Pages:
Author

Topic: Trezor - page 2. (Read 8327 times)

legendary
Activity: 1946
Merit: 1004
January 21, 2015, 04:19:06 AM
#67
Cool. Schwarz.

Hast Du schon eingezahlt/abgehoben? Wenn ja, wie fandest Du es?
sr. member
Activity: 471
Merit: 262
January 21, 2015, 03:42:43 AM
#66
Vor ein paar Tagen habe ich auch meinen Trezor erhalten: https://twitter.com/Zicore/status/556194020847022080
Eine Generation One Hardware Wallet Smiley
legendary
Activity: 1946
Merit: 1004
January 16, 2015, 07:05:00 AM
#65

Ein Vergleich von Äpfel und Birnen.

In den US und A kommt Trezor direkt von Amazon.

Quote

- Security: Your TREZOR was shipped directly from SatoshiLabs to Amazon’s secure warehouses in the United States.
- Shipping: Shipping and returns are handled by Amazon’s world class fulfillment centers.



Bei dem anderen Angebot kommt Trezor von 'georgengelmann' aus Österreich. Hust hust.



legendary
Activity: 1946
Merit: 1004
January 15, 2015, 04:52:13 PM
#64

in den US und A jetzt auch über Amazon zu haben:

TREZOR White: http://www.amazon.com/gp/product/B00R6LSAZI

TREZOR Black: http://www.amazon.com/gp/product/B00R6MKDDE

TREZOR Grey: http://www.amazon.com/gp/product/B00R6MRI50
legendary
Activity: 1946
Merit: 1004
January 14, 2015, 07:35:10 AM
#63
yxt
legendary
Activity: 3528
Merit: 1116
January 12, 2015, 07:25:42 PM
#62
(insert xkcd random comic strip here))

mein Favorit dazu ist ja:


Original bei dilbert.com
legendary
Activity: 1792
Merit: 1059
January 12, 2015, 05:09:18 PM
#61
... einfacher ist ein Bitstamp Konto mit 2FA (google Auth) zu knacken.

Per Keylogger einen Bitcoin-qt Nutzer zu knacken ist sicher Kindereinfach.

Ist halt letztlich die Frage, um wie viel Geld es geht.

Aber widersprecht mir gerne und klärt mich gegebenenfalls auf

Also mir geht es bestimmt nicht darum, jemand (von oben herab) "aufzuklären". Ich bin kein Priester. Es ist nur einfach so, dass wir gerade im letzten Jahr so einiges geboten bekommen haben:

http://www.heise.de/security/meldung/BadUSB-Wenn-USB-Geraete-boese-werden-2281098.html
http://www.heise.de/mac-and-i/meldung/31C3-Thunderstrike-greift-MacBooks-ueber-Thunderbolt-an-2506839.html

Ich persönlich kann da auch immer nur wieder staunen. Es gibt einfach keine Sicherheit, außer der, dass man es den Angreifern in der Relation schwer machen muss.
Da komme ich ab einen bestimmten "Streitwert" einfach an meine Grenzen. Nicht bei den Summen, um die es bei mir noch geht. Da muss jemand für wenig Geld vergleichsweise viel leisten.

Wie gefährlich BadUSB für Cold-Wallets jetzt schon werden kann, wenn man zum Dateiaustausch zwischen offline und online Wallets herkömmliche USB-Sticks verwenden, darauf muss ich hier wohl niemanden hinweisen. Oder doch?
hero member
Activity: 778
Merit: 531
January 12, 2015, 10:30:45 AM
#60

und das macht dich sicher?
Klar ist das, evtl, eine Stufe mehr aber macht es aus Prinzip auch nicht anderes.

(btw, evtl kann ja genau das der Angriff sein. Ich verschlüssel ja auch um sicherzugehen, meine Texte mit 2xROT13 oder 2xDES hintereinander (als Beispiele dass in der "addition" mancher Verfahren sich schwächen auf tun können.. )

Man kann zwei Quellen von Zufall so mischen, daß das Ergebnis so gut ist wie die bessere Quelle.

Für meinen Verwendungszweck genügt mir das. Die Wortliste selbst auszuwürfeln ist mir zu umständlich.
qwk
donator
Activity: 3542
Merit: 3413
Shitcoin Minimalist
January 12, 2015, 08:20:59 AM
#59
legendary
Activity: 2912
Merit: 1309
January 12, 2015, 08:00:09 AM
#58

Aber: was ist, wenn "man" auch (wie z.B. bei Blockchain.info) hier eine Lücke in dem Random Generator findet.
Das ist die Schwachstelle einer jeden wallet. Dann wären auf einen Schlag viele vermeintlich sichere Adressen betroffen die damit erstellt wurden.

