Pages:
Author

Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 65. (Read 23520 times)

hero member
Activity: 1442
Merit: 590
Vermutlich ADA, wünschen würde ich mir IOTA.

Da würde ich mir eher BNB vorstellen. Wer will denn was mit IOTA? Cheesy

Ich hab noch die tokens aus kurz nach der ICO Zeit auf paper wallets :p Und nach dem Trinity Desaster kann ich mir vorstellen, dass sie an der Ledger Live integration gearbeitet haben..
legendary
Activity: 2660
Merit: 1154
Vermutlich ADA, wünschen würde ich mir IOTA.

Also mit ADA könnte ich ganz gut leben, da soll dann ja auch das Staking mit eingebaut werden. Denke aber das es dazu noch zu früh ist. Bin schon gespannt 🤔
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Vermutlich ADA, wünschen würde ich mir IOTA.

Da würde ich mir eher BNB vorstellen. Wer will denn was mit IOTA? Cheesy
hero member
Activity: 1442
Merit: 590
Vermutlich ADA, wünschen würde ich mir IOTA.
legendary
Activity: 2660
Merit: 1154
Gerade gesehen, was denkt ihr welcher Coin wird als nächstes von Ledger Live unterstützt?



https://mobile.twitter.com/Ledger/status/1254055095911800833

Haben wir sonst noch irgendwo einen Ledger, Diskussions/News Thread?
hero member
Activity: 1442
Merit: 590
BTW seit letztem Update kann TRON mit Ledger Live genutzt werden.
legendary
Activity: 2156
Merit: 1506
Ein kleinen Zusatz gibt es noch:
Wenn ihr das Teil im Warenkorb habt gebt ihr den Code " WELCOMEAPRIL " ein und ihr spart bei dem Ledger paar Euronen.
So kostet der Ledger X dann 95,20 Euro und der Ledger Nano S dann 47,20 Euro
Wer nicht unbedingt drei braucht ist mit diesem Angebot auch gut bedient


legendary
Activity: 1232
Merit: 1255
Sorry aundroid aber da bin ich NICHT deiner Meinung.
Daran hab ich mich schon gewöhnt  Wink

Mir geht es auch nicht darum ob du recht hast oder nicht, sondern was hier auf englisch steht, und das übersetzt du falsch.
Da ich nichts übersetzt habe, gehts dir doch eher darum ob ich recht habe oder nicht.  Tongue

Genuine hat nichts mit "tampering" zu tun. Genuine ist das gegenteil von Counterfeit. Ob da jetzt etwas hinzugefügt wurde, kann damit NICHT erkannt werden. Der Genuine Check sagt dir lediglich ob das Ledger auch wirklich von ledger hergestellt wurde.
Von Genuine spricht man natürlich auch wenn etwas non- tampered ist.
Gibt sogar einen ganzen Artikel von Ledger zum Thema How to protect Hardware wallets against tampering
Da steht genau das drinnen, was ich zuvor geschrieben habe. Stichwort: attestation.

Ich nehme an da wird nur ein Seriennummer check mit einem Algorithmus bzw. Direkt gegen eine Datenbank bei Ledger gecheckt. Nichts weiteres.
Nein, wie gesagt, der Ledger erzeugt ein key pair, schickt den public key an den Secure Server. Der Secure Server sendet einen Token an den Ledger, kann das Gerät beim Verbinden eine gültige Signatur liefern wird es als Genuine eingestuft.
Auch wenn es jemand schaffen sollte die Hardware UND die Software zu kompromittieren, wird er keinen API call durchführen können, da auch hier ein valider attestation Token notwendig ist.

Genau deswegen rät Ledger auch BEIDE checks durchzuführen. HW Visual check UND den Genuine check. Beide sind relevant.
Das liest sich so, also würde Ledger allen Nutzern dazu raten ihr HW- Wallet nach Erhalt zu öffnen und das ist definitiv nicht der Fall.
Deshalb steht der Abschnitt auch außerhalb des eigentlichen Beitrags unter "Advanced users can check the hardware integrity..."

Wer englisch lesen kann, klar im Vorteil.
Roll Eyes


Also nochmal: Mein Résumé im letzten Beitrag war "Sollte es also keine Anzeichen von mechanischen Einwirkungen oder Kratzer am Gerät geben, das Gerät nicht bereits vorkonfiguriert ankommen und die Echtheit mittels 'Genuine Check' bestätigt werden, sehe ich keinen Grund das Gerät zurückzuschicken."

