Topic: TREZOR VS LEDGER Nano S[сравнение и анализ] (Read 25388 times)

На сегодняшний момент пользуюсь аппаратниками от ledger, так как очень удобно и приятно пользоваться. Более того брал два леджера по акции на 14 февраля, не так уж и дорого мне они встали, по сравнению с трезером.

лучше брать новый, бу может взять тот, кто может потом проверить устройство на наличие физических закладок, и потом перепрошить его самостоятельно

Ledger Nano S на данный момент лучший холодный кошелек, TREZOR довольно таки странный и отзывы у него непонятные.

Все таки можно покупать аппарат БУ? Если сбросить все настройки до заводских, аппарат же более не представляет угрозы?

Почему не? Да. Особенно если офлайн - это не просто "выключил роутер на полчаса", а настоящий офлайн. Но в таком случае можно офлайн и транзакцию подписать - тогда и сид не будет скомпрометирован, и рисков с транзакцией/ключами не будет.

тогда уж лучш вытащить конкретные пары адрес-ключ в офф-лайне (через скрипт Колемана), импортировать конкретные адреса с необходимыми балансами и сделать транзакции
не?

Ну да, в самом крайнем случае можно так сделать. Только когда появится новый аппаратник, старый скомпрометированный сид уже не надо в нем восстанавливать, нужно генерировать новый. Вы, наверняка, это знаете, просто из вашей реплики это не понятно - для новичков не помешает лишний раз проговорить.

Запоздало отвечу, я так конечно делать не буду, тем более если есть возможность просто подключить леджер к электруму без компроментации приватных ключей/сид-фразы.
Просто хотел понять про саму возможность такую, например срочно надо перевести средства с леджера, а сам аппаратник утонул/сгорел/утерян и времени нет ждать нового. Тогда мы компроментируем старый сид с леджер через BIP39 - делаем перевод в надежное место и потом(когда на руках будет новый аппаратник) возвращаем все на круги своя. Разные ситуации бывают ведь.

Но если вы делаете это на машине, которая будет когда-либо онлайн, то вы компрометируете сид, ваш холодный аппаратный кошелек становится не лучше горячего программного. Зачем вы это делаете?

Да, именно от ledger, просто именно в этой теме данный вопрос обсуждался

А зачем вам (применительно к данной теме) импортировать BIP39 сид в электрум? Может вы сид от леджера/трезора туда вставляете?

Всем добрый день
Подскажите как в последних версиях electrum (3.3_8) импортировать bip39?
раньше при импорте можно было поставить галку- сейчас ее нет

p.S
нашел, нужно выбирать стандартный кошелек (без 2фа), тогда галка с bip39 появляется, так же при стандарте дает возможность подключится с hardware. При выборе 2фа таких опций не дает. Может кому-то будет полезно (забыл к примеру как я)

Ты по ходу что-то не то заквотил, так как твое сообщение никак не относится к тому, что я написал в цитате.


Имелись ввиду timing attack и power analysis


Я вот и насчет этого честно говоря сомневаюсь, я не профи в хардхакинге, но как мне известно, для любого типа хардвар атаки, инвазивного или не инвазивного нужен физический доступ к устройству. Взлом программой это уже software хакинг, и "качество" чипа здесь влияет мало. В данном случае все будет зависеть от прошивки, дает ли она доступ левым программам выполнять другую логику и все в таком духе.

По поводу bootROM: да, есть такое. Там находится (ну в некоторых статьях и является) загрузчик (bootloader) который можно как ни странно - чистить (mass erase operation) (https://www.st.com/content/ccc/resource/technical/document/application_note/b9/9b/16/3a/12/1e/40/0c/CD00167594.pdf/files/CD00167594.pdf/jcr:content/translations/en.CD00167594.pdf)
Да и возможности бутромов честно говоря довольно ограничены. Но да, бэкдором быть могут.

айяйяй
https://google.ru/ stm32f427 trezor hack
https://google.ru/ stm32f427 trezor  _reddit.com
как же они там не подумали то..

если вы думаете что в микроконтроллерах выполнение программы начинается с процедуры main() у меня для вас плохие новости.
в зависимости от модели Handler'ы содержащие адреса ячеек прописываются в исходниках (а в случае старта нас интересует один - Reset_Handler), так вот "обещать не значит жениться" - нет гарантированного способа проверить не выполняется ли (например из области начального загрузчика) какой-либо код, который по окончанию затем просто загружает в РС значение адреса, записанного пользователем в ячейке вектора Reset_Handler.
FYI, MaskROM как и e-Fuse не стирается никакими программаторами и перепрошивками.


Не могли бы более подробно описать данный эксперимент - боюсь приведенных вами деталей недостаточно для воспроизведения желающими уличить производителей мк для аппаратных кошельков в наличии закладок.
кроме шуток.