(klar trifft das auch auf den Trezor zu und auf alle anderen Wallets.. auch wenn man einen Hardware RNG nutzt, wer weiss denn ob der auf dem Rechner verbaute wirklich zufällig ist. (insert xkcd random comic strip here))

Alles nicht so einfach Smiley

Doch ist einfach! Smiley

myTREZOR benutzt zum Initialisieren Zufall vom TREZOR und vom PC. Müßten also beide kaputt sein.


und das macht dich sicher?
Klar ist das, evtl, eine Stufe mehr aber macht es aus Prinzip auch nicht anderes.

(btw, evtl kann ja genau das der Angriff sein. Ich verschlüssel ja auch um sicherzugehen, meine Texte mit 2xROT13 oder 2xDES hintereinander (als Beispiele dass in der "addition" mancher Verfahren sich schwächen auf tun können.. )
Ich sag ja nicht das es so ist, nur das es so sein kann.

Die Sache mit dem Drucker von Klaus ist da auch ein Punkt den viele nicht beachten.
(ist halt ein Paranoid Modus)


hero member
Activity: 778
Merit: 531
January 12, 2015, 07:53:50 AM
#57

Aber: was ist, wenn "man" auch (wie z.B. bei Blockchain.info) hier eine Lücke in dem Random Generator findet.
Das ist die Schwachstelle einer jeden wallet. Dann wären auf einen Schlag viele vermeintlich sichere Adressen betroffen die damit erstellt wurden.

(klar trifft das auch auf den Trezor zu und auf alle anderen Wallets.. auch wenn man einen Hardware RNG nutzt, wer weiss denn ob der auf dem Rechner verbaute wirklich zufällig ist. (insert xkcd random comic strip here))

Alles nicht so einfach Smiley

Doch ist einfach! Smiley

myTREZOR benutzt zum Initialisieren Zufall vom TREZOR und vom PC. Müßten also beide kaputt sein.

Zum Signieren wird kein Zufall mehr verwendet.

https://www.reddit.com/r/Bitcoin/comments/2rzljl/trezor_i_have_one_i_like_it_it_works/cnkzx57
legendary
Activity: 1946
Merit: 1004
January 12, 2015, 05:39:53 AM
#56
Fronti's und mezzomix Themen liegen technisch sicher sehr viel tiefer aber für die, die Trezor nicht kennen:

Meine Bitcoins auf dem Trezor sind neben der angesprochenen Seed-Wörter zusätzlich durch

2) eine selbst zu wählende Passphrase und

3) eine PIN geschützt.

Die PIN ist Keylogger-sicher da sich die Anordnung des Tastenfeldes auf dem Trezor jedesmal ändert und per Mausschubser im Webinterface abzugeben ist.





Also ich als DAU-naher Anwender kann mir vorstellen das es da einfacher ist ein Bitstamp Konto mit 2FA (google Auth) zu knacken.

Per Keylogger einen Bitcoin-qt Nutzer zu knacken ist sicher Kindereinfach.

Aber widersprecht mir gerne und klärt mich gegebenenfalls auf - wie gesagt ich bin technisch bei weitem nicht so high-skill wie ihr.


Außerdem kann ich mir vorstellen das die Paperwallet vom ein oder anderen dann per neuestem Laserdrucker mit Puffer und Speicher vom Feinsten gedruckt wird. Autsch!
Ich möchte sagen: Bei Trezor hat man als DAU gar nicht so viele Möglichkeiten für Fehler. Bei Paperwallets wird der DAU nicht vor sich selbst geschützt.

legendary
Activity: 2912
Merit: 1309
January 12, 2015, 05:25:05 AM
#55
Auch hatte ich keinen Handlungsdruck. Mit Armory / offline Wallet fühle ich mich sehr sicher. Für den normalen Dau ist das aber auf alle Fälle to much.

Ich fürchte für die ist eine Hardware wie der Trezor eine sichere Möglichkeit, in Zukunft die BTC zu verlieren. Wer mit einer Cold-Wallet (z.B. Paper-Wallet mit https://bitaddress.org/) nicht umgehen kann, dürfte mit einem Trezor Backup (und vor allem Restore!) erst recht nicht klarkommen - und es bleiben lassen.


Eine Paperwallet ist ja ganz schön und gut. Und Bitaddress mag ich auch.

Aber: was ist, wenn "man" auch (wie z.B. bei Blockchain.info) hier eine Lücke in dem Random Generator findet.
Das ist die Schwachstelle einer jeden wallet. Dann wären auf einen Schlag viele vermeintlich sichere Adressen betroffen die damit erstellt wurden.

