Topic: TREZOR VS LEDGER Nano S[сравнение и анализ] - page 4. (Read 25459 times)

спасибо Вам огромное за разьяснение

Подскажите, при первоначальной генерации устройства (Ledger) выдается Seed из 24 слов.
Везде пишется , что это формат BIP39, как к примеру на Electrum, но почему тот же electrum выдает 12 слов при генерации?
Т.е. если форматы одни и те же, я могу в electrum запихнуть 24 слова из seed ledger и увижу баланс btc?

Я зашел в данный топик из-за того, чтобы узнать, что лучше, просто собираюсь себе покупать и не знаю какой лучше

Я зашел в данный топик из-за того, чтобы узнать, что лучше, просто собираюсь себе покупать и не знаю какой лучше

Я зашел в данный топик из-за того, чтобы узнать, что лучше, просто собираюсь себе покупать и не знаю какой лучше

Ничего себе тема в разделе новичков. 
Кто-нибудь новый Леджер с топовым Трезором сравнивал уже?

интересно у Ledger Nano S в ту банковскую шифромируху с закрытыми исходниками они могут вшить адреса своих сайтов-ржавых-гвоздиков ?

https://bitcointalksearch.org/topic/m.49194317

и как это народ проверять пытается ?

мы обнаружили часть кода, где происходит получение внешнего IP адреса. Код написан был явно впопыхах, и для получения внешнего IP обращается к двум серверам, адреса которых «вшиты» в исходный код программы-кошелька: checkip.dyndns.org , showmyip.com

https://forklog.com/ledger-predstavil-novyj-apparatnyj-koshelek-s-podderzhkoj-bluetooth/
Новая модель была представлена на Consumer Electronics Show (CES) в Лас-Вегасе имеет поддержку Bluetooth, более широкий экран и больший объем пространства для хранения данных — Ledger Nano X сможет хранить информации о 100 криптоактивах, что в шесть раз больше, чем у Ledger Nano S.

Поддержка Bluetooth в комбинации с новой мобильной версией приложения Ledger Live также означает, что пользователи получат возможность совершать транзакции в любое время без необходимости иметь доступ у стационарному компьютеру или ноутбуку.

Кроме того, Ledger Nano X будет оснащен перезаряжаемой батареей, что позволит устройству работать без необходимости быть подключенным к компьютеру через USB.

Комментируя предположения, что наличие поддержки Bluetooth может облегчить взлом устройства хакерами, CEO Ledger Эрик Ларшевек написал на Reddit:

«Nano X работает, уже предполагая, что Bluetooth-соединение скомпрометировано. Добавление BLE никак не влияет на безопасность – транзакции всегда должны быть физически верифицированы через нажатие обеих кнопок на устройстве. Кроме того, в Nano X экраны и кнопки напрямую соединены с Secure Element, и это еще одно повышение общей безопасности».

По данным The Verge, предзаказы Ledger Nano X (по цене $119 включая доставку) стартуют уже 7 января, а поставки начнутся в марте. Мобильное приложение Ledger Live будет доступно в iOS App Store и Google Play 28 января.

Отметим также, что организаторы CES удостоили новое устройство от французской компании наградой в категории Innovation Award in Cyber Security and Personal Privacy.

https://prometheus.ru/ledger-predstavil-koshelek-s-bluetooth/

Возможность совершения транзакций без использования ПК породила множество пересудов в сообществе, т.к., по мнению криптоэнтузиастов, такое решение повысит риск взлома и кражи средств.

