1.) Некий Доктор Зло, в дальнейшем ДЗ, способен каким-либо образом подбирать (не воровать!) приватные ключи к произвольным адресам. Может ли он свободно, не скрываясь выводить и использовать средства с этих адресов как свои собственные? ДА/НЕТ и почему?
Если морально-этическую составляющую не трогать, то в правовом смысле эту ситуацию урегулировать, я думаю, невозможно. Приватные ключи (подобранный и "оригинальный"), к тому же, будут разные (с вероятностью 1-1/2 96), поэтому даже похищение ключа к делу никак не пришьешь... Радует только, что это практически чистая теория, найти "непустой" ключ очень трудно (да и глупо искать - майнить гораздо выгоднее), а ключ от конкретного адреса практически нереально.
|
|
|
Инструмент не идеален. 100% результат не гарантирован. При попытке найти недостающее слово в фразе из 12 слов, мне выдало 119 возможных вариантов. Но учитывая, что словарь BIP39 насчитывает 2048 слов - смысл все-таки есть!
Почему не гарантирован? Один из вариантов обязательно совпадет ). А уменьшить число вариантов, по-моему, невозможно - всегда будет в среднем 128 вариантов на 12 слов или 8 на 24.
|
|
|
johhnyUA, может я неправильно понял ту реплику, но это значит, что, возможно, кто-то еще ее понял так же, как я. Поэтому, может быть, эти мои сообщения кому-то помогли разобраться, что к чему ).
|
|
|
У меня нет трезора, но, насколько я знаю (может в последних прошивках это изменили), у трезора ONE по умолчанию упрощенный режим восстановления, где слова вводятся в комп (хоть и в случайной последовательности, но тем не менее...). Но есть и advanced опция, где, как и в леджере, слова сида на компе не светятся Да и у леджера ПО разделено на 2 части где вторая часть - на компе и не защищена от модификаций Да, но эта часть никак не взаимодействует с приватными ключами и сид-фразой. При всем желании кроме публичных ключей на компе взять нечего. Можно на компе модифицировать транзакцию перед подписью (изменить адрес, сумму), но это бесполезно, если производится контроль этих данных на дисплее устройства перед нажатием кнопки (а кнопку программно нажать невозможно). Поэтому можно и не думать, что там происходит в операционке и прочем софте. у меня сомненья.. что главное устройство ключа а устройство замка и двери неважно А почему вы считаете, что двери с замками находятся в компе? Они в девайсе. Я подразумевал теоретическую возможность ошибок в коде, потенциальные уязвимости. А если ошибок нет, то и доступа к ключам (и замкам с дверями) нет.
|
|
|
Аппаратник там вообще ни при чем. Поддельный софт просит лоха пользователя ввести сид-фразу. То есть это фишинг в чистом виде. я теоретизировал кстати про фишинг - вы уверены что он не усовершенствуется когда хакеры дойдут до модификации кода операционки ? (а опенсорсный линукс тут даже видимо им проще побороть?) до такой степени что лохом станет любой сид фразу ведь неподдельный софт тоже просит иногда..(..?) Не знаю, наверное фишинг будет совершенствоваться, как и всё остальное. Но ПО, например, леджера никогда не просит ввести сид в компьютер. Сид-фраза должна вводиться только в сам девайс - соблюдение этого правила гарантирует, что вы не станете жертвой фишинговой атаки, даже самой хитрой. Поэтому можно и не думать, что там происходит в операционке и прочем софте.
|
|
|
Аппаратник там вообще ни при чем. Поддельный софт просит лоха пользователя ввести сид-фразу. То есть это фишинг в чистом виде.
|
|
|
Например у меня кошелек на blockchein.com, купив леджер и введя в него сид фразу получу я доступ?
Да, получите. Но переносить таким образом программные кошельки на леджер не стоит. Это я для информации. Но думаю придется если к примеру программный кошелек загнется, ведь такое может произойти или я не прав? Если у вас уже есть аппаратный кошелек, зачем вам пользоваться программным вообще? Переводите на леджер и всё (только транзакцией, а не переносом сида). Ну а если точно отвечать на ваш теоретический вопрос, то можно сид перенести и на другие программные кошельки.
|
|
|
Tails Видимо вы много чего пробовали раз до Tails дело дошло ? Из этой вашей фразы можно сделать вывод, что Tails - это что-то сложное или необычное )). Одну из первых ее попробовал, как популярную и надежную систему на флешке. Потом пробовал и другие линуксы (PuppyLinux понравился, шустро работал со старой флешки 1Гб на древнем компе), но в итоге вернулся к Tails, спокойней как-то. Ваше мнение про телеметрию Win 10 хотелось бы услышать - эта ось с аппаратником думается потенциально опасна Мне нечего особо сказать про Win10, знания у меня тут весьма поверхностные. И я до сих пор пользуюсь семеркой ). Но не думаю, что какая-то ось опасна для аппаратника в смысле сохранности средств. А те, кто сильно беспокоится о своей приватности и анонимности, закрытыми осями не пользуются. а приклад леджера уже не работает с win 7 в отличие от трезора
У меня работает. Правда иногда вылетает, но я понял, в каких случаях, и приспособился ). Хотя да, официально семерка не поддерживается.
|
|
|
лично я и понял как "импорт в сегвитовскую ноду" а не ваш описанный выше способ.
А как делается "импорт в сегвитовскую ноду" по-вашему?
|
|
|
Отправляешь на легаси. Потом импортируешь приватный ключ в сегвит. Плюс способа в том, что не надо ломать голову поддерживается ли отправка или нет.
Сами-то пробовали так делать? Вопрос риторический, очевидно, что нет. Если приватный ключ у разных адресов одинаковый, это не значит, что монеты так можно переносить. Монеты привязаны к адресу, а не к ключу. Ахах, а что такое тогда адресс, если не хэш от публичного ключа, который связан с приватником? Я знаю, и что это меняет? Я правда не совсем понял схему КриптИнвеста, если честно. Сегвит - технология. Как и что туда можно импортировать, я хз Вот видите, ничего не поняли и сразу наезжать ). Импортировать можно в Электрум, где Сегвит "аккаунт" или в Леджер, или в ноду обновленную Core клиэнта. Но при этом, вы тоже какую то непонятную глупость написали. А вам еще мерит поставили. Импортировать можно куда угодно, я знаю. В чем вы глупость увидели, поясните? Пример. Приватник - KwTUr7CHtyU2MkuQQ1TdWi9R9xfrPbLDeBnXRRzLBuBcHtWXEote Публичный ключ из него - 022B859570304A6262F562D67ECFB5F43B83EE2FA75F0DADDC160293CACB31EDE7 Из этого ключа получаются соответствующие адреса: 1. Legacy - 16Ux7W3hX7n3wVK4fnVV1rfRXFaQ5wzeEY 2. P2SH-segwit - 34gaYKDtaFtw4rcXUegWAi7Qoais9YgYXe 3. Native segwit - bc1q8ssa67dqyn6egmhzjk54lf99l3h2k6fpuhusqd Я понял предложение так: переводим биток на 16Ux7W3hX7n3wVK4fnVV1rfRXFaQ5wzeEY, импортируем в кошелек KwTUr7CHtyU2MkuQQ1TdWi9R9xfrPbLDeBnXRRzLBuBcHtWXEote как сегвит и надеемся увидеть этот биток на bc1q8ssa67dqyn6egmhzjk54lf99l3h2k6fpuhusqd. Денег на этом адресе, конечно, не будет. Так как не конкретизировалось какое именно ПО будет использовано, то думается мне, что CryptInvest имел ввиду свипинг приватника (опция Sweep), которая в некоторых русских версиях кошельков называется Импорт. Можно спокойно свипнуть из Legacy в Bech32 и обратно.
Ну в таком случае это просто недоразумение из-за корявого перевода. По-моему, фразу CryptInvest-а нельзя было понять двояко, но, если CryptInvest нечаянно подменил понятия, то, возможно, вы и правы. Свип и импорт - совсем разные функции - при свипе происходит транзакция на полученный из другого приватника адрес, а при импорте просто генерируется адрес из того же приватника.
|
|
|
Кошельки создаются уже пользователями, конечно леджер лайв может им отправлять стату с такими данными Я точно не знаю, но подозреваю (и надеюсь), что LL такие данные никуда не отправляет. К тому же, я, например, битками на леджере управляю исключительно через электрум, как в таком случае статистка соберется? Никак.
|
|
|
Отправляешь на легаси. Потом импортируешь приватный ключ в сегвит. Плюс способа в том, что не надо ломать голову поддерживается ли отправка или нет.
Сами-то пробовали так делать? Вопрос риторический, очевидно, что нет. Если приватный ключ у разных адресов одинаковый, это не значит, что монеты так можно переносить. Монеты привязаны к адресу, а не к ключу.
|
|
|
Например у меня кошелек на blockchein.com, купив леджер и введя в него сид фразу получу я доступ?
Да, получите. Но переносить таким образом программные кошельки на леджер не стоит.
|
|
|
Почему именно Tails, который специально заточен для анонимной работы онлайн, в то время как холодный кошелек подразумевает исключительно работу в офлайн? Мне кажется любая операционка сгодится лишь бы она ставилась в офлайне и там находилась всегда пока использовался холодный кошелек.
Я не настаиваю. Просто с Tails у меня не было никаких проблем, и сама система имеет хорошую репутацию. Можно использовать и другую систему. интересно там можно придумать возможность ввода "ложных паролей" или нет как думаете ? Если так необходимо, сделайте два кошелька: один с небольшой суммой для грабителей, а второй с основными средствами. Файл этого второго кошелька каждый раз удаляйте после использования и восстанавливайте из 12 слов, когда понадобится. + насчёт бэкапления инфа бы пригодилась ибо флешки иногда дохнут Сид (12 слов) - это всё, что нужно для восстановления. (и про "необязательность" шагов надеюсь вы поделитесь соображениями) Ну там, на мой взгляд, немного проще можно проверить подпись файла и с иконкой электрума ненужные заморочки (можно просто запускать appimage-файл и всё), но это дело вкуса. Встроенный Electrum.
Да, но версия встроенного электрума устарела (3.1.3), с версии 3.2 изменился формат подписи сегвит транзакций . А устаревшие версии для горячего watch-only кошелька плохо синхронизируются с серверами. Поэтому, по крайней мере на данный момент, приходится игнорировать встроенный электрум и устанавливать отдельный. Оформите и запилите отдельный (в идеале подробный) гайд, я думаю многим он придётся по душе Вряд ли я буду этим заниматься. Запилите сами, если хотите, я не обижусь (можете на меня не ссылаться).
|
|
|
После последней атаки кто разбирался с ситуацией? у меня версия 3.3.4 синхронизируется. На офф. сайте обновлений не увидел. Надо что то предпринимать?
Так , походу атаки не заканчивались. Сегодня вон опять статью видел, что хакеры никак не успокаиваются и атакуют Электрум. Как я понял, главное - это не переходить по ссылке, если при отправке битков выскочит окошко, что ваша версия устарела. Нужно просто обновиться на последнюю версию с оф.сайта и тогда никаких ссылок в окошках появляться не будет.
|
|
|
А как правильно делают хол.флешку с электрум ? Для холодного кошелька нужно использовать отдельную загрузочную операционку на флешке. Я пробовал разные, рекомендую Tails. 1. Установить Tails на флешку, создать на ней persistent-раздел. 2. Установить последний электрум appimage в persistent-раздел этой флешки (кратко тут, подробнее нашел тут, но там есть необязательные шаги, которые слишком усложняют процесс, имхо). 3. Важно!!! Отключить сеть, и с этого момента эту флешку загружать только при отключенной сети (можно при входе в систему отключать сеть программно, там есть такая опция, но лучше физически отключать роутер, а еще лучше - и то, и другое)). 4. Создать холодный кошелек на этой флешке и горячий на основной системе либо андроид-устройстве. Всё. Пользоваться, передавая информацию через QR-коды. Если комп один и нет андроид-телефона для горячего электрума, тогда QR-код передавать через фото.
|
|
|
Посмотрел. Там говорится, что это холодный кошелек. Но речь идет про обычный горячий кошелек, а все эти действия с флешкой не имеют никакого смысла. Холодный кошелек на электруме делается иначе (тоже можно сделать на флешке). А утверждение на 3:40 вообще вредное - любой горячий кошелек на винде в принципе небезопасен, не говоря уже про большие суммы. p.s. При чем тут аппаратные кошельки? )
|
|
|
Иногда лучше все держать в биткоине и сидеть на попе ровно, и оно само расти будет. Чем торговать, торговать, получать прибыль, а потом - хуяк и вы вернулись на исходную.
Поддерживаю. Хорошо еще, если на исходную. А сколько времени и нервов тратится.
|
|
|
ViktorKa, сначала научитесь торговать в плюс, для этого вам вполне хватит и того компьютера с монитором, которые у вас есть. А дальше, если будет получаться (что вряд ли), там уже вы сами поймете, сколько мониторов вам надо.
|
|
|
А во многих случаях можно вообще использовать Core в урезанном варианте, занимающем меньше 4 гигабайт на диске. Актуальный pruned блокчейн можно скачать тут.
|
|
|
|