о каких мегабайтах идёт речь?...
для бэкдора достаточно пары сотен байт, это не говоря о том, что это не память не FLASH, a MaskROM - неперезаписываемая и более плотная,
ну еще один факт вдогонку: у большинства STM32 есть bootROM с начальным загрузчиком, так что даже при классическом реверс-инжиниринге кристалла травлением и последующим изучением топологии не выявит ничего подозрительного

Да это фантазии, как по мне. Смотри, у каждого чипа есть условное "сердце". Их бывает несколько. На которое чаще всего и делают атаки когда хотят прочитать конкретный чип. Если там есть какие то блэкбоксы, то это детектится не особо сильным оборудованием очень просто. Так и был найден Майкрософт какой то там контроллер (которым всех пугают, ты понял).

Опять таки, я не уверен что ребята из Сатоши Лабс проверяли чипы на блэкбоксы, но я сомневаюсь что они такое бы проигнорили.

Во вторых, чип без прошивки это железка по сути. Поэтому при перепрошивке все "бэкдоры" исчезнут по сути сразу. А блэкбоксы со своей некоей прошивкой (если они есть в маленьком чипе) как я выше написал детектятся очень просто обычным замером ответа чипа по напряжению/времени.  Притом, это уже не говоря о том, что как мне помнится с определенного геометрического размера монокристаллической кремниевой пластины можно снять определенную емкость (в плане мегабайт) поэтому все становится даже проще - высчитываешь сколько должно быть мегабайт, проверяешь сколько есть. И все, все становится очевидным.

Это понятно. Там чувак в комментарии выражает сомнение, мол, "а где гарантия, что этот STM32 не имеет бэкдор, зашитый в чип при производстве?". Кстати, я видел когда-то пост СТО леджера на реддите, где он тоже на это намекал. Интересно, насколько это реально?
Или даже не так. Если это реально возможно, на что такой бэкдор способен? Может ли он теоретически отправить сид/ключи через USB или получить информацию возможно будет только при непосредственном подключении к чипу?

По-моему, это все фантазии ).

Ну вот как я вижу. Открываем секьюрный чип линейки ST31 - https://www.st.com/en/secure-mcus/st31h320.html#overview . там у нас только такие возможности как "овервью", "ресурсы" (не в том смысле), а также же гарантии качества.

Открываем например Даташит чипа от Trezor Model T, STM32F427/437 - https://www.st.com/en/microcontrollers-microprocessors/stm32f427-437.html
Что мы там видим? Правильно - "tools & software". Чего нет в секьюрной линейке ST31 (и других секьюрных чипах, дам спойлер). Что видим в этом подразделе? Подразделы:
Development Tools - то, что мы ищем
Ecosystems
Embedded Software - и это тоже
Evaluation Tools - да и это сойдет
Solutions & Reference Designs
Support and Applications

Тобишь, если судить по моему поверхностному взгляду все то, что нужно собственно для разработки/модификации/улучшения (или ухудшения, хи) данного чипа.

Там к статье есть такой комментарий:Кто-нибудь может опровергнуть эти утверждения?

Чтобы пыня точно не добрался, крупные суммы лучше держать, например, в мультиподписном кошельке (из леджера с электрумом получается очень удобный мультисиг-кошелек), для электрума можно даже какой-то простейший сид использовать - этого будет достаточно.

По поводу чипов, важным будет отметить вот эту статью: https://blog.trezor.io/is-banking-grade-security-good-enough-for-your-bitcoins-284065561e9b

У команды Трезора интересный взгляд на "секьюрные банковские чипы" и я с ними по первому пункту очень согласен. Все производители чипов, и оборудования для анализа этих самых чипов часто под сильным контролем властей. Был на конференции по поводу hardware хакинга, так всякие топовые тех станции для анализа, перепрошивки (и взлома конечно же) "железа", стоимостью по пол миллиона у.е. просто так не продаются. Там везде нужно разрешение от властей той страны в которой фирма, а иногда сразу и двух стран (продающей и принимающей). Это слова секьюрити специалиста по этому вопросу.

А закрытый код (в ST31H320 он именно такой. Пруф) + контроль гос органов это далеко не лучший вариант для крипто анархистического сообщества  

К тому же, если чип с открытым кодом (та же линейка STM32) может перепрошить хоть Трезор, хоть Вася дома у себя, то чип линейки ST31 может перепрошивать только компания STMicroelectronics (которой эти две линейки чипов и принадлежат). Вот представьте ситуацию: находят у ST31 уязвимость которая относится только к Леджеру. Леджер сам не может выпустить новую прошивку (даже фактически не может, это вам не винда, что взял, декомпилировал и переписал. прошивка в таких чипах полностью закрыта), ей нужно обращаться к ST, ждать пока местные спецы что-то склепают, получать прошивку. А это будет и не бесплатно скорее всего, что в свою очередь может застопорить процесс. Нет скорости и гибкости.

Добавлю важное: Опять таки, из-за этого всего реально защита от левых злоумышленников, хакеров - немного слабнет. Так как получил доступ к самому устройству, можешь сдампить память чипа (если успеешь, под воздействием теплового движения атомов которые теряют магнитные моменты чип "забывает" информацию спустя непродолжительное время. Именно из-за этого кстати всякие ФБР при штурме логовищ мамкиных хакеров опускают оперативку в жидкий азот).
Но зато можно спать спокойно и не бояться что завтра Пыня нажмет кнопку на троне и все биткоины с Леджеров переведутся к нему, чтобы переродить его в трансцендентногосверхПутина.