Bitcoin Forum

...

El encriptado que usa MEGA se puede violar desde el año 2006.

Así que no, no lo recomiendo para nada que tenga que ver con datos privados, mucho menos dinero.

El cifrado del cliente oficial es suficientemente fuerte como para que no te preocupes dónde dejas la cartera, siempre y cuando utilices una contraseña robusta, nadie que no tenga dicha contraseña va a poder extraer las claves privadas aunque tenga tu archivo wallet. El mayor riesgo se produce cuando tecleas la contraseña para hacer pagos o cualquier otra función que te la exija, porque un keylogger podría capturar las pulsaciones del teclado en caso de tener un pc infectado que busque esto. Aún así creo que este tipo de robos son complicados (al menos con el actual usuario medio de bitcoin que podemos considerar que tiene un nivel informático más bien elevado), y de momento, no se suelen ver casos de este tipo en el foro ―creo―.

MEGA deja claro que los archivos alojados serán entregados a cualquier gobierno o entidad que lo solicite.

Cifra el archivo por tu cuenta y súbelo donde te dé la gana. Yo lo tengo cifrado y escondido con esteganografía en un montón de fotos, alojadas en dropbox.

Que entreguen tu wallet cifrado con una contraseña fuerte que desconocen, no les sirve para disponer de los fondos, aunque sí les valdría para conocer su contenido y relacionarlo contigo, por lo que se podría ofuscarla con un segundo encriptado (yo utilizaría para ello GPG) con una segunda contraseña (esta podría ser más débil que la primera ya que de resolverla solamente podrías ver el contenido del wallet, no disponer de él). Pero, ¡ojo! , que si pierdes todas las copias de tu cartera excepto la de Mega, necesitarás las dos contraseñas para poder disponer de tu dinero en este nuevo caso.

Estaría muy bien que me indicaras si existen programitas sencillos de utilizar que te permitan hacer esas cosas tan chulas que hacéis los espías y gente de mal vivir.

También agradezco info sobre esteganografía, pero que sea fácil de comprender (o con curva de dificultad moderada al principio).

Gracias mil.

Yo recomendaría GPG que es rematadamente fácil de usar.

Algo así:

gpg -c wallet.dat

Luego te una contraseña simétrica y le pones la que tu quieres. Bien segura y larga. De hecho recomendaría apuntarla en algún lugar físico puesto que no hay manera de recuperar el backup si pierdes la contraseña.

Luego metería en archivo en un Pendrive comprado únicamente para ese uso y lo guardaría en mi cajón o armario de documentos importantes.

Lo siento, no lo sé, yo como soy gente de mal vivir :P lo hice por mi cuenta. Los detalles, si me perdonas, los voy a omitir ;).

Claro que es buena, pero subiendo la cartera en dichas condiciones sirve hasta el propio servidor de correo. La cuestión es tener varias copias de la cartera cifrada con criptografía fuerte en varios lugares físicamente distintos y si se desea, además, ofuscada.

El problema que veo con una contraseña aleatoria de 63 caracteres, es que es imposible de memorizar.
Con lo cual otra vez tienes que pensar como y donde guardarla, encriptarla, etc.

Quizás sería mas conveniente una contraseña del tipo "estaesunacontraseñatanseguracomolade63caracteresaleatorios"

Una buena solución: Con http://www.truecrypt.org te creas una unidad cifrada, que puedes llevar en una llave usb, sincronizarla en dropbox, etc.. dentro guardas una copia de tu wallet.dat si usas el cliente oficial o ficheros de claves de http://keepass.info

Para estenografía en linux esta steghide y no va mal :)

Yo propongo lo mismo que mrmx, truecrypt, si eres un poco paranoico como yo con el tema de la privacidad de ciertos archivos, tengo varias unidades virtuales de 9 gb y 5 gb, encriptadas en truecrypth, y uso triple cifrado..

AES-Twofish-Serpent

Copio directamente de la web de Truecrypt, :

AES-Twofish-Serpent
Three ciphers in a cascade [15, 16] operating in XTS mode (see the section Modes of Operation). Each 128-bit block is first encrypted with Serpent (256-bit key) in XTS mode, then with Twofish (256-bit key) in XTS mode, and finally with AES (256-bit key) in XTS mode. Each of the cascaded ciphers uses its own key. All encryption keys are mutually independent (note that header keys are independent too, even though they are derived from a single password – see the section Header Key Derivation, Salt, and Iteration Count). See above for information on the individual cascaded ciphers.

