Pages:
Author

Topic: Хранение SEED фразы кошелька - page 4. (Read 4920 times)

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Мне всё больше нравится способ хранения зашифрованного сида в блокчейне биткоина.
Поигрался с openssl, получилось запихать зашифрованную AES256 энтропию сида из 24 слов ровно в 80 байт, как раз укладывается в ограничение опкода OP_RETURN (можно, конечно, и не выпендриваться, а разбить на несколько выходов, так просто изящнее )).
Плюсы размещения в блокчейне очевидны - хранилище никуда не исчезнет и отовсюду доступно, openssl тоже есть практически в любом линуксе. По-моему, это лучше всех этих железяк. Но для спокойствия я бы дополнительно использовал 25-е слово для генерации сида, его, естественно, хранил бы отдельно.
Это действительно что-то новенькое (или я от форума отбился Embarrassed), с удовольствием бы почитал топик с пошаговым сценарием данного процесса ! Wink
Написал, можете ознакомиться тут https://bitcointalksearch.org/topic/seed-5219629
legendary
Activity: 1274
Merit: 1617
~
Но после такого тяжело говорить о удобности и надежности биткоин-кошелька. Своровать с него деньги проще чем ограбить чей то дом с наличкой

Я бы не был так категоричен. Всегда можно поставить ноутбук, который ни разу не находился в сети, а сид-фразу зашифровать. И в этом случае ограбление дома будет гораздо проще.

Дело в том, что большинство людей задумываются о безопасности только тогда, когда они начинают видеть что-то похожее на деньги. И только тогда начинаются мысли о том, как же все это защитить, сейфами, кладами, счетами в офшорах Smiley Но те, кто понимает - начинают делать это заранее.
sr. member
Activity: 938
Merit: 466
~[f#
https://www.youtube.com/watch?v=3hC2p4f4dgc - Секреты MetaMask. Как избежать взлома кошелька Ethereum в Метамаск
интересное видео. Хотя этим наверное далеко не всех удивишь
sr. member
Activity: 1736
Merit: 254
"дырку" в защите хакер будет искать в ОС компьютера, в роутере, да даже при помощи социальной инженерии, чтобы перехватить пароль к тому же контейнеру. Поэтому в абсолюте - ответ нет, а вот в реальной жизни - просчитывать надо каждый компонент защиты, так как даже самый сложный пароль можно считать кейлоггером.

Но после такого тяжело говорить о удобности и надежности биткоин-кошелька. Своровать с него деньги проще чем ограбить чей то дом с наличкой

sr. member
Activity: 728
Merit: 317
Crypto Casino & Sportsbook
Мне всё больше нравится способ хранения зашифрованного сида в блокчейне биткоина.
Поигрался с openssl, получилось запихать зашифрованную AES256 энтропию сида из 24 слов ровно в 80 байт, как раз укладывается в ограничение опкода OP_RETURN (можно, конечно, и не выпендриваться, а разбить на несколько выходов, так просто изящнее )).
Плюсы размещения в блокчейне очевидны - хранилище никуда не исчезнет и отовсюду доступно, openssl тоже есть практически в любом линуксе. По-моему, это лучше всех этих железяк. Но для спокойствия я бы дополнительно использовал 25-е слово для генерации сида, его, естественно, хранил бы отдельно.
Это действительно что-то новенькое (или я от форума отбился Embarrassed), с удовольствием бы почитал топик с пошаговым сценарием данного процесса ! Wink
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Мне всё больше нравится способ хранения зашифрованного сида в блокчейне биткоина.
Поигрался с openssl, получилось запихать зашифрованную AES256 энтропию сида из 24 слов ровно в 80 байт, как раз укладывается в ограничение опкода OP_RETURN (можно, конечно, и не выпендриваться, а разбить на несколько выходов, так просто изящнее )).
Плюсы размещения в блокчейне очевидны - хранилище никуда не исчезнет и отовсюду доступно, openssl тоже есть практически в любом линуксе. По-моему, это лучше всех этих железяк. Но для спокойствия я бы дополнительно использовал 25-е слово для генерации сида, его, естественно, хранил бы отдельно.
sr. member
Activity: 1736
Merit: 254
Много чего можно придумать. Набить татуху частями по руках, ногах. Ультрафиолетовой краской, если возможно. Паяльником на шкафах начертить, или сделать карту и по частях закопать в разных городах. Набить на плитах вокруг дома
legendary
Activity: 1274
Merit: 1617
~
Кстати, глупый вопрос для опытных шифровальщиков. Если есть одна фраза, зашифрованная несколькими известными методами, то повышает ли это вероятность взлома? Могут ли злоумышленники противопоставить эти методы и тем самым обнаружить зашифрованную информацию? 

