Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 63. (Read 22391 times)

BTW seit letztem Update kann TRON mit Ledger Live genutzt werden.

Ein kleinen Zusatz gibt es noch:
Wenn ihr das Teil im Warenkorb habt gebt ihr den Code " WELCOMEAPRIL " ein und ihr spart bei dem Ledger paar Euronen.
So kostet der Ledger X dann 95,20 Euro und der Ledger Nano S dann 47,20 Euro
Wer nicht unbedingt drei braucht ist mit diesem Angebot auch gut bedient

Daran hab ich mich schon gewöhnt 

Da ich nichts übersetzt habe, gehts dir doch eher darum ob ich recht habe oder nicht. 

Von Genuine spricht man natürlich auch wenn etwas non- tampered ist.
Gibt sogar einen ganzen Artikel von Ledger zum Thema How to protect Hardware wallets against tampering
Da steht genau das drinnen, was ich zuvor geschrieben habe. Stichwort: attestation.

Nein, wie gesagt, der Ledger erzeugt ein key pair, schickt den public key an den Secure Server. Der Secure Server sendet einen Token an den Ledger, kann das Gerät beim Verbinden eine gültige Signatur liefern wird es als Genuine eingestuft.
Auch wenn es jemand schaffen sollte die Hardware UND die Software zu kompromittieren, wird er keinen API call durchführen können, da auch hier ein valider attestation Token notwendig ist.

Das liest sich so, also würde Ledger allen Nutzern dazu raten ihr HW- Wallet nach Erhalt zu öffnen und das ist definitiv nicht der Fall.
Deshalb steht der Abschnitt auch außerhalb des eigentlichen Beitrags unter "Advanced users can check the hardware integrity..."




Also nochmal: Mein Résumé im letzten Beitrag war "Sollte es also keine Anzeichen von mechanischen Einwirkungen oder Kratzer am Gerät geben, das Gerät nicht bereits vorkonfiguriert ankommen und die Echtheit mittels 'Genuine Check' bestätigt werden, sehe ich keinen Grund das Gerät zurückzuschicken."

Die meisten Angriffsvektoren, wie die von mir zuvor genannte 'Supply Chain Attack' sind generell mehr als theoretische Sicherheitslücken zu verstehen.
Ein Gerät das 'tampered' ist und daher irgendwie Seed- Wörter kompromittiert o.ä. muss auch erst entwickelt werden.

Natürlich ist ein System nie 100% sicher und du hast natürlich Recht wenn du jemandem, der sich nicht sicher ist, empfiehlst, das Gerät zu öffnen.

Jupp ganz klar Rev 6. Sieht alles iO aus.

Ohne Kratzer geht es gut mit solchen Handy "ifixit" tools. Die aus plastik.

Blau/Grün ist hier echt ne Ansichtssache. Laut Amt sind meine Augen auch Braungraugrün, was auch immer das sein soll

Also kannste jetzt bedenkenlos nutzen!

Also es hat mir jetzt keine Ruhe gelassen und habe ins Innere geschaut. Eins kann ich gleich vorweg sagen. Das Ding bekommt man nicht auf, ohne am Plastikgehäuse Schrammen oder Kratzer zu hinterlassen. Der Deckel sitzt echt fest.

Hier ein Foto (Vorschaubild bekomme ich irgendwie nicht hin):
https://share-your-photo.com/img/06c90fca06.jpg

Müsste Revision 6 sein. Bei der MCU steht ST F042K66.

Fällt euch etwas komisches auf?
PCB müsste laut Ledger blau sein, bei mir eher grün.
Und der Punkt am USB-Anschluss ist pink anstatt gelb.

Sorry aundroid aber da bin ich NICHT deiner Meinung.

Da brauch ich nicht durchzulesen wie das funktioniert. Erstens weiss ich das, zweitens war IT seurity mein Job für ein paar Jahre.

Mir geht es auch nicht darum ob du recht hast oder nicht, sondern was hier auf englisch steht, und das übersetzt du falsch. Genuine hat nichts mit "tampering" zu tun. Genuine ist das gegenteil von Counterfeit. Ob da jetzt etwas hinzugefügt wurde, kann damit NICHT erkannt werden. Der Genuine Check sagt dir lediglich ob das Ledger auch wirklich von ledger hergestellt wurde. Ich nehme an da wird nur ein Seriennummer check mit einem Algorithmus bzw. Direkt gegen eine Datenbank bei Ledger gecheckt. Nichts weiteres.

Genau deswegen rät Ledger auch BEIDE checks durchzuführen. HW Visual check UND den Genuine check. Beide sind relevant.

