Bitcoin Forum

   И так разберем два самых популярных на сегодняшний день аппаратных кошелька - Trezor One & Ledger Nano S.

  Начнем немного из далека. Эти два кошелька считаются самыми надежными для хранения ваших криптоактивов. Потому если вы холдите приличные, да и по сути любые суммы крипты, но не особо доверяете другим опциям, берете аппаратный кошелек, и ваши битки/альты по сути находятся в 3х литровой банке в кладовке. :D

Зачем же использовать аппаратный кошелек?

С развитием криптосферы, некоторые компании занялись проблемами безопасности хранения крипты, так и появились trezor и ledger. Особенностью каждого является наличие небольшого OLED экрана (у Trezor — LCD), который помогает в работе и обеспечивает еще один уровень безопасности, не давая возможности левым пассажирам узнать ваши ключи. Так же защищают и от фишинговых сайтов.

https://miethereum.com/wp-content/uploads/2018/04/trezor-one-vs-ledger-nano-s-comparativa-1.png

Принцип работы

Вся крипта, по факту, хранится в блокчейне, а не на устройстве. Кошелек же, по сути, нужен для хранение ваших приватных ключей, которые в свою очередь позволяют производить операции с вашими активами. Держать ключи в безопасности - задача аппаратного кошелька.

Любым аппаратным кошельком управляет микроконтроллер (чип), который генерирует и, условно говоря, хранит приватные ключи. Генерация приватных ключей как таковая используется далеко не только в блокчейн-технологии, а практически везде, где происходит передача зашифрованных данных. Соответственно, чипов сегодня много.

В Trezor используется один из самых простых — STM32F205. Линейка STM32F2хх появилась больше пяти лет назад, сегодня используется в простейших электронных устройствах, не предполагает никакого особенно надежного шифрования данных и не имеет сертификата безопасности, то есть не соответствует принятым на сегодня международным критериям.

В Ledger Nano S контроллера два:

STM32F042K. Контроллер из линейки, похожей на STM32F2хх и по характеристикам безопасности отличающейся мало.
ST31H320. Более надежный, имеющий международный сертификат безопасности EAL5+ и являющийся, согласно этому сертификату, «безопасным хранилищем» или «безопасным анклавом». Используется, к примеру, при некоторых банковских транзакциях. Именно он отвечает за хранение приватных ключей в Ledger.
Что из этого? Допустим, компьютер пользователя будет заражен программой, позволяющей получить удаленный доступ к подключенному кошельку. Получив его, опытный злоумышленник сравнительно легко сможет получить доступ к информации на STM32, но не взломает ST31. Следовательно, ключи с Ledger он не получит, ключи с Trezor — получит.

Внешний пользовательский уровень защиты примерно одинаков на обоих кошельках и предполагает следующий набор функций:

Установка пин-кода на устройство.
Использование двухфакторной аутентификации при совершении транзакций.
Возможность использования мультиподписей (нескольких ключей, которые можно хранить в разных местах).

При работе с кошельком, ключи не видит никто, даже вы, они хранятся на кошельке, а доступ к ним вы имеете при помощи пин кода. В случае повреждения устройства, вы легко сможете восстановить доступ к своим активам через сид фразы, которые вы создаете при первой настройке устройства. Хранить их стоит подальше от самого кошелька. Желательно, в двух экземплярах.
Если вы уже гордый член криптокомьюнити, есть смысл задуматься о покупке аппартного кошелька, и хранении на нем свои активов (или части активов.)

Уязвимость к атаке	Trezor	Ledger
Атака посредника	-	-
USB DFU	-	-
Обход пин кода	-	-
Цепь поставок	-	-
Восстановление по обычному тексту	+	+
Слежка	+	+

TREZOR ONE VS LEDGER NANO S

Trezor One (https://shop.trezor.io/)

https://miethereum.com/wp-content/uploads/2018/01/trezor-wallet-fisico.jpg

Trezor One, еще раз, аппаратный кошелек для холодного хранения вашей крипты. Холодное хранение означает что девайс не подключен к сети постоянно, что обеспечивает безопасность, но легко подключается, при необходимости. Трезор был первым, потому имеет свою комьюнити, что играет ему на руку, да и в сравнении с другими, понимает потребности клиентов лучше своих конкурентов. Многие топят именно за трезор, как за самый оптимальный холодный кошель.

Ledger Nano S (https://www.ledger.com/products/ledger-nano-s)

https://miethereum.com/wp-content/uploads/2018/04/ledger-nano-s-comparacion.jpg

Ledger Nano S - кошелек в виде USB накопителя. Так же разработан с учетом всех характеристик безопасности и отлично подходит для хранения крипты, несмотря на то что он появился гораздо позже трезора, он быстро завоевал свои позиции близкие к позициям конкурента. И в настоящее время модель Ledger Nano S - самая успешная у компании.

Внешний вид кошельков и размеры
https://miethereum.com/wp-content/uploads/2018/04/trezor-blanco-y-negro-300x300.jpghttps://miethereum.com/wp-content/uploads/2018/04/ledger_nano_s_pantalla-abierto-300x279.png

Трезор изготовлен из пластика и идет в двух цветах (белый, черный), Леджер - из алюминия(один цвет). Алюминий звучит, конечно же, солидней, но по факту, в плане функционала (устойчивости к падениям) никто друг другу не уступает. Оба кошелька имеют две кнопки, которые используются для управления/навигации при работе с девайсом.  У каждого устройства есть экраничики (у трезора немного больше), юсб порта и кабеля. Размер обоих кошельков вполне удобен: Ledger — 90 х 18 х 9 мм; размер Trezor 60 х 30 х 6 мм. Вес тоже не слишком отличается: Ledger — 16 г, Trezor — 12 г. Как видите внизу по рисункам разницы особо нет, но ИМХО леджер стилевей как то.

Trezor
https://miethereum.com/wp-content/uploads/2018/04/especificaciones-trezor-one.jpg
Ledger
https://miethereum.com/wp-content/uploads/2018/04/especificaciones-ledger-nano-s.jpg


Поддержка монет

Валюта	Trezor	Ledger
Bitcoin (BTC)	+	+
Bitcoin Cash (BCH)	+	+
Bitcoin Gold (BTG)	+	+
Ethereum (ETH)	+	+
ERC-20 Tokens*	+	+
Ethereum Classic (ETC)	+	+
Litecoin (LTC)	+	+
Zcash (ZEC)	+	+
Dogecoin (DOGE)	+	+
Ripple (XRP)	-	+
Neo (NEO)	-	+
Stellar (XLM)	-	+
Dash (DASH)	+	+
Expanse (EXP)	+	+
UBIQ (UBQ)	+	+
NEM (XEM)	+	-
Namecoin (NMC)	+	-
Stratis (STRAT)	-	+
Komodo (KMD)	-	+
Ark (ARK)	-	+
Vertcoin (VTC)	-	+
Viacoin (VIA)	-	+
Stealthcoin (XST)	-	+
Hcash (HSR)	-	+
Digibyte (DGB)	-	+
Qtum (QTUM)	-	+
ZenCash (ZEN)	-	+
Bitcoin Private (BTCP)	-	+
Woleet	-	+
Peeercoin (PPC)	-	+
Nimiq	-	+
Nano	-	+
Zcoin (XZC)	-	+
Tron (TRX)	-	+
PivX (PIVX)	-	+
POA Network (POA)	-	+
Kowala (KUSD)	-	+
Ontology (ONT)	-	+
Wanchain (WAN)	-	+
Particl (PART)	-	+
Rootstock (RSK)	-	+
Zilliqa (ZIL)	-	+
Vechain (VET)	-	+
Icon (ICX)	-	+
Hycon (HYC)	-	+
Rise (RISE)	-	+
FIC Network	-	+
Akroma (AKA)	-	+
Pirl (PIRL)	-	+
Waves (WAVES)	-	+
EOS (EOS)	-	+
PosW (POSW)	-	+
Banano (BAN)	-	+
Aion (AION)	-	+

*оба кошелька поддерживают все токены по стандарту ERC-20.

Актуальные списки всегда можете увидеть tyt (https://www.ledger.com/pages/supported-crypto-assets) u tyt (https://trello.com/b/5nQ1mdzt/ledger-roadmap) для Леджера и  здесь (https://doc.satoshilabs.com/trezor-faq/overview.html#which-coins-are-currently-supported) для Трезора (в топике так же буду стараться обновлять)


Совместимость по софту

Для использования любого девайса нужен софт, само собой каждый из них имеет свое оф. ПО, но так же имеют возможность подключатся и к другим кошелькам.

Актуальная информация по интеграции доступна по ссылкам Trezor Apps  (https://doc.satoshilabs.com/trezor-apps/index.html) и Ledger Integrations (https://www.ledgerwallet.com/r/6841?path=/products/ledger-nano-s)

Первоначальная настройка

Процесс первоначальной настройки на обоих устройствах довольно схож, и не занимает более 10 минут.

Трезор. Все что нужно будет сделать это посетить сайт trezor.io/start, и помощник поможет нам шаг за шагом все настроить. Сначала попросит нас установить программу Trezor Bridge, а также подключать и отключать устройство к компьютеру по мере установке. Затем появится сид фраза из 24 слов, которую было бы отлично сохранить в надежном месте в оффлайне. Сид фраза потребуется в случае потери, разрушения или кражи устройства.
И Трезор, и Леджер также попросят установить PIN-код в качестве дополнительной меры безопасности. Если  кто то украдает ваш кошелек, у него будет три попытки на отгадку пин кода, после этого вся информация будет стерта.

https://miethereum.com/wp-content/uploads/2018/04/pantalla-ledger-comprar.jpg

Софт и френдли интерфейс

Trezor совместим с MacOS, Windows и Linux. Существуют также расширения Google Chrome для Trezor, которые могут быть полезны.
Интерфейс у Трезора хорошо запилен в минималистичном стиле.
https://miethereum.com/wp-content/uploads/2018/04/trezor-software-configuracion.jpg

Ledger в свою очередь совместим с MacOS, Linux, Windows и даже с Chrome OS. Интерфейс так же очень прост в использовании на интуитивном уровне.

https://miethereum.com/wp-content/uploads/2018/04/ledger-software-configuracion.jpg


Один из неоспоримых плюсов этих девайсов, что не стоит держать на компьютере несколько программных кошельков для ваших сбережений, а использовать тезор или леджер.