Die meisten Angriffsvektoren, wie die von mir zuvor genannte 'Supply Chain Attack' sind generell mehr als theoretische Sicherheitslücken zu verstehen.
Ein Gerät das 'tampered' ist und daher irgendwie Seed- Wörter kompromittiert o.ä. muss auch erst entwickelt werden.

Natürlich ist ein System nie 100% sicher und du hast natürlich Recht wenn du jemandem, der sich nicht sicher ist, empfiehlst, das Gerät zu öffnen.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Jupp ganz klar Rev 6. Sieht alles iO aus.

Ohne Kratzer geht es gut mit solchen Handy "ifixit" tools. Die aus plastik.

Blau/Grün ist hier echt ne Ansichtssache. Laut Amt sind meine Augen auch Braungraugrün, was auch immer das sein soll Wink

Also kannste jetzt bedenkenlos nutzen!
newbie
Activity: 25
Merit: 3
Also es hat mir jetzt keine Ruhe gelassen und habe ins Innere geschaut. Eins kann ich gleich vorweg sagen. Das Ding bekommt man nicht auf, ohne am Plastikgehäuse Schrammen oder Kratzer zu hinterlassen. Der Deckel sitzt echt fest. Cheesy

Hier ein Foto (Vorschaubild bekomme ich irgendwie nicht hin):
https://share-your-photo.com/img/06c90fca06.jpg

Müsste Revision 6 sein. Bei der MCU steht ST F042K66.

Fällt euch etwas komisches auf?
PCB müsste laut Ledger blau sein, bei mir eher grün.
Und der Punkt am USB-Anschluss ist pink anstatt gelb.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Sorry aundroid aber da bin ich NICHT deiner Meinung.

Da brauch ich nicht durchzulesen wie das funktioniert. Erstens weiss ich das, zweitens war IT seurity mein Job für ein paar Jahre.

Mir geht es auch nicht darum ob du recht hast oder nicht, sondern was hier auf englisch steht, und das übersetzt du falsch. Genuine hat nichts mit "tampering" zu tun. Genuine ist das gegenteil von Counterfeit. Ob da jetzt etwas hinzugefügt wurde, kann damit NICHT erkannt werden. Der Genuine Check sagt dir lediglich ob das Ledger auch wirklich von ledger hergestellt wurde. Ich nehme an da wird nur ein Seriennummer check mit einem Algorithmus bzw. Direkt gegen eine Datenbank bei Ledger gecheckt. Nichts weiteres.

Genau deswegen rät Ledger auch BEIDE checks durchzuführen. HW Visual check UND den Genuine check. Beide sind relevant.

Dann hohl dir doch einen neuen, aber auch da kannst du dir nicht sicher sein das er nicht geöffnet wurde.

Quote
the origin of your Ledger product;
the content of the box of the Ledger device;
the condition of the Recovery sheet;
the initial state of the Ledger device.
Note: advanced users that want to check the device hardware integrity: please refer to the last section of this article.

Wer englisch lesen kann, klar im Vorteil.

VG


Edit:

Was den genuine check angeht lag meine Vermutung richtig:

Quote
Genuine Ledger devices hold a secret key that is set during manufacture.
Only a genuine Ledger device can use its key to provide the cryptographic proof required to connect with Ledger’s secure server.

Wenn das secure element von ledger stammt wird der Genuine Check funktionieren, modifizierte HW drumherum oder nicht.



Edit2:

öffnen geht ganz einfach

https://youtu.be/CyR5nDr5oZ0?t=416



Edit3:

Was ledger dazu sagt

Quote
The Secure Element checks the full microcontroller flash at boot, as described in this blog post. If it has been modified, you'll get a warning at boot. As an additional check, you can open the device to verify that no additional chip has been added (referring to the attached picture) and that the MCU is an stm2f042k6 (with 32 Kb flash, as a bigger flash could contain code fooling the Secure Element validation). Markings on the chip can vary but you should see the string "042K6".

Es wird also nur kontrolliert das es keine SW modifizierung gab. HW muss selbst geprüft werden.
legendary
Activity: 1232
Merit: 1255
Wird bei einem Connect zu LedgerLive auch die Echtheit der Hardware geprüft?
Nein. HW sollte man schon unter das Auge nehmen. Da wird nur geprüft ob der Chip auch so funktioniert wie er sollte.
Kannst dir ja mal Root of Trust und Secure Elements durchlesen.
Jedes Mal wenn der Ledger verbunden wird, wird eine Nachricht signiert und zurückschickt. Diese wird dann vom HSM verifiziert.
Im Endeffekt müsste die HW und die SW manipuliert worden sein.
Und der Secure Chip schützt dann noch vor etlichen physischen Angriffen.