Однако, глава Ledger Эрик Ларшевек поспешил успокоить скептиков, отметив, что Bluetooth-соединение изначально расценивается кошельком в качестве попытки взлома, поэтому в этом случае предпринимаются все необходимые процедуры безопасности – в частности, верификация транзакции путем нажатия обоих кнопок на физическом аппарате.

https://xakep.ru/2018/12/29/trezor-ledger-flaws/
Обнаружены уязвимости в аппаратных кошельках Trezor и Ledger - «Хакер» 30.12.2018

На конференции Chaos Communication Congress был представлен доклад о проблемах в аппаратных кошельках Trezor и Ledger. Авторами исследования выступают Дмитрий Недоспасов (Dmitry Nedospasov), Томас Рот (Thomas Roth) и Джош Датко (Josh Datko). Они обнаружили сразу несколько брешей в безопасности кошельков: атаки по стороннему каналу, атаки на цепочку поставок, уязвимости на уровне прошивки и чипа.

Многие производители подобных устройств оснащают свои продукты и их упаковку защитными наклейками, которые свидетельствуют о том, что упаковку не вскрывали и само устройство тоже. Специалисты начали свою презентацию с простой демонстрации: при помощи обычного фена без труда избавились от  стикеров на коробке Trezor One и USB-порту кошелька, не оставив следов. Главное — следить за температурой и не нагревать стикеры и гаджеты слишком сильно.

Устройства Ledger поставляются без защитных стикеров, так как производительно уверяет, что проверка целостности производится при каждом включении устройства, а чип Secure Element предотвращает любые попытки физического вмешательства. Поэтому избавившись от стикеров на Trezor, специалисты перешли к Ledger, «вскрыли» кошельки и получили доступ к их аппаратной составляющей.

Затем эксперты рассказали, что в кошельках Trezor можно подменить микроконтроллер. «Как только вы это сделаете, сможете поместить свой скомпрометированный загрузчик на устройства Trezor», — объясняет Датко. Во время презентации специалисты пропустили этот этап, но рассказали аудитории, что в лабораторных условиях им удалось подключиться к аппаратному дебаггеру и получить свободный доступ к чипу, что позволило перепрошить компоненты, используя вредоносный код.

Кошелек Ledger, в свою очередь, оснастили простейшим аппаратным имплантатом, который позволяет одобрять транзакции без участия пользователя. На это эксперты потратили всего $3,16: установили на устройство RF-переключатель, который можно контролировать удаленно, с помощью радиочастот (как минимум с расстояния в 11 метров, имея передатчик 50W).

Что до софтверной составляющей кошельков, исследователям удалось отреверсить механизм обновления прошивки на Ledger Nano S и найти баг, который позволяет записать на устройство кастомную прошивку. Производитель предусмотрел защиту от таких атак: подлинность образа прошивки проверяется с использованием криптографической функции. Однако после окончания проверки в память записывается константа 0xF00BABE, и проверка производится только раз, а не при каждом запуске устройства. В итоге исследователи пришли к выводу, что для обхода защитного механизма, достаточно поместить по определенному адресу ячейки памяти 0xF00BABE. Проделав это, они смогли запустить на скомпрометированном устройстве игру «Змейка», используя две имеющиеся кнопки для управления движением на крохотном дисплее кошелька.

На Ledger Blue удалось осуществить атаку по стороннему каналу (side-channel attack). Изучая аппаратную часть устройства, Томас Рот заметил, что кошелек оснащен длинным проводником, который ведет себя как антенна, и сигнал усиливается, если устройство подключено к USB-кабелю. Прибегнув к помощи SDR-оборудования, специалисты перехватили и проанализировали эти радиоволны. Так, Рот разработал фреймворк, который автоматически записывал сигнал во время ввода PIN-кода и использовал ИИ модель для преобразования этих данных в понятную человеку информацию. В итоге специалистам удалось добиться 90% точности таких «предсказаний».

Еще одну проблему удалось выявить в кошельке Trezor One, который работает с микроконтроллером STM32F205, который, по сути, управляет работой всех компонентов. Дело в том, что в 2017 году в этой модели микроконтроллеров обнаружили уязвимость перед внесением неисправностей (fault injection). В прошлом году специалистам не удалось понять, распространяется ли эта проблема на аппаратные кошельки, но на CCC эксперты рассказали, что изучив процедуры загрузки и обновления, они выявили, что из RAM можно извлечь приватный ключ или seed-ключ. Такая атака предоставит злоумышленнику доступ к криптовалюте и позволит перевести средства на другой кошелек.

Производители уже отреагировали на презентацию доклада экспертов. Так, разработчики Ledger заявили, что все продемонстрированные атаки являются трудноосуществимыми, требуют физического доступа к устройству, и простым пользователям не о чем тревожиться, так как подобную компрометацию трудно реализовать на практике.

Разработчики Trezor, в свою очередь, сообщили, что уже готовят патчи, хотя тоже подчеркнули, что атаки осуществимы только при наличии физического доступа к устройству.

2 комментария
mik4
30.12.2018 at 00:24
«изучив процедуры загрузки и обновления, они выявили, что из RAM можно извлечь приватный ключ или seed-ключ» Без ввода PIN кода? Если так, то это серъезная уязвимость поскольку Trezor позиционируется как устройство, которое даже в случае кражи не позволит иметь доступ к приватным ключам. Очень плохая новость.

un1t
01.01.2019 at 22:14
В данном случае сдампили оперативную память трезора и извлекли и сид и пинкод.
Про трезор давно известно, что они используют обычные несекьюрные чипы и атака с извлечением сида уже осуществлялась ранее. Из производителей хардвар кошельков, насколько я знаю, только ledger используют секьюрные чипы. Из остальных кошельков сид можно извлечь, а реализация этого просто вопрос времени и популярности кошелька.
На леджер не удалось осуществить каких то значимых атак. Подмена прошивки сработала только в булоэдинг режиме, что на практике не имеет смысла. Вставка антенны в леджер, малоприменимо на практике, т.к. требуется еще и зараженный комп и близкое расстояние.
Леджер нано s использует два чипа один секьюрный другой обычный, прошивку обычного чипа проверяет секьюрный чип, но этот механизм не 100% надежен и возможно в будущем кому-то удастся залить туда свою прошивку.

https://bytwork.com/news/hakery-nashli-uyazvimosti-v-koshelke-trezor
Хакеры нашли уязвимости в кошельке Trezor
30.12.2018
Конгресс Chaos Communication выявляет архитектурные, физические, аппаратные, программные и микропрограммные уязвимости. Они пытаются создать библиотеку вредоносных атак, которые могут быть совершены, туда же относят проблемы, которые могут позволить злоумышленнику получить доступ к средствам аппаратного кошелька. Расследование группы специалистов показало наличие системных проблем у многих аппаратных кошельков.
...
Дмитрий Недоспасов и Томас Рот установили сокет вместе с FPGA и несколькими другими устройствами, подключенными к кошельку Trezor, для запуска кода, который предоставил бы им доступ к начальному значению и выводу монет. Однако взлом возможен только в том случае, если у кошелька не будет пароля.
Между тем, Павел Руснак, инженер, отвечающий за Trezor, ответил сообществу, сказав, что вопрос расследуется, и патч уже в пути.
Любой, кто использует Trezor и не использует пароль, должен выставить его немедленно. Кодовая фраза является самой безопасной, поскольку она намного более устойчива к атакам методом перебора, чем обычный пароль.

Почему вы решили, что это от Ledger? И какое отношение этот очередной шиткоин имеет к данной теме?

и https://miningclub.info/threads/qrl-quantum-resistant-ledger-cryptonightv7.44913/
Quantum Resistant Ledger (QRL) – это криптовалютный реестр, созданный с нуля на базе Python. Его основное предназначение – противостоять классическим и квантовым компьютерным атакам. Он использует собственную систему криптографии, отличную от биткоина и всех альткоинов, известную как цифровая подпись древа Меркла на базе хеша, которая защищена от квантовых атак.

http://www.forbes.ru/tehnologii/345119-aleksey-fedorov-rkc-mozhno-zapustit-mezhbankovskuyu-kvantovuyu-set-i-otslezhivat
Можно строить квантовые сети — аналог обычный сетей, где пользователи связаны друг с другом квантовыми коммуникациями. Это прямолинейный и дорогой способ. А можно строить квантовые сети через «доверенных повторителей» (они работают на классических алгоритмах). Сети квантовых коммуникаций уже есть в США, Европе, Японии и Китае.
...
над задачами такого уровня сложности уже работают - например, в проекте The Quantum Resistant Ledger (QRL).

https://xakep.ru/2017/06/23/quantum-entanglement/

Запущенный в прошлом году китайский спутник Micius успешно завершил орбитальные испытания и установил новый рекорд квантовой связи. Он сгенерировал пару запутанных фотонов, разделил их и передал одновременно двум наземным станциям, удаленным друг от друга на 1203 км. Затем наземные станции использовали эффект квантовой телепортации для обмена зашифрованными сообщениями. Потенциально запуск таких спутников открывает возможность создания глобальных систем связи, защищенных от перехвата на уровне физических принципов. Эксперимент уже окрестили «началом квантового интернета».

Аппарат стоимостью около 100 миллионов долларов был создан в рамках проекта QUESS (Quantum Science Satellite) — совместной инициативы Китайской и Австрийской академии наук. «Данный проект призван доказать возможность внедрения квантовых коммуникаций в мировом масштабе», — комментирует Антон Цайлингер, эксперт по квантовой физике Венского университета
...
Оптоволоконная линия или связь «через воздух» в зоне прямой видимости нужна только для первоначального разделения запутанных фотонов. В дальнейшем информация об изменении их квантового состояния передается мгновенно и независимо от расстояния. Поэтому, кроме традиционно перечисляемых преимуществ квантовой передачи данных (высокая плотность кодирования, скорость и защищенность от перехвата), Цайлингер отмечает еще одно важное свойство: квантовая телепортация возможна и в том случае, когда точное взаимное расположение приемника и передатчика неизвестно. Это особенно важно для спутниковых систем связи, поскольку в них взаимное расположение узлов сети постоянно меняется.

В новом эксперименте с использованием Micius лаборатории, находящиеся в столицах Китая и Австрии, передавали друг другу сообщение, зашифрованное шифром Вернама, по наземным открытым каналам. В качестве криптографического ключа использовались результаты измерения квантовых свойств у принимаемых со спутника пар запутанных фотонов.

Очевидно, что принять на Земле миллиарды фотонов даже от далекого Солнца — не проблема. Любой может сделать это в солнечный день, просто выйдя из тени. Зарегистрировать же одновременно определенную пару запутанных фотонов со спутника в двух разных лабораториях и измерить их квантовые свойства — исключительно сложная техническая задача. Для ее решения в проекте QUESS использовалась адаптивная оптика. Она постоянно измеряет степень искажений, вызываемых турбулентностью земной атмосферы, и компенсирует их. Дополнительно применялись оптические фильтры для отсечения лунного света и городской засветки. Без них в оптической линии связи был слишком сильный уровень шумов.

Каждый проход спутника над территорией Китая длился всего 275 с. За это время требовалось одновременно установить с него два исходящих канала. В первой серии экспериментов — между Делингой и Наньшанем (расстояние 1120 км). Во второй — между Делингой и Лицзянем (1203 км). В обоих экспериментах со спутника успешно принимались пары запутанных фотонов и защищенный канал связи работал.

Это считается прорывом сразу по нескольким причинам. Во-первых, Micius стал первым удачным экспериментом в области спутниковой квантовой связи. До сих пор все подобные опыты проводились в наземных лабораториях, где приемник и передатчик были удалены друг от друга на куда меньшие расстояния.
Во-вторых, в других экспериментах для передачи запутанных фотонов требовалось использование какой-то изолированной среды. Например, оптоволоконных линий связи.
В-третьих, при квантовой связи по оптоволокну передаются и регистрируются одиночные фотоны, а спутник повышает эффективную скорость обмена.

Сигнал от Micius шел через атмосферу и был одновременно принят двумя наземными станциями.

«Если бы мы использовали оптоволокно длиной 1200 км для распределения пар запутанных фотонов на Земле, то из-за потери мощности сигнала с расстоянием мы могли бы передавать только одну пару в секунду. Спутник помогает преодолеть этот барьер. Мы уже улучшили скорость распределения на 12 порядков по сравнению с прежними технологиями», — говорит Цзянь-Вэй Пан.

Квантовая передача данных через спутник открывает возможность построения глобальных систем связи, максимально защищенных от перехвата на уровне физических принципов. «Это первый шаг в направлении всемирной безопасной квантовой коммуникации и, возможно, даже квантового интернета», — считает Антон Цайлингер.

Парадокс данного достижения состоит в том, что даже авторы проекта не знают всех деталей о работе квантовой системы связи.

Есть только рабочие гипотезы, их экспериментальная проверка и долгие дебаты о правильности трактовки полученных результатов.

Так часто бывает: сначала открывают какое-то явление, потом его начинают активно использовать, и только спустя долгое время находится кто-то, способный понять его суть.

Первобытные люди умели добывать огонь, но никто из них не понимал физико-химические процессы горения. Разобраться в них пришлось для того, чтобы сделать качественный переход от костра до двигателя внутреннего сгорания и ракетного двигателя.

Квантовая телепортация — штука и вовсе запутанная во всех смыслах. Давай попробуем абстрагироваться от сложных формул, незримых понятий и разобраться в ее основах.

...

https://habr.com/post/410071/

Китайский спутник использовал квантовую криптографию для проведения защищенной межконтинентальной видеоконференции

Квантовая криптография позволяет сделать общение людей полностью безопасным, защитив каналы связи от прослушивания. Эта технология становится все более важной. Физики уже давно знают, что квантовые компьютеры (когда они появятся в пригодном для работы виде) позволяют взломать любые типы криптографической защиты. Ну а поскольку появление коммерческих квантовых компьютеров не за горами, то ученым приходится изобретать все более сложные методы защиты данных. Все это — в интересах бизнеса, правительственных организаций, военных.

В целом, квантовая криптография важна для всех, кому нужна практически стопроцентная защита от взлома.

... Micius, был запущен в 2016 году. В течение предыдущих лет он выполнял различные задания и выходил на операционный уровень. Прошлым летом он заработал на полную мощность и смог телепортировать фотон с орбиты прямо на Землю.

- Холодное хранение битков: Armory, бумага+coinbin

Новинка от Ledger -

погибнуть можно от опасного напряжения.

Лучше напишите своими словами, что вы хотели сказать?

https://zen.yandex.ru/media/id/5bb8e3e353018c00a9ee3938/10-kvantovoustoichivyh-kriptovaliut-5bc5ad922667aa00ab8cb6a9
10 квантово-устойчивых криптовалют
QRL
Основным назначением проекта QRL является обеспечение безопасности при выполнении платежей. Это одна из первых криптовалют, призванных обеспечить защиту от атак с применением квантовых компьютеров. В дальнейшем разработчики планируют расширить область применения защиты от подобных атак и создать защищенные каналы передачи данных с постквантовым шифрованием. Подробнее о проекте вы можете прочесть в нашей предыдущей статье.
Отличительной особенностью QRL является качественный и безопасный код, который прошел проверку нескольких сторонних организаций.
Квантовая защита обеспечивается расширенной подписью Винтерница и модифицированной схемой XMSS с использованием хеш-функции SHA-256.

https://inp.one/cryptoworld/quantum-resistant-ledger
Quantum Resistant Ledger (QRL): криптовалюта — обзор
QRL — это криптовалюта, которая с самого начала реализуется, чтобы быть устойчивой как к классической, так и к квантовой компьютерной атаке.
Первоначальная цель проекта — создать функциональный и безопасный блокчейн, на которой может быть построено больше технологий, таких как эфемерные защищенные каналы данных квантового времени.
Особенности
В отличие от существующих регистров, таких как bitcoin или ethereum, QRL специально разработан для использования формы постквантовой защищенной подписи для транзакций под названием XMSS.
QRL также использует алгоритм с низким энергопотреблением (POS), который снова использует итеративные хеш-цепи и доказуемо защищает функции псевдослучайных чисел на основе хэша. POS-алгоритм призван обеспечить нулевую зависимость от обычных сигнатур, которые уязвимы для достаточно мощного контроля качества и позволяют узлам работать на устройствах с малой потребляемой мощностью
Токены QRL
В системе Quantum Resistant Ledger токены QRL предназначены для оплаты проводящихся транзакций и доступа к системе. Если пользователь пожелает воспользоваться услугами платформы, он обязан будет купить токены и с их помощью провести перевод. Получатель сможет обменять токены QRL на удобную ему криптовалюту или фиатные деньги. В процессе перевода майнерам Quantum Resistant Ledger, чьи системные ресурсы используются, будет выплачиваться определенная комиссия. Размер комиссии зависит от ряда параметров: размеров перевода, количества майнеров, задействованных в проведении транзакции и некоторых других факторов.
Дорожная карта
на конец 2018 года:
Продолжение разработки активных узлов. Завершение эфемерала для агностики сигнатурной схемы. Легкое развитие клиента. Легкий клиентский API, позволяющий приложениям и веб-устройствам получать доступ к QRL. Интерференционное сжатие сообщений. Исследования и разработки — постквантовые транзакции с несколькими сигналами.
Вывод
Преимущества
Разработчики выбрали интересную сферу для деятельности. Первые квантовые компьютеры могут появиться в ближайшие годы. И защита от подобного взлома окажется весьма нелишней.
Предлагаются четкие алгоритмы работы блокчейна Quantum Resistant Ledger. Разобраться в них непросто, но разработчики, как минимум, не пытаются обойтись одними только обещаниями. Они еще и объясняют, как именно работает их продукт.
Разработка ведется уже в 2016 года. А это значит, что им занимаются не мошенники, а заинтересованные в развитии системы люди.

https://www.masterinvest.info/cryptocurrency-QRL-quantum-resistant-ledger.html
Криптовалюта Quantum Resistant Ledger не подлежит майнингу, то есть все монеты данной криптовалюты были выпущены сразу или выпусаются исключительно разработчиками / основателями данной криптовалюты. Количество выпущенных монет криптовалюты Quantum Resistant Ledger на данный момент составляет 52,000,000 монеты, что составляет 49.52% от общего количества монет криптовалюты Квантум Резистент Леджер. Максимально возможное количество монет Квантум Резистент Леджер Quantum Resistant Ledger QRL составляет 105,000,000 монет.

QRL - https://vk.com/myqrl
КВАНТОВО-УСТОЙЧИВЫЙ БЛОКЧЕЙН
В недалеком будущем такие системы как Биткойн могут оказаться уязвимыми перед атакой квантового компьютера. К такому выводу пришла группа ученых из Сингапурского и Австралийского университетов. По их прогнозу Биткойн, в его классическом виде, может быть взломан уже к 2027 году.
24 дек в 13:06
Действия
QRL успешно выходит на биржу Bittrex и устанавливает жесткий срок для миграции токенов: 28 февраля 2019 года.

https://habr.com/post/409985/
Квантово-устойчивый блокчейн
В конце октября 2017 Международная исследовательская группа из Сингапурского и Австралийского университетов пришла к выводу, что большинство криптографических протоколов, применяемых в блокчейне, уязвимо к атакам мощного квантового компьютера.
Наиболее уязвимым к атакам квантового компьютера признан алгоритм создания цифровой подписи на основе эллиптических кривых (ECDSA). Таким образом, говорится в отчете группы, Биткойн в его классическом виде может быть взломан уже к 2027 году.