Por lo que esta forma mas el cifrado propio del wallet, ya son 4 encriptaciones, a parte lo bueno de truecrypt (cosa que yo tambien tengo activado) a parte de la contraseña, puedes aun complicarlo mas si asocias el fichero asociado a otro fichero (utilizaria ese fichero como una contraseña de paso, si te equivocs de fichero o no eliges el mismo no te deja avanzar).

Utilizo contraseña de 26 caracteres con letas (mayusculas y minusculas) numeros y simbolos...

Particularmente es la forma mas facil de que lo tengas 100% protegido. Asi que os animo a probarlo a todos.

Un saludo

A mí lo que me da yuyu de tener volúmenes grandes es que si falla un solo bit, y si no me equivoco, se pierde todo lo que hay desde ese bit hasta el final del volumen. Por eso procuro limitar los míos a, por ejemplo, 2 Gb. En linux, por cierto, uso cryptmount.

Yo es que por eso siempre uso 2 copias de seguridad de los archivos "importantes" original pc y portatil (ya son 2 copias sincronizadas a traves de dropbox) 1 en un hdd externo que uso solo para backups generales, y por ultimo, al tener una empresa de hosting, tengo una VPS en un servidor dedicado mio, en el cual tengo sincronizado todo mi /home a traves de rsync cada 7 dias.

De esta forma me aseguro de tener redundancia de todos mis ficheros importantes.

A parte cada x tiempo suelo hacer un clonado a una imagen a traves de "Clonezilla" (para linux), a un segundo HDD externo de 1TB, guardando siempre los ultimos 3 backups.

Por lo tanto es dificil que aunque me falle 1 bit en el original, siempre tengo copias.

La verdad hay colegas que me han dicho que soy algo paranoico con las copias de seguridad, pero siendo administrador de sistemas, y tecnico en seguridad informatica, y por donde trabajo, si no fuera por mis backups, la empresa donde trabajo ya hubiera desaparecido, porque los trabajadores se la sopla la seguridad xDDD.

Un saludo

Ya hombre, si copias está claro que hay que tener, pero es una jodienda que te pete un sector del disco (ya sabes, esas cosas pasan…) y en lugar de tener que restaurar sólo el archivo afectado haya que restaurar cientos de megas.

Volviendo a Mega, si se integrara más con el sistema como hace dropbox, la verdad es que estaría bastante mono.

Pero MEGA no tiene acceso a esos datos, ¿no es cierto?

Yo lo que hago es comprimirlo y meterlo en skydrive, dropbox y un pendrive, visto lo que pasó con megaupload yo no dejaría la cartera en servidores propensos a violar los contenidos con derechos de autor...

Me parece que encryptacion del winrar es suficiente en la practica, que por defecto lo hace con AES.
Pero mas alla del algoritmo, la forma que esta implementada hace que el crackeo por fuerza bruta sea (practicamente) imposible si la contrase~a supera 7 caracteres, y si encriptas los headers (ocultas los nombre de los archivos), pues olvidate de ataques con plaintext.

La implementacion, esa es la palabra clave y el santo grial en la encriptacion, y RAR lo hace jodidamente bien.
En comparacion, hacer fuerza bruta de ZIP puedes hacerlo 15 millones de intentos por segundo, en RAR (versiones superiores al 3.0) apenas unas pocas (menos de 100) por segundo.
La fuerza bruta es absolutamente impractica con RAR, el ataque por plaintext es imposible si no puedes ver el contenido (recuerda chequear la opcion de ocultar los nombres de los archivos cuando le pones la contrase~a), el unico ataque viable en RAR es un ataque de diccionario, que basicamente es un manotazo de ahogado, facilmente prevenible.

Yo creo que uno tiene que balancear la practicalidad y la seguridad. Si es para dejar un backup del wallet en la nube, pues rar es mas que suficiente.
Obviamente usar truecrypt es imbatible, pero al menos sea sencillo montartelo "en hot", es engorroso.
Escuche tanto historias de terror de truecrypt con dropbox, algunos dicen que se sincroniza bien y lo puedes montar directo. Pero aca surge un problema porque dropbox almacena cada version modificada de tu contenedor, esta funcionalidad tan simpatica de sincronizacion puede llegar a vulnerar tu seguridad ya que facilita la busqueda del volume key (no necesariamente del passphrase).
Para mantener el mismo nivel de seguridad siempre, uno debe crear un nuevo contenedor Truecrypt cada vez que quiera subirlo de nuevo a dropbox.

Creo que el approach mas practico es:

1) Ten un pendrive con un contenedor Truecrypt, con tu blockchain y wallet actualizados.
2) Crea varias copias redundantes, comprimete el wallet.dat en RAR (3.0+) con una contrase~a de 10 caracteres o mas.
2.1) Subelo a todos los hosts gratuitos que encuentres, ya sea mega, adrive, dropbox, google drive y hasta la basofia de microsoft. Esto se haria una unica vez, para emergencias, por si llega a pasarle a tu pendrive.
2.2) Y si crees que vas a tener tan mala suerte de que te olvidaras la contrase~as de todas las empresas de alojamiento de archivos, entonces hazte un backup en papel de tu wallet y dejalo en tu caja de seguridad del banco o en una caja fuerte en tu casa.

Me da pánico pensar qué es lo que entenderá el personaje medio sobre el uso de bitcoin.

La encriptación del wallet que viene por defecto en los últimos clientes bitcoin (AES-256-CBC) es más que suficiente. Una vez encriptado haz backups en donde quieras, da igual Mega, Gmail ...

Por cierto, es conveniente hacer backups cada vez que se usa el cliente bitcoin y si lo complicas mucho no lo harás.

Podrías usar un cliente con cartera determinista, como Electrum, Multibit o Armory; así no tienes que hacer backups por cada transacción.

¿¿¿¿¿¡¡¡¡¡ EEEEIINNN !!!!????

Referencias, por favor.

Opino lo mismo, que es más seguro meterlo en diferentes dispositivos USB.

Incluso podéis escribir las claves privadas en papel a mano, no son muy largas. Eso si, fijáos bien que no las escribáis mal.

Yo igual, pienso que MEGA es "seguro"; pero no lo usaria para copias de seguridad.

MEGA es un servicio de terceros que quizas sea una parte innecesaria de la ecuacion.

Absolutamente no!

Ni siquiera se dignaron en pagar a sus proveedores de hosting, entre ellos Leaseweb, los cientos de servidores rentados que tenían, y los datos ahora se han eliminado.

Para colmo, intentaron culpar a Leaseweb de ello, siendo que estos mantuvieron los equipos por de 1 año sin pago.

Antes de que entren en el debate de que sus fondos estaban congelados, eso no se lo cree nadie, que no tenían ni un dolar, bien que tienen para pagar las mansiones y aviones, e invertir en nuevas empresas pero no tienen unos dolares como muestra de compromiso con dicha empresa, que por supuesto no hubiera borrado nada si hubieran visto signos de pago en el futuro.

Lo concreto esta en que lo mismo puede pasar con Mega. Mañana dejan de pagar a sus proveedores y adiós tus datos. Con ella tu billetera Bitcoin.

Estos servicios no son absolutamente serios. De lo contrario pregunten donde estaban las copias de respaldo de los servidores borrados de Leaseweb? No había. Megaupload jamas hacia copias de nada. Cuando los disco de un servidor fallaban, se perdían todos los datos de varios usuarios.

Una empresa que no tiene copias de protección para tus datos, es un juego de niños y no debería siquiera ser tomada en serio.

Ya lo hicieron con Megaupload, sin backups, sin pagar a sus proveedores en 1 año.

¿Como cree que no lo harían con Mega? Buscan lo mas barato que existe, y eso no incluye proteger tus datos.

Sería ridículo poner tus bitcoins en un servicio tan poco serio, en particular cuando hay proveedores serios, Dropbox y muchos otros que incluso son gratuitos.

Es más seguro protegerlo con el algoritmo de contraseña del WinRar que subirlo asi tal cual a Mega.
Además ten por seguro que el nuevo Mega está permanentemente rastreado por terceras empresas y lobbys del Copyright y ya han dejado bien claro que cuando les toque a la puerta el FBI o cualquier otro servicio de inteligencia no les van a poner ni el más mínimo impedimento.