Pages:
Author

Topic: TREZOR VS LEDGER Nano S[сравнение и анализ] - page 3. (Read 25457 times)

legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
Несколько недель назад некоторые пользователи Ledger Monero пострадали от ошибки в коде Ledger Monero. Из-за этой ошибки было ошибочно построено несколько транзакций, и кошелек не смог обнаружить (и впоследствии зачислить) изменение, что позволило пользователю поверить, что его средства были потеряны. К счастью, мы в сотрудничестве с командой Ledger смогли устранить эту ошибку и восстановить «потерянные» средства пострадавших пользователей.

https://twitter.com/monero/status/1115287586468245509

https://www.reddit.com/r/Monero/comments/bavnwl/ledger_change_output_bug_post_mortem_with_a_happy/
Лишний раз я убедился, что аппаратный кошелек лично мне нафиг не нужен.
member
Activity: 420
Merit: 51
Несколько недель назад некоторые пользователи Ledger Monero пострадали от ошибки в коде Ledger Monero. Из-за этой ошибки было ошибочно построено несколько транзакций, и кошелек не смог обнаружить (и впоследствии зачислить) изменение, что позволило пользователю поверить, что его средства были потеряны. К счастью, мы в сотрудничестве с командой Ledger смогли устранить эту ошибку и восстановить «потерянные» средства пострадавших пользователей.

https://twitter.com/monero/status/1115287586468245509

https://www.reddit.com/r/Monero/comments/bavnwl/ledger_change_output_bug_post_mortem_with_a_happy/
jr. member
Activity: 448
Merit: 3
А фактов и быть не может, в частности из-за того что и в общем рынок поутих к криптовалюте, но естественно и потому, что аппаратные решения реально сильные.
legendary
Activity: 1792
Merit: 1296
Crypto Casino and Sportsbook
Мне одно интересно. Были релаьные взломы на одном из кошельков? Именно взлом с похищением денег.
Я не слышал по крайней мере. Все говорят об уязвимостях, но реальных фактов вроде как и нет?


Известных фактов на данный момент нет, иначе бы в инете уже гремело об этом и подорвало репутацию того или иного производителя кошельков. Все уязвимости, которые нашли/находят тестеры/хацкеры требуют физического контакта с аппаратным кошельком.
member
Activity: 70
Merit: 10
Мне одно интересно. Были релаьные взломы на одном из кошельков? Именно взлом с похищением денег.
Я не слышал по крайней мере. Все говорят об уязвимостях, но реальных фактов вроде как и нет?
jr. member
Activity: 462
Merit: 5
Сертификация это сильно, а вот как бы приколхозить тот же леджер так, чтобы пароли не вводить? Чтобы нечто в браузере хранило хеши паролей, которые получая с леджера  чтото модифицировались в реальные?
member
Activity: 420
Merit: 51
Противостояние продолжается, прошлый инцидент не успел утихнуть и Ledger делает свой ход, ждем ответа от trezor.



Компания Ledger рада объявить, что Ledger Nano S получила сертификат CSPN (Certification de Sécurité de Premier Niveau / First Level Security Certificate), что делает ее первым и единственным сертифицированным аппаратным кошельком на рынке. Сертификат безопасности выдается французским агентством по кибербезопасности ANSSI (Национальное агентство защиты данных / Национальное агентство по безопасности информационных систем).

Схема сертификации CSPN была создана в 2008 году и представляет собой процесс для оценки по нескольким категориям, включая брандмауэр, идентификацию, аутентификацию и доступ, безопасную связь и встроенное программное обеспечение. Чтобы получить сертификацию, выбранная лаборатория ANSSI проводит продукт через несколько сценариев атак, чтобы бросить вызов его безопасности.

«Мы с гордостью объявляем об этой независимой сертификации ANSSI», - сказал Эрик Ларчевек, генеральный директор Ledger. «В Ledger безопасность имеет первостепенное значение, и хотя любой может утверждать, что имеет защищенный продукт, это означает гораздо больше, исходящее от доверенной третьей стороны. Это важная веха для Ledger, но это только отправная точка более широких усилий по сертификации всех наших продуктов.