(klar trifft das auch auf den Trezor zu und auf alle anderen Wallets.. auch wenn man einen Hardware RNG nutzt, wer weiss denn ob der auf dem Rechner verbaute wirklich zufällig ist. (insert xkcd random comic strip here))

Alles nicht so einfach Smiley



legendary
Activity: 1792
Merit: 1059
January 11, 2015, 07:57:55 PM
#54
Wo ist das grundsätzliche Problem, das Gerät mit einer schadhaften Firmware zu bespielen oder gleich einen Nachbau auszuliefern?

Ich lenke die Leute z.B. auf meine Bestellseite um, indem ich ihr DNS verbiege und schicke ihnen dann ein manipulierte Gerät.
  
Wahrscheinlich denke ich noch viel zu kompliziert.

Was ist z.B. mit einem Insider beim Hersteller oder einem Hacker? Sobald ich Zugriff auf den Schlüssel habe, mit dem die Firmware signiert wird, Bingo.
Dann müsste ich sogar eine Technik wie BadUSB anwenden können. Vielleicht lassen sich Warnmeldungen auch mit einer unsignierten Firmware unterdrücken oder es gibt einen anderen Trick, den Anwender über die Manipulation zu täuschen. Das wäre natürlich ganz dumm. Ebenso dumm wäre es, wenn der Anwender wichtige Warnsignale einfach ignoriert wie das viele Opfer beim Online-Banking tun. "Oh eine Warnung, schnell wegklicken, ah - alles funktioniert, wird nicht so wichtig gewesen sein ..."

Im Moment ist es wahrscheinlich einfacher und einträglicher defekte Börsen zu hacken. Die werden aber natürlich irgendwann den Weg alles Irdischen gegangen sein. Sicherheit bei Privatleuten hängt dagegen immer niedriger. Die meisten hängen an irgendeinem ungepatchten Plasterouter, der wahrscheinlich mehr Löcher hat als die alte DDR-Autobahn oder ihr PC hat sich bereits einen Trojaner gefangen.  

Nichtsdestotrotz kann so ein Device sehr nützlich sein. Einfachheit bedeutet aber immer auch, dass ich Dinge nicht mehr sehe, die ich vielleicht lieber gesehen hätte. Und wenn ich meine Coins selbst verwalte, dann tue ich eben genau das. An der Stelle möchte ich es eigentlich gar nicht einfach haben. Aber für kleine Bestände, um in der Kneipe ein Bier oder Essen zu zahlen, sicher ganz nett. Nur fraglich, ob man das in Zukunft wirklich alles über die Blockchain abwickeln wird. Die Bitcoiner sind sich da ja ganz sicher. Time will tell.

hero member
Activity: 778
Merit: 531
January 11, 2015, 06:13:25 PM
#53
Im Ernst, hat einer 'ne Ahnung, wie groß das Vokabular ist, das üblicherweise verwendet wird für diese Seeds?

2048 Wörter

https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt

Die Wortliste enthält eine Checksumme. Das Überprüfen einer Wortliste auf Gültigkeit ist eventuell gar nicht so schwer.
legendary
Activity: 1946
Merit: 1004
January 11, 2015, 01:21:36 PM
#52

Nein, und jeden Tag weniger.  Cheesy Cheesy
yxt
legendary
Activity: 3528
Merit: 1116
January 11, 2015, 01:01:11 PM
#51
lohnt es sich wenigstens  Grin
legendary
Activity: 1946
Merit: 1004
January 11, 2015, 12:29:53 PM
#50

Meine Worte? Viel Erfolg, streng Dich richtig an!

http://doc.satoshilabs.com/trezor-user/_images/trezor-recovery.jpg

qwk
donator
Activity: 3542
Merit: 3413
Shitcoin Minimalist
January 11, 2015, 12:02:25 PM
#49
Sind 'normale' englische Wörter - ja Englisch sollte man können sonst muss man mit den Buchstaben aufpassen.
Yay! 8,5 deiner Wörter kenne ich jetzt, den Rest hab ich in Nullkommanix errechnet, sind ja nur noch einpaartausendhochdrei Cool

Im Ernst, hat einer 'ne Ahnung, wie groß das Vokabular ist, das üblicherweise verwendet wird für diese Seeds?
legendary
Activity: 2271
Merit: 1363
January 11, 2015, 11:58:34 AM
#48
Einfacher als ein Paper-Wallet scheint mir das aber nicht zu sein.

Von Trezor zu Trezor wechseln ist einfach : http://doc.satoshilabs.com/trezor-user/recovery.html
Pages:
Jump to: