dubbi e domande sulla sicurezza

[duesoldi]

io ho una domanda a riguardo: ma un keylogger, se io copio-incollo la password (invece di scriverla), è in grado di rubarla uguale?

Quando copi e incolli metti i dati nella clipboard, quindi è sufficiente che il keylogger salvi anche quella.... direi di sì insomma.
Per questo si dice che l'unico computer "sicuro" è un computer spento   

[duesoldi]

edit: non ricordo quale software, non di crypto mi pare, ha una seconda password che serve a "congelare" la vecchia password in caso di estorsione. E' un principio che si potrebbe applicare anche ai wallet, in qualche maniera.

Io ricordo che truecrypt consente di creare un hidden volume cui accedi solo con una pwd diversa da quella che usi per il volume principale.
Probabilmente tu ti riferisci a qualcosa di diverso visto che parli di "congelare" la prima pwd (e non è il caso del funzionamento di truecrypt)  ma l'idea di base è sempre quella: usare due pwd diverse per fare una cosa analoga, solo che ognuna delle due pwd ti da accesso a dati (spazi) diversi.

Altro esempio. Negli antifurto moderni (quelli delle abitazioni per essere chiaro) di solito c'è un automatismo per cui:

• se inserisci il tuo codice personale disattivi l'antifurto
  
• se invece inserisci il codice aumentato di un'unità, viene fatta partire la chiamata anti coercizione (oltre a disabilitare l'antifurto)

è una funzione  orma standard e l'idea è proprio far si che oltre all'azione nota (disabilitare l'antifurto - cosa che chi ti minaccia si aspetta tu faccia) ne venga compiuta anche una seconda ignota agli altri.

[asdlolciterquit_2]

edit: non ricordo quale software, non di crypto mi pare, ha una seconda password che serve a "congelare" la vecchia password in caso di estorsione. E' un principio che si potrebbe applicare anche ai wallet, in qualche maniera.

Io ricordo che truecrypt consente di creare un hidden volume cui accedi solo con una pwd diversa da quella che usi per il volume principale.
Probabilmente tu ti riferisci a qualcosa di diverso visto che parli di "congelare" la prima pwd (e non è il caso del funzionamento di truecrypt)  ma l'idea di base è sempre quella: usare due pwd diverse per fare una cosa analoga, solo che ognuna delle due pwd ti da accesso a dati (spazi) diversi.

Altro esempio. Negli antifurto moderni (quelli delle abitazioni per essere chiaro) di solito c'è un automatismo per cui:

• se inserisci il tuo codice personale disattivi l'antifurto
  
• se invece inserisci il codice aumentato di un'unità, viene fatta partire la chiamata anti coercizione (oltre a disabilitare l'antifurto)

è una funzione  orma standard e l'idea è proprio far si che oltre all'azione nota (disabilitare l'antifurto - cosa che chi ti minaccia si aspetta tu faccia) ne venga compiuta anche una seconda ignota agli altri.

un wallet con una password "particolare/secondaria" in grado di attivare altri meccanismi mi sembra veramente un'ottima idea. Va implementato però con una certa accortezza...

[MrEHQE]

bene, adesso prendiamo in mano i codici di electrum e implementiamo

[asdlolciterquit_2]

relativamente alla mia idea di cancellare il wallet.dat dal pc online e averlo solo su pennette usb, che ne pensate? Mi mette al  sicuro?

[duesoldi]

Quanto pensi che possa essere sicura una chiavetta usb che "prima o poi" attaccheresti ad un pc online ?
E comunque potrebbe essere più sicura del pc stesso?

Credo che alla fine quel che vuoi fare sia molto vicino al lavorare con un cold wallet. Non ho capito dal tuo primo post se ne hai solo sentito parlare o se avevi approfondito la modalità operativa per cui ti riporto il link dove è spiegato molto bene come fare:

https://bitcointalk.org/index.php?topic=612624.0

[asdlolciterquit_2]

Quanto pensi che possa essere sicura una chiavetta usb che "prima o poi" attaccheresti ad un pc online ?
E comunque potrebbe essere più sicura del pc stesso?

Credo che alla fine quel che vuoi fare sia molto vicino al lavorare con un cold wallet. Non ho capito dal tuo primo post se ne hai solo sentito parlare o se avevi approfondito la modalità operativa per cui ti riporto il link dove è spiegato molto bene come fare:

https://bitcointalk.org/index.php?topic=612624.0

la chiavetta fintanto che è offline (e lo è di base), è al sicuro no?
L'idea appunto è che non venga utilizzata.
E' sicuramente più sicura del pc, no?

E' chiaro che poi il punto critico sarà il pc, una volta che decido di fare una transazione.

[duesoldi]

Ma prima o poi dovrai collegarla al pc, no ? e quando lo avrai fatto spiegami che differenza pensi ci possa essere con un secondo pc tenuto offline in modo da realizzare il cold wallet descritto nel link

[asdlolciterquit_2]

Ma prima o poi dovrai collegarla al pc, no ? e quando lo avrai fatto spiegami che differenza pensi ci possa essere con un secondo pc tenuto offline in modo da realizzare il cold wallet descritto nel link

ma io sono convinto che il cold wallet sia meglio eh!

Ma una chiavetta è molto più semplice da implementare. Ci vogliono 10 secondi, veramente.

Vorrei capire ci sono grosse falle di sicurezza che non vedo...

[duesoldi]

Sì ma come ti dicevo prima o poi questa chiavetta dovrai attaccarla al pc per copiare il wallet?  in quel momento se il pc fosse infettato avresti il problema....

Invece con il cold wallet questo tipo di problema non l'avresti perché nel pc online non ci sarebbe alcun modo di mettere le mani sulle chiavi private (che risiederebbero solo e per definizione nel pc offline). L'unico file che sposti tra pc online e offline è quello della transazione (da firmare/firmata) che è un file di testo facilissimo da controllare per un antivirus.

[asdlolciterquit_2]

Sì ma come ti dicevo prima o poi questa chiavetta dovrai attaccarla al pc per copiare il wallet?  in quel momento se il pc fosse infettato avresti il problema....

Invece con il cold wallet questo tipo di problema non l'avresti perché nel pc online non ci sarebbe alcun modo di mettere le mani sulle chiavi private (che risiederebbero solo e per definizione nel pc offline). L'unico file che sposti tra pc online e offline è quello della transazione (da firmare/firmata) che è un file di testo facilissimo da controllare per un antivirus.

no ma ok, mi torna.
Ma nell'ottica di non usare il wallet per tot mesi, penso che possa essere una buona soluzione, no?

Poi se deciderò di non holdare più, allora potrò pensare con calma a come intervenire.

[duesoldi]

Ma nell'ottica di non usare il wallet per tot mesi, penso che possa essere una buona soluzione, no?

Poi se deciderò di non holdare più, allora potrò pensare con calma a come intervenire.

Non saprei.... se l'intenzione fosse di non usare il wallet per tot mesi non faresti prima a disinstallare tutto e poi reinstallare e ricreare il wallet reintroducendo le parole del seed?  Così un eventuale virus non troverebbe nulla nel pc (intendo nemmeno l'eseguibile di electrum).
Secondo me la soluzione dello spostare il wallet.dat su usb non è né carne né pesce, nel senso che non ti da  vantaggi rispetto ai due casi estremi che sono: uso di electrum online da una parte, e cold wallet dall'altro.
Ma ovviamente è una mia opinione.

[duesoldi]

Stavo leggendo qualcosa nella sezione inglese (su altri temi) e ho trovato questo recente post che parla di una via "alternativa" al cold wallet. Alternativa nel senso che cita anche gli hidden volume di veracrypt per occultare il wallet:

https://bitcointalk.org/index.php?topic=2093647.0

[asdlolciterquit_2]

Ma nell'ottica di non usare il wallet per tot mesi, penso che possa essere una buona soluzione, no?

Poi se deciderò di non holdare più, allora potrò pensare con calma a come intervenire.

Non saprei.... se l'intenzione fosse di non usare il wallet per tot mesi non faresti prima a disinstallare tutto e poi reinstallare e ricreare il wallet reintroducendo le parole del seed?  Così un eventuale virus non troverebbe nulla nel pc (intendo nemmeno l'eseguibile di electrum).
Secondo me la soluzione dello spostare il wallet.dat su usb non è né carne né pesce, nel senso che non ti da  vantaggi rispetto ai due casi estremi che sono: uso di electrum online da una parte, e cold wallet dall'altro.
Ma ovviamente è una mia opinione.

ma che potrebbe succedere se un virus trovare l'eseguibile?
di base poi electrum non è istallato, io ho la versione "stand alone" che non si istalla.

Dovrei cancellare la cartella sotto roaming/appdata? ma a quanto so non credo aumenti la sicurezza fare così, perchè qualsiasi malware cosa ci fa con quei dati?

[duesoldi]

No aspetta, forse stiamo andando in loop... 
Io stavo rispondendo alla parte di domanda che avevi fatto al post #11:

Mi è sufficiente a questo punto prendere il wallet.dat metterlo su un paio di chiavette usb e NON tenerlo più sul pc? In questo caso, qualsiasi virus/malware non potrà fare niente, no?

per questo dicevo che non sarebbe stato più sicuro rispetto alla soluzione cold wallet.

Comunque:

ma che potrebbe succedere se un virus trovare l'eseguibile?

potrebbe succedere che a quel punto il virus SAPREBBE che usi Electrum, quindi l'attacco sarebbe decisamente più mirato.

[asdlolciterquit_2]

No aspetta, forse stiamo andando in loop... 
Io stavo rispondendo alla parte di domanda che avevi fatto al post #11:

Mi è sufficiente a questo punto prendere il wallet.dat metterlo su un paio di chiavette usb e NON tenerlo più sul pc? In questo caso, qualsiasi virus/malware non potrà fare niente, no?

per questo dicevo che non sarebbe stato più sicuro rispetto alla soluzione cold wallet.

Comunque:

ma che potrebbe succedere se un virus trovare l'eseguibile?

potrebbe succedere che a quel punto il virus SAPREBBE che usi Electrum, quindi l'attacco sarebbe decisamente più mirato.

mmmm, più mirato...se è un virus che cerca btc, i path e i sw alla fine non sono poi così tanti...no?
certo alla fine la sicurezza non è mai troppa...

[Sandro kensan]

Vorrei capire ci sono grosse falle di sicurezza che non vedo...

Le chiavette smettono di funzionare e anche spesso. Non so la durata di una chiavetta ma non penso sia grande. Poi io avevo una chiavetta da 32 MB che aveva una capacità di molto inferiore, un tarocco.

Invece il paper wallet è proprio quello che vedi e quello che ti aspetti in durata.

Per esempio i CD dicevano durassero una eternità, poi si è visto che hanno una durata limitata e anche molto limitata.

[asdlolciterquit_2]

Vorrei capire ci sono grosse falle di sicurezza che non vedo...

Le chiavette smettono di funzionare e anche spesso. Non so la durata di una chiavetta ma non penso sia grande. Poi io avevo una chiavetta da 32 MB che aveva una capacità di molto inferiore, un tarocco.

Invece il paper wallet è proprio quello che vedi e quello che ti aspetti in durata.

Per esempio i CD dicevano durassero una eternità, poi si è visto che hanno una durata limitata e anche molto limitata.

si, questa è una cosa di cui devo tener conto!
Ma nella peggiore delle ipotesi, posso comunque usare solo il seed!

[joosh]

Consiglio di stampare la passphrase su carta e tenerla in cassaforte. Delle chiavette non ci si può fidare, possono diventare illeggibili in qualsiasi momento. Annotati sul foglietto di carta anche il wallet (nome e versione) utilizzato perchè non tutti i wallet sono compatibili e usando la passphrase su un wallet diverso potresti non riuscire a recuperare i tuoi Bitcoin.

[asdlolciterquit_2]

Consiglio di stampare la passphrase su carta e tenerla in cassaforte. Delle chiavette non ci si può fidare, possono diventare illeggibili in qualsiasi momento. Annotati sul foglietto di carta anche il wallet (nome e versione) utilizzato perchè non tutti i wallet sono compatibili e usando la passphrase su un wallet diverso potresti non riuscire a recuperare i tuoi Bitcoin.

sisi sono d'accordo, il seed va gestito comunque separatamente!