Источник: https://www.ledger.fr/2019/03/18/setting-a-new-standard-ledger-nano-s-becomes-the-first-and-only-certified-hardware-wallet-on-the-market/
staff
Activity: 3472
Merit: 4111
Crypto Swap Exchange
Сколько я пересмотрел обзоров, но лучше, чем TREZOR пока для себя не нашёл)
Так опишите решающие факторы, может кому-то это полезным будет.
jr. member
Activity: 206
Merit: 2
Сколько я пересмотрел обзоров, но лучше, чем TREZOR пока для себя не нашёл)
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Трезор отреагировал сегодня: https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4

Не знаю, не нравится мне поведение леджер, у них своих проблем хватает, лучше бы ими занимались. Мои симпатии сейчас на стороне трезора, после этого случая я бы скорее склонился к покупке трезора, чем леджера ). По железу леджер безусловно лучше, трезор вынужден использовать более уязвимый чип ради открытого кода.
member
Activity: 420
Merit: 51
Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
scarich

1. Electrum. Только им и пользуюсь, там можно что угодно настроить. Всем рекомендую, лучший биткоин-кошелек. С леджером отлично работает, с трезором, думаю, тоже.
2. Кажется, нельзя.
jr. member
Activity: 36
Merit: 5
Всем привет! Помогите разобраться с Ledger nano S. Есть аккаунт А с кодовой фразой "А" и аккаунт Б с кодовой фразой "Б". Версия Ledger Live 1.4.1. Если я залогинился в самом устройстве Ledger под PIN-кодом, соответствующим кодовой фразе "А", то по логике я не должен видеть адреса и балансы аккаунта Б? Но я их вижу, правда отправить средства с них не могу. Насколько я понимаю смысл кодвоой фразы еще и в том, что если тебя "прессует" злоумышленник, то ты можешь ввести PIN-код от резервного аккаунта, и не светить основной аккаунт с основным балансом. Я не пользовался более старыми версиями Ledger Live, но, полагаю там так и было реализовано, а теперь Ledger отказались от этого, оставив лишь ограничение на вывод средств?
Да, смысл второго пина вы правильно понимаете. Если вы пропишите в ЛЛ аккаунт(ы) с первого пина, а потом со второго, то они оба будут видны в ЛЛ. За это леджеровцев не раз критиковали, кстати. Остается только каждый раз после использования "секретного" аккаунта удалять его (да и кэш с логами, наверное, тоже нужно). Не вполне понял, в чем ваш вопрос, но, по-моему, ничего сейчас не поменялось по сравнению с первыми версиями в работе с аккаунтами.

igor72, спасибо за ответ. В принципе и не важно как было, главное мне стало понятно как это работает сейчас.
Есть еще пара вопросов, подскажите, пожалуйста
1. Как я понял я не могу в Ledger Live указать в транзакции двух и более получателей, а также указать адрес для сдачи? А есть ли еще какой-нибудь софт для Ledger, где это можно сделать?
2. Можно ли в Ledger Live узнать на каком конкретном адресе находятся средства, по аналогии с тем, как это отображается в Electrum во вкладке Адреса? К тому же в самой транзакции не видно адреса для сдачи..
member
Activity: 826
Merit: 56
новости в паралл ветке
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Всем привет! Помогите разобраться с Ledger nano S. Есть аккаунт А с кодовой фразой "А" и аккаунт Б с кодовой фразой "Б". Версия Ledger Live 1.4.1. Если я залогинился в самом устройстве Ledger под PIN-кодом, соответствующим кодовой фразе "А", то по логике я не должен видеть адреса и балансы аккаунта Б? Но я их вижу, правда отправить средства с них не могу. Насколько я понимаю смысл кодвоой фразы еще и в том, что если тебя "прессует" злоумышленник, то ты можешь ввести PIN-код от резервного аккаунта, и не светить основной аккаунт с основным балансом. Я не пользовался более старыми версиями Ledger Live, но, полагаю там так и было реализовано, а теперь Ledger отказались от этого, оставив лишь ограничение на вывод средств?
Да, смысл второго пина вы правильно понимаете. Если вы пропишите в ЛЛ аккаунт(ы) с первого пина, а потом со второго, то они оба будут видны в ЛЛ. За это леджеровцев не раз критиковали, кстати. Остается только каждый раз после использования "секретного" аккаунта удалять его (да и кэш с логами, наверное, тоже нужно). Не вполне понял, в чем ваш вопрос, но, по-моему, ничего сейчас не поменялось по сравнению с первыми версиями в работе с аккаунтами.
jr. member
Activity: 36
Merit: 5
Всем привет! Помогите разобраться с Ledger nano S. Есть аккаунт А с кодовой фразой "А" и аккаунт Б с кодовой фразой "Б". Версия Ledger Live 1.4.1. Если я залогинился в самом устройстве Ledger под PIN-кодом, соответствующим кодовой фразе "А", то по логике я не должен видеть адреса и балансы аккаунта Б? Но я их вижу, правда отправить средства с них не могу. Насколько я понимаю смысл кодвоой фразы еще и в том, что если тебя "прессует" злоумышленник, то ты можешь ввести PIN-код от резервного аккаунта, и не светить основной аккаунт с основным балансом. Я не пользовался более старыми версиями Ledger Live, но, полагаю там так и было реализовано, а теперь Ledger отказались от этого, оставив лишь ограничение на вывод средств?
member
Activity: 77
Merit: 15
Скомпрометирован сид будет еще потому, что создается небезопасный wallet.dat , который может использовать нехороший человек, если найдет.
member
Activity: 826
Merit: 56
А новые уязвимости процев как вам ? могут повлиять на перехват данных от кошелька ?