Сложно что-то добавить к тексту выше Smiley Но попробую ответить на этот вопрос. Если взять ситуацию в абсолюте, то, хацкеру потребуется разделить по одному все возможные методы шифрования и попытаться взломать каждый из них. Допустим вы сами отдали ему все зашифрованные файлы. Сможет ли он взломать текстовик PGP, даже имея прямой доступ к нему? Ответ - нет. И тоже самое с другими методами, которые зарекомендовали себя, для примера - контейнер.

Но люди живут не в идеальных условиях, поэтому "дырку" в защите хакер будет искать в ОС компьютера, в роутере, да даже при помощи социальной инженерии, чтобы перехватить пароль к тому же контейнеру. Поэтому в абсолюте - ответ нет, а вот в реальной жизни - просчитывать надо каждый компонент защиты, так как даже самый сложный пароль можно считать кейлоггером.
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
Зашифрованная фраза - это выход, но как обычно бывает с этим тоже могут возникнуть сложности.
У меня за 4 года -- ноль проблем.

Например, нужно рассмотреть вопрос, каким именно способом шифровать

как запоминать, грубо говоря, ключи к шифру?
На свой PGP/GPG ключ (файлик) ставишь норм пароль и наслаждаешься жизнью.
Везде ставишь норм пароль и все.

Стоит ли заморачиваться с разными способами шифрования или использовать только один?
Дело вкуса. Например, лично я использую все перечисленные выше инструменты, некоторые в паре друг с другом.

А то получится та же самая ситуация - больше разных шифров, больше лазеек для хакера.
Не надо бояться мистических хакеров. Никто из адекватных хакеров не будет даже пробовать что то сделать PGP/GPG без файла-ключа, а если заполучат файл-ключ (это относится только к PGP/GPG) -- тогда надеяться на свой пароль. Везде должны стоять норм пароли. Та же ситуация с контейнерами VeraCrypt/zuluCrypt, та же ситуация с базой KeePassXC, та же ситуация с Cryptomator -- везде должны стоять норм пароли, потому что самое крутое в мире крипто-турбо-блохъчейн-шифрование ничего не стоит, если там... пароль из списка самых используемых в 2019 году. Читающие этот пост, не поленитесь, кликните и посмотрите на общую картину.

Выставление зашифрованных фраз в рамочке - тоже повышают опасность, если не кражи, то разных рычагов давления, например, пыток.
Понятное дело! Для этого и придумали контейнеры с двойным дном. А еще лучше, имхо, использовать стеганографию, только очень-очень осторожно! Читать, читать, не бояться выучить что то новое, и еще читать, перед тем как начать играться в Мистера Робота, потому что инструменты Steghide и Outguess действительно крутые, но, после того как юзер запихнет свои реальные приватники в картинку, с той картинкой нужно быть осторожным. Осторожным, в смысле, что сервис, куда юзер будет заливать картинку с данными внутри, не изменял код самой картинки. То есть, грузить на облако можно, а вот в соц сети -- нет. Потому что большинство проприетарных (кстати только что в голову пришло затестить что нибудь с мира Fediverse) говно-соц сетей изменяют ваши картинки во время их загрузки на тот же ФБ, Твиттер и т.д. Зачем? Чтобы вот такие террорысты умники не обменивались инфой. Также всякие хостинги для картинок... они там трекают и сохраняют метаданные, и в случае запроса (а иногда даже без) -- выдают ментам. Гуглите, в сети много интересной инфы.

Как бы хорошо не были защищены файлы, лучше вообще не говорить, что вы что-то защищаете.
Конечно!
Большинство людей не понимают, что приватность/безопасность, это не клик по одной кнопке/ссылке. Также, это не покупка чего нибудь от Purism, и это не просто установка Линукса, а набор определенных вещей и привычек.