Dann hohl dir doch einen neuen, aber auch da kannst du dir nicht sicher sein das er nicht geöffnet wurde.


Wer englisch lesen kann, klar im Vorteil.

VG

---

Edit:

Was den genuine check angeht lag meine Vermutung richtig:


Wenn das secure element von ledger stammt wird der Genuine Check funktionieren, modifizierte HW drumherum oder nicht.

---

Edit2:

öffnen geht ganz einfach

https://youtu.be/CyR5nDr5oZ0?t=416

---

Edit3:

Was ledger dazu sagt


Es wird also nur kontrolliert das es keine SW modifizierung gab. HW muss selbst geprüft werden.

Kannst dir ja mal Root of Trust und Secure Elements durchlesen.
Jedes Mal wenn der Ledger verbunden wird, wird eine Nachricht signiert und zurückschickt. Diese wird dann vom HSM verifiziert.
Im Endeffekt müsste die HW und die SW manipuliert worden sein.
Und der Secure Chip schützt dann noch vor etlichen physischen Angriffen.

Um die Hardware 'ins Auge nehmen zu können' müsste man den Ledger wie in dem von dir verlinkten Artikel öffnen und die Komponenten untersuchen und mal ehrlich, wer macht das schon.
Bevor ich einen nagelneuen Ledger öffne, aus Angst er könnte manipuliert worden sein, schick ich ihn zurück und hol mir einen neuen.

Das bedeutet natürlich auch, dass dieser nicht manipuliert wurde.
Und klar entdeckt man auch bei einem HW- Wallet immer wieder neue Angriffsvektoren, wie zuletzt bei Trezor, aber auch hier wird nicht mal eben 'was hinzugefügt und nix erkannt', sondern in dem Fall versucht den Seed zu extrahieren.
Irgendwann wurde auch mal auf eine sogenannte Supply Chain Attacke aufmerksam gemacht, dabei wurde eine Empfänger im HW- Wallet integriert um mit einer Antenne den Vorgang des 'Knöpfchen drückens' zu umgehen und eine Transaktion zu bestätigen. So ein Angriff setz so viele Dinge voraus, dass er praktisch nicht durchführbar ist.

Sollte es also keine Anzeichen von mechanischen Einwirkungen oder Kratzer am Gerät geben, das Gerät nicht bereits vorkonfiguriert ankommen und die Echtheit mittels 'Genuine Check' bestätigt werden, sehe ich keinen Grund das Gerät zurückzuschicken.

Nein. HW sollte man schon unter das Auge nehmen. Da wird nur geprüft ob der Chip auch so funktioniert wie er sollte. Wenn da irgendein spyware eingebaut wurde oder so würde das mit offener HW sehr einfach zu sehen, aber nicht durch diese reine Software Prüfung.

---

Das bedeutet nur das es sich um keine Fälschung handelt. Wurde nur was hinzugefügt wird da nix erkannt. Genuine bedeutet nicht das niemand damit rumgespielt hat. Nur das die HW auch von Ledger stammt. Grosser Unterschied.

Sollte eine Veränderung vorgenommen worden sein, dürfte das Gerät die kryptographische Überprüfung nicht mehr bestehen und eine Warnung anzeigen. Und geprüft wird immer wenn du in der Ledger Live Anwengung eine Applikation öffnest (z.B. Manager)

Wird bei einem Connect zu LedgerLive auch die Echtheit der Hardware geprüft? Also würde hier Ledger auffallen, dass mit der Hardware was nicht stimmt?

Die Steps treffen zu. Das Recovery Sheet ist auch leer. Auseinander bauen, will ich jetzt eig nicht. Da trau ich mich nicht ran.

Hier eine Anleitung von Ledger: https://support.ledger.com/hc/en-us/articles/360002481534
edit: gerade gesehen, dass asche eh schon genau den gleichen Link gepostet hat 

Man könnte natürlich auch ein gebrauchtes Gerät verwenden, sofern man es natürlich resettet! Bei einem Reset wird eine neue Seed- Phrase erstellt und entsprechend neue private keys abgeleitet.
Aber würde natürlich trotzdem niemandem empfehlen ein gebrauchtes Gerät zu kaufen.

Ja, hab schnell in eine der Verpackungen gesehen und da ist sogar eine Karte drinnen auf der steht:
"There is no anti- tempering sticker on this box"

Ich denke du kannst verlangen das dir ein neues geliefert wird.

ABER es gibt kein Risiko was das nutzen angeht.