Um die Hardware 'ins Auge nehmen zu können' müsste man den Ledger wie in dem von dir verlinkten Artikel öffnen und die Komponenten untersuchen und mal ehrlich, wer macht das schon.
Bevor ich einen nagelneuen Ledger öffne, aus Angst er könnte manipuliert worden sein, schick ich ihn zurück und hol mir einen neuen.

Das bedeutet nur das es sich um keine Fälschung handelt. Wurde nur was hinzugefügt wird da nix erkannt. Genuine bedeutet nicht das niemand damit

rumgespielt hat. Nur das die HW auch von Ledger stammt. Grosser Unterschied.
Das bedeutet natürlich auch, dass dieser nicht manipuliert wurde.
Und klar entdeckt man auch bei einem HW- Wallet immer wieder neue Angriffsvektoren, wie zuletzt bei Trezor, aber auch hier wird nicht mal eben 'was hinzugefügt und nix erkannt', sondern in dem Fall versucht den Seed zu extrahieren.
Irgendwann wurde auch mal auf eine sogenannte Supply Chain Attacke aufmerksam gemacht, dabei wurde eine Empfänger im HW- Wallet integriert um mit einer Antenne den Vorgang des 'Knöpfchen drückens' zu umgehen und eine Transaktion zu bestätigen. So ein Angriff setz so viele Dinge voraus, dass er praktisch nicht durchführbar ist.

Sollte es also keine Anzeichen von mechanischen Einwirkungen oder Kratzer am Gerät geben, das Gerät nicht bereits vorkonfiguriert ankommen und die Echtheit mittels 'Genuine Check' bestätigt werden, sehe ich keinen Grund das Gerät zurückzuschicken.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Wird bei einem Connect zu LedgerLive auch die Echtheit der Hardware geprüft?

Nein. HW sollte man schon unter das Auge nehmen. Da wird nur geprüft ob der Chip auch so funktioniert wie er sollte. Wenn da irgendein spyware eingebaut wurde oder so würde das mit offener HW sehr einfach zu sehen, aber nicht durch diese reine Software Prüfung.




Wird bei einem Connect zu LedgerLive auch die Echtheit der Hardware geprüft? Also würde hier dem Ledger Server auffallen, dass mit der Hardware was nicht stimmt?
Sollte eine Veränderung vorgenommen worden sein, dürfte das Gerät die kryptographische Überprüfung nicht mehr bestehen und eine Warnung anzeigen. Und geprüft wird immer wenn du in der Ledger Live Anwengung eine Applikation öffnest (z.B. Manager)

Only a genuine Ledger device can use its key to provide the cryptographic proof required to connect with Ledger’s secure server.
When opening an application, a Non Genuine warning is displayed if it is not signed by Ledger. A modified User Interface (as found in https://github.com/LedgerHQ/nanos-ui) will also display a warning message on boot.


Das bedeutet nur das es sich um keine Fälschung handelt. Wurde nur was hinzugefügt wird da nix erkannt. Genuine bedeutet nicht das niemand damit rumgespielt hat. Nur das die HW auch von Ledger stammt. Grosser Unterschied.
legendary
Activity: 1232
Merit: 1255
Wird bei einem Connect zu LedgerLive auch die Echtheit der Hardware geprüft? Also würde hier dem Ledger Server auffallen, dass mit der Hardware was nicht stimmt?
Sollte eine Veränderung vorgenommen worden sein, dürfte das Gerät die kryptographische Überprüfung nicht mehr bestehen und eine Warnung anzeigen. Und geprüft wird immer wenn du in der Ledger Live Anwengung eine Applikation öffnest (z.B. Manager)

Only a genuine Ledger device can use its key to provide the cryptographic proof required to connect with Ledger’s secure server.
When opening an application, a Non Genuine warning is displayed if it is not signed by Ledger. A modified User Interface (as found in https://github.com/LedgerHQ/nanos-ui) will also display a warning message on boot.
newbie
Activity: 25
Merit: 3
Wird bei einem Connect zu LedgerLive auch die Echtheit der Hardware geprüft? Also würde hier Ledger auffallen, dass mit der Hardware was nicht stimmt?