Большинство утечек приватной инфы, как правило, происходит по вине конечного пользователя. Например, юзает себе человек какой то сервис (почту, мессенджер и пр.), и тут ему предлагают в лс заработать, надо перейти по ссылке, перелогиниться в свой аккаунт, и тогда ему отправят 10-20 баксов. Человек перелогинивается, пароль, user agent, cookies улетают мошеннику, который логинится в его аккаунт и уже ищет нужную инфу, смотрит отправленные сообщения, черновики, ищет фото кредиток, паспорта или любые другие данные, которые могут принести пользу мошеннику в будущем.

Кстати, глупый вопрос для опытных шифровальщиков. Если есть одна фраза, зашифрованная несколькими известными методами, то повышает ли это вероятность взлома? Могут ли злоумышленники противопоставить эти методы и тем самым обнаружить зашифрованную информацию?
Думаю, что кто-то здесь тебе ответит что да, мол, заюзал ты какой то метод/инструмент, нашли в нем серьезную дыру, и хакеры на тебя нападут.
Я же придерживаюсь мнения -- зависит от многих факторов. Потому что опять, нет магической одной магической палочки для приватности/безопасности.

Например, есть юзер который использует Veracrypt, в котором находят условную дыру (пароль 1111 открывает любой контейнер) и тогда что, все хакеры инета нападут на него и украдут мнемонические фразы? Нет.

Для начала, нужно узнать где приблизительное место где пользователь хранит сам контейнер, припустим это ГуглДиск. "О, Боже!" - закричали они, "Хранит фсё у Гугла!" (кстати, даже у Гугла можно по разному хранить информацию  Wink).
Значит, хакеру нужно как то добраться до ГуглДиска. Припустим ему это получилось, дальше... Нужно найти сам контейнер. Припустим у пользователя есть платный акк ГуглДиска и у него там 200 Гб всяких фото/видео/музыки/каких то архивов/установщики программ и т.д.
 
Где контейнер? Нужно его найти, чтобы воспользоваться условной уязвимостью. Хацкер качает все содержимое ГуглиДиска жертвы себе на комп, и пишет скрипт:

Code: (псевдокод)
бесконечный цикл:
....монтировать каждый файл в veracrypt и открывать его с паролем 1111

....если открылся контейнер:
........вывести сообщение "Я хацкер который получил доступ "
....иначе:
........монтировать следующий файл

Припустим хакерок перебрал все файлы, и ничего не нашел, но блин, он же знает что контейнер Veracrypt точно есть на ГуглДиске, потому что жертва дурачек -- хвастался в Твиттере (проёб со стороны жертвы, и как видите, проёб человека, а не софта), что он турбо-криптан, все зашифровал и засунул на ГуглДиск.

Так, мне надоело уже развивать эту историю, поэтому я завершу её тем, что контейнер Veracrypt был на ГуглДиске, а хацкер не cмог его найти, потому что жертва засунула контейнер Veracrypt с помощью Steghide (или Outguess) в свое семейное фото с высоким разрешением.

Занавес.


В этой истории можно было еще добавить ситуацию, когда хацкер точно знает, что жертва заюзала стеганографию и начинает анализировать все картинки и... опять ничего не находит (потому что жертва не ступила, и запихнула данные в фото которое есть только в одном экземпляре). Или же, хакерочек все находит (потому что жертва ступила, и запихнула данные в скачанную картинку и инета).

Веселитесь.   Cheesy
legendary
Activity: 2450
Merit: 4415
🔐BitcoinMessage.Tools🔑
Теоретически да, увеличивая количество - увеличиваются риски. Кроме одного случая, если фраза будет зашифрована, потому что тогда - ее можно хоть в рамочке хранить. Ну а с кошельками ситуация еще проще, я не думаю, что на одном - необходимо держать всю криптовалюту, которая есть у человека.

И тогда станет важным хранить не несколько фраз, а например пароль от контейнера, где эти фразы будут находиться. И другие варианты, конечно же есть.
Зашифрованная фраза - это выход, но как обычно бывает с этим тоже могут возникнуть сложности. Например, нужно рассмотреть вопрос, каким именно способом шифровать, как запоминать, грубо говоря, ключи к шифру? Стоит ли заморачиваться с разными способами шифрования или использовать только один? А то получится та же самая ситуация - больше разных шифров, больше лазеек для хакера. Выставление зашифрованных фраз в рамочке - тоже повышают опасность, если не кражи, то разных рычагов давления, например, пыток. Как бы хорошо не были защищены файлы, лучше вообще не говорить, что вы что-то защищаете.

