Dimenzino
Member
 Offline
Activity: 847
Merit: 60
|
 |
July 23, 2019, 07:05:08 PM
Last edit: July 23, 2019, 07:15:44 PM by Dimenzino |
|
Открываем секьюрный чип линейки ST31 - https://www.st.com/en/secure-mcus/st31h320.html#overview . там у нас только такие возможности как "овервью", "ресурсы" (не в том смысле), а также же гарантии качества. Открываем например Даташит чипа от Trezor Model T, STM32F427/437 - https://www.st.com/en/microcontrollers-microprocessors/stm32f427-437.html Что мы там видим? Правильно - "tools & software". Чего нет в секьюрной линейке ST31 (и других секьюрных чипах, дам спойлер). Что видим в этом подразделе? Подразделы: Development Tools - то, что мы ищем EcosystemsEmbedded Software - и это тоже Evaluation Tools - да и это сойдет Solutions & Reference DesignsSupport and ApplicationsТобишь, если судить по моему поверхностному взгляду все то, что нужно собственно для разработки/модификации/улучшения (или ухудшения, хи) данного чипа. айяйяй https://google.ru/ stm32f427 trezor hackhttps://google.ru/ stm32f427 trezor _reddit.comкак же они там не подумали то.. |
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1850
Crypto for the Crypto Throne!
|
|
July 24, 2019, 06:09:23 AM
Last edit: July 25, 2019, 10:12:05 PM by johhnyUA |
|
Ты по ходу что-то не то заквотил, так как твое сообщение никак не относится к тому, что я написал в цитате.  Не могли бы более подробно описать данный эксперимент - боюсь приведенных вами деталей недостаточно для воспроизведения желающими уличить производителей мк для аппаратных кошельков в наличии закладок. кроме шуток. Имелись ввиду timing attack и power analysis Что из этого? Допустим, компьютер пользователя будет заражен программой, позволяющей получить удаленный доступ к подключенному кошельку. Получив его, опытный злоумышленник сравнительно легко сможет получить доступ к информации на STM32, но не взломает ST31. Следовательно, ключи с Ledger он не получит, ключи с Trezor — получит. Я вот и насчет этого честно говоря сомневаюсь, я не профи в хардхакинге, но как мне известно, для любого типа хардвар атаки, инвазивного или не инвазивного нужен физический доступ к устройству. Взлом программой это уже software хакинг, и "качество" чипа здесь влияет мало. В данном случае все будет зависеть от прошивки, дает ли она доступ левым программам выполнять другую логику и все в таком духе. По поводу bootROM: да, есть такое. Там находится (ну в некоторых статьях и является) загрузчик (bootloader) который можно как ни странно - чистить (mass erase operation) ( https://www.st.com/content/ccc/resource/technical/document/application_note/b9/9b/16/3a/12/1e/40/0c/CD00167594.pdf/files/CD00167594.pdf/jcr:content/translations/en.CD00167594.pdf) Да и возможности бутромов честно говоря довольно ограничены. Но да, бэкдором быть могут. |
|
|
|
cold013
Member
Offline
Activity: 77
Merit: 15
|
|
July 30, 2019, 07:19:46 PM |
|
Всем добрый день
Подскажите как в последних версиях electrum (3.3_8) импортировать bip39?
раньше при импорте можно было поставить галку- сейчас ее нет
p.S
нашел, нужно выбирать стандартный кошелек (без 2фа), тогда галка с bip39 появляется, так же при стандарте дает возможность подключится с hardware. При выборе 2фа таких опций не дает. Может кому-то будет полезно (забыл к примеру как я)
|
|
|
|
|
igor72
Legendary
Offline
Activity: 2240
Merit: 2318
|
|
July 30, 2019, 07:32:01 PM |
|
Подскажите как в последних версиях electrum (3.3_8) импортировать bip39? А зачем вам (применительно к данной теме) импортировать BIP39 сид в электрум? Может вы сид от леджера/трезора туда вставляете? |
|
|
|
|
cold013
Member
Offline
Activity: 77
Merit: 15
|
|
July 31, 2019, 07:53:26 PM |
|
Подскажите как в последних версиях electrum (3.3_8) импортировать bip39? А зачем вам (применительно к данной теме) импортировать BIP39 сид в электрум? Может вы сид от леджера/трезора туда вставляете? Да, именно от ledger, просто именно в этой теме данный вопрос обсуждался |
|
|
|
|
igor72
Legendary
Offline
Activity: 2240
Merit: 2318
|
|
July 31, 2019, 07:59:37 PM |
|
Подскажите как в последних версиях electrum (3.3_8) импортировать bip39? А зачем вам (применительно к данной теме) импортировать BIP39 сид в электрум? Может вы сид от леджера/трезора туда вставляете? Да, именно от ledger, просто именно в этой теме данный вопрос обсуждался Но если вы делаете это на машине, которая будет когда-либо онлайн, то вы компрометируете сид, ваш холодный аппаратный кошелек становится не лучше горячего программного. Зачем вы это делаете? |
|
|
|
|
cold013
Member
Offline
Activity: 77
Merit: 15
|
|
November 14, 2019, 03:35:33 PM |
|
Подскажите как в последних версиях electrum (3.3_8) импортировать bip39? А зачем вам (применительно к данной теме) импортировать BIP39 сид в электрум? Может вы сид от леджера/трезора туда вставляете? Да, именно от ledger, просто именно в этой теме данный вопрос обсуждался Но если вы делаете это на машине, которая будет когда-либо онлайн, то вы компрометируете сид, ваш холодный аппаратный кошелек становится не лучше горячего программного. Зачем вы это делаете? Запоздало отвечу, я так конечно делать не буду, тем более если есть возможность просто подключить леджер к электруму без компроментации приватных ключей/сид-фразы. Просто хотел понять про саму возможность такую, например срочно надо перевести средства с леджера, а сам аппаратник утонул/сгорел/утерян и времени нет ждать нового. Тогда мы компроментируем старый сид с леджер через BIP39 - делаем перевод в надежное место и потом(когда на руках будет новый аппаратник) возвращаем все на круги своя. Разные ситуации бывают ведь. |
|
|
|
|
igor72
Legendary
Offline
Activity: 2240
Merit: 2318
|
|
November 14, 2019, 04:29:43 PM |
|
Запоздало отвечу, я так конечно делать не буду, тем более если есть возможность просто подключить леджер к электруму без компроментации приватных ключей/сид-фразы.
Просто хотел понять про саму возможность такую, например срочно надо перевести средства с леджера, а сам аппаратник утонул/сгорел/утерян и времени нет ждать нового. Тогда мы компроментируем старый сид с леджер через BIP39 - делаем перевод в надежное место и потом(когда на руках будет новый аппаратник) возвращаем все на круги своя. Разные ситуации бывают ведь.
Ну да, в самом крайнем случае можно так сделать. Только когда появится новый аппаратник, старый скомпрометированный сид уже не надо в нем восстанавливать, нужно генерировать новый. Вы, наверняка, это знаете, просто из вашей реплики это не понятно - для новичков не помешает лишний раз проговорить. |
|
|
|
|
diks
Legendary
Offline
Activity: 2632
Merit: 1450
|
|
November 14, 2019, 04:35:36 PM |
|
Запоздало отвечу, я так конечно делать не буду, тем более если есть возможность просто подключить леджер к электруму без компроментации приватных ключей/сид-фразы.
Просто хотел понять про саму возможность такую, например срочно надо перевести средства с леджера, а сам аппаратник утонул/сгорел/утерян и времени нет ждать нового. Тогда мы компроментируем старый сид с леджер через BIP39 - делаем перевод в надежное место и потом(когда на руках будет новый аппаратник) возвращаем все на круги своя. Разные ситуации бывают ведь.
Ну да, в самом крайнем случае можно так сделать. Только когда появится новый аппаратник, старый скомпрометированный сид уже не надо в нем восстанавливать, нужно генерировать новый. Вы, наверняка, это знаете, просто из вашей реплики это не понятно - для новичков не помешает лишний раз проговорить. тогда уж лучш вытащить конкретные пары адрес-ключ в офф-лайне (через скрипт Колемана), импортировать конкретные адреса с необходимыми балансами и сделать транзакции не? |
|
|
|
igor72
Legendary
Offline
Activity: 2240
Merit: 2318
|
|
November 15, 2019, 06:55:20 AM |
|
тогда уж лучш вытащить конкретные пары адрес-ключ в офф-лайне (через скрипт Колемана), импортировать конкретные адреса с необходимыми балансами и сделать транзакции
не?
Почему не? Да. Особенно если офлайн - это не просто "выключил роутер на полчаса", а настоящий офлайн. Но в таком случае можно офлайн и транзакцию подписать - тогда и сид не будет скомпрометирован, и рисков с транзакцией/ключами не будет. |
|
|
|
|
Emil_RU
Newbie
Offline
Activity: 10
Merit: 1
|
|
March 22, 2020, 04:22:10 PM |
|
Кстати насколько я понял ни на ибэй, ни где либо еще брать нельзя, только офф. сайт, от греха подальше.
А какие могут быть проблемы при покупке с рук, при условиях, что кошелёк запечатан в заводскую упаковку, при запуске ведёт себя действительно так, будто его в первый раз запустили и без проблем соединяется с сайтом производителя, обновляя прошивку (если обновление есть, конечно)? Все таки можно покупать аппарат БУ? Если сбросить все настройки до заводских, аппарат же более не представляет угрозы? |
|
|
|
|
CAGEGG
Newbie
Offline
Activity: 32
Merit: 0
|
|
March 27, 2020, 06:08:23 PM |
|
Ledger Nano S на данный момент лучший холодный кошелек, TREZOR довольно таки странный и отзывы у него непонятные.
|
|
|
|
|
Grumlin
Legendary
Offline
Activity: 2915
Merit: 1170
|
|
March 29, 2020, 08:08:23 PM |
|
Кстати насколько я понял ни на ибэй, ни где либо еще брать нельзя, только офф. сайт, от греха подальше.
А какие могут быть проблемы при покупке с рук, при условиях, что кошелёк запечатан в заводскую упаковку, при запуске ведёт себя действительно так, будто его в первый раз запустили и без проблем соединяется с сайтом производителя, обновляя прошивку (если обновление есть, конечно)? Все таки можно покупать аппарат БУ? Если сбросить все настройки до заводских, аппарат же более не представляет угрозы? лучше брать новый, бу может взять тот, кто может потом проверить устройство на наличие физических закладок, и потом перепрошить его самостоятельно |
|
|
|
apolonya
Jr. Member
Offline
Activity: 35
Merit: 1
|
|
March 31, 2020, 08:02:43 AM |
|
На сегодняшний момент пользуюсь аппаратниками от ledger, так как очень удобно и приятно пользоваться. Более того брал два леджера по акции на 14 февраля, не так уж и дорого мне они встали, по сравнению с трезером.
|
|
|
|
|
|