Комплектация

Trezor
https://miethereum.com/wp-content/uploads/2018/04/trezor-caja-unboxing.jpg

Содержимое упаковки:
-Трезор
-Ремешок
-USB-кабель
-Инструкция
-2 карточки для записи сид фразы

Ledger

https://miethereum.com/wp-content/uploads/2018/04/ledger-caja-unboxing.jpg

Содержимое упаковки:
-Леджер
-USB-кабель
-Брелок
-Ремешок
-Инструкция
-Карточка для сид фразы

Итоги:
Оба устройства очень надежны. Оба выполняют те же функции (отправка и прием крипты, просмотр баланса, транзакций и т.п.). Оба имеют защиту по пин коду. Оба можем восстановить при помощи сохраненной сид фразы.
Цена на Трезор стартует от 85 евро до 180 евро (за Trezor Model T), и на Леджер от 99 евро. У Трезора в свою очередь софт считается немного лучше, позволяя синхронизировать информацию о транзах с акком на DropBox. Леджер поддерживает же немного больше альтов, чем Трезор.
Какой выбрать? Выбор, как всегда, за Вами.

p.s. апдейты/дополнения от комьюнити приветствуются.

Источники (https://blockonomi.com/trezor-vs-ledger/), которые  (https://99bitcoins.com/trezor-vs-ledger-hands-hardware-wallets-review/)использовались (https://miethereum.com/guias/trezor-one-vs-ledger-nano-s/) тут (https://cryptonet.biz/ru/ledger-i-trezor-v-chem-otlichiya-i-kakoj-koshelek-luchshe-dlya-hraneniya-kriptovalyuty/).

Странно, а почему наречие "тут" написано на латинице? Это фишка такая? :)

Ага, изюминка от автора, там еще и "и" на латинице  :D :D защита от копипасты  ;D

"В Trezor используется один из самых простых — STM32F205. Линейка STM32F2хх появилась больше пяти лет назад, сегодня используется в простейших электронных устройствах, не предполагает никакого особенно надежного шифрования данных и не имеет сертификата безопасности, то есть не соответствует принятым на сегодня международным критериям.

В Ledger Nano S контроллера два:

STM32F042K. Контроллер из линейки, похожей на STM32F2хх и по характеристикам безопасности отличающейся мало.
ST31H320. Более надежный, имеющий международный сертификат безопасности EAL5+ и являющийся, согласно этому сертификату, «безопасным хранилищем» или «безопасным анклавом». Используется, к примеру, при некоторых банковских транзакциях. Именно он отвечает за хранение приватных ключей в Ledger.
Что из этого? Допустим, компьютер пользователя будет заражен программой, позволяющей получить удаленный доступ к подключенному кошельку. Получив его, опытный злоумышленник сравнительно легко сможет получить доступ к информации на STM32, но не взломает ST31. Следовательно, ключи с Ledger он не получит, ключи с Trezor — получит."

Это скорее всего самое важное при выборе аппаратника - все остальное ерунда (внешний вид, цена, количество валют итд).

Trezor один из первых аппаратных кошельков, если человек достаточно обеспечен или консервативен, то скорее всего он выберет его. Ledger Nano S на сегодняшний день является более надежным и все больше людей склоняются к покупке именно его.

Несколько странно такой вывод выглядит после сравнения микроконтроллеров. А уж после статей типа этой (https://bitnovosti.com/2017/12/07/uyazvimosti-apparatnyh-koshelkov/) - так тем более (картинка ниже - оттуда же).

https://bitnovosti.com/wp-content/uploads/2017/11/09.bitcoin-hardware-wallets-vulnerabilities-bitnovosti.jpg

Хотя, конечно, всегда стоит делать "поправку на пользователя" и прочие условия, не относящиеся к самому устройству.
Кстати, не вполне понимаю, почему источники записаны в таком странном стиле и таким мелким шрифтом. Вы их стыдитесь, что ли?

Немного позже дополню статью, спасибо за источник.

Надежность - дело относительное, я не присуждал никому первые места.

Оформление источников,как и самой статьи, это проба пера и стиль автора.

Устаревшая информация по этой ссылке.

Зачем допускать невозможное? Ничего, кстати, не сказано про открытый код трезора и частично закрытый леджера.

Монеты, по-моему, не все перечислены. Не вижу, например, Lisk, Decred.

У трезора раньше не было ограничений на количество попыток ввода пина, просто с каждой попыткой увеличивалось время лока устройства до следующей попытки. Может сейчас это изменили, не знаю.

steve_rogers, Вы владеете обоими кошельками? Было бы неплохо добавить информацию про обновление)))
Ибо с Леджером у многих возникают проблемы, как бы там не "старались" разрабы, глючность до сих пор на высоком уровне.

Пруфы сможете дать? Какая именно информация устарела и что поменялось.

Посоветуйте, пожалуйста, хочу заказать один из этих кошельков на подарок девушке, какой из двух лучше выбрать? Скажите какой бы вы выбрали?

Возможность атаки посредника (MITM) была убрана в прошивке леджера 1.3.1. В статье об этом есть поправка: "Поправка: В последней прошивке 1.3.1 показываются полные адреса Биткойна, так что это не относится к устройствам с последней прошивкой и последней версией приложения Ledger Bitcoin Wallet для транзакций с биткойнами. Однако для прошивки 1.3.1 и Ledger Ethereum Wallet 1.0.19 по-прежнему отображаются только частичные (8-значные) адреса Ethereum, и эта уязвимость всё ещё существует". Но позже было обязательное обновление прошивки 1.4.0 (сейчас актуальная 1.4.2), в котором эфирный адрес уже тоже показывался бегущей строкой. Справедливости ради нужно сказать, что XRP так и показывает 8 символов. Не знаю, насколько сложно в рипле сгенерировать похожий адрес (может там все иначе, да и каждый адрес там стоит 20 xrp). К тому же, рипл пока не настолько популярен, мало кто держит в нем большие суммы. Но факт остается фактом. С другой стороны, в трезоре вообще нет поддержки XRP ).

Дальше. Уязвимость обхода пина в трезоре была закрыта еще год назад, кажется, в прошивке 1.5.2 (актуальная 1.6.3).

Дальше. Так называемая уязвимость обновления прошивки. Вот комментарий CTO трезора https://medium.com/@pavolrusnak/trezor-does-not-use-dfu-and-potential-attacks-described-in-defcon-talk-have-been-fixed-already-in-2de13d30196d . Кстати, о статье на реддите он высказался так (https://www.reddit.com/r/TREZOR/comments/7gypte/is_trezor_working_on_the_security_vulnerabilities/): "That is a bullshit article to propagate the Grid+ product. Nothing interesting and you should move on .."

Дальше. Так называемая "цепь поставок" трезора. С последней прошивкой (https://blog.trezor.io/trezor-one-firmware-update-1-6-3-73894c0506d) это стало невозможно.
 
Ну и неточность, о которой я говорил уже:"У Trezor и Ledger есть опция сброса в случае 3-кратного ввода неправильного ПИН-кода."  В доках трезора написано (https://doc.satoshilabs.com/trezor-faq/threats.html): "Each time you enter a wrong PIN, the wait time increases by a power of 2. After the first few failures, you have to wait several seconds before you’ll be able to try another PIN. Trying the top 15 PINs would take about 18 hours. After this, the device wipes itself."

Подытожим. В этой таблице должно быть так:
Нет Нет (xrp?)
Нет Нет
Нет Нет
Нет Нет
Да  Да
Да  Да

https://bitnovosti.com/wp-content/uploads/2017/11/09.bitcoin-hardware-wallets-vulnerabilities-bitnovosti.jpg






Какие монеты девушка будет там хранить?

https://www.ledger.com/products/ledger-blue  для девушки самое то) красивый, дорогой, с дисплеем

Эфир точно будет, остальные не знаю, возможно какие-нибудь топовые альты.

Для эфира любой можно брать. А топовые альты - это какие? С XRP пока только леджер работает, с NEM пока только трезор.

Учтите только, что он снят с производства (распродается последняя партия) - неизвестно как он будет поддерживаться дальше.

Закажите Ledger nano s, он самый популярный из всех Ledger, и можно не бояться о прекращении обновления устройства. Да и сам кошелек очень удобный и легкий в использовании. Думаю девушке понравится.

Можно ссылку на источник? я ни в оффсписке, ни в роадмапе их не вижу.

Ребят, пост по тех части допилю в ближайшие дни, а пока ловите мемчик  :)

https://pp.userapi.com/c849216/v849216700/92a14/uuM7Ky7gjI8.jpg

Да, вы правы. Источники, типа этого (https://bcfocus.com/news/lisk-lsk-decred-bitcoin-private-supported-on-trezor-wallet/17278/), оказались не очень. Прошивкой вроде поддерживаются, а кошельков пока нет. Прошу прощения, тщательнЕе надо быть.
В списке, поддерживаемых леджером не вижу PoSW. И на днях еще 7 добавилось: Aion (AION), Atheios (ATH), Banano, Callisto (CLO), Ethersocial (ESN), Ether1 (ETHO), GoChain (GO).

Да, спасибо, PoSW проглядел не знаю как, новые добавил, не знаю есть ли смысл добавлять те, которые МЕВ юзают, тогда по логике нужно все 700+ в таблицу лупить.

Спасибо большое за топик! Побольше бы таких! Я себе всю голову сломал пока искал, а тут сразу и сравнение и баги и плюсы и минусы. осталось собраться с духом и выбрать. Все как бабка проценщица жду может у леджера будет распродажа в черную пятницу какая. Хотя давно бы уже мог взять, но скупой как известно...
Тем не менее новичкам топик будет крайне полезен, не надо фрагментировано собирать информацию.
Кстати насколько я понял ни на ибэй, ни где либо еще брать нельзя, только офф. сайт, от греха подальше. 

Оф. сайт в РФ, например, могут и не пропустить на таможне. Лучше заказать на Европу доверенному лицу с официального сайта и привезти сюда

подскажите, В Ledger Live При отключенном девайсе всегда будет актуальная информация по крипте показываться? То есть, течение средств при возможной несанкционированной атаке (гипотетической) я увижу с неподключенным девайсом?

Да, постоянно мониторятся блокчейны.

При восстановлении по сид-фразе пароль не нужен?
То есть, если кто-то узнает сид-фразу - получит доступ к кошельку?

Какой пароль?

При входе в устройство требуется пин-код. Нужен ли он при восстановлении по сид-фразе?

Нет, пин-код не нужен. Если дополнительно к сиду установить passphrase (иногда называют "25 словом"), то такой пароль нужен.

Всем большое спасибо за совет, заказал и уже получил Ledger nano s  :)

Зачем все усложнять? У Ledger некоторое время был запрет на доставку в РФ, но с недавних пор все нормально доставляется. У Trezor вовсе не было таких проблем. Так что, и то, и другое, нормально можно заказать чуть ли не до своей двери.

Последовательность действий: заказали с оф.сайта -> получаем кошелек ->пользуемся в свое удовольствие.

Не нужны эти танцы с бубном доверенным лицом. Будто у каждого есть карманное доверенное европейское лицо. На таможне все нормально пропускают.

Для себя принципиально разницы не вижу. Пользуюсь Леджером давно. И тот и тот вполне надежен.

Для тех, кто еще не определился  с выбором между Trezor и Ledger, рекомедую к чтению данную статью:
https://bitnovosti.com/2017/12/07/uyazvimosti-apparatnyh-koshelkov/

Здесь достаточно подробно описаны особенности двух данных кошельков, несмотря на то, что статья немного устарела. Уверен, в любом случае, будет полезно, как минимум, для общего развитися.

Уже обсудили в теме эту статью, зачем вы опять ее рекомендуете? Устарела она сильно.

Для себя приметила Ledger Nano S,так как альтов у него много мне это необходимо,хотя хотелось бы все,но думаю потихоньку будут добавлять 8)Так что буду брать очень безопасный холодный кошелек чем хранить в горячем,что не может не радовать,спасибо за статью все очень подробно и понятно ;)

А какие могут быть проблемы при покупке с рук, при условиях, что кошелёк запечатан в заводскую упаковку, при запуске ведёт себя действительно так, будто его в первый раз запустили и без проблем соединяется с сайтом производителя, обновляя прошивку (если обновление есть, конечно)?

В принципе, никакие. 7 бед - 1 reset. Откатили до заводских - и вот вам новое устройство, чистое, как слеза ребенка.

Но... как будете решать вопрос с гарантийным возвратом при обнаружении дефектов \ преждевременного выхода из строя кошелька, если таковые возникнут? Оф.гарантия распространяется только при покупке с оф.сайта и у оф.дистрибютеров. Сдается, левый продавец с ибэй вряд ли будет заморачиваться с гарантийным заменой\возвратом.

P.S. зачем усложнять и создавать ситуации, когда вам могут подсунуть не то, что вы покупаете?

Я тоже так думал год назад. А потом Saleem Rashid продемонстрировал (https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/), что не все так просто. Да, выпустили новую прошивку, дыру закрыли, сказали, что софт теперь при каждом подключении что-то там тестирует, и теперь, мол, взлом не возможен. Но раньше-то примерно то же говорили...
Так что я не очень верю в то, что устройство в принципе нельзя взломать при физическом контакте с ним. Поэтому, хоть риск почти ничтожен, я бы себе с рук не покупал. Или купил бы, но либо хранил там небольшие суммы (до выхода новой прошивки), либо использовал только в мультиподписи (мультиподписной кошелек вообще, на мой взгляд, лучший способ хранения по соотношению удобство/безопасность).

В кошельке Ledger нашли баг, согласно которому любая веб-страница может получить доступ к устройству, когда оно подключено к ПК. Обещают устранить в ближайшее время. То есть прямо сейчас еще не устранили. Если у вас аппаратный кошелек Ledger, то Вам надо сделать всего лишь 2 вещи. 1. Не подключать его к компьютеру, пока на официальном сайте Ledger не сообщат, что устранили уязвимость и не пришлют обновление прошивки.  2. Заказать Трезор на официальном сайте за 70 Евро по этой ссылке дабы потом не было мучительно больно за бездарно потерянные биткоины и эфиры. Кстати, в новой прошивке Трезор поддерживает быстрый и выгодный обмен любой крипты на любую а также на Евро и доллары, внутри кошелька, без вывода средств на биржу, а также работу через браузер Chrome без всяких дополнительных программ, прямо из коробки.

Автор не я, мне скинули в телегу, потому за достоверность не ручаюсь, кто может подтвердить инфу надежными источниками - не стесняйтесь.

Это написал ГеннадийМ. Никто эту чушь подтвердить не сможет.

Да я так же гуглил ничего поиск не дал, но пока пускай повисит, лучше перебдеть чем недобдеть.

А как насчет 3-го вариант: закрыть любые веб-страницы, которые могут получить доступ к устройству ? Чтобы отправить с Ledger достаточно Ledger Live и адреса получателя. Чтобы получить на свой Ledger достаточно своего адреса. Зачем в момент получения\отправки держать открытым"любая веб-страница может получить доступ к устройству" ? 

Если инфа фэйк - ну и плевать, если правда - юзать 3-й вариант, пока разрабы не выкатят обновление.

Мне по дизайну и функционалу больше нравится LEDGER Nano S, поэтому я выбрал бы именно его, правда цены ещё толком не знаю :D

Мне тоже Ledger Nano S внешне больше нравится, а цены на него до 26 ноября в 2 раза ниже рыночной стоимости благодаря акции "Черная пятница". Trezor тоже не дремлет и поэтому их модель One по той же акции подешевел. В результате, что Ledger Nano S, что Trezor One, если покупать в данный период, по стоимости примерно равны. Поэтому, желающие могут приобрести подходящее их требованиям устройство.

Что есть у Trezor и нету у Ledger Nano S
- нельзя отправить средства сразу на несколько адресов
- обмен криптовалют из интерфейса кошелька
- нельзя подписать транзакцию оффлайн и получить готовый код для трансляции
- нельзя использовать отложенные платежи op_locktime
- нельзя использовать отправку произвольного кода в блокчейн op_return
- Password Manager - нельзя отобразить в удобном виде пароли, так как отсутствует какой-либо интерфейс
- Password Manager - нельзя сохранить пароль. Кошелек сам генерирует пароль исходят из метки и одного из приватных ключей кошелька

Что есть у Ledger и нету у Trezor
- отсутствует единый интерфейс с отображение всех балансов

- еще хотел бы сказать пару слов о комьюнити. На редите Trezor разработчики отвечают намного чаще, чем в Ledger. Порой мне отвечал даже Stick (один из основателей Trezor)
- Trezor всегда предоставляет больше информации о той или иной функции. Например. при использовании менеджера паролей, будет написано в какой из методов шифрования файла используется. Отсюда Trezor сделали фантастический wiki - https://wiki.trezor.io
- открытая баунти программа и все зафиксированные уязвимости можно найти здесь - https://trezor.io/security/

В целом на вкус и цвет, но мне ближе по духу Trezor за счет большего функционала. Ledger Nano S тоже неплохой вариант, но возня с приложениями и загрузками приложений меня всегда напрягала.

Что же касается разговоров про чипы и сертификаты безопасности. Я бы на это вообще не обращал внимания, так как не было зарегистрировано ни одного случая удаленного взлома Трезора. А вероятность, что вас будут пасти, украдут кошелек, потом взломают кажутся фантастикой по следующим причинам:

а) вряд ли человек с такими мозгами будет красть кошельки, он скорее инвестирует себя в более доходные методы заработка. И сразу может неплохо заработать на баунти от трезора.
в) перед кражей злоумышленник должен какое-то время вас пасти, мониторить ваши адреса и следить за финансовой картиной (это еще дополнительные издержки для него)
б) когда у вас украдут кошелек, и предположим, что злоумышленник знает как вытащить приватные ключи ему все равно на это потребуется время. За это время вы можете обнаружить кражу  и мигрировать в другой кошелек все свои средства.

Да, родной софт леджера пока дает лишь базовый функционал. Но если кому-то нужны перечисленные функции, то это осуществимо и с леджером в Electrum. Обмен тоже вроде обещали сделать, хотя мне, например, эта функция не нужна, так как на комиссиях в таких обменах потери заметно больше, чем на нормальной бирже (плата за удобство).
А многим это нужно? Тем более в леджере он показывает лишь примерно половину поддерживаемых монет.
Да, некоторая возня с приложениями имеет место. Что касается функционала, то для меня все-таки главным критерием после безопасности является количество поддерживаемых монет. Мне нужно хранить где-то XMR, XRP, XLM и KMD, если бы не это, то даже не знаю, что бы выбрал )...

Вижу Вы достаточно опытный пользователь. Не могли бы здесь подробней.

Интересует насколько цена далека от биржевых курсов (меня интересуют самые ликвидные биткоин, лайткоин и эфир), насколько большая сама комиссия, как с ликвидностью.

На сколько я помню Trezor делает такой обмен с помощью ShapeShift и Changelly. Там не слышно про всякие верификации и прочие защемления яиц  ;D

Я месяц назад менял BTC на LTC и заплатил за это комиссию в 2000 сатоши. В целом это комиссия чуть выше среднего на тот момент. ShapeShift не взымает дополнительную комиссию за конвертацию, хотя у них, как я полагаю, чуть завешена сумма покупки валюты - за счет этого они и выживают). В момент когда я делал эту транзакцию это было точно выгоднее чем переводить деньги на биржу, менять и обратно на кошелек переводить. Сейчас комиссии изменились, надо проверять.

Вот подробный обзор про trezor.io и обмен, тогда еще доступный в бета версии кошелька - https://youtu.be/5xItpPJHDK0

Поправьте меня если я не прав. При такой стоимости кошелька, его практичность заключается лишь в долгосрочном ходлировании крипты? Хотя по сути смотря за что покупать, взяв за крипту которая растет - он сам превращается в ликвидный актив.

как раз для ходлирования лучше всего подойдет бумажка и сейф. Аппаратный кошелек нужен для активных пользователей. Преимущества следующие:
1) каждая транзакция требует физического подтверждения, то есть удаленно за вас никто не подпишет транзу
2) приватные ключи скрыты (в том числе и от самого владельца аппаратного кошелька), что исключает множество атак
3) дисплей кошелька позволяет отображать детали транзакции (адрес отправки, сумму), которые можно сверять с интерфейсом на ПК и защищаться от фишинга.

вообще можно и с горячим кошельком безопасно пользоваться криптой, но необходимо быть всегда на чеку и соблюдать определенную гигиену ПК. А с аппаратным кошельком даже пьяному человеку будет сложно накосячить

Для холдирования лучше взять пластину нержавейки и выпилять на ней фразу фосстановления каким-то дремелем. В воде не сгорит в огне не утонет, мыши не сгрызут.

Да, а если нет гравера, то можно вытравить электролизом. Я экспериментировал - вполне неплохо получается.

p.s. Пожалуйста, не закрепляйте в русском языке еще одно уродливое слово ("холдирование" или "ходлирование" имею в виду). Один придумал, второй-третий повторил и пошло...

Кстати да, электролиз, и даже фотолитография на текстолитовой плате тоже хороший вариант. Но чуствителен к агресивным средам, а нержа будет долго сопротивляться.

По остальному, наверное соглашусь.

если вы не житель атлантиды, можно выжигателем сид фразу, на какой нибудь деревянной мебели и кисточкой покрасить. Сначала зашифровать . всяко лучше чем ручкой на листочке

Отличные советы коллеги, я себе тоже нечто подобное воротил, но может не так креативно. На куске пластиковой вагонки несмываемым маркером и спрятал "где-надо". Только вот пожары да, не стойкое к ним.

п.0
, делаем поиск
https://yandex.ru/ ST31H320 и EAL6+ (https://yandex.ru/search/?text=ST31H320%20EAL6%2B)
, https://google.ru/ST31H320 EAL6+ (https://www.google.ru/search?&hl=ru&q=ST31H320%20EAL6%2B)
, https://google.ru/ST31H320 site:https://bitcointalk.org (https://www.google.ru/search?&q=ST31H320+site%3Ahttps%3A%2F%2Fbitcointalk.org)

сайт изготовителя ST31H320 говорит что Ledger врёт и держит нас за хомячков. (-> и насчёт аппарано-программных закладок-бэкдоров веры уже нет..)
+ у st.com есть другие варианты EAL6+ https://google.ru/ EAL6+ _www.st.com (https://www.google.ru/search?&as_q=EAL6%2B&as_sitesearch=https%3A%2F%2Fwww.st.com)
Жаль EAL7+ нет https://google.ru/ EAL7+ _www.st.com (https://www.google.ru/search?&q=EAL7+site%3Ahttps%3A%2F%2Fwww.st.com)
И сие никто не замечает! https://google.ru/ EAL6+ _bitcointalk.org (https://www.google.ru/search?&as_q=EAL6%2B&as_sitesearch=https%3A%2F%2Fbitcointalk.org)
Продолжение 2019г. тут (https://bitcointalk.org/index.php?topic=2897956.msg50064120#msg50064120)

п.1
https://en.wikipedia.org/wiki/Evaluation_Assurance_Level
имеем
https://google.ru/ ST31H320 Saleem Rashid (https://www.google.ru/search?q=ST31H320+Saleem+Rashid)
п.2
Что с загрузчиком Trezor ? закрытый или открыт ?
Ledger более стойкий но исходники тоже открыты не полностью.. А полностью хоть ктото открывает ?
поиск в форуме https://google.ru/ EAL6+ _bitcointalk.org (https://www.google.ru/search?&q=EAL6%2B+site%3Abitcointalk.org)
п.3
отзывы из соседней ветки про Ledger
п.4
Инфа к размышлениям
https://yandex.ru/search/ аппаратные закладки в процессорах (https://yandex.ru/search/?&text=%D0%B0%D0%BF%D0%BF%D0%B0%D1%80%D0%B0%D1%82%D0%BD%D1%8B%D0%B5%20%D0%B7%D0%B0%D0%BA%D0%BB%D0%B0%D0%B4%D0%BA%D0%B8%20%D0%B2%20%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81%D0%BE%D1%80%D0%B0%D1%85)
https://ru.wikipedia.org/ Аппаратная_закладка (https://ru.wikipedia.org/wiki/%D0%90%D0%BF%D0%BF%D0%B0%D1%80%D0%B0%D1%82%D0%BD%D0%B0%D1%8F_%D0%B7%D0%B0%D0%BA%D0%BB%D0%B0%D0%B4%D0%BA%D0%B0) , https://en.wikipedia.org/wiki/Hardware_Trojan (https://en.wikipedia.org/wiki/Hardware_Trojan)
https://xakep.ru/2011/12/26/58104/ - Китайские закладки: непридуманная история
http://forum.ixbt.com/topic.cgi?id=8:25147 - Закладки в процессорах - Конференция iXBT.com
ждём новостей тут https://www.google.ru/ STM32F205 Breaking Hardware Wallets (https://www.google.ru/search?&q=STM32F205+Breaking+Hardware+Wallets)
см https://yandex.ru/ журнал хакер pdf 2018 (https://yandex.ru/search/?text=torrent%20%D0%B6%D1%83%D1%80%D0%BD%D0%B0%D0%BB%20%D1%85%D0%B0%D0%BA%D0%B5%D1%80%20pdf%202018)

https://habr.com/свободное железо (https://habr.com/search/?target_type=posts&q=%5B%D1%81%D0%B2%D0%BE%D0%B1%D0%BE%D0%B4%D0%BD%D0%BE%D0%B5%20%D0%B6%D0%B5%D0%BB%D0%B5%D0%B7%D0%BE%5D&order_by=date)

конец цитаты
п.5
https://habr.com/ Intel ME (https://habr.com/search/?q=%5BIntel%20ME%5D&target_type=posts)
др статьи про AMD :
https://www.reddit.com/r/Amd/comments/5vvipr/ryzen_platform_security_processor_and_coreboot/
https://www.reddit.com/r/Amd/comments/a0o77m/with_zen_2_on_the_way_the_amd_platform_security/
https://www.pcworld.com/article/3262967/security/amds-ryzen-epyc-security-co-processor-and-chipset-have-major-flaws-researchers-claim.html
https://www.bleepingcomputer.com/news/security/security-flaw-in-amds-secure-chip-on-chip-processor-disclosed-online/
+ https://translate.google.com
п.6
https://www.youtube.com/ электро карандаш (https://www.youtube.com/results?search_query=%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE+%D0%BA%D0%B0%D1%80%D0%B0%D0%BD%D0%B4%D0%B0%D1%88)
https://www.youtube.com/watch?v=KxU_TJtNKEQ
...

Можно и так, только буквы конские получаются, и погибнуть можно от опасного напряжения.

Простыню вашу лень комментировать, там винегрет из фактов, домыслов и неправды. Лучше напишите своими словами, что вы хотели сказать?

думается можно вместо ~220 подать ~48 вольт на грифель или лучше угольный электрод (угольно-графитовые щётки для движков вообще низкоомные)
https://www.youtube.com/watch?v=VAMtH_0Qo4Y - электро карандаш 60 Вольт

Всё гораздо хуже чем мы думаем. дырок полно в процессорах и что с этим всем делать мне непонятно, ждём экспертов
возможно им эта темка пригодится https://bitcointalk.org/index.php?topic=4603149.0 - Холодное хранение битков: Armory, бумага+coinbin
+
Новинка от Ledger - QRL https://google.ru/ Quantum Resistant Ledger (https://www.google.ru/search?q=Quantum+Resistant+Ledger)
Умилило Легкий клиентский API это что, EAL4+ ? , он же ж должен иметь EAL7+ !! С какой стати он будет "лёгкий" ?
Имхо такое пренебрежение надежностью кошельков отразилась в графиках падающего стремительным домкратом графика курса в теханализах.. да ещё и майнить нельзя..
Ага, вот где все
https://bitcointalk.org/index.php?topic=1730273.0 - [ANN] QRL - Announcing the Quantum Resistant Ledger
https://google.ru/ Quantum Resistant Ledger _bitcointalk.org (https://www.google.ru/search?&as_q=Quantum+Resistant+Ledger&as_sitesearch=https%3A%2F%2Fbitcointalk.org)
https://bitcointalk.org/index.php?topic=2068249.0 - [ANN] QRL : the Quantum Resistant Ledger project

Electrum, на мой взгляд, удобнее для холодного кошелька. В той теме, кстати, ничего не сказано про опасность автозапуска usb-устройств. Я там писал об этом, но автор удалил это сообщениеПочему вы решили, что это от Ledger? И какое отношение этот очередной шиткоин имеет к данной теме?

ну естессно предположить что Ledger должен вскорости выпустить квантовый кошелек для квантовой валюты. в обычный то её не впихнуть..

а вы думаете есть второй Ledger ?

add
вот нашлось
https://yandex.ru/ Ledger merkle tree signature (https://yandex.ru/search/?text=%2BLedger%20merkle%20tree%20signature)
https://theqrl.org/ , https://github.com/theQRL/QRL
+
http://yandex.ru/ квантовый спутниковый интернет (http://yandex.ru/yandsearch?&text=квантовый%20спутниковый%20интернет)
https://www.google.ru/ китайский спутник Micius (https://www.google.ru/search?&q=китайский+спутник+Micius)

Агрегатор новостей по взломам
https://cointelegraph.com/tags/ledger
, https://cointelegraph.com/tags/trezor

Сравнение Ledger Nano S и Trezor One - https://youtu.be/xFF9SoTX-x0 (https://youtu.be/xFF9SoTX-x0)
Это сравнение предназначено для людей, которые имеют базовое представление о аппаратных кошельках, но не до конца определились с выбором.

Тайминг:
00:47 Аппаратная часть
04:02 Внешний вид
05:12 Принцип работы
07:44 Дисплей
08:43 Персонализация
09:27 Мультивалютность
10:32 Оригинальные интерфейсы
14:09 Пин-код
15:44 Активация, восстановление и проверка сида
17:18 Настройки
18:16 Кодовая фраза
21:23 Очистка кошелька
22:13 Отправка средств
23:05 Расширенные ключи (XPUB)
24:06 Специальные команды
24:58 Обмен криптовалют
25:52 Менеджер паролей
27:57 Универсальная двухфакторная аутентификация (U2F)
28:42 Подпись и верификация сообщений
29:47 Неоригинальные интерфейсы
30:48 Отправка средств через Android
31:57 О компаниях
32:58 Итоги

В видео допущены следующие неточности:
1) у Ledger Nano S поставляет в разных цветах
2) у Ledger Nano S есть возможность установить не более 2 пин-кодов для кодовой фразы. Так как, использование множества пин-кодов открывает возможность обходить автоматическое обнуление кошелька после 3 неправильных Пин-кодов.

https://google.ru/ Дмитрий Недоспасов и Томас Рот (https://www.google.ru/search?&q=Дмитрий+Недоспасов+и+Томас+Рот)

Новинка
https://www.ledger.com/pages/ledger-nano-x
https://www.ledger.com/pages/supported-crypto-assets

где обсуждения ?

https://youtube.com/ Ledger Nano X (https://www.youtube.com/results?search_query=Ledger+Nano+X)

https://google.ru/ Ledger Nano X (https://www.google.ru/search?&q=Ledger+Nano+X)

https://google.ru/ Ledger Nano X _site bitcointalk.org (https://www.google.ru/search?&q=Ledger+Nano+X+site%3Ahttps%3A%2F%2Fbitcointalk.org)

https://bitcointalk.org/index.php?topic=5094140.0 - An Error Has Occurred! The topic or board you are looking for appears to be either missing or off limits to you.
https://bitcointalk.org/index.php?topic=5094333.0 - An Error Has Occurred! The topic or board you are looking for appears to be either missing or off limits to you.

https://www.youtube.com/watch?v=4WyDWCEhwfo - Ledger Nano X Hack

уже хакнуто.. ? не понял..

аккум литиевый будет.. корпус неразборный .. на 4-5 лет потом в мусорку ?

А чего обсуждать то, если никто в руках не держал, да и характеристики не вполне понятны? Тем более в этой теме.

интересно у Ledger Nano S в ту банковскую шифромируху с закрытыми исходниками они могут вшить адреса своих сайтов-ржавых-гвоздиков ?

https://bitcointalk.org/index.php?topic=2897956.msg49194317#msg49194317

и как это народ проверять пытается ?

некромант??
с 11-го года эти строки в net.cpp начали обсуждать
нет их уже

пы.сы. и GetMyExternalIP уже выпилили, даже следа не осталось
слышал звон? или в emercoin вакансии открылись?

я не про "эти строки" а про другие

жеж у новых кошельков - новые сайты и хозяева которые думается тоже могут чего нить эдакое выкинуть. уже на аппаратном уровне

потому и интересуюсь

Ничего себе тема в разделе новичков.  :o
Кто-нибудь новый Леджер с топовым Трезором сравнивал уже?

Я зашел в данный топик из-за того, чтобы узнать, что лучше, просто собираюсь себе покупать и не знаю какой лучше

Лучше будет тот, который наиболее подходящий для вас, т.к. продукция у данных производителей имеют некоторые отличия. Хотя, это скорее дело вкуса. Вроде, что лучше "мерседес или бмв"? - оба ведь ездят, не так ли?

Основное отличие Trezor и Ledger (не важно топовые модели или младшие) заключается в том, что Ledger идет пустой и приходится загружать приложения вручную, а в Trezor все предустановлено заранее (как только вы активируете кошелек - создаете мнемоническую фразу).

Лично мне ближе вариант Трезора, потому что возня с приложениями удалением и загрузкой напрягала. Новая модель обладает увеличенной памятью (до 100 приложений). Но опять же, как будет реализована навигация на кошельке. Например у меня 30 монет, насколько я быстро буду находить нужную мне монету? Если они сделают все хорошо, то это будет крутой аппарат. Ждем марта)

без разницы, лучше никому не говорить про то что занимаешься криптой и использовать для крипты отдельный пк на линуксе

Подскажите, при первоначальной генерации устройства (Ledger) выдается Seed из 24 слов.
Везде пишется , что это формат BIP39, как к примеру на Electrum, но почему тот же electrum выдает 12 слов при генерации?
Т.е. если форматы одни и те же, я могу в electrum запихнуть 24 слова из seed ledger и увижу баланс btc?

В электруме свой "стандарт". Но если при импорте вы в опциях поставите галочку на BIP39, то он сделает импорт по этому "стандарту", и вы увидите свои btc. Что касается количества слов, то это влияет лишь на взломостойкость сида - 12 слов дает 128-битную энтропию (этого достаточно), 24 слова - 256 бит.

Пожалуйста. Только учитывайте, что главный плюс аппаратных кошельков заключается в невозможности доступа извне к сиду и личным ключам. Если вы вставите сид в электрум, установленный на компе, который будет когда-то онлайн, то с момента подключения к интернету этот сид нужно считать скомпрометированным.

Да, я это понимаю. Хотел попробовать "увидеть" в электруме тестовую сумму с леджера, чтобы в дальнейшем быть уверенным, что такая схема работает.
Если условно, леджера (устройство, компании) по каким-то условиям не будет.

Скомпрометирован сид будет еще потому, что создается небезопасный wallet.dat , который может использовать нехороший человек, если найдет.

На самом деле если файл кошелька закрыт хорошим паролем, а тем более зашифрован, то "нехороший человек" с ним ничего сделать не сможет. Кстати файл кошелька электрума по умолчанию называется default_wallet, но ничто не мешает вам переименовать его по своему вкусу (в том числе и в wallet.dat).

А новые уязвимости процев как вам ? могут повлиять на перехват данных от кошелька ?

https://yandex.ru/ PortSmash Foreshadow bitcoin wallet (https://yandex.ru/search/?text=%2BPortSmash%20%2BForeshadow%20bitcoin%20%2Bwallet)
https://google.com/ PortSmash Foreshadow "bitcoin wallet" (https://www.google.com/search?&q=PortSmash+Foreshadow+%22bitcoin+wallet%22)

https://habr.com/ru/company/crossover/blog/420291/ - Spectre и Meltdown больше не самые опасные атаки на CPU Intel. Исследователи сообщили об уязвимости Foreshadow
https://bits.media/kak-uyazvimost-foreshadow-povliyaet-na-kriptovalyutnuyu-industriyu/
https://bitcointalk.org/index.php?topic=20249.0 - Foreshadowing: "The Coming Attack On Bitcoin And How To Survive It" from June 7
https://www.anti-malware.ru/news/2018-08-15-1447/27143 - новый метод атаки «Foreshadow». Intel дала уязвимости свое имя — «Level 1 Terminal Fault» или «L1TF».
№2
https://yandex.ru/ portsmash (https://yandex.ru/search/?&text=portsmash)
https://google.ru/ portsmash (https://www.google.ru/search?&q=portsmash)
https://bitcointalk.org/index.php?topic=2096416.2960 - portsmash (Ctrl-F )

и чтото непонятно какие процы на аппаратном уровне полностью исправлены.
где найти про PortSmash Foreshadow - исправленные модели на www.intel.ru ?

add
http://fintechnews.sg/15914/blockchain/hardware-wallets-cryptocurrencies/
https://translate.google.com/ перевод (https://translate.google.com/translate?hl=ru&sl=en&tl=ru&u=http%3A%2F%2Ffintechnews.sg%2F15914%2Fblockchain%2Fhardware-wallets-cryptocurrencies%2F)
, https://cointelegraph.com/news/hardware-bitcoin-wallets-not-vulnerable-to-spectre-attacks-funds-safe

Всем привет! Помогите разобраться с Ledger nano S. Есть аккаунт А с кодовой фразой "А" и аккаунт Б с кодовой фразой "Б". Версия Ledger Live 1.4.1. Если я залогинился в самом устройстве Ledger под PIN-кодом, соответствующим кодовой фразе "А", то по логике я не должен видеть адреса и балансы аккаунта Б? Но я их вижу, правда отправить средства с них не могу. Насколько я понимаю смысл кодвоой фразы еще и в том, что если тебя "прессует" злоумышленник, то ты можешь ввести PIN-код от резервного аккаунта, и не светить основной аккаунт с основным балансом. Я не пользовался более старыми версиями Ledger Live, но, полагаю там так и было реализовано, а теперь Ledger отказались от этого, оставив лишь ограничение на вывод средств?

Да, смысл второго пина вы правильно понимаете. Если вы пропишите в ЛЛ аккаунт(ы) с первого пина, а потом со второго, то они оба будут видны в ЛЛ. За это леджеровцев не раз критиковали, кстати. Остается только каждый раз после использования "секретного" аккаунта удалять его (да и кэш с логами, наверное, тоже нужно). Не вполне понял, в чем ваш вопрос, но, по-моему, ничего сейчас не поменялось по сравнению с первыми версиями в работе с аккаунтами.

новости (https://bitcointalk.org/index.php?topic=2897956.msg50064120#msg50064120) в паралл ветке

igor72, спасибо за ответ. В принципе и не важно как было, главное мне стало понятно как это работает сейчас.
Есть еще пара вопросов, подскажите, пожалуйста
1. Как я понял я не могу в Ledger Live указать в транзакции двух и более получателей, а также указать адрес для сдачи? А есть ли еще какой-нибудь софт для Ledger, где это можно сделать?
2. Можно ли в Ledger Live узнать на каком конкретном адресе находятся средства, по аналогии с тем, как это отображается в Electrum во вкладке Адреса? К тому же в самой транзакции не видно адреса для сдачи..

scarich

1. Electrum. Только им и пользуюсь, там можно что угодно настроить. Всем рекомендую, лучший биткоин-кошелек. С леджером отлично работает, с трезором, думаю, тоже.
2. Кажется, нельзя.

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

Трезор отреагировал сегодня: https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4

Не знаю, не нравится мне поведение леджер, у них своих проблем хватает, лучше бы ими занимались. Мои симпатии сейчас на стороне трезора, после этого случая я бы скорее склонился к покупке трезора, чем леджера ). По железу леджер безусловно лучше, трезор вынужден использовать более уязвимый чип ради открытого кода.

Сколько я пересмотрел обзоров, но лучше, чем TREZOR пока для себя не нашёл)

Так опишите решающие факторы, может кому-то это полезным будет.

Противостояние продолжается, прошлый инцидент не успел утихнуть и Ledger делает свой ход, ждем ответа от trezor.

https://www.ledger.fr/wp-content/uploads/2019/03/Twitter-Nano-S-CSPN-Copy.png

Компания Ledger рада объявить, что Ledger Nano S получила сертификат CSPN (Certification de Sécurité de Premier Niveau / First Level Security Certificate), что делает ее первым и единственным сертифицированным аппаратным кошельком на рынке. Сертификат безопасности выдается французским агентством по кибербезопасности ANSSI (Национальное агентство защиты данных / Национальное агентство по безопасности информационных систем).

Схема сертификации CSPN была создана в 2008 году и представляет собой процесс для оценки по нескольким категориям, включая брандмауэр, идентификацию, аутентификацию и доступ, безопасную связь и встроенное программное обеспечение. Чтобы получить сертификацию, выбранная лаборатория ANSSI проводит продукт через несколько сценариев атак, чтобы бросить вызов его безопасности.

«Мы с гордостью объявляем об этой независимой сертификации ANSSI», - сказал Эрик Ларчевек, генеральный директор Ledger. «В Ledger безопасность имеет первостепенное значение, и хотя любой может утверждать, что имеет защищенный продукт, это означает гораздо больше, исходящее от доверенной третьей стороны. Это важная веха для Ledger, но это только отправная точка более широких усилий по сертификации всех наших продуктов.

Источник: https://www.ledger.fr/2019/03/18/setting-a-new-standard-ledger-nano-s-becomes-the-first-and-only-certified-hardware-wallet-on-the-market/

Сертификация это сильно, а вот как бы приколхозить тот же леджер так, чтобы пароли не вводить? Чтобы нечто в браузере хранило хеши паролей, которые получая с леджера  чтото модифицировались в реальные?

Мне одно интересно. Были релаьные взломы на одном из кошельков? Именно взлом с похищением денег.
Я не слышал по крайней мере. Все говорят об уязвимостях, но реальных фактов вроде как и нет?

Известных фактов на данный момент нет, иначе бы в инете уже гремело об этом и подорвало репутацию того или иного производителя кошельков. Все уязвимости, которые нашли/находят тестеры/хацкеры требуют физического контакта с аппаратным кошельком.

А фактов и быть не может, в частности из-за того что и в общем рынок поутих к криптовалюте, но естественно и потому, что аппаратные решения реально сильные.

Несколько недель назад некоторые пользователи Ledger Monero пострадали от ошибки в коде Ledger Monero. Из-за этой ошибки было ошибочно построено несколько транзакций, и кошелек не смог обнаружить (и впоследствии зачислить) изменение, что позволило пользователю поверить, что его средства были потеряны. К счастью, мы в сотрудничестве с командой Ledger смогли устранить эту ошибку и восстановить «потерянные» средства пострадавших пользователей.

https://twitter.com/monero/status/1115287586468245509

https://www.reddit.com/r/Monero/comments/bavnwl/ledger_change_output_bug_post_mortem_with_a_happy/

Лишний раз я убедился, что аппаратный кошелек лично мне нафиг не нужен.

тогда и смысла спорить нету) Это как сравнивать ауди и бмв. Юзайте, то что больше нравится. Я изначально хотел леджер, но просто не было доставки в мою страну, потому у меня трезор. За сохранность спокоен и хорошо)

Почему? Ошибку ведь признали и исправили, средства вернули, а код обещали подвергнуть особо тщательному анализу и тестированию. В целях диверсификации, свои средства лучше распределить среди нескольких источников, для одного из которых отлично подойдет аппаратный кошелек. Разве что формулировка "Это, надеюсь, гарантирует, что таких ошибок не будет в будущем" не особо обнадеживает, то есть надежда главенствует над гарантиями, такое обычно пишется когда нет уверенности, но зато честно.

"В дальнейшем запросы на извлечение, связанные с кодом Ledger Monero, будут подвергнуты дополнительному анализу, проверке и тестированию. Кроме того, в код, вероятно, будут добавлены обширные тесты (аналогичные тестам для Trezor). Это, надеюсь, гарантирует, что таких ошибок не будет в будущем."

Во-первых, у них обоих исходный код открыт лишь частично. А таким я пользоваться не буду.

Во-вторых, для себя не вижу смысла покупать аппаратные кошельки, потому что у меня свое мнение и методы, по поводу хранения мнемонических фраз/приватных ключей/файлов кошельков и т.д.
Я здесь никого не пытаюсь переубедить, или начать срач. Мне наоборот интересно выслушать мнения других по данному вопросу.

---

Ситуация.
Недавно у нас на форуме появилось сообщение (https://xmr.ru/manuals/monero-wallet-gui-windows/page-16#post-3471). Я не раз помогал восстанавливать Monero-кошельки, еще с тех времен, когда GUI не было, а был только консольный. Денег за восстановление я не брал, но если владельцы кошельков добровольно хотели задонатить -- не отказывался.

И вот буквально первый раз я столкнулся с Леджером. Честно, мне не понравилось. Лишний раз убедился -- лично мне аппаратный кошелек нафиг не нужен.
Владелец кошелька не очень шарющий в технических аспектах криптовалют. Он прекрасно понимает важность мнемонических фраз, и старается держать все на бумажных кошельках. Но, с другой стороны, как Леджер, так и Трезор почему то советуются к приобретению особенно новичкам в крипте. Здесь как бы есть определенная логика (безопасность), потому что новички в крипте, как правило, сидят на Windows (большинство), что тоже печально. Короче, держите в голове мысль: "Леджер для новичков" и читайте дальше.

Подключился я к тому чуваку с помощью TeamViewer. Ноут лагает, куча ненужного софта на компе, переустановили Monero GUI кошелек (с версии 0.13 на 0.14), запустили, начал Windows Defender ругаться. Ок, я его выключил (не без танцев с бубном (https://www.wikihow.com/Turn-Off-Windows-Defender-in-Windows-10)), Винда попросила перезагрузку (ну а как же...  :(), понятно что я не мог видеть что творится во время перезагрузки, но, каким то образом Винда решила... переустановиться.  :-\

После того как Винда переустановилась, сделали опять соединение через TeamViewer, установили Ledger Live, подключили сам Леджер и думали установить Monero app, но тут увидели ошибку, что то в роде "Нет свободного места. Удалите какое нибудь приложение.". Что за нах?! Он стоит (https://shop.ledger.com/products/ledger-nano-s) почти 100 баксов, заявлено 1100+ поддерживаемых валют, а толку? Я не знаю сколько одновременно можно иметь установленных кошельков в самом Леджере, или может быть то был какой то баг, но мне это тоже не понравилось.

Ок, не вопрос, спросил владельца, что ему не надо, и мы удалили приложение NANO app с Леджера, и запустили установку Monero app... Ledger Live задумался на пару минут (!), после чего выдал -- "Monero app уже установлена". Вопрос, нахрена иконка "Установить" активна, если какой то кошелек уже установлен? Также, во время установки Monero app, Ledger Live пару раз выдавал ошибку что то в роде "Нет соединения", хотя инет был очень хорошим.

"Разбудили" сам Леджер, запустили Monero GUI и начали восстанавливать кошелек. Столкнулись с проблемой, почему то Monero GUI матерился на Леджер (Wrong Device Status : SW=6e00 (EXPECT=9000, MASK=ffff)), хотя на данный момент как прошивка самого Леджера, так и Monero app были установлены последние версии. Уже пошел пятый час общего user friendly восстановления кошелька. После чего, владелец Леджера, взял другой Леджер (у него их несколько), установил последнюю firmware прошивку на второй, и восстановил его с помощью Леджер-сида первого Леджера... и почему то, все заработало.

Конец.

---

Если кто думает сказать: "У владельца Леджера комп загажен всякой дрянью, вот потому и не работало норм.", ну так много у кого Винда, и много у кого она загажена. И от меня вопрос, почему первый Леджер не хотел работать, а второй заработал? Хотя раньше, со слов владельца, все было норм. Кто шарит, отпишитесь в данной теме, буду благодарен.

Если опять вернуться к вопросу с загаженной системой Виндой... как вариант, завести дешевый ноут/нетбук и там проводить все операции с криптой. Ок, тогда зачем аппаратный кошелек вообще? Покупаете отдельный ноут/нетбук, шифруете SSD и держите там только крипто-кошельки и больше ничего.

По повод хранения сид фраз. Да, в Леджере вы храните всего одну сид-фразу для всех поддерживаемых валют. Но все равно, вам нужно хранить в безопасности эту сид-фразу. Чем тогда отличается хранение этой одной сид-фразы, скажем от двадцати, объёмом? Если взять 25 слов в текстовом варианте это сколько, ~200-250 байт? И если это дело зашифровать с помощью PGP, тогда получится около 1~1.1 Килобайта, прям бешеная цифра  :D. И опять же, если шифровать свою Леджер-сид-фразу, так зачем нужен Леджер?

Ок, единственный вариант, где может пригодиться аппаратный кошель -- комп кишит малварью. Но, тут у меня вопрос. Если это так, так неужели владельцу компа настолько насрать на свою безопасность, не только крипты, а в целом? Если да, тогда скорее всего он так же будет относится к хранению сид-фразы, а значит есть вероятность, что и аппаратный кошелек не спасет его.

Вариант, когда с вашим компом что то случилось, и вам нужно сделать какую то операцию с криптой, что делать? Я никогда, и не за какие деньги не залогинюсь куда то из чужого компа. Даже комп моей девушки -- это чужой комп. Если такая ситуация случится у меня, тогда как вариант сделать live USB с Tails Linux, бутнуться с флешки, и провести нужную операцию с криптой.

---

А на самом деле все проще, просто большинству лень (или насрать) учиться чему то новому, тем более что это не займет много времени.

1. GNU/Linux (да, я читаю что именно так правильно называть, а не просто "Линукс", хотя сам часто грешу (https://www.gnu.org/gnu/why-gnu-linux.html)). "Ну как же?! Это видь для хакерав и шафра-панкаф!" -- это миф, как и еще парочка полулярный мифов: Линукс сложно установить, использовать, нет приложений, нужно все время сидеть в командной строке и т.д. Какой дистрибутив выбрать? Это один из тех вопросов, которые меня лучше не спрашивать (как и "Какую крипту купить?"). Когда я познакомился с увлекательным миром Линукс, я перепробовал около 30 разных дистрибутивов. Почему? Мне просто было интересно.  :) Список дистрибутивов можете найти здесь (https://distrowatch.com/).

2. Раздуплитесь с OpenPGP. Загуглите "PGP GPG что это такое и как пользоваться" -- инфы в сети предостаточно.

3. Старайтесь пользоваться только open source инструментами (https://bitcointalk.org/index.php?topic=5113775.0).

4. Шифруйте важную информацию, например VeraCrypt (https://remontka.pro/veracrypt/) и/или Cryptomator (http://zenway.ru/page/cryptomator).

Полностью согласен на счет аппаратных кошельков, очень уж они не особо открыты в коде.

На счет Linux хочу спросить, слышал, что там не используются антивирусы, надеяться на то, что она не распространена и под неё не пишут особо вирусов, тоже не вариант.

Как решаете этот момент?

Только фаерволл. С 2014-го года по сей момент проблем не было.

Лакончино  ;) однако я так понимаю там Вы не скачиваете все подряд и не ходите по сомнительным сайтам, поэтому задействован не только фаерволл, но и так сказать компьютерная гигиена.

А зачем мне "все подряд"? Все что мне нужно, то и устанавливаю. Чем я пользоуюсь, все здесь (https://bitcointalk.org/index.php?topic=5113775.0).
Или что вы имеете ввиду?

Киньте мне список "сомнительных сайтов", и я засниму видос (или гифку) как я по ним спокойно хожу.  :)

Вижу у Вас все хорошо, но тогда последний вопрос. Возьмем гипотетическую ситуация, что Вы скачали пиратскую игру или какой-либо софт, на надежных сайтах не было, было только это и Вам это очень нужно.

Так как Вы эту программу проверите на вирусы хотя бы, ведь так без проверки запускать страшно?

Не совсем правильная гипотетическая ситуация по отношению к Линуксу.  :)
Например, вам на Винду нужен видео-плеер VLC, что вы сделаете? Пойдете в поисковик и будете искать "VLC скачать". Если вам повезет и сразу увидите https://www.videolan.org/vlc/download-windows.html, скачаете exe-файл и потом установите.
Но, далеко не все пользователи пользуются полезными примочками (https://www.privacytools.io/browsers/#addons), так что есть шанс, что загуглив, вы попадете на какой нибудь фишинговый сайт (привет Google Ads) и скачаете чем то зараженный VLC и начнется веселая жизнь...

Если мне нужно установить тот же VLC, я этому могу сделать открыв Software Center, написать в поиске "VLC" и нажать кнопке установить:

https://i.imgur.com/5yKdTL9.png

Или обратиться к Synaptic (https://help.ubuntu.ru/wiki/synaptic), в поиске вбить "VLC" и установить.
Или, через командную строку. У меня Debian-based дистрибутив -- Ubuntu (только я не фанат рабочего окружения GNOME, поэтому я установил себе свой любимый Cinnamon): sudo apt install vlc

Если вы выберете например дистрибутив Manjaro, то чтобы установить VLC, тоже несколько вариантов: Software Center, Octopi или Pamac, или командная строка: sudo pacman -S vlc

Таким образом, большинство софта в Линуксе ставится из репозитория (https://help.ubuntu.ru/wiki/%D1%80%D0%B5%D0%BF%D0%BE%D0%B7%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%B9).
Если же нужно мне софта нет в репозиториях, тогда или компилировать из исходников, или подключать сторонний репозиторий (что не совсем безопасно).

Если же софт, который вам нужен есть только под Винду, тогда или запилить себе Virtualbox с Виндой, или же dual boot.

По поводу игр. У меня Steam на Линуксе, играю очень редко, и если играю, то только Insurgency (https://store.steampowered.com/app/222880/Insurgency/).  :)

---

Я не агитирую прям всех перейти на Линукс, прекрасно понимаю, что для некоторых это просто нереально (норм видос (http://Who Should Switch to Linux and Who I Have Switched to Linux), подобных много в сети можно найти).
Но, для большинства криптанов (и даже для ваших родственников, которые юзают комп как браузер + Скайп), думаю что Линукс это отличное решение. Для начала можете поиграться в Virtualbox, или просто бутнуться с USB-live флешки и потыкать Линукс. Потом установить параллельно Винде, зашифровать SSD и держать крипту только там, а если понравиться и вам будет удобно -- снести Винду, и перейти только на Линукс.
Я пару своих родственников и знакомых пересадил на Линукс. Почему? Потому что меня задрало переустанавливать им Винду, после того как они скачают себе 4-5 полезных оптимизатора системы, пару тулбаров... все, комп непригоден даже для соц сетей + Скайпа. Выход? Linux Mint с рабочим окружением MATE или XFCE для более старших людей (потому что Винду им напоминает), Ubuntu (с GNOME Shell) для молодой аудитории.

Инфа к размышлению. На сегодняшний день около 15-ти знакомых/родственников/друзей пересадил полностью на Линукс, и никто из них не попросился опять на Винду. А, и да, все отлично работает годами, без оптимизаторов, антивирусов и тулбаров.

P.S. И еще я здесь много наоффтопил. Сорри, больше не буду. Это не ветка для обсуждений Линукс.

Не для обсуждения Линукса, но можно обсудить такой момент. Имеют ли трезор и леджер поддержку всех ОС ? Или при обновлении ПО кошелька, выходит ли оно одновременно на все платформы?

Я предпочитаю МакОС. Участвуя к примеру в баунти, многие проекту лепят свои кошельки в основном для Виндовса.
Мне в какой-то момент для работы с интернет банком пришлось на Мак ставить Виндоус, т.к. вход в банк осуществлялся через USB Token и он имел поддержку только винды (и сам мануал прилагался в виде картинок от винды 98  ;D)

Пользуясь аппаратными кошельками, имею ли я шанс столкнулся с геморроем, написанным выше?

Trezor и Ledger имеют поддержку следующих ОС: Windows, MacOS, Linux.

Ссылка на страницу скачивания Trezor Bridge (приложение для подключения кошелька к ПК \ через браузер) -  Link  (https://wallet.trezor.io/#/bridge)



Ссылка на страницу скачивания Ledger Live (тоже приложение для подключения кошелька к ПК \ но уже не через браузер, а как отдельная прога) -  Link  (https://shop.ledger.com/pages/ledger-live)


Т.е. на данных ОС Windows, MacOS, Linux можно спокойно пользоваться аппаратными кошельками Trezor и Ledger.

На Linux не забудьте прописать (без кавычек):
" wget -q -O - https://raw.githubusercontent.com/LedgerHQ/udev-rules/master/add_udev_rules.sh | sudo bash " , для доступa Ledger Live.

Поставки Ledger Nano X Genesis Block Edition начнутся 15 мая, а остальные предварительные заказы поступят на следующей неделе. Те, кто сделал предварительный заказ до 21 марта, также получат бесплатный Nano S.

https://twitter.com/Ledger/status/1126493936770531328

Статья с описанием новых функций и улучшений:

https://www.ledger.com/2019/05/09/first-ledger-nano-x-shipment-to-start-next-week

Аппаратный кошель - единственный вариант хранения Tether, как наиболее надежный. Сейчас анонимно Tether хранить на официальном аккаунте нельзя. Все сторонние кошельки типа Exodus доверия не вызывают. Хранить Tether на бирже - до случая. Потому Ledger к сожалению, единственный выход для стейблкоина.

Так как эта тема о сравнении Ledger и Trezor кошельков, то в контексте хранения стейблкоинов между ними различия нет. Ну а если офтопить, то можно хранить на холодном MEW, например. [Для новичков, на всякий случай, напишу - MEW в основном режиме работы "горячий" кошелек, но есть вариант использования его на офлайн-компьютере.]

Может быть, не спорю. Тетером не пользуюсь, и не собираюсь.

Пару лет назад тестил Exodus, норм кошелек, переписывался с одним из девов (их тогда было двое). Проблем с кошельком у меня не было, но факт остается фактом -- код кошелька пока что закрыт.

Да не, биржи не вариант, если норм сумма.

Тетер, это же ведь Omni, значит... https://www.omniwallet.org/ должен работать. Но как там с безопасностью я не знаю.

Ну и Coinomi (https://www.coinomi.com/) еще есть. Хотя код вроде открыт не полностью.

Уже давно есть и ERC20-токен, некоторые биржи его депозитят/выводят наравне с омни.

Поизучал OMNI.
OMNI Wallet это горячий онлайн кошелек. Отпадает.
Еще у них есть проект OMNI CORE. Это уже холодный кошелек для Тезера, сделан на ядре Bitcoin CORE 14-ой версии.
Так вот в чем трабла.
У меня установлен Bitcoin Core 18-ой версии.
После установки OMNI Core он сразу хватается за папку с выкаченным блокчейном битка, но из-за разных версий стартует синхронизацию заголовков, которая длится целый день! При том, что блокчейн находится на SSD диске.
Далее всплывает вторая хрень. Если теперь запустить Bitcoin Core 18, то последний ругается на свою папку и также стартует синхронизацию заголовков, которая занимает еще один день.
Почему команда OMNI не обновляет своего клиента до актуальной 18-ой версии, мне непонятно.
Но в таком режиме пользоваться OMNI Core невозможно.
Есть какие идеи как на одном ПК иметь оба Core?

 

Вероятно, разнести блокчейны по разным папкам и запускать с -datadir к соответствующей папке (или в конфиге путь прописать).
А зачем вам Omni Core, если не секрет? Чем ERC-20 не устраивает? Кстати, я думаю, можно омни тезер и на леджере/трезоре хранить через Electrum (но сам не проверял). Или просто в электруме. Немного сложноватая процедура создания транзакции, но возможно, если очень надо ).


зы. Наверное, имелось в виду локальный, а не офлайновый...

Да, задача хранить Тезер на локальном, холодном кошельке, у которого открытый код. Всякие Электрумы неподходят, т.к. в один прекрасный момент баланс может обнулиться. Неизвестно какие бэкдоры заложены разработчиками...
Бинанс например не поддерживает вывод ERC-20 Тезер, только ввод. Это лишний геморрой для конвертации одного тезера в другой.
Видимо буду с datadir экспериментировать.

Во-первых, локальный и холодный - разные понятия. Core - локальный и горячий. Потом, Электрум - отличный кошелек с открытым кодом, никаких бэкдоров там нет, если соблюдать меры безопасности, ничего там просто так не обнулится. Вы его с чем-то спутали, наверное. Но я не настаиваю, тем более это биткоин-кошелек, и чтобы отправлять с него тезер, нужно делать лишние телодвижения - не каждому подойдет.
Должно получиться, не вижу препятствий. Но такая громоздкая система... Дело вкуса, конечно.

По поводу чипов, важным будет отметить вот эту статью: https://blog.trezor.io/is-banking-grade-security-good-enough-for-your-bitcoins-284065561e9b

У команды Трезора интересный взгляд на "секьюрные банковские чипы" и я с ними по первому пункту очень согласен. Все производители чипов, и оборудования для анализа этих самых чипов часто под сильным контролем властей. Был на конференции по поводу hardware хакинга, так всякие топовые тех станции для анализа, перепрошивки (и взлома конечно же) "железа", стоимостью по пол миллиона у.е. просто так не продаются. Там везде нужно разрешение от властей той страны в которой фирма, а иногда сразу и двух стран (продающей и принимающей). Это слова секьюрити специалиста по этому вопросу.

А закрытый код (в ST31H320 он именно такой. Пруф (https://www.st.com/en/secure-mcus/st31h320.html#overview)) + контроль гос органов это далеко не лучший вариант для крипто анархистического сообщества  ;D

К тому же, если чип с открытым кодом (та же линейка STM32) может перепрошить хоть Трезор, хоть Вася дома у себя, то чип линейки ST31 может перепрошивать только компания STMicroelectronics (которой эти две линейки чипов и принадлежат). Вот представьте ситуацию: находят у ST31 уязвимость которая относится только к Леджеру. Леджер сам не может выпустить новую прошивку (даже фактически не может, это вам не винда, что взял, декомпилировал и переписал. прошивка в таких чипах полностью закрыта), ей нужно обращаться к ST, ждать пока местные спецы что-то склепают, получать прошивку. А это будет и не бесплатно скорее всего, что в свою очередь может застопорить процесс. Нет скорости и гибкости.

Добавлю важное: Опять таки, из-за этого всего реально защита от левых злоумышленников, хакеров - немного слабнет. Так как получил доступ к самому устройству, можешь сдампить память чипа (если успеешь, под воздействием теплового движения атомов которые теряют магнитные моменты чип "забывает" информацию спустя непродолжительное время. Именно из-за этого кстати всякие ФБР при штурме логовищ мамкиных хакеров опускают оперативку в жидкий азот).
Но зато можно спать спокойно и не бояться что завтра Пыня нажмет кнопку на троне и все биткоины с Леджеров переведутся к нему, чтобы переродить его в трансцендентногосверхПутина.

Там к статье есть такой комментарий (https://medium.com/@trz997/this-point-is-entirely-invalid-e72459b8c19c):Кто-нибудь может опровергнуть эти утверждения?

Чтобы пыня точно не добрался, крупные суммы лучше держать, например, в мультиподписном кошельке (из леджера с электрумом получается очень удобный мультисиг-кошелек), для электрума можно даже какой-то простейший сид использовать - этого будет достаточно.

Ну вот как я вижу. Открываем секьюрный чип линейки ST31 - https://www.st.com/en/secure-mcus/st31h320.html#overview . там у нас только такие возможности как "овервью", "ресурсы" (не в том смысле), а также же гарантии качества.

Открываем например Даташит чипа от Trezor Model T, STM32F427/437 - https://www.st.com/en/microcontrollers-microprocessors/stm32f427-437.html
Что мы там видим? Правильно - "tools & software". Чего нет в секьюрной линейке ST31 (и других секьюрных чипах, дам спойлер). Что видим в этом подразделе? Подразделы:
Development Tools - то, что мы ищем
Ecosystems
Embedded Software - и это тоже
Evaluation Tools - да и это сойдет
Solutions & Reference Designs
Support and Applications

Тобишь, если судить по моему поверхностному взгляду все то, что нужно собственно для разработки/модификации/улучшения (или ухудшения, хи) данного чипа.

Это понятно. Там чувак в комментарии выражает сомнение, мол, "а где гарантия, что этот STM32 не имеет бэкдор, зашитый в чип при производстве?". Кстати, я видел когда-то пост СТО леджера на реддите, где он тоже на это намекал. Интересно, насколько это реально?
Или даже не так. Если это реально возможно, на что такой бэкдор способен? Может ли он теоретически отправить сид/ключи через USB или получить информацию возможно будет только при непосредственном подключении к чипу?

По-моему, это все фантазии ).

Да это фантазии, как по мне. Смотри, у каждого чипа есть условное "сердце". Их бывает несколько. На которое чаще всего и делают атаки когда хотят прочитать конкретный чип. Если там есть какие то блэкбоксы, то это детектится не особо сильным оборудованием очень просто. Так и был найден Майкрософт какой то там контроллер (которым всех пугают, ты понял).

Опять таки, я не уверен что ребята из Сатоши Лабс проверяли чипы на блэкбоксы, но я сомневаюсь что они такое бы проигнорили.

Во вторых, чип без прошивки это железка по сути. Поэтому при перепрошивке все "бэкдоры" исчезнут по сути сразу. А блэкбоксы со своей некоей прошивкой (если они есть в маленьком чипе) как я выше написал детектятся очень просто обычным замером ответа чипа по напряжению/времени.  Притом, это уже не говоря о том, что как мне помнится с определенного геометрического размера монокристаллической кремниевой пластины можно снять определенную емкость (в плане мегабайт) поэтому все становится даже проще - высчитываешь сколько должно быть мегабайт, проверяешь сколько есть. И все, все становится очевидным.

если вы думаете что в микроконтроллерах выполнение программы начинается с процедуры main() у меня для вас плохие новости.
в зависимости от модели Handler'ы содержащие адреса ячеек прописываются в исходниках (а в случае старта нас интересует один - Reset_Handler), так вот "обещать не значит жениться" - нет гарантированного способа проверить не выполняется ли (например из области начального загрузчика) какой-либо код, который по окончанию затем просто загружает в РС значение адреса, записанного пользователем в ячейке вектора Reset_Handler.
FYI, MaskROM как и e-Fuse не стирается никакими программаторами и перепрошивками.

:o :o :o
Не могли бы более подробно описать данный эксперимент - боюсь приведенных вами деталей недостаточно для воспроизведения желающими уличить производителей мк для аппаратных кошельков в наличии закладок.
кроме шуток.


о каких мегабайтах идёт речь?...
для бэкдора достаточно пары сотен байт, это не говоря о том, что это не память не FLASH, a MaskROM - неперезаписываемая и более плотная,
ну еще один факт вдогонку: у большинства STM32 есть bootROM с начальным загрузчиком, так что даже при классическом реверс-инжиниринге кристалла травлением и последующим изучением топологии не выявит ничего подозрительного

айяйяй
https://google.ru/ stm32f427 trezor hack (https://www.google.ru/search?lr=&q=stm32f427+trezor+hack)
https://google.ru/ stm32f427 trezor  _reddit.com (https://www.google.ru/search?lr=&q=stm32f427+trezor+site%3Awww.reddit.com)
как же они там не подумали то..

Ты по ходу что-то не то заквотил, так как твое сообщение никак не относится к тому, что я написал в цитате.


Имелись ввиду timing attack и power analysis


Я вот и насчет этого честно говоря сомневаюсь, я не профи в хардхакинге, но как мне известно, для любого типа хардвар атаки, инвазивного или не инвазивного нужен физический доступ к устройству. Взлом программой это уже software хакинг, и "качество" чипа здесь влияет мало. В данном случае все будет зависеть от прошивки, дает ли она доступ левым программам выполнять другую логику и все в таком духе.

По поводу bootROM: да, есть такое. Там находится (ну в некоторых статьях и является) загрузчик (bootloader) который можно как ни странно - чистить (mass erase operation) (https://www.st.com/content/ccc/resource/technical/document/application_note/b9/9b/16/3a/12/1e/40/0c/CD00167594.pdf/files/CD00167594.pdf/jcr:content/translations/en.CD00167594.pdf)
Да и возможности бутромов честно говоря довольно ограничены. Но да, бэкдором быть могут.

Всем добрый день
Подскажите как в последних версиях electrum (3.3_8) импортировать bip39?
раньше при импорте можно было поставить галку- сейчас ее нет

p.S
нашел, нужно выбирать стандартный кошелек (без 2фа), тогда галка с bip39 появляется, так же при стандарте дает возможность подключится с hardware. При выборе 2фа таких опций не дает. Может кому-то будет полезно (забыл к примеру как я)

А зачем вам (применительно к данной теме) импортировать BIP39 сид в электрум? Может вы сид от леджера/трезора туда вставляете?

Да, именно от ledger, просто именно в этой теме данный вопрос обсуждался

Но если вы делаете это на машине, которая будет когда-либо онлайн, то вы компрометируете сид, ваш холодный аппаратный кошелек становится не лучше горячего программного. Зачем вы это делаете?

Запоздало отвечу, я так конечно делать не буду, тем более если есть возможность просто подключить леджер к электруму без компроментации приватных ключей/сид-фразы.
Просто хотел понять про саму возможность такую, например срочно надо перевести средства с леджера, а сам аппаратник утонул/сгорел/утерян и времени нет ждать нового. Тогда мы компроментируем старый сид с леджер через BIP39 - делаем перевод в надежное место и потом(когда на руках будет новый аппаратник) возвращаем все на круги своя. Разные ситуации бывают ведь.

Ну да, в самом крайнем случае можно так сделать. Только когда появится новый аппаратник, старый скомпрометированный сид уже не надо в нем восстанавливать, нужно генерировать новый. Вы, наверняка, это знаете, просто из вашей реплики это не понятно - для новичков не помешает лишний раз проговорить.

тогда уж лучш вытащить конкретные пары адрес-ключ в офф-лайне (через скрипт Колемана), импортировать конкретные адреса с необходимыми балансами и сделать транзакции
не?

Почему не? Да. Особенно если офлайн - это не просто "выключил роутер на полчаса", а настоящий офлайн. Но в таком случае можно офлайн и транзакцию подписать - тогда и сид не будет скомпрометирован, и рисков с транзакцией/ключами не будет.

Все таки можно покупать аппарат БУ? Если сбросить все настройки до заводских, аппарат же более не представляет угрозы?

Ledger Nano S на данный момент лучший холодный кошелек, TREZOR довольно таки странный и отзывы у него непонятные.

лучше брать новый, бу может взять тот, кто может потом проверить устройство на наличие физических закладок, и потом перепрошить его самостоятельно

На сегодняшний момент пользуюсь аппаратниками от ledger, так как очень удобно и приятно пользоваться. Более того брал два леджера по акции на 14 февраля, не так уж и дорого мне они встали, по сравнению с трезером.