Кстати, глупый вопрос для опытных шифровальщиков. Если есть одна фраза, зашифрованная несколькими известными методами, то повышает ли это вероятность взлома? Могут ли злоумышленники противопоставить эти методы и тем самым обнаружить зашифрованную информацию? 
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
Я бы правда отметил, что помимо собственно хранения информации и жаро- коррозийной- стойкости неплохо бы было иметь возможность избежать "мягкого хакинга", когда эту штучку просто украдут и вы считай потеряете все данные. Поэтому всякие устройства с выгравированными на них CRYPTO STEEL не очень подходит. А вот те интересные капсулы - очень даже.
А какая разница между ними в контексте "мягкого хакинга"?

Я ошибся, скорее имел ввиду "метаданные". Ну тоесть когда ты не знаешь сколько битков у товарища, но вот фигнюшка с надписью crypto steel дает тебе понять что они определенно есть.


Про металлоискатель орнул - ну вы и приколисты. Если эту штучку положить в ящик с отвертками к примеру или другими инструментами? Будут все проверять, а? В огорде то вроде бы опаснее, но ни разу не видел сельских кугутов которые ходят с металлоискателями. Такие ребята в основном на пляжах промышляют. Конечно, если узнают что у вас есть битки, а еще что вы покупали такую вот штучку и ездили потом резко на дачу, то пошароебиться в огороде могут  Smiley
legendary
Activity: 1274
Merit: 1617
~
Мне кстати импонирует пиратский способ - одинокий остров, сундук из мореного дуба, окованный стальными полосами, закапывание его темной ночью, лунная дорожка на черной воде океана ..
~

Да, такой способ будет интересен, но только как дополнительный. Думаю, что очень многие пираты и их клады переместились в интернет, а через лет 10 - их станет еще больше. И карта будет выглядеть, как поиск 12 (например) слов на разных источниках информации, сайтах, базах данных, форумах и подобных ресурсах.

Крипто-загадки и  методы шифрования не просто так придуманы. И для хранения сид-фразы этот способ мне кажется более перспективным, чем закапывать кусок арматуры в 13-и шагах от "старой березы".
legendary
Activity: 2338
Merit: 1775
Catalog Websites
Я все больше стал думать, что иметь даже одно такое устройство достаточно рискованно. Найти его в доме/квартире с металлоискателем не составит труда, а закапывать куда-то в деревне/на даче тоже не вариант, как говорят "и у стен есть глаза". Да и не факт, что мимо не пройдет черный копатель.

Самый лучший способ спрятать - это положить среди одинаковых предметов Smiley И мне сложно представить ситуацию, когда незнакомец будет ходить по вашей квартире с металлоискателем. Металл прячут под металл, а если брать дачный домик, то при наличии фантазии можно и место правильное выбрать, где закапывать, или например, под распределительный щиток, металлический шкафчик на стене - и никто не скажет, что-же за этим шкафчиком скрывается.

Но мобильности у этого способа нет. И чтобы получить доступ к своим биткоинам - необходимо будет вернуться и достать этот кусок металла.

Мне кстати импонирует пиратский способ - одинокий остров, сундук из мореного дуба, окованный стальными полосами, закапывание его темной ночью, лунная дорожка на черной воде океана ..

Зарыть и составить карту. А карту передать потомкам.

Потом им будет интересно придти и отрыть.

А если еще и карту потеряют и (или) не смогут расшифровать, то вообще интересно будет!

Главное же не богатство, а чтобы весело и интересно было. А тут будет новое приключение!
legendary
Activity: 1274
Merit: 1617
Я все больше стал думать, что иметь даже одно такое устройство достаточно рискованно. Найти его в доме/квартире с металлоискателем не составит труда, а закапывать куда-то в деревне/на даче тоже не вариант, как говорят "и у стен есть глаза". Да и не факт, что мимо не пройдет черный копатель.

