Если я правильно понимаю, то для взлома с помощью методов, представленных Attack Lab, необходимо физическое воздействие на аппаратный кошелек. Это очередное напоминание о том, что покупать кошельки следует у производителя напрямую (вариант покупки с рук или б\у полностью исключить). Они (леджер) утверждают, что и это не панацея. Типа злоумышленник может купить партию, феном отклеить защитные наклейки, заменить прошивку, заклеить все как было и вернуть назад, а дальше трезор их продаст кому-то другому (будущим жертвам). И от этого одно спасение - купить и не пользоваться до выхода новой прошивки (которая гарантированно затрет предыдущую). Логично, только почему они уверены, что трезор те девайсы опять пустит в продажу без перепрошивки - непонятно. Это даже выглядит странновато когда заинтересованные компании говорят о проблемах конкурентов Даже если правда, то нужно ждать подтверждений от Trezor'а или от независимых экспертов. Помню такое же было с EOS'ом, какое-то подразделение Ethereum'а тоже много чего понаписали. Пусть лучше конкуренты копаются в кошельках друг друга, находят проблемные места и помогают их устранить, чем это сделают злоумышленники. Я считаю, что сначала пусть в своих продуктах баги повылавливают, а не тратят ресурсы на поиск недостатков конкурентов. Вон недавно у человека 1500 монерок куда-то ушло, а леджеровцы до сих пор не удосужились убрать потенциально проблемное приложение и вывесить предупреждение в Ledger Live. Не все же форумы читают.
|
|
|
Трезор отреагировал сегодня: https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4Не знаю, не нравится мне поведение леджер, у них своих проблем хватает, лучше бы ими занимались. Мои симпатии сейчас на стороне трезора, после этого случая я бы скорее склонился к покупке трезора, чем леджера ). По железу леджер безусловно лучше, трезор вынужден использовать более уязвимый чип ради открытого кода.
|
|
|
достаточно обычного холодного кошелька например? и соблюдения мер безопасности
каких?
|
|
|
У меня был случай, когда клиент записал мнемоническую фразу и боялся, что ее смогут обнаружить и поменял местами два слова. Через пол года обновили загрузчик Trezor One. Клиент обновил кошелек - кошелек обнулился. Правильный порядок слов он не смог восстановить по памяти. В итоге он обратился к конторе по брутфорсу и отдал им 30% баланса кошелька.
Забавная история. Особенно потому, что "брутфорсить" там надо было всего 276 вариантов, из которых в среднем только восьмая часть прошла бы проверку чексуммы. Сам бы вручную за час управился . Дельцы тоже не слабо загнули - 30% . А главное - такая "защита" защиты не дает.
|
|
|
Народ какая там комса в Електруме на вывод битка ?
Какую поставите, такая и будет ).
|
|
|
эт я к разговору привязки электрума к аппаратнику с намёком что лучше бы потяжелее чего привязывать Разверните мысль здесь, если можно, по вашим ссылкам я ходить больше не хочу. Этот чип в стадии разработки и серийно еще не выпускается да? а чего они его выложили в своих табличках ? Там на всех чипах стоит метка "Active", а на этом "Preview" Сами то читали? Эту фразу понимаете: " The EAL level does not measure the security of the system itself, it simply states at what level the system was tested."? Этот EAL ничего не гарантирует. Хоть EAL6 лучше, чем EAL5, но иногда на практике чип с EAL5+ вполне может оказаться надежнее чипа с EAL6+. Короче, слишком много внимания вы уделяете этому параметру, не стоит он того. https://ledger-wallet.ru/security_nano_sLedger Nano S Wallet Ledger Nano S также подключается через Micro-USB, имеет две кнопки ввода и дисплей. Главное различие Trezor и Ledger в том, что последний использует не один, а два микроконтроллера: STM32F042K и ST31H320. STM32F042K очень похож на используемый в Trezor STM32F205, но у него есть не внешние, а внутренние часы. Также интересно то, что у Ledger есть полноценный микроконтроллер банковского уровня с технологией Secure Enclave ST31H320, где хранятся приватные ключи кошелька. ST31H320 уже нашёл множество других применений, включая банковское дело, идентификацию и платное телевидение. Кроме того, он соответствует стандартам безопасности согласно общим критериям уровня EAL6+. + https://google.ru/ "Ledger Nano S" EAL6+, https://google.ru/ "ST31H320" EAL6+Спасибо за конкретный ответ, наконец-то. Это не леджера сайт, а какого-то московского интернет-магазина. Его нет даже в списке ретейлеров (а даже если бы и был, это не источник достоверной информации). Я бы не рекомендовал использовать такую конфигурацию 2/2 так как при утере одного кошелька с мнемонической фразой заблокированные невозможно будет потратить. По сути вы сожгете биткоины на этих адресах. Поэтому лучшая конфигурация это 2/3, где есть один кошелек резервный на разного рода случаи.
Очень резонное замечание в общем случае (когда несколько людей-подписантов). Но когда все ключи в одних руках, то это уже не так актуально, безалаберный человек и все 3 сида умудрится потерять, а ответственный никогда не потеряет ни одного. А два хранить немного проще, чем три . Хотя на самом дле 2/3 segwit транзакция лишь на 8 байт больше, чем 2/2, так что можно сделать и 2/3, если кто-то считает это надежнее.
|
|
|
Какие-то древние статейки вы откапываете постоянно... И офтопик к тому же. Этот чип в стадии разработки и серийно еще не выпускается крайний правый столбец расскажет подробности про враньё леджер Ни о чем не говорит. Может хватит издеваться? А если это не троллинг, то напишите в следующем сообщении внятно, типа: "Леджер сказал то-то и то-то. Это враньё. Вот подтверждение". А то вы меня посылаете куда-то, где ничего нет, кроме бреда. а леджер таки мог бы впаять ST31P450 или аналоги с EAL6+ коих полно но не стал этого делать искусственно ослабив кошель Как он этим ослабляется? Вы понимаете, чем отличается EAL5 от EAL6, и что это такое вообще?
|
|
|
текст, на который вы опираетесь (со ссылкой на источник). неужели не видно зелёненькие буквы ST31H450 ? - вот если б эта микруха стояла то да было б EAL6+ там же Такой микрухи не существует. Откуда вы это взяли? И при чем тут леджер?
|
|
|
я не совсем понял по какой причине на территорию украины нельзя заказать Леджер. ( его суда попросту не отправляют) что за дела ? причина неизвестна, саппорт ее не называет ). Компании проще производить более дорогую (для покупателя) и новую модель (прогрессивную), иметь большую прибыль (165$ больше 85$, не так ли?) ...если покупать будут так же активно, в чем я сомневаюсь.
|
|
|
Мне так кажется, распродадут остатки Нано С, и снимут с производства. И останется только Нано Х. ИМХО, конечно. И потеряют большую часть потенциальных покупателей, которые уйдут к конкурентам? Пока цена на нано х заметно не упадет, не снимут. Идут ли работы по добавлению НЕМ и АДА в Леджер? По кардано работы идут, по нем - нет, насколько мне известно.
|
|
|
Информация от леджер не соответствует даташиту ST31H320? дык прям так и написал жеж Я считаю, что вы это написали безосновательно, то есть либо сами придумали, либо транслируете чье-то ошибочное мнение. Чтобы на очередной круг не заходить, вставьте сюда текст, на который вы опираетесь (со ссылкой на источник).
|
|
|
Информация от леджер не соответствует даташиту ST31H320?
|
|
|
там ссылка на другую вашу простыню с ссылкой на какой-то блог. Это вы на эту статью ссылаетесь? Та статья была написана неким Карлом Кредером, вот она в оригинале (кстати, она настолько устарела, что почти все там уже давно неактуально). Автор там пишет, где работает, и эта компания называется не Леджер. Почему вы решили, что Леджер врет?
|
|
|
дайте ссылку, где леджер говорит про EAL6+ в ST31 ну они там не дураки так прямо-то врать чтоб это всем резало глаз Прямо, не прямо... У вас основания есть, чтобы обвинять леджер во вранье про EAL6+ или нет? Покажите их или прекратите дезинформировать народ.
|
|
|
продолжение про враньё леджера о EAL6+
дайте ссылку, где леджер говорит про EAL6+ в ST31
|
|
|
scarich
1. Electrum. Только им и пользуюсь, там можно что угодно настроить. Всем рекомендую, лучший биткоин-кошелек. С леджером отлично работает, с трезором, думаю, тоже. 2. Кажется, нельзя.
|
|
|
Всем привет! Помогите разобраться с Ledger nano S. Есть аккаунт А с кодовой фразой "А" и аккаунт Б с кодовой фразой "Б". Версия Ledger Live 1.4.1. Если я залогинился в самом устройстве Ledger под PIN-кодом, соответствующим кодовой фразе "А", то по логике я не должен видеть адреса и балансы аккаунта Б? Но я их вижу, правда отправить средства с них не могу. Насколько я понимаю смысл кодвоой фразы еще и в том, что если тебя "прессует" злоумышленник, то ты можешь ввести PIN-код от резервного аккаунта, и не светить основной аккаунт с основным балансом. Я не пользовался более старыми версиями Ledger Live, но, полагаю там так и было реализовано, а теперь Ledger отказались от этого, оставив лишь ограничение на вывод средств?
Да, смысл второго пина вы правильно понимаете. Если вы пропишите в ЛЛ аккаунт(ы) с первого пина, а потом со второго, то они оба будут видны в ЛЛ. За это леджеровцев не раз критиковали, кстати. Остается только каждый раз после использования "секретного" аккаунта удалять его (да и кэш с логами, наверное, тоже нужно). Не вполне понял, в чем ваш вопрос, но, по-моему, ничего сейчас не поменялось по сравнению с первыми версиями в работе с аккаунтами.
|
|
|
Вы правильно понимаете. У меня с леджером хорошо работает. Какая версия электрума у вас? Попробуйте временно отключить антивирус.
|
|
|
поясните, не понимаю, что подразумевается под "последовательная" и "параллельная". "параллельная" это я неточно выразился - "зависимая" - более точно будет - когда аппаратный работает внутри софтового как его часть и при взломе софтового аппаратный уже ничего не защищает Аппаратный не работает внутри софтового (электрум просто интерфейс для аппаратного), приватные ключи и сид аппаратник не покидают, а для подписи транзакции так же, как и раньше нужно будет нажать на кнопку. Но теперь для подписи понадобится еще и приватник электрума (понадобится ввести пароль, если он был установлен). Взлом одного из кошельков ничего хакеру не даст, нужно взломать оба. p.s. Надеюсь, никто не додумается в качестве электрумовского сида использовать сид от аппаратника... )
|
|
|
|