Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 64. (Read 23197 times)

Musste man die nicht einmal claimen/swapen? Nicht das du da keinen Zugriff mehr darauf hast 🤔

Ich hab noch die tokens aus kurz nach der ICO Zeit auf paper wallets :p Und nach dem Trinity Desaster kann ich mir vorstellen, dass sie an der Ledger Live integration gearbeitet haben..

Also mit ADA könnte ich ganz gut leben, da soll dann ja auch das Staking mit eingebaut werden. Denke aber das es dazu noch zu früh ist. Bin schon gespannt 🤔

Da würde ich mir eher BNB vorstellen. Wer will denn was mit IOTA?

Vermutlich ADA, wünschen würde ich mir IOTA.

Gerade gesehen, was denkt ihr welcher Coin wird als nächstes von Ledger Live unterstützt?



https://mobile.twitter.com/Ledger/status/1254055095911800833

Haben wir sonst noch irgendwo einen Ledger, Diskussions/News Thread?

BTW seit letztem Update kann TRON mit Ledger Live genutzt werden.

Ein kleinen Zusatz gibt es noch:
Wenn ihr das Teil im Warenkorb habt gebt ihr den Code " WELCOMEAPRIL " ein und ihr spart bei dem Ledger paar Euronen.
So kostet der Ledger X dann 95,20 Euro und der Ledger Nano S dann 47,20 Euro
Wer nicht unbedingt drei braucht ist mit diesem Angebot auch gut bedient

Daran hab ich mich schon gewöhnt 

Da ich nichts übersetzt habe, gehts dir doch eher darum ob ich recht habe oder nicht. 

Von Genuine spricht man natürlich auch wenn etwas non- tampered ist.
Gibt sogar einen ganzen Artikel von Ledger zum Thema How to protect Hardware wallets against tampering
Da steht genau das drinnen, was ich zuvor geschrieben habe. Stichwort: attestation.

Nein, wie gesagt, der Ledger erzeugt ein key pair, schickt den public key an den Secure Server. Der Secure Server sendet einen Token an den Ledger, kann das Gerät beim Verbinden eine gültige Signatur liefern wird es als Genuine eingestuft.
Auch wenn es jemand schaffen sollte die Hardware UND die Software zu kompromittieren, wird er keinen API call durchführen können, da auch hier ein valider attestation Token notwendig ist.

Das liest sich so, also würde Ledger allen Nutzern dazu raten ihr HW- Wallet nach Erhalt zu öffnen und das ist definitiv nicht der Fall.
Deshalb steht der Abschnitt auch außerhalb des eigentlichen Beitrags unter "Advanced users can check the hardware integrity..."




Also nochmal: Mein Résumé im letzten Beitrag war "Sollte es also keine Anzeichen von mechanischen Einwirkungen oder Kratzer am Gerät geben, das Gerät nicht bereits vorkonfiguriert ankommen und die Echtheit mittels 'Genuine Check' bestätigt werden, sehe ich keinen Grund das Gerät zurückzuschicken."

Die meisten Angriffsvektoren, wie die von mir zuvor genannte 'Supply Chain Attack' sind generell mehr als theoretische Sicherheitslücken zu verstehen.
Ein Gerät das 'tampered' ist und daher irgendwie Seed- Wörter kompromittiert o.ä. muss auch erst entwickelt werden.

Natürlich ist ein System nie 100% sicher und du hast natürlich Recht wenn du jemandem, der sich nicht sicher ist, empfiehlst, das Gerät zu öffnen.

Jupp ganz klar Rev 6. Sieht alles iO aus.

Ohne Kratzer geht es gut mit solchen Handy "ifixit" tools. Die aus plastik.

Blau/Grün ist hier echt ne Ansichtssache. Laut Amt sind meine Augen auch Braungraugrün, was auch immer das sein soll

Also kannste jetzt bedenkenlos nutzen!

Also es hat mir jetzt keine Ruhe gelassen und habe ins Innere geschaut. Eins kann ich gleich vorweg sagen. Das Ding bekommt man nicht auf, ohne am Plastikgehäuse Schrammen oder Kratzer zu hinterlassen. Der Deckel sitzt echt fest.

Hier ein Foto (Vorschaubild bekomme ich irgendwie nicht hin):
https://share-your-photo.com/img/06c90fca06.jpg

Müsste Revision 6 sein. Bei der MCU steht ST F042K66.

Fällt euch etwas komisches auf?
PCB müsste laut Ledger blau sein, bei mir eher grün.
Und der Punkt am USB-Anschluss ist pink anstatt gelb.

Sorry aundroid aber da bin ich NICHT deiner Meinung.

Da brauch ich nicht durchzulesen wie das funktioniert. Erstens weiss ich das, zweitens war IT seurity mein Job für ein paar Jahre.

Mir geht es auch nicht darum ob du recht hast oder nicht, sondern was hier auf englisch steht, und das übersetzt du falsch. Genuine hat nichts mit "tampering" zu tun. Genuine ist das gegenteil von Counterfeit. Ob da jetzt etwas hinzugefügt wurde, kann damit NICHT erkannt werden. Der Genuine Check sagt dir lediglich ob das Ledger auch wirklich von ledger hergestellt wurde. Ich nehme an da wird nur ein Seriennummer check mit einem Algorithmus bzw. Direkt gegen eine Datenbank bei Ledger gecheckt. Nichts weiteres.

Genau deswegen rät Ledger auch BEIDE checks durchzuführen. HW Visual check UND den Genuine check. Beide sind relevant.

Dann hohl dir doch einen neuen, aber auch da kannst du dir nicht sicher sein das er nicht geöffnet wurde.


Wer englisch lesen kann, klar im Vorteil.

VG

---

Edit:

Was den genuine check angeht lag meine Vermutung richtig:


Wenn das secure element von ledger stammt wird der Genuine Check funktionieren, modifizierte HW drumherum oder nicht.

---

Edit2:

öffnen geht ganz einfach

https://youtu.be/CyR5nDr5oZ0?t=416

---

Edit3:

Was ledger dazu sagt


Es wird also nur kontrolliert das es keine SW modifizierung gab. HW muss selbst geprüft werden.

Kannst dir ja mal Root of Trust und Secure Elements durchlesen.
Jedes Mal wenn der Ledger verbunden wird, wird eine Nachricht signiert und zurückschickt. Diese wird dann vom HSM verifiziert.
Im Endeffekt müsste die HW und die SW manipuliert worden sein.
Und der Secure Chip schützt dann noch vor etlichen physischen Angriffen.

Um die Hardware 'ins Auge nehmen zu können' müsste man den Ledger wie in dem von dir verlinkten Artikel öffnen und die Komponenten untersuchen und mal ehrlich, wer macht das schon.
Bevor ich einen nagelneuen Ledger öffne, aus Angst er könnte manipuliert worden sein, schick ich ihn zurück und hol mir einen neuen.

Das bedeutet natürlich auch, dass dieser nicht manipuliert wurde.
Und klar entdeckt man auch bei einem HW- Wallet immer wieder neue Angriffsvektoren, wie zuletzt bei Trezor, aber auch hier wird nicht mal eben 'was hinzugefügt und nix erkannt', sondern in dem Fall versucht den Seed zu extrahieren.
Irgendwann wurde auch mal auf eine sogenannte Supply Chain Attacke aufmerksam gemacht, dabei wurde eine Empfänger im HW- Wallet integriert um mit einer Antenne den Vorgang des 'Knöpfchen drückens' zu umgehen und eine Transaktion zu bestätigen. So ein Angriff setz so viele Dinge voraus, dass er praktisch nicht durchführbar ist.

Sollte es also keine Anzeichen von mechanischen Einwirkungen oder Kratzer am Gerät geben, das Gerät nicht bereits vorkonfiguriert ankommen und die Echtheit mittels 'Genuine Check' bestätigt werden, sehe ich keinen Grund das Gerät zurückzuschicken.

Nein. HW sollte man schon unter das Auge nehmen. Da wird nur geprüft ob der Chip auch so funktioniert wie er sollte. Wenn da irgendein spyware eingebaut wurde oder so würde das mit offener HW sehr einfach zu sehen, aber nicht durch diese reine Software Prüfung.

---

Das bedeutet nur das es sich um keine Fälschung handelt. Wurde nur was hinzugefügt wird da nix erkannt. Genuine bedeutet nicht das niemand damit rumgespielt hat. Nur das die HW auch von Ledger stammt. Grosser Unterschied.

Sollte eine Veränderung vorgenommen worden sein, dürfte das Gerät die kryptographische Überprüfung nicht mehr bestehen und eine Warnung anzeigen. Und geprüft wird immer wenn du in der Ledger Live Anwengung eine Applikation öffnest (z.B. Manager)

Wird bei einem Connect zu LedgerLive auch die Echtheit der Hardware geprüft? Also würde hier Ledger auffallen, dass mit der Hardware was nicht stimmt?

Die Steps treffen zu. Das Recovery Sheet ist auch leer. Auseinander bauen, will ich jetzt eig nicht. Da trau ich mich nicht ran.

Hier eine Anleitung von Ledger: https://support.ledger.com/hc/en-us/articles/360002481534
edit: gerade gesehen, dass asche eh schon genau den gleichen Link gepostet hat 

Man könnte natürlich auch ein gebrauchtes Gerät verwenden, sofern man es natürlich resettet! Bei einem Reset wird eine neue Seed- Phrase erstellt und entsprechend neue private keys abgeleitet.
Aber würde natürlich trotzdem niemandem empfehlen ein gebrauchtes Gerät zu kaufen.

Ja, hab schnell in eine der Verpackungen gesehen und da ist sogar eine Karte drinnen auf der steht:
"There is no anti- tempering sticker on this box"

Ich denke du kannst verlangen das dir ein neues geliefert wird.

ABER es gibt kein Risiko was das nutzen angeht.

Ich denke es handelt sich hier ganz einfach um Briefkastendiebstahl. Nen ledger ist aber halt nichts Wert. Da war der Dieb so nett das er es gelassen hat und nicht in den Müll geworfen hat. Wäre es ein handy gewesen wäre es weg gewesen...


Pragmatisch denken:

- Wenn das jetzt ein Hacker ist der tatsächlich dazu fähig ist das Ding zu modifizieren hätte der auch das nötige für den neuen Blister.
- Wenn du das Ding zurück schickst, wird es nur neu eingepackt un dem nächsten Verkauft.

Wenn du den ledger jetzt nicht sofort brauchst, und dich nicht gut fühlst mit der Geschichte, einfach tauschen. Aber auch bei DHL verlangen das die Klingeln und nicht in Briefkasten schmeissen, denn du wirst nie wissen ob jemand das Ding zwischen den Händen hatte, inkl der Bote zB.

Blister war aufgerissen und lag separat im Briefkasten. Es hat also definitiv jemand die Verpackung geöffnet

Ja kannst du.

https://support.ledger.com/hc/en-us/articles/115005321449

und

https://support.ledger.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine

Blister noch auf der Schachtel?

Ich würde mir keine grosse Sorgen machen

---

Auch das sollte kein Problem sein. Natürlich ist es ledger lieber wenn jedes mal neu gekauft wird

---

Was meinst du? Kein plastik blister drauf? Oder das?


In beiden Fällen ist die Antwort von ledger "brauchen wir nicht, das Ding ist so sicher das eh kein Risiko besteht".