Самый лучший способ спрятать - это положить среди одинаковых предметов Smiley И мне сложно представить ситуацию, когда незнакомец будет ходить по вашей квартире с металлоискателем. Металл прячут под металл, а если брать дачный домик, то при наличии фантазии можно и место правильное выбрать, где закапывать, или например, под распределительный щиток, металлический шкафчик на стене - и никто не скажет, что-же за этим шкафчиком скрывается.

Но мобильности у этого способа нет. И чтобы получить доступ к своим биткоинам - необходимо будет вернуться и достать этот кусок металла.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Я бы правда отметил, что помимо собственно хранения информации и жаро- коррозийной- стойкости неплохо бы было иметь возможность избежать "мягкого хакинга", когда эту штучку просто украдут и вы считай потеряете все данные. Поэтому всякие устройства с выгравированными на них CRYPTO STEEL не очень подходит. А вот те интересные капсулы - очень даже.
А какая разница между ними в контексте "мягкого хакинга"?

Я все больше стал думать, что иметь даже одно такое устройство достаточно рискованно. Найти его в доме/квартире с металлоискателем не составит труда, а закапывать куда-то в деревне/на даче тоже не вариант, как говорят "и у стен есть глаза". Да и не факт, что мимо не пройдет черный копатель.
Если закапывать, то пожароустойчивость не нужна, поэтому можно использовать кусок толстого витринного стекла, надписи гравировать дремелем.
legendary
Activity: 2310
Merit: 2073
Я все больше стал думать, что иметь даже одно такое устройство достаточно рискованно. Найти его в доме/квартире с металлоискателем не составит труда, а закапывать куда-то в деревне/на даче тоже не вариант, как говорят "и у стен есть глаза". Да и не факт, что мимо не пройдет черный копатель.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
Прочитал обзор Мэднеса, довольно интересно. Я бы правда отметил, что помимо собственно хранения информации и жаро- коррозийной- стойкости неплохо бы было иметь возможность избежать "мягкого хакинга", когда эту штучку просто украдут и вы считай потеряете все данные. Поэтому всякие устройства с выгравированными на них CRYPTO STEEL не очень подходит. А вот те интересные капсулы - очень даже.

Но цена как то кусается  Smiley

Особенно у Quadrat register - https://q-reg.de/?post_type=product

Там под 370 евро может влететь такая палочка :с Объясняю: вам надо купить сам набор этих ячеек (в которых зашифрованы буквы) - 249 евро. А трубка сама по себе стоит еще 117 евро.
legendary
Activity: 1274
Merit: 1617
~
Вот с этим моментом нужно быть осторожнее, потому что по логике: увеличивая количество копий в разных местах, разных материалах, агрегатных состояниях, мы повышаем риск кражи или потери одной из копий. Причем не всегда можно оперативно определить, что одна из многочисленных копий (например, закопанная на даче) не скомрометирована. Злоумышленник может получить контроль и наблюдать за пополнением баланса, после чего благополучно исчезнет с вашими средствами. Нужно знать меру в этом способе обеспечивать безопасность.

Теоретически да, увеличивая количество - увеличиваются риски. Кроме одного случая, если фраза будет зашифрована, потому что тогда - ее можно хоть в рамочке хранить. Ну а с кошельками ситуация еще проще, я не думаю, что на одном - необходимо держать всю криптовалюту, которая есть у человека.

И тогда станет важным хранить не несколько фраз, а например пароль от контейнера, где эти фразы будут находиться. И другие варианты, конечно же есть.
legendary
Activity: 2450
Merit: 4415
🔐BitcoinMessage.Tools🔑
2) Нужно несколько копий - причем нужны как цифровые, так и аналоговые (бумага, пластик, металл) варианты
Вот с этим моментом нужно быть осторожнее, потому что по логике: увеличивая количество копий в разных местах, разных материалах, агрегатных состояниях, мы повышаем риск кражи или потери одной из копий. Причем не всегда можно оперативно определить, что одна из многочисленных копий (например, закопанная на даче) не скомрометирована. Злоумышленник может получить контроль и наблюдать за пополнением баланса, после чего благополучно исчезнет с вашими средствами. Нужно знать меру в этом способе обеспечивать безопасность.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
4) Одна из копий (в зашифрованном виде) должна обязательно находится при тебе, куда бы ты не пошел
А зачем? И не может это заменить надежно зашифрованная копия в сети (можно даже в блокчейн запихать)?
Pages:
Jump to: