Topic: TREZOR VS LEDGER Nano S[сравнение и анализ] - page 3. (Read 25457 times)

Лишний раз я убедился, что аппаратный кошелек лично мне нафиг не нужен.

Несколько недель назад некоторые пользователи Ledger Monero пострадали от ошибки в коде Ledger Monero. Из-за этой ошибки было ошибочно построено несколько транзакций, и кошелек не смог обнаружить (и впоследствии зачислить) изменение, что позволило пользователю поверить, что его средства были потеряны. К счастью, мы в сотрудничестве с командой Ledger смогли устранить эту ошибку и восстановить «потерянные» средства пострадавших пользователей.

https://twitter.com/monero/status/1115287586468245509

https://www.reddit.com/r/Monero/comments/bavnwl/ledger_change_output_bug_post_mortem_with_a_happy/

А фактов и быть не может, в частности из-за того что и в общем рынок поутих к криптовалюте, но естественно и потому, что аппаратные решения реально сильные.

Известных фактов на данный момент нет, иначе бы в инете уже гремело об этом и подорвало репутацию того или иного производителя кошельков. Все уязвимости, которые нашли/находят тестеры/хацкеры требуют физического контакта с аппаратным кошельком.

Мне одно интересно. Были релаьные взломы на одном из кошельков? Именно взлом с похищением денег.
Я не слышал по крайней мере. Все говорят об уязвимостях, но реальных фактов вроде как и нет?

Сертификация это сильно, а вот как бы приколхозить тот же леджер так, чтобы пароли не вводить? Чтобы нечто в браузере хранило хеши паролей, которые получая с леджера  чтото модифицировались в реальные?

Противостояние продолжается, прошлый инцидент не успел утихнуть и Ledger делает свой ход, ждем ответа от trezor.



Компания Ledger рада объявить, что Ledger Nano S получила сертификат CSPN (Certification de Sécurité de Premier Niveau / First Level Security Certificate), что делает ее первым и единственным сертифицированным аппаратным кошельком на рынке. Сертификат безопасности выдается французским агентством по кибербезопасности ANSSI (Национальное агентство защиты данных / Национальное агентство по безопасности информационных систем).

Схема сертификации CSPN была создана в 2008 году и представляет собой процесс для оценки по нескольким категориям, включая брандмауэр, идентификацию, аутентификацию и доступ, безопасную связь и встроенное программное обеспечение. Чтобы получить сертификацию, выбранная лаборатория ANSSI проводит продукт через несколько сценариев атак, чтобы бросить вызов его безопасности.

«Мы с гордостью объявляем об этой независимой сертификации ANSSI», - сказал Эрик Ларчевек, генеральный директор Ledger. «В Ledger безопасность имеет первостепенное значение, и хотя любой может утверждать, что имеет защищенный продукт, это означает гораздо больше, исходящее от доверенной третьей стороны. Это важная веха для Ledger, но это только отправная точка более широких усилий по сертификации всех наших продуктов.

Источник: https://www.ledger.fr/2019/03/18/setting-a-new-standard-ledger-nano-s-becomes-the-first-and-only-certified-hardware-wallet-on-the-market/

Так опишите решающие факторы, может кому-то это полезным будет.

Сколько я пересмотрел обзоров, но лучше, чем TREZOR пока для себя не нашёл)

Трезор отреагировал сегодня: https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4

Не знаю, не нравится мне поведение леджер, у них своих проблем хватает, лучше бы ими занимались. Мои симпатии сейчас на стороне трезора, после этого случая я бы скорее склонился к покупке трезора, чем леджера ). По железу леджер безусловно лучше, трезор вынужден использовать более уязвимый чип ради открытого кода.

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

scarich

1. Electrum. Только им и пользуюсь, там можно что угодно настроить. Всем рекомендую, лучший биткоин-кошелек. С леджером отлично работает, с трезором, думаю, тоже.
2. Кажется, нельзя.

igor72, спасибо за ответ. В принципе и не важно как было, главное мне стало понятно как это работает сейчас.
Есть еще пара вопросов, подскажите, пожалуйста
1. Как я понял я не могу в Ledger Live указать в транзакции двух и более получателей, а также указать адрес для сдачи? А есть ли еще какой-нибудь софт для Ledger, где это можно сделать?
2. Можно ли в Ledger Live узнать на каком конкретном адресе находятся средства, по аналогии с тем, как это отображается в Electrum во вкладке Адреса? К тому же в самой транзакции не видно адреса для сдачи..

новости в паралл ветке

Да, смысл второго пина вы правильно понимаете. Если вы пропишите в ЛЛ аккаунт(ы) с первого пина, а потом со второго, то они оба будут видны в ЛЛ. За это леджеровцев не раз критиковали, кстати. Остается только каждый раз после использования "секретного" аккаунта удалять его (да и кэш с логами, наверное, тоже нужно). Не вполне понял, в чем ваш вопрос, но, по-моему, ничего сейчас не поменялось по сравнению с первыми версиями в работе с аккаунтами.

Всем привет! Помогите разобраться с Ledger nano S. Есть аккаунт А с кодовой фразой "А" и аккаунт Б с кодовой фразой "Б". Версия Ledger Live 1.4.1. Если я залогинился в самом устройстве Ledger под PIN-кодом, соответствующим кодовой фразе "А", то по логике я не должен видеть адреса и балансы аккаунта Б? Но я их вижу, правда отправить средства с них не могу. Насколько я понимаю смысл кодвоой фразы еще и в том, что если тебя "прессует" злоумышленник, то ты можешь ввести PIN-код от резервного аккаунта, и не светить основной аккаунт с основным балансом. Я не пользовался более старыми версиями Ledger Live, но, полагаю там так и было реализовано, а теперь Ledger отказались от этого, оставив лишь ограничение на вывод средств?

Скомпрометирован сид будет еще потому, что создается небезопасный wallet.dat , который может использовать нехороший человек, если найдет.

А новые уязвимости процев как вам ? могут повлиять на перехват данных от кошелька ?

https://yandex.ru/ PortSmash Foreshadow bitcoin wallet
https://google.com/ PortSmash Foreshadow "bitcoin wallet"

https://habr.com/ru/company/crossover/blog/420291/ - Spectre и Meltdown больше не самые опасные атаки на CPU Intel. Исследователи сообщили об уязвимости Foreshadow
https://bits.media/kak-uyazvimost-foreshadow-povliyaet-na-kriptovalyutnuyu-industriyu/
https://bitcointalksearch.org/topic/foreshadowing-the-coming-attack-on-bitcoin-and-how-to-survive-it-from-june-7-20249 - Foreshadowing: "The Coming Attack On Bitcoin And How To Survive It" from June 7
https://www.anti-malware.ru/news/2018-08-15-1447/27143 - новый метод атаки «Foreshadow». Intel дала уязвимости свое имя — «Level 1 Terminal Fault» или «L1TF».
№2
https://yandex.ru/ portsmash
https://google.ru/ portsmash
https://bitcointalk.org/index.php?topic=2096416.2960 - portsmash (Ctrl-F )

и чтото непонятно какие процы на аппаратном уровне полностью исправлены.
где найти про PortSmash Foreshadow - исправленные модели на www.intel.ru ?

add
http://fintechnews.sg/15914/blockchain/hardware-wallets-cryptocurrencies/
https://translate.google.com/ перевод
, https://cointelegraph.com/news/hardware-bitcoin-wallets-not-vulnerable-to-spectre-attacks-funds-safe

На самом деле если файл кошелька закрыт хорошим паролем, а тем более зашифрован, то "нехороший человек" с ним ничего сделать не сможет. Кстати файл кошелька электрума по умолчанию называется default_wallet, но ничто не мешает вам переименовать его по своему вкусу (в том числе и в wallet.dat).

спасибо Вам огромное за разьяснение