Ich denke es handelt sich hier ganz einfach um Briefkastendiebstahl. Nen ledger ist aber halt nichts Wert. Da war der Dieb so nett das er es gelassen hat und nicht in den Müll geworfen hat. Wäre es ein handy gewesen wäre es weg gewesen...


Pragmatisch denken:

- Wenn das jetzt ein Hacker ist der tatsächlich dazu fähig ist das Ding zu modifizieren hätte der auch das nötige für den neuen Blister.
- Wenn du das Ding zurück schickst, wird es nur neu eingepackt un dem nächsten Verkauft.

Wenn du den ledger jetzt nicht sofort brauchst, und dich nicht gut fühlst mit der Geschichte, einfach tauschen. Aber auch bei DHL verlangen das die Klingeln und nicht in Briefkasten schmeissen, denn du wirst nie wissen ob jemand das Ding zwischen den Händen hatte, inkl der Bote zB.

Blister war aufgerissen und lag separat im Briefkasten. Es hat also definitiv jemand die Verpackung geöffnet

Ja kannst du.

https://support.ledger.com/hc/en-us/articles/115005321449

und

https://support.ledger.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine

Blister noch auf der Schachtel?

Ich würde mir keine grosse Sorgen machen

---

Auch das sollte kein Problem sein. Natürlich ist es ledger lieber wenn jedes mal neu gekauft wird

---

Was meinst du? Kein plastik blister drauf? Oder das?


In beiden Fällen ist die Antwort von ledger "brauchen wir nicht, das Ding ist so sicher das eh kein Risiko besteht".

Ich habe ein Problem.

Habe mir den Nano S direkt beim Hersteller gekauft. Laut DHL hätte eine Übergabe per Unterschrift heute erfolgen sollen. Da aber niemand kam, hab ich die Sendungsverfolgung noch einmal geprüft.

Laut DHL:
Zugestellt heute Mittag, unterschrieben von mir.

Dann in Briefkasten geschaut:
Die luftgepolsterte Versandtasche lag aufgerissen und leer im Briefkasten. Daneben die Verpackung des Nano S (auch leicht beschädigt/aufgerissen). Der Nano S war allerdings in der Verpackung.


Kann ich nun irgendwie prüfen, ob das HW-Wallet manipuliert wurde?
Besteht hier überhaupt eine Gefahr (ich habe hier auch schon gelesen, das sogar bereits gebrauchte HW-Wallets bedenkenlos weiter genutzt werden können)?
Ist es normal, dass die Verpackung des Nano S nicht versiegelt ist?

Ich habe 2. Einen Ledger Blue der viel komfortabler ist weil er ein richtiges Display hat und  man mehr wallets installieren kann. Besonders zusammen mit Ledger Live ist die Verwaltung der ganzen ERC 20 Token ganz einfach. Dazu habe ich noch einen S da der Blue keine Apps für Iota und tezos hat so dass ich diese 2 darüber verwalte. Da ich die beiden aber sowieso hodle brauche ich den praktisch nie.

Ich hab auch nur den S und verwend den genauso. Mein Portfolio an Cryptos ist nicht sooo breit, ich komm mit 3-4 Apps parallel installiert locker aus. Für Coins auf Ethereum-Basis reicht ja sowieso die ETH App, bei allen anderen switche ich einfach die installierten Apps über den Manager. Es kommt ja quasi nie vor, dass ich alle Assets auf einmal verwenden will, wenn doch, dann sind die neuen Apps in nullkommanix installiert.

Du musst dir aber nicht zwangsläufig einen zweiten kaufen, du kannst auch in der Ledger Live Anwendung unter 'Manager' immer die Applikationen wieder deinstallieren, die du sowieso gerade nicht verwendest. Anschließend kannst du weitere Apps installieren, Coins hinschicken ...

Genau mit dem günstigen S gehen zwischen 3 und ca. 7 Wallets auf einmal. Wenn man mehr benötigt ist ein zweiter notwendig oder gleich den X kaufen da sind dann doch um einige Wallets mehr möglich.

Beim S immer nachsehen ob die neueste Firmware installiert ist, da gibt es immer wieder updates und EA sind mehr Wallets möglich...

Habe heute ja auch gemerkt, dass man mit einem Ledger gar nicht klar kommt, zu wenig. Vor allem, wenn man mehr als 3-4 Coins im Portfolio hat.
Auf den Ledger konnte ich heute nämlich nur 4 Wallets installieren - also 4 verschiedene Coins kann ich damit nutzen; für mehr, brauch ich wohl einen zweiten Ledger. Die Dinger haben ja wohl begrenzt (zu wenig) Speicher, dass man da alle Coin-Apps installieren kann.