Die Steps treffen zu. Das Recovery Sheet ist auch leer. Auseinander bauen, will ich jetzt eig nicht. Da trau ich mich nicht ran.
legendary
Activity: 1232
Merit: 1255
Kann ich nun irgendwie prüfen, ob das HW-Wallet manipuliert wurde?
Hier eine Anleitung von Ledger: https://support.ledger.com/hc/en-us/articles/360002481534
edit: gerade gesehen, dass asche eh schon genau den gleichen Link gepostet hat  Grin

Besteht hier überhaupt eine Gefahr (ich habe hier auch schon gelesen, das sogar bereits gebrauchte HW-Wallets bedenkenlos weiter genutzt werden können)?
Man könnte natürlich auch ein gebrauchtes Gerät verwenden, sofern man es natürlich resettet! Bei einem Reset wird eine neue Seed- Phrase erstellt und entsprechend neue private keys abgeleitet.
Aber würde natürlich trotzdem niemandem empfehlen ein gebrauchtes Gerät zu kaufen.

Ist es normal, dass die Verpackung des Nano S nicht versiegelt ist?
Ja, hab schnell in eine der Verpackungen gesehen und da ist sogar eine Karte drinnen auf der steht:
"There is no anti- tempering sticker on this box"
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Blister war aufgerissen und lag separat im Briefkasten. Es hat also definitiv jemand die Verpackung geöffnet Sad


Ich denke du kannst verlangen das dir ein neues geliefert wird.

ABER es gibt kein Risiko was das nutzen angeht.

Ich denke es handelt sich hier ganz einfach um Briefkastendiebstahl. Nen ledger ist aber halt nichts Wert. Da war der Dieb so nett das er es gelassen hat und nicht in den Müll geworfen hat. Wäre es ein handy gewesen wäre es weg gewesen...


Pragmatisch denken:

- Wenn das jetzt ein Hacker ist der tatsächlich dazu fähig ist das Ding zu modifizieren hätte der auch das nötige für den neuen Blister.
- Wenn du das Ding zurück schickst, wird es nur neu eingepackt un dem nächsten Verkauft.

Wenn du den ledger jetzt nicht sofort brauchst, und dich nicht gut fühlst mit der Geschichte, einfach tauschen. Aber auch bei DHL verlangen das die Klingeln und nicht in Briefkasten schmeissen, denn du wirst nie wissen ob jemand das Ding zwischen den Händen hatte, inkl der Bote zB.
newbie
Activity: 25
Merit: 3
Blister war aufgerissen und lag separat im Briefkasten. Es hat also definitiv jemand die Verpackung geöffnet Sad
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
Ja kannst du.

https://support.ledger.com/hc/en-us/articles/115005321449

und

https://support.ledger.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine

Blister noch auf der Schachtel?

Ich würde mir keine grosse Sorgen machen Wink



Besteht hier überhaupt eine Gefahr (ich habe hier auch schon gelesen, das sogar bereits gebrauchte HW-Wallets bedenkenlos weiter genutzt werden können)?

Auch das sollte kein Problem sein. Natürlich ist es ledger lieber wenn jedes mal neu gekauft wird Smiley


Ist es normal, dass die Verpackung des Nano S nicht versiegelt ist?

Was meinst du? Kein plastik blister drauf? Oder das?

Anti tamper seals
Ledger deliberately chooses not to use anti tamper seals on its packaging. These seals are easy to counterfeit and can therefore be misleading. Rather, genuine Ledger devices contain a secure chip that prevents physical tampering: this provides stronger security than any sticker possibly could.

In beiden Fällen ist die Antwort von ledger "brauchen wir nicht, das Ding ist so sicher das eh kein Risiko besteht".
newbie
Activity: 25
Merit: 3
Ich habe ein Problem.

Habe mir den Nano S direkt beim Hersteller gekauft. Laut DHL hätte eine Übergabe per Unterschrift heute erfolgen sollen. Da aber niemand kam, hab ich die Sendungsverfolgung noch einmal geprüft.

Laut DHL:
Zugestellt heute Mittag, unterschrieben von mir.

Dann in Briefkasten geschaut:
Die luftgepolsterte Versandtasche lag aufgerissen und leer im Briefkasten. Daneben die Verpackung des Nano S (auch leicht beschädigt/aufgerissen). Der Nano S war allerdings in der Verpackung.


Kann ich nun irgendwie prüfen, ob das HW-Wallet manipuliert wurde?
Besteht hier überhaupt eine Gefahr (ich habe hier auch schon gelesen, das sogar bereits gebrauchte HW-Wallets bedenkenlos weiter genutzt werden können)?
Ist es normal, dass die Verpackung des Nano S nicht versiegelt ist?
Pages:
Jump to: