Sorry aundroid aber da bin ich NICHT deiner Meinung.
Daran hab ich mich schon gewöhnt  Mir geht es auch nicht darum ob du recht hast oder nicht, sondern was hier auf englisch steht, und das übersetzt du falsch.
Da ich nichts übersetzt habe, gehts dir doch eher darum ob ich recht habe oder nicht.  Genuine hat nichts mit "tampering" zu tun. Genuine ist das gegenteil von Counterfeit. Ob da jetzt etwas hinzugefügt wurde, kann damit NICHT erkannt werden. Der Genuine Check sagt dir lediglich ob das Ledger auch wirklich von ledger hergestellt wurde.
Von Genuine spricht man natürlich auch wenn etwas non- tampered ist. Gibt sogar einen ganzen Artikel von Ledger zum Thema How to protect Hardware wallets against tamperingDa steht genau das drinnen, was ich zuvor geschrieben habe. Stichwort: attestation. Ich nehme an da wird nur ein Seriennummer check mit einem Algorithmus bzw. Direkt gegen eine Datenbank bei Ledger gecheckt. Nichts weiteres.
Nein, wie gesagt, der Ledger erzeugt ein key pair, schickt den public key an den Secure Server. Der Secure Server sendet einen Token an den Ledger, kann das Gerät beim Verbinden eine gültige Signatur liefern wird es als Genuine eingestuft. Auch wenn es jemand schaffen sollte die Hardware UND die Software zu kompromittieren, wird er keinen API call durchführen können, da auch hier ein valider attestation Token notwendig ist. Genau deswegen rät Ledger auch BEIDE checks durchzuführen. HW Visual check UND den Genuine check. Beide sind relevant.
Das liest sich so, also würde Ledger allen Nutzern dazu raten ihr HW- Wallet nach Erhalt zu öffnen und das ist definitiv nicht der Fall. Deshalb steht der Abschnitt auch außerhalb des eigentlichen Beitrags unter " Advanced users can check the hardware integrity..." Wer englisch lesen kann, klar im Vorteil.
 Also nochmal: Mein Résumé im letzten Beitrag war "Sollte es also keine Anzeichen von mechanischen Einwirkungen oder Kratzer am Gerät geben, das Gerät nicht bereits vorkonfiguriert ankommen und die Echtheit mittels 'Genuine Check' bestätigt werden, sehe ich keinen Grund das Gerät zurückzuschicken." Die meisten Angriffsvektoren, wie die von mir zuvor genannte 'Supply Chain Attack' sind generell mehr als theoretische Sicherheitslücken zu verstehen. Ein Gerät das 'tampered' ist und daher irgendwie Seed- Wörter kompromittiert o.ä. muss auch erst entwickelt werden. Natürlich ist ein System nie 100% sicher und du hast natürlich Recht wenn du jemandem, der sich nicht sicher ist, empfiehlst, das Gerät zu öffnen. |
|
|
|
Die gibt es ja schon ne ganze Weile, aber auf der Seite findet man auf die Schnelle kein Team oder Impressum oder ähnliches. Abgesehen davon, ist der Kurs seit dem 13.März schon ordentlich gestiegen, da jetzt noch aufzuspringen...
Hier die Linkedin Seite: https://www.linkedin.com/company/quantnetwork/people/Aber wäre mir auch zu heiss, da jetzt aufzuspringen. Wobei ich sagen muss, dass ich in den letzten Wochen schon sehr häufig von Quant gelesen habe, nur richtig damit beschäftigt habe ich mich noch nie. |
|
|
|
Für Taurion gab es jetzt vor ein paar Tagen wieder ein Dev-Update mit den neuesten Entwicklungen: TAURION dev update | March 2020. Eine weitere, und die wohl die letzte vor Release, Challenge ist geplant, aber nicht in nächster Zeit. Was ist denn aktuell das geplante release date für die finale Version von Taurion? Auch werden wahrscheinlich in/durch Taurion CHI geburnt, wie snailbrain gestern nochmal im Discord bestätigt hat:
Auch nicht schlecht. Gut zu wissen. SME ist natürlich auch flagship, aber auf anderem Niveau und in anderer Hinsicht.
Wie genau ist das zu verstehen? Klar, das Genre ist unterschiedlich, aber ist SME auf einem höheren Niveau oder Taurion? Danke jedenfalls fürs Update  |
|
|
|
Ich glaube, die Amis haben jetzt entgültig die Schnautze voll. Nun werden USD gehamstert und wenn das Fahrwasser etwas ruhiger wird, geht alles in BTC und Gold.  Denke das wird ein Wunschtraum bleiben, dass die Amis jetzt Geld für BTC und Gold übrig haben. Echt erschreckend, wenn man sich den Trend für den Suchbegriff "can't pay rent" ansieht.  [Quelle: https://trends.google.de/trends/explore?geo=US&q=can%27t%20pay%20rent] |
|
|
|
Moozicore hat heute die Liste für das Staking Programm II aktualisiert, sollte es jemanden betreffen. Insgesamt werden übrigens 16,4 Millionen Token gestaked. Bis auf das Staking tut sich ja leider nicht viel bei Moozicore im Moment. |
|
|
|
Die Soccer Manager Elite Beta wurde nun für März angekündigt. Laut meinen Informationen haben sich über 10.000 Leute für diese Beta beworben, leider werden zum Start nur ca. 100 User die Ehre haben das Spiel auf Herz und Nieren zu testen. Hi, gibts eigentlich schon irgendwelche aktuellen Infos zur Beta? Die ersten 100 Leute sollten das Spiel ja bereits testen dürfen oder? Leider wurden im Telegram- Kanal seit der Umstellung auf read- only keine Updates mehr gepostet, deshalb bin ich nicht mehr wirklich am aktuellen Stand der Dinge. Vielleicht kannst du, wenn du Zeit und Lust hast, einen kurzen Lagebericht zu Soccer Manager Elite und vieleicht auch Taurion posten. |
|
|
|
Wird bei einem Connect zu LedgerLive auch die Echtheit der Hardware geprüft?
Nein. HW sollte man schon unter das Auge nehmen. Da wird nur geprüft ob der Chip auch so funktioniert wie er sollte. Kannst dir ja mal Root of Trust und Secure Elements durchlesen. Jedes Mal wenn der Ledger verbunden wird, wird eine Nachricht signiert und zurückschickt. Diese wird dann vom HSM verifiziert. Im Endeffekt müsste die HW und die SW manipuliert worden sein. Und der Secure Chip schützt dann noch vor etlichen physischen Angriffen. Um die Hardware 'ins Auge nehmen zu können' müsste man den Ledger wie in dem von dir verlinkten Artikel öffnen und die Komponenten untersuchen und mal ehrlich, wer macht das schon. Bevor ich einen nagelneuen Ledger öffne, aus Angst er könnte manipuliert worden sein, schick ich ihn zurück und hol mir einen neuen. Das bedeutet nur das es sich um keine Fälschung handelt. Wurde nur was hinzugefügt wird da nix erkannt. Genuine bedeutet nicht das niemand damit
rumgespielt hat. Nur das die HW auch von Ledger stammt. Grosser Unterschied.
Das bedeutet natürlich auch, dass dieser nicht manipuliert wurde. Und klar entdeckt man auch bei einem HW- Wallet immer wieder neue Angriffsvektoren, wie zuletzt bei Trezor, aber auch hier wird nicht mal eben 'was hinzugefügt und nix erkannt', sondern in dem Fall versucht den Seed zu extrahieren. Irgendwann wurde auch mal auf eine sogenannte Supply Chain Attacke aufmerksam gemacht, dabei wurde eine Empfänger im HW- Wallet integriert um mit einer Antenne den Vorgang des 'Knöpfchen drückens' zu umgehen und eine Transaktion zu bestätigen. So ein Angriff setz so viele Dinge voraus, dass er praktisch nicht durchführbar ist. Sollte es also keine Anzeichen von mechanischen Einwirkungen oder Kratzer am Gerät geben, das Gerät nicht bereits vorkonfiguriert ankommen und die Echtheit mittels 'Genuine Check' bestätigt werden, sehe ich keinen Grund das Gerät zurückzuschicken. |
|
|
|
Keine Ahnung. Aber so abwegig finde ich es nicht. Für Binance wäre das nur von Vorteil. Somit würden die vor vielen anderen von Projekten erfahren. Dann könnten sie sich gleich entscheiden, ob zeitgleich mit dem CMC-Listing auch ein Binance-Listing stattfindet. Desweiteren hätten sie Zugang zu Börsen-APIs. Mehr Daten von den jetzt schon angemeldeten Usern bei CMC und so weiter und so fort.
Für Binance ist das natürlich von Vorteil, das bestreitet auch niemand. (Werbung schalten, Volumen nach oben korrigieren ...) Ich bin generell immer dagegen, dass eine zentrale Einheit alles um sich herum aufkauft. Mal abwarten ob der Deal tatsächlich über die Bühne geht, bestätigt wurde er noch von keiner Seite. |
|
|
|
Wird bei einem Connect zu LedgerLive auch die Echtheit der Hardware geprüft? Also würde hier dem Ledger Server auffallen, dass mit der Hardware was nicht stimmt?
Sollte eine Veränderung vorgenommen worden sein, dürfte das Gerät die kryptographische Überprüfung nicht mehr bestehen und eine Warnung anzeigen. Und geprüft wird immer wenn du in der Ledger Live Anwengung eine Applikation öffnest (z.B. Manager) Only a genuine Ledger device can use its key to provide the cryptographic proof required to connect with Ledger’s secure server. When opening an application, a Non Genuine warning is displayed if it is not signed by Ledger. A modified User Interface (as found in https://github.com/LedgerHQ/nanos-ui) will also display a warning message on boot. |
|
|
|
Kann ich nun irgendwie prüfen, ob das HW-Wallet manipuliert wurde?
Hier eine Anleitung von Ledger: https://support.ledger.com/hc/en-us/articles/360002481534edit: gerade gesehen, dass asche eh schon genau den gleichen Link gepostet hat  Besteht hier überhaupt eine Gefahr (ich habe hier auch schon gelesen, das sogar bereits gebrauchte HW-Wallets bedenkenlos weiter genutzt werden können)?
Man könnte natürlich auch ein gebrauchtes Gerät verwenden, sofern man es natürlich resettet! Bei einem Reset wird eine neue Seed- Phrase erstellt und entsprechend neue private keys abgeleitet. Aber würde natürlich trotzdem niemandem empfehlen ein gebrauchtes Gerät zu kaufen. Ist es normal, dass die Verpackung des Nano S nicht versiegelt ist?
Ja, hab schnell in eine der Verpackungen gesehen und da ist sogar eine Karte drinnen auf der steht: "There is no anti- tempering sticker on this box" |
|
|
|
Ich mache jetzt den letzten Beitrag zu diesem Thema, da ich einige Monate nichts mehr dazu gesagt habe und es zurzeit leider mehr andere Probleme gibt. Ich habe im November 2019 das mac os neu aufgesetzt, danach musste ich wieder einige wichtige Systemeinstellungen vornehmen, da die Standarteinstellungen für Kryptowährungen unzureichend sind. Dabei ist mir aufgefallen, dass ich die iCloud Funktionen zwar größtenteils deaktiviert habe, jedoch die iCloud noch Zugriff auf die Vorschau hatte. Und da ich zuvor erzählt habe, dass ich leider eine PDF-Datei des Paperwallets erstellt habe und ich diese auch 1-2 mal Geöffnet habe mit dem Vorschauprogramm, kann ich mir vorstellen, dass von der iCloud irgendjemand zugriff auf die PDF-Vorschau hatte.
Da würde ich vorher noch eine Phishing Mail in Betracht ziehen. Der Klassiker halt: Eine Mail, die auf den ersten Blick aussieht als wäre sie von Apple, man solle sich in seinem Account anmelden (aus welchem Grund auch immer), natürlich mit Link. Man denkt nichts böses und zack sind die Login- Daten weg. Und schon hat der Angreifer Zugriff auf deine iCloud samt Vorschau. Das könnte dann auch die 5 Tage erklären. Oder es kannte wirklich jemand aus deinem Umfeld deinen iCloud Login ... |
|
|
|
Bin gerade zufällig über den Artikel zu den BEST- Rewards gestolpert, ein neues Treueprogramm, welches heute vorgestellt wurde. Dabei handelt es sich um ein neues und spannendes Treueprogramm mit dem du deine BEST Bestände jährlich um bis zu 12,78% vermehren kannst!
Dafür musst du nur BEST in deiner Bitpanda Wallet haben und mindestens einmal im Monat traden. Je höher dein BEST VIP Level ist und je mehr du handelst, desto mehr erhältst du. |
|
|
|
Private Key kannst du ganz einfach auf einem airgapped Computer importieren und davon die Adressen exportieren. Anstatt direkt die von der Herstellung zu benutzen. Auf diese Weise kannst du sicher gehen dass der abgeschriebene Key auch korrekt ist.
Aber wie soll man einen handschriftlich notierten private key importieren außer durch Eingabe über die Tastatur? So 'airgapped' kann ein Device gar nicht sein, dass ich das machen würde, nur um zu prüfen ob er auch richtig notiert wurde. Erinnert mich an Black Hat Researcher Shows Why Air Gaps Won't Protect Your DataWelche anderen Adressen meinst du? 1 Private key = 1 Public Key = 1 Adresse |
|
|
|
Coinmarketcap ist doch heute schon komplett zentralisiert und die Daten davon sollen mit sehr viel acht genutzt werden...
Was meinst du mit einer dezentralen Version?
Mir wäre es ganz einfach lieber, CMC wäre neutral gegenüber Börsen. CMC listet Börsen und Coins, Binance ist eine Börse mit gelisteten Coins. Hört sich für mich nach einem Interessenskonflikt an. |
|
|
|
Vetri Community Update für März: https://vetri.global/community-update-march/Zusammengefasst:- Integration des strat. Partners Lucid verläuft planmäßig (API-Integration ist abgeschlossen) - Test- Benutzer wurden rekrutiert um die erste Version zu testen und Feedback zu geben - Zusammenarbeit mit der Gaming E-Commerce-Plattform VidaPlayer.com - VidaPlayer.com wird auch seine deutschen Nutzer zur Teilnahme an VETRI einladen - neues Partner-Incentive-Programm mit VidaPlayer.com |
|
|
|
Dass man den falsch abschreibt meinst du?
Ja genau. Großbuchstaben, Kleinbuchstaben, Zahlen. Da kann schon mal ein Fehler passieren. Man könnte den Private Key zwar mittels bitaddress.org prüfen, aber naja, muss jeder für sich selbst entscheiden ob er seinen Private Key gerne über die Tastatur eingibt. Hab ich anfangs unzählige Male gemacht um ja sicher zu gehen Ich auch - ist auch schnell erledigt. Resetten -> Seed eingeben -> fertig. Und schon kann man sich sicher sein, den Seed richtig abgeschrieben zu haben. |
|
|
|
Darum lasst uns doch einmal den ersten Absatz auseinander nehmen und die Falschdarstellungen entlarven:
Eigentlich gings mir um die aufgeführten 'Schwachpunkte' und nicht um die Einleitung. Aber ja, die Einleitung fällt vielleicht etwas extrem negativ aus. Die Vorteile sicher erzeugter Paper-Wallets liegen klar bei der Langzeitaufbewahrung von Bitcoins und bieten hier tatsächlich hohe Sicherheit, sofern korrekt erzeugt. Über die "korrekte" Erzeugung lässt sich trefflich streiten, was dem einen sicher erscheint, erscheint dem anderen höchst unsicher. Final gibt es Vorteile für Paperwallets und Vorteile für Hardwarewallets, wobei man auch dazu sagen muss, dass Paperwallets bereits länger existieren als Hardwarewallets, aber die empfiehlt der Autor des Artikels nicht.
*sofern korrekt erzeugt* Und genau das ist der Punkt, warum ich einem Beginner immer lieber zu einem HW- Wallet raten würde. Man kann einfach vieles falsch machen. Weiter geht es mit der Mutmaßung 'usually generated by a website', was eine unsichere Generierung online auf einer Webseite impliziert, die somit nicht als Standard einer sicheren Generierung einer Paperwallet entspricht.
Guter Punkt. Zudem bringt der Autor im selben Satz unter, dass diese Wallet zwingend gedruckt wird, was aber nicht erforderlich ist, da man sich den private Key auch händisch notieren kann.
No risk, no fun Wäre mir bei einem Private Key zu nervenaufreibend. Eine Seed Phrase besteht wenigstens aus Wörtern aber ein Private Key. Gleich im ersten Satz wird darauf eingestimmt, dass Paperwallets laut Autor obsolet und unsicher wären (seine pers. Meinung) und zwischen 2011 and 2016 populär gewesen wären. Wie kommt der Autor darauf, dass sie gerade ab 2016 unpopulär geworden wären? Wie kommt er überhaupt darauf, dass sie ab 2016 unpopulär wurden? Es gibt jedenfalls keinerlei Gründe dafür, die Sicherheit von Paperwallets war immer gleich.
Paper Wallets gibts seit 2011 und 2016 wurde der Ledger Nano S (das vermutlich meistverkaufteste HW- Wallet) vorgestellt, die Sicherheit war immer gleich, die Popularität (bestimmt) nicht. |
|
|
|
Das einzige was diese Zahlen hergeben ist: Testet man mehr, nehmen die Fallzahlen zu. In China hat man dann anscheinend aufgehört zu testen, anders kann ich mir die Zahlen nämlich nicht erklären. Sieht man sich den Lagebericht des RKI an ...  ... hat sich der Anteil der positiv getesteten lediglich um +0,9% verändert. |
|
|
|
|
Show Posts
