Das wirft somit die Frage auf, wieviele in der Lieferkette wissen es noch? Andererseits bedeutet es aber auch, dass dieses Wissen bisher noch von niemanden in der Lieferkette ausgenutzt wurde. Was ich ziemlich bemerkenswert finde.

Würde ich einen Ledger besitzen, würde ich alle Funds abziehen. Denn sicherlich werden sich jetzt noch mehr Hacker an die Tasten machen, um an die Daten zum Durchbrechen der Hintertür zu kommen.

Genau darum gehts eigentlich: Viele - ich auch - haben bisher Ledger einfach blind vertraut. Musste man ja auch, da der Sourcecode für die Hardware (also den Ledger Stick) und die dazugehörige Software (Betriebssystem des Nanos und bspw. Ledger Live) dazu nicht frei verfügbar ist. Das Vertrauen haben sie jetzt aber vollumfänglich zerstört, vor allem mit Aussagen wie "hm ja, ging ja eh immer schon, dass wir den Key auslesen". Auch der Hinweis jetzt, dass man das Feature eh nicht nutzen muss wenn man Sicherheitsbedenken hat ist entweder Kundenverarsche oder ihnen ist einfach der Schaden, den sie hier angerichtet haben, einfach nicht bewusst. 

---

Das hätte ich bis vorgestern auch noch genauso gesehen. Fakt ist aber, dass sie mit dem neuen Firmware-Update an deinen Key kommen. Wenn du das also einspielst kann es sein, dass der unter welchen Umständen auch immer in fremde Hände gelangt.

Es gibt doch gerade für "Suchende" 24 % Rabatt für die KeepKey Hardware Wallet über Shapeshift. Ich weiß allerdings nicht was dieses Tel normal kostet und
was das Teil alles kann und gut ist. Der Code für die Prozente lautet ohne die Gänsefüsse "NOBACKDOORS" .
Vielleicht sucht ja jemand genau so ein Teil.
Der Link dazu hier : swag.shapeshift.com.          Schicker Hoodie dort. 

Denen meisten geht es jetzt einfach um das Prinzip, dass Ledgr schlicht und einfach gelogen hat und anscheinend bis auf den alten Nano S sie sich ein Hintertürchen in der Hardware offen gelassen haben um den SEED auslesen zu können und das ist das grundlegende Problem was alles haben, genau dies soll ja bei einer Hardwarewallet vermieden werden. Jedenfalls habe ich das jetzt so verstanden und ein NoGo im Bezug auf sichere Verwahrung.

Was mich nur wundert ist das fast alle hier immer auf Ledger geschworen haben und ich denke das bisher keinem von uns etwas abhanden gekommen ist.
Außer den offenen Adressen was ja schnell vergessen wurde waren doch alle hell auf begeistertvom Nano S,X und S+.
Und wenn es keiner mitbekommen hätte würden alle noch den Ledger weiterempfehlen wie fast alle Fragen zur sicheren Verwahrung von Cryptos mit Ledger enden.
Ich lasse erstmal alles wie es ist und warte ab was kommt. Ich denke alles was ich nun machen würde ist keinerwegs sicherer wie heute oder gestern mit dem Ledger.

Ich bin ehrlich gesagt froh das ich mir doch noch keinen Nano S+ geholt habe, werde auch meinen Arbeitskollegen davon abraten (hatten bei der nächsten Aktion ein Doppelpack angedacht) von dieser Firma etwas zu kaufen.

Ich schließe mich hiermit voll und ganz deiner Meinung an, Drecksladen. Jeder Bitcoiner dem Sicherheit wichtig ist sollte davon Abstand nehmen.

diesen punkt hat nun btc-echo.de in seinem heutigen artikel auch angesprochen und wie es aussieht möchte das Ledger auch und geht damit einen 'neuen' weg um auch krypto nutzer anzusprechen, die sich nicht trauen ihren eigenen seed sicher aufzubewahren...

https://www.btc-echo.de/news/ledger-kritik-jetzt-mal-alle-ganz-tief-durchatmen-164439/

Es gibt eigentlich einen Tweet der alles sagt. Ledger hat uns bisher eine Lüge verkauft: Nämlich, dass es nicht möglich sei den Seed aus dem Secure Element zu bekommen.

Und doch es ist möglich, siehe den Tweet von gestern. Es war sogar immer möglich. Die angebliche Sicherheit, alles nur vorgegaukelt.



Quelle: Twitter, Ledger Support, 17.05.2023

Die ganze Ledger Security ist und war immer nur auf Vertrauen aufgebaut. Vertrauen, dass kein worst-case Hack Szenario oder ein Inside-Job eintritt, der dazu führt, dass fehlerhafte bzw. kompromittierte Software den Seed freigibt. Vertrauen, dass Ledger nicht ohne unser Wissen ein Firmware Update aufspielt, das unseren Seed an öffentliche Stellen oder Regierungen ausgibt.

Und jetzt sollen wir dieser verlogenen Firma, die in der Vergangenheit massiv Nutzerdaten durch Hacks im Darknet verloren hat, vertrauen wenn sie sagt "trust me bro, you're safe". Ohne mich.

Wir sollten uns zügig überlegen, welche Alternativen am Markt sind und welche Alternativen nicht ggf. auch das selbe Secure Element verwenden was ebenso verwundbar ist.

Und meine persönliche Meinung: Ich hoffe dieser Drecksladen geht Pleite und die scheiß Founder gehen in den Knast.

Diese zwei Sätze sind wie ein Roundhose-Kick mitten in die Fresse und ich dachte da gibt es noch eine Möglichkeit das ganze zu ignorieren/umgehen oder ähnliches. Das es Geheimnisse geben muss, bei einer Entwicklung des Security-Chips ist verständlich. Ein guter Koch verrät nicht sein bestes Rezept. Aber jetzt bestätigen, das die primäre Funktion "Sicherheit" nicht so sicher ist wie man es immer kommuniziert hat, oder es noch tut:

Quelle: https://shop.ledger.com/de/pages/ledger-nano-x
Klickt man auf "Erfahren Sie mehr über die Sicherheit, die Ledger bietet", gelangt man auf eine 404 Page not found.

---

Ledger-Fiasko: Bitcoin-Community in Aufruhr
Quelle: https://www.btc-echo.de/news/ledger-fiasko-bitcoin-community-in-aufruhr-164403/[/list]

Hier möchte ich gerne einhaken und kurz darlegen, was das jetzt eigentlich heißt.

Ledger hat ja immer beteuert, dass der Seed sicher ist und aus ihrem "Security-Chip" nicht extrahiert werden kann. Dem ist aber nicht so, Ledger hat hier offensichtlich gelogen.

Warum?

Der Prozess für das "Recovery" funktioniert so:



Quelle

Das bedeutet jetzt folgendes:

• Der Seed wird in einem Security-Chip verwahrt. Benötigt man ein Backup/Recovery, so wird dieser Seed in 3 verschlüsselte Teile aufgeteilt (die so genannten Shards)
• Diese Teile werden nun an 3 unabhängige (?) Firmen gesendet und dort entschlüsselt
• Erst wenn alle 3 Teile wieder zusammengesetzt werden kann man einen neuen Ledger wieder mit dem Seed initialisieren

Aus Hardware- und Softwaresicherheits-Sicht ist das eine einzige Katastrophe ... gelinde ausgedrückt. Das bedeutet nämlich im Umkehrschluss:

• Der Seed ist und war immer extrahierbar, wenn auch in verschlüsselter Form. Das hat Ledger mittlerweile auch bestätigt:
  
  Quelle
  
• Die externen Firmen mit denen Ledger hier zusammenarbeitet sind in der Lage, die Shards aufzubrechen und zu lesen.
• Ledger kann per Software-Update über Ledger Live ihre wichtigste Sicherheitsfunktionalität abändern. Was passiert, wenn hier ein Bug/Backdoor in einem Update versteckt ist, welcher die Seeds/Shards unverschlüsselt nach außen gibt?

Für mich als Ledger-User fast der ersten Stunde ist die Enttäuschung riesengroß. Ich verwalte fast mein ganzes Crypto-Portfolio über einen Ledger, werde die aber jetzt garantiert nicht mehr verwenden oder geschweige denn updaten. Ich möchte gar nicht wissen, in welchen Belangen Ledger hier noch unehrlich zu uns als Kunden war. Bin gerade auf der Suche nach einer Alternative, bin auch kurz davor den gesamten Seed zu verwerfen und mit einem Trezor (o.ä.) komplett neu zu starten.

da dies ja *nur* Software ist lässt sich das doch jederzeit ändern oder?
 

Beim Nano S soll das Feature anscheinend nicht möglich sein wie Julian Hosp in seinem Video dazu geurteilt hatte.
Dazu soweit mir bekannt kann Ledger bei diesem Feature nicht das 25te Wort speichern.
Also generell das 25te Wort zu verwenden stellt hier weiterhin eine sehr gute Option dar.

An das hab ich noch gar nicht gedacht. Interessant, da schießt sie ja noch mehr ins Aus.
noch ein Grund mehr, das Produkt zukünftig zu meiden und seinen Seed sicher zu verwalten.

Viele Grüße
Willi