https://yandex.ru/ PortSmash Foreshadow bitcoin wallet
https://google.com/ PortSmash Foreshadow "bitcoin wallet"

https://habr.com/ru/company/crossover/blog/420291/ - Spectre и Meltdown больше не самые опасные атаки на CPU Intel. Исследователи сообщили об уязвимости Foreshadow
https://bits.media/kak-uyazvimost-foreshadow-povliyaet-na-kriptovalyutnuyu-industriyu/
https://bitcointalksearch.org/topic/foreshadowing-the-coming-attack-on-bitcoin-and-how-to-survive-it-from-june-7-20249 - Foreshadowing: "The Coming Attack On Bitcoin And How To Survive It" from June 7
https://www.anti-malware.ru/news/2018-08-15-1447/27143 - новый метод атаки «Foreshadow». Intel дала уязвимости свое имя — «Level 1 Terminal Fault» или «L1TF».
№2
https://yandex.ru/ portsmash
https://google.ru/ portsmash
https://bitcointalk.org/index.php?topic=2096416.2960 - portsmash (Ctrl-F )

и чтото непонятно какие процы на аппаратном уровне полностью исправлены.
где найти про PortSmash Foreshadow - исправленные модели на www.intel.ru ?

add
http://fintechnews.sg/15914/blockchain/hardware-wallets-cryptocurrencies/
https://translate.google.com/ перевод
Quote
Ранее в этом месяце Ledger объявила в своем блоге, что ее продукты, Ledger Nano S и Ledger Blue, защищены от атак Spectre и Meltdown, даже если компьютер находится под угрозой.
..
Trezor также объявил, что его аппаратный кошелек не может быть подвержен влиянию Spectre и Meltdown.
Павол Руснак, главный технический директор Satoshi Labs, материнской компании Trezor, сказал:
«Поскольку все больше людей спрашивают: @TREZOR не уязвим к недавним аппаратным атакам Meltdown и Spectre, потому что на них не влияет процессор. Также наша прошивка всегда подписана, поэтому устройство никогда не запускает ненадежный код. Использование аппаратного кошелька теперь важнее, чем когда-либо ».
, https://cointelegraph.com/news/hardware-bitcoin-wallets-not-vulnerable-to-spectre-attacks-funds-safe
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Скомпрометирован сид будет еще потому, что создается небезопасный wallet.dat , который может использовать нехороший человек, если найдет.
На самом деле если файл кошелька закрыт хорошим паролем, а тем более зашифрован, то "нехороший человек" с ним ничего сделать не сможет. Кстати файл кошелька электрума по умолчанию называется default_wallet, но ничто не мешает вам переименовать его по своему вкусу (в том числе и в wallet.dat).
member
Activity: 77
Merit: 15
Подскажите, при первоначальной генерации устройства (Ledger) выдается Seed из 24 слов.
Везде пишется , что это формат BIP39, как к примеру на Electrum, но почему тот же electrum выдает 12 слов при генерации?
Т.е. если форматы одни и те же, я могу в electrum запихнуть 24 слова из seed ledger и увижу баланс btc?
В электруме свой "стандарт". Но если при импорте вы в опциях поставите галочку на BIP39, то он сделает импорт по этому "стандарту", и вы увидите свои btc. Что касается количества слов, то это влияет лишь на взломостойкость сида - 12 слов дает 128-битную энтропию (этого достаточно), 24 слова - 256 бит.

спасибо Вам огромное за разьяснение
Pages:
Jump to: