Bitcoin Forum
October 23, 2019, 04:05:33 AM *
News: 10th anniversary art contest
 
   Home   Help Search Login Register More  
Pages: « 1 2 [3] 4 5 »  All
  Print  
Author Topic: hardware wallet nano ledger s  (Read 16327 times)
babo
Legendary
*
Offline Offline

Activity: 1932
Merit: 1250


View Profile WWW
October 17, 2018, 09:52:19 AM
 #41

Non solo è un’azienda seria, se vuoi acquistare un ledger (o trezor) passare dal sito ufficiale è la scelta migliore se non l’unica consigliabile! A parte i pochi rivenditori ufficiali, se compri tramite altri canali il rischio di truffa è alto (es wallet usati con seed già preimpostati)

esatto
state in guardia da offerte troppo ghiotte, al solito se e' troppo bello per essere vero
magari.. non lo e'

quindi comprando dal produttore ufficiale o dai RESELLER UFFICIALI (esiste in italia) non rischiate

1571803533
Hero Member
*
Offline Offline

Posts: 1571803533

View Profile Personal Message (Offline)

Ignore
1571803533
Reply with quote  #2

1571803533
Report to moderator
1571803533
Hero Member
*
Offline Offline

Posts: 1571803533

View Profile Personal Message (Offline)

Ignore
1571803533
Reply with quote  #2

1571803533
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1571803533
Hero Member
*
Offline Offline

Posts: 1571803533

View Profile Personal Message (Offline)

Ignore
1571803533
Reply with quote  #2

1571803533
Report to moderator
1571803533
Hero Member
*
Offline Offline

Posts: 1571803533

View Profile Personal Message (Offline)

Ignore
1571803533
Reply with quote  #2

1571803533
Report to moderator
1571803533
Hero Member
*
Offline Offline

Posts: 1571803533

View Profile Personal Message (Offline)

Ignore
1571803533
Reply with quote  #2

1571803533
Report to moderator
Piggy
Hero Member
*****
Offline Offline

Activity: 784
Merit: 1385



View Profile WWW
October 17, 2018, 10:17:33 AM
 #42

Non solo è un’azienda seria, se vuoi acquistare un ledger (o trezor) passare dal sito ufficiale è la scelta migliore se non l’unica consigliabile! A parte i pochi rivenditori ufficiali, se compri tramite altri canali il rischio di truffa è alto (es wallet usati con seed già preimpostati)

esatto
state in guardia da offerte troppo ghiotte, al solito se e' troppo bello per essere vero
magari.. non lo e'

quindi comprando dal produttore ufficiale o dai RESELLER UFFICIALI (esiste in italia) non rischiate

Si sempre meglio comprare tutto nuovo dal rivenditore originale, non vale la pena perdere tutto per risparmiare qualche euro Smiley

Comunque avevo letto qualche articolo a riguardo, l'hardware e l'app hanno una sorta di handshake e si controllano a vicenda per verificare che il firmware nell'hardware e il software dell'applicazione non siano stati modificati, se lo sono dovrebbe comparire qualche messaggio di errore. Quindi dovrebbe essere sicuro anche comprarli usati (io non mi fiderei comunque, non si sà mai), basta che si fa un reset delle parole per creare gli indirizzi.

babo
Legendary
*
Offline Offline

Activity: 1932
Merit: 1250


View Profile WWW
October 17, 2018, 10:28:47 AM
 #43

si @piggy in teoria e' come dici tu

ma spesso vale la regola del buon senso

comprarli usati  per risparmiare, 30 euro? e poi quanti soldi ci metti su?
meglio spendere 30 euro in piu.. imho ovviamente

Cent21
Hero Member
*****
Offline Offline

Activity: 1231
Merit: 538

CryptoTalk.Org - Get Paid for every Post!


View Profile
October 17, 2018, 11:20:55 AM
 #44


Babo ma tu hai comprato su ledger.com con i btc? Ci sono problemi pagando con btc sul loro sito?

Qualcuno ci ha provato?

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
babo
Legendary
*
Offline Offline

Activity: 1932
Merit: 1250


View Profile WWW
October 17, 2018, 12:02:19 PM
 #45

no io all'epoca .. parecchio tempo fa
ho pagato con carta di credito, perche non mi volevo separare di quella quantita di bitcoin Smiley

tutto qua

Cent21
Hero Member
*****
Offline Offline

Activity: 1231
Merit: 538

CryptoTalk.Org - Get Paid for every Post!


View Profile
October 17, 2018, 06:56:44 PM
 #46

no io all'epoca .. parecchio tempo fa
ho pagato con carta di credito, perche non mi volevo separare di quella quantita di bitcoin Smiley

tutto qua

Capisco.

Io ho provato a fare l'ordine e pagare con btc, ma non ci sono riuscito. È venuto fuori che bitpay non è compatibile che il wallet coinomi che sto usando.....  Shocked

A questo punto mi sa che aspetto il prossimo sconto.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
lukax8
Sr. Member
****
Offline Offline

Activity: 1064
Merit: 269


View Profile
October 17, 2018, 07:58:25 PM
 #47

no io all'epoca .. parecchio tempo fa
ho pagato con carta di credito, perche non mi volevo separare di quella quantita di bitcoin Smiley

tutto qua

Capisco.

Io ho provato a fare l'ordine e pagare con btc, ma non ci sono riuscito. È venuto fuori che bitpay non è compatibile che il wallet coinomi che sto usando.....  Shocked

A questo punto mi sa che aspetto il prossimo sconto.

Io ho acquistato il ledger l'anno scorso pagando in BTC da wallet electrum, è filato tutto liscio.
arulbero
Legendary
*
Offline Offline

Activity: 1289
Merit: 1334


View Profile
October 18, 2018, 05:03:00 PM
 #48

Sto dando un'occhiata al sito del ledger, per quanto riguarda la sicurezza:

https://support.ledgerwallet.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine

mi sembra di capire che il dispositivo sia inizializzato con una chiave segreta iniziale, che serve a garantire che il dispositivo non sia mai stato usato quando arriva nelle mani del cliente.

Rimane il fatto che ci si deve fidare del fatto che in quell'azienda tutti si comportino in maniera onesta, oppure non ho capito bene io?

Insomma, il sistema è veramente trustless o no?

Alla fine è più facile verificare un software (se è open source è controllato da tutti in un repository), e ottenere infine una copia verificata di un software è abbastanza facile.

Molto più complesso mi sembra verificare che un dispositivo hardware non nasconda sorprese, ogni singolo dovrebbe essere in grado di verificare il proprio dispositivo fisico.

big_daddy
Sr. Member
****
Offline Offline

Activity: 882
Merit: 262


WOLF.BET - Provably Fair Dice Game


View Profile WWW
October 18, 2018, 05:14:02 PM
 #49

Sto dando un'occhiata al sito del ledger, per quanto riguarda la sicurezza:

https://support.ledgerwallet.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine

mi sembra di capire che il dispositivo sia inizializzato con una chiave segreta iniziale, che serve a garantire che il dispositivo non sia mai stato usato quando arriva nelle mani del cliente.

Rimane il fatto che ci si deve fidare del fatto che in quell'azienda tutti si comportino in maniera onesta, oppure non ho capito bene io?

Insomma, il sistema è veramente trustless o no?

Alla fine è più facile verificare un software (se è open source è controllato da tutti in un repository), e ottenere infine una copia verificata di un software è abbastanza facile.

Molto più complesso mi sembra verificare che un dispositivo hardware non nasconda sorprese, ogni singolo dovrebbe essere in grado di verificare il proprio dispositivo fisico.



non ci sono chiavi segrete iniziali
il wallet Nano S genera 24 parole random (memonic) dopo le quali ti chiede di reinserirle per attivare il dispositivo, e poi di inserire un tuo pin

io lo uso due anni
é praticamente perfetto e 100% sicuro

WOLF.BET
▀  ▀▀▀▀▀▀
  ▀ ▀▀▀
 ▄ ▄▄▄ 
  ▄ ▄▄▄
▄  ▄▄▄▄▄▄
        ▄▄▄▀▀▀▀▄▄▄
    ▄███▌        ▀▀▄
  ▄▀   ▐█████████▄  ▀▄
 ▄▀  ▄█████████████▄  █
 ▌  █████████████████  █
▐  ████████████████ ▄█
█  █████████████████████▌
▐  ██████████████████ ▀█▌
 ▌ ▐█████████████████▌ ▐▀
 █  ██████████████▀ ▄▀
  █   ███████████▀  ▄▀
   ▀▄▄██ ▀▀▀▀▀▀▀  ▄▄▀
     ▀██▄▄▄▄▄▄▄▄▀▀▀
▄███████████▄
███████    ████████████▄
███████    ███████   ▀██
██████████████████    ██
██    ██████████████████
██    ███████    ███████
█████████████    ███████
███████    █████████████
███████    ███████    ██
██████████████████   ▄██
██        ▀███████████▀
██
██
      ▄█▄         ▄█▄
 ▄██ ███ ███████ ███ ██▄
▐███▄ ▀ ▄███████▄ ▀ ▄███▌
▐█▌▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▐█▌
▐█▌   ▄▄▄▄▄▄▄▄        ▐█▌
▐█▌   ████████        ▐█▌
▐█▌       ███     ▄▄▀▀▀██▄
▐█▌      ███    ██▀      ▀█
▐█▌     ███    ███         █
▐█▌    ███     ███          █
 ██▄           ███▄         █
  ▀█████████████████▄     ▄█
                  ▀▀█████▀▀

████
██
██
██
██
██
██
██
██
██
██
████


AFFILIATE PROGRAM
   FREE FAUCET
CHAT RAIN
arulbero
Legendary
*
Offline Offline

Activity: 1289
Merit: 1334


View Profile
October 18, 2018, 06:00:38 PM
 #50

non ci sono chiavi segrete iniziali

Riporto da https://support.ledgerwallet.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine -->
Quote
Check authenticity with Ledger applications

    Connect your Ledger device to any of Ledger’s applications to verify its authenticity.
    Genuine Ledger devices hold a secret key that is set during manufacture.
    Only a genuine Ledger device can use its key to provide the cryptographic proof required to connect with Ledger’s secure server.

io lo uso due anni
é praticamente perfetto e 100% sicuro

Non mi sembra un'argomentazione. Come fai a dire che è 100% sicuro? Io uso da 5 anni un wallet software, posso dire allora che è praticamente perfetto e 100% sicuro solo perchè finora non ho perso nulla?
Speculatoross
Full Member
***
Offline Offline

Activity: 364
Merit: 228


this is not a bounty avatar


View Profile
October 18, 2018, 06:46:34 PM
Merited by arulbero (1), Piggy (1)
 #51

Dai arulbero non ci far venire queste paranoie  Cry


Battute a parte, credo che il concetto sia cosa si intende per "key":
- quello che dice big_daddy e su cui tutti (in teoria / si spera) concordano è che non ci sono private key preimpostate ma il dispositivo genera il wallet (seed + coppia chiavi) nel momento in cui si inizializza
- quello che chiamano key sul link al supporto che indichi tu è probabilmente "un'altra cosa", che come si legge li sembra appunto essere un sistema ulteriore (iniziale) di sicurezza/verifica del ledger, che serve a confermare al momento del primo utilizzo che il dispositivo sia autentico e nuovo (a differenza per esempio di quel che può succedere se non compri dai canali ufficiali, come si diceva pochi commenti più sopra)

Poi, non ho competenze tecniche troppo elevate quindi magari questo è un mucchio di cavolate:) ma è quello che capisco e deduco leggendo li.


E sempre parlando di competenze che non ho, suppongo non si riesca a fare reverse engineering su di un ledger giusto?
Perchè in effetti
Quote
Molto più complesso mi sembra verificare che un dispositivo hardware non nasconda sorprese, ogni singolo dovrebbe essere in grado di verificare il proprio dispositivo fisico.
su questo si può concordare.
Il Trezor per esempio, avendo il software opensource, è probabilmente "più trustless" e se il dubbio riguarda cose tipo l'onestà dei dipendenti ledger e cerchi sicurezza 100% l'unico modo per averla a questo punto è costruirsi un Trezor in casa, cosa che appunto è possibile dato il software opensource e difatti ci sono online video che mostrano come fare, esempio:
https://www.youtube.com/watch?v=mZmv4wG6_PE



PS cercando "Ledger opensource" su Google si trovano discussioni tipo questa dove è specificato che:

Quote
btchip - Ledger CTO
The applications are Open Source and available on https://github.com/LedgerHQ
The firmware itself is not Open Source yet, but most parts will be in the future (see https://blog.ledger.co/secure-hardware-and-open-source-ecd26579d839 for an architecture description). In the meantime a motivated party can verify that the isolation works as described.
e dove a specifica domanda
"How can somebody tell that the proprietary firmware is not, for example, sending the private keys somewhere?"
la risposta è
"By looking closely at how the interface between the firmware and the application works"

(looking closely che non so personalmente fare quindi magari quest'ultima parte la lascio a te per dissipare ulteriori dubbi  Wink)

arulbero
Legendary
*
Offline Offline

Activity: 1289
Merit: 1334


View Profile
October 18, 2018, 07:22:43 PM
 #52

Battute a parte, credo che il concetto sia cosa si intende per "key":
- quello che dice big_daddy e su cui tutti (in teoria / si spera) concordano è che non ci sono private key preimpostate ma il dispositivo genera il wallet (seed + coppia chiavi) nel momento in cui si inizializza
- quello che chiamano key sul link al supporto che indichi tu è probabilmente "un'altra cosa", che come si legge li sembra appunto essere un sistema ulteriore (iniziale) di sicurezza/verifica del ledger, che serve a confermare al momento del primo utilizzo che il dispositivo sia autentico e nuovo (a differenza per esempio di quel che può succedere se non compri dai canali ufficiali, come si diceva pochi commenti più sopra)

Su questo io non ho dubbi, non intendevo infatti private key relativa a bitcoin ma all'inizializzazione del dispositivo. In pratica per verificare che un dispositivo non sia stato manomesso ogni dispositivo ha un suo codice particolare.


Il Trezor per esempio, avendo il software opensource, è probabilmente "più trustless" e se il dubbio riguarda cose tipo l'onestà dei dipendenti ledger e cerchi sicurezza 100% l'unico modo per averla a questo punto è costruirsi un Trezor in casa, cosa che appunto è possibile dato il software opensource e difatti ci sono online video che mostrano come fare, esempio:
https://www.youtube.com/watch?v=mZmv4wG6_PE

Questo già mi piace di più.

PS cercando "Ledger opensource" su Google si trovano discussioni tipo questa dove è specificato che:

Quote
btchip - Ledger CTO
The applications are Open Source and available on https://github.com/LedgerHQ
The firmware itself is not Open Source yet, but most parts will be in the future (see https://blog.ledger.co/secure-hardware-and-open-source-ecd26579d839 for an architecture description). In the meantime a motivated party can verify that the isolation works as described.
e dove a specifica domanda
"How can somebody tell that the proprietary firmware is not, for example, sending the private keys somewhere?"
la risposta è
"By looking closely at how the interface between the firmware and the application works"

(looking closely che non so personalmente fare quindi magari quest'ultima parte la lascio a te per dissipare ulteriori dubbi  Wink)

Grazie delle informazioni, darò un'occhiata.

Sul tema della sicurezza è sempre bene andarci con i piedi di piombo, sento spesso dire che gli hardware wallet sono evidentemente più sicuri di quelli software, ma poi a ben vedere a un certo punto con i dispositivi fisici ti devi fidare.

La grossa differenza tra software e hardware, per me, è che un software spesso è unico e quindi controllato da molti occhi, io devo solo essere in grado di farne una copia fedele. Il software spesso ha un'unica firma digitale riconoscibile in tutto il mondo.

Con i dispositivi fisici invece, ogni singolo pezzo è come una black box, in generale il singolo utente come può essere sicuro che quel pezzo sia uguale a tutti gli altri? Quando si dice "a motivated party can verify ..." come posso io singolo utente verificare da solo il mio singolo dispositivo?  Questa era ed è la mia considerazione.

Senza paranoie  Wink

big_daddy
Sr. Member
****
Offline Offline

Activity: 882
Merit: 262


WOLF.BET - Provably Fair Dice Game


View Profile WWW
October 18, 2018, 10:54:48 PM
 #53

non ci sono chiavi segrete iniziali

Riporto da https://support.ledgerwallet.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine -->
Quote
Check authenticity with Ledger applications

    Connect your Ledger device to any of Ledger’s applications to verify its authenticity.
    Genuine Ledger devices hold a secret key that is set during manufacture.
    Only a genuine Ledger device can use its key to provide the cryptographic proof required to connect with Ledger’s secure server.

io lo uso due anni
é praticamente perfetto e 100% sicuro

Non mi sembra un'argomentazione. Come fai a dire che è 100% sicuro? Io uso da 5 anni un wallet software, posso dire allora che è praticamente perfetto e 100% sicuro solo perchè finora non ho perso nulla?


Hai completamente ragione che non é un’argomentazione, ma intanto, lo uso e fin ora, non ho avuto problemi
Sempre meglio che tenere varie monete sparse per exchange che poi possono finire come la mtGox...

Chi ti da una garanzia che il MEW non ha una porta posteriore la quale dá accesso alle chiavi private che vengono generate? questa  é solo una possibilitá di truffa
Non ci sono garanzie al 100%
É un fatto di fiducia

WOLF.BET
▀  ▀▀▀▀▀▀
  ▀ ▀▀▀
 ▄ ▄▄▄ 
  ▄ ▄▄▄
▄  ▄▄▄▄▄▄
        ▄▄▄▀▀▀▀▄▄▄
    ▄███▌        ▀▀▄
  ▄▀   ▐█████████▄  ▀▄
 ▄▀  ▄█████████████▄  █
 ▌  █████████████████  █
▐  ████████████████ ▄█
█  █████████████████████▌
▐  ██████████████████ ▀█▌
 ▌ ▐█████████████████▌ ▐▀
 █  ██████████████▀ ▄▀
  █   ███████████▀  ▄▀
   ▀▄▄██ ▀▀▀▀▀▀▀  ▄▄▀
     ▀██▄▄▄▄▄▄▄▄▀▀▀
▄███████████▄
███████    ████████████▄
███████    ███████   ▀██
██████████████████    ██
██    ██████████████████
██    ███████    ███████
█████████████    ███████
███████    █████████████
███████    ███████    ██
██████████████████   ▄██
██        ▀███████████▀
██
██
      ▄█▄         ▄█▄
 ▄██ ███ ███████ ███ ██▄
▐███▄ ▀ ▄███████▄ ▀ ▄███▌
▐█▌▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▐█▌
▐█▌   ▄▄▄▄▄▄▄▄        ▐█▌
▐█▌   ████████        ▐█▌
▐█▌       ███     ▄▄▀▀▀██▄
▐█▌      ███    ██▀      ▀█
▐█▌     ███    ███         █
▐█▌    ███     ███          █
 ██▄           ███▄         █
  ▀█████████████████▄     ▄█
                  ▀▀█████▀▀

████
██
██
██
██
██
██
██
██
██
██
████


AFFILIATE PROGRAM
   FREE FAUCET
CHAT RAIN
Piggy
Hero Member
*****
Offline Offline

Activity: 784
Merit: 1385



View Profile WWW
October 19, 2018, 05:43:30 AM
 #54

non ci sono chiavi segrete iniziali

Riporto da https://support.ledgerwallet.com/hc/en-us/articles/360002481534-Check-if-device-is-genuine -->
Quote
Check authenticity with Ledger applications

    Connect your Ledger device to any of Ledger’s applications to verify its authenticity.
    Genuine Ledger devices hold a secret key that is set during manufacture.
    Only a genuine Ledger device can use its key to provide the cryptographic proof required to connect with Ledger’s secure server.

io lo uso due anni
é praticamente perfetto e 100% sicuro

Non mi sembra un'argomentazione. Come fai a dire che è 100% sicuro? Io uso da 5 anni un wallet software, posso dire allora che è praticamente perfetto e 100% sicuro solo perchè finora non ho perso nulla?


Qualche mese fa era uscito questo articolo che spiega come fosse possibile modificare il wallet e bypassare il controllo di autenticità, serviva però avere acesso diretto alla chiavetta.

https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/
babo
Legendary
*
Offline Offline

Activity: 1932
Merit: 1250


View Profile WWW
October 19, 2018, 06:20:04 AM
 #55



Qualche mese fa era uscito questo articolo che spiega come fosse possibile modificare il wallet e bypassare il controllo di autenticità, serviva però avere acesso diretto alla chiavetta.

https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/

grazie per il link
me lo leggo con calma

io per anni ho usato solo una soluzione software, ma questo mi legava indissolubilmente al mio unico e solo computer
quindi il pro e' che avevo TUTTO sotto controllo,
il contro e' che ero limitato nei movimenti

l'hw wallet e' il connubio perfetto di mobilita e sicurezza, la chiavetta puo viaggiare sempre con te e di conseguenza i tuoi soldi in maniera sicura

ricordiamo che da sempre, in ambito di sicurezza, l'anello debole e' lo humanware e non la parte hw/sw

metterei piu un appunto su come la gente conserva il seed... piu che su eventuali backdoor
e vi spiego anche perche, il mercato

se venissa scoperta una cosa del genere, ledger (o trezor) metterebbe fine a un business redditizio che gestiscono in 2 (appunto trezor e ledger)

non e' proficuo

arulbero
Legendary
*
Offline Offline

Activity: 1289
Merit: 1334


View Profile
October 19, 2018, 11:01:45 AM
 #56

Soprattutto questa parte (da https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/) :

Quote
It is incredibly important to note that, for these devices to be secure at all, you must completely verify the physical hardware.

Since neither the packaging nor the actual device are tamper-evident, it is trivial for an attacker to modify the device. I cannot repeat this enough: if you do not verify the physical hardware, it is game over.

mi conferma su un punto cruciale: di per sè bisognerebbe controllare l'hardware.

Non sto dicendo che penso che Ledger manometta intenzionalmente i suoi dispositivi, sia chiaro, dico solo che un hardware che ha come scopo prioritario quello di generare e custodire le chiavi private di un wallet è il punto debole da controllare (oltre a far attenzione a come si conserva il backup del seed).

Dal mio punto di vista è molto più semplice per un utente comune verificare di avere una copia identica di un software scaricato dalla rete piuttosto che verificare che un certo hardware sia originale/non manomesso. Tutto qui.

Poi le probabilità che uno riceva un pezzo contraffatto sono sicuramente bassissime, e sono d'accordo che come comodità per quanto riguarda la mobilità un wallet hardware è il massimo.


Invece vorrei chiedervi, come vedete voi la sicurezza di un wallet software (tipo Bitcoin Core), su un pc connesso? Ovviamente parlo di wallet criptati con una password molto robusta.
Anche in caso qualcuno riuscisse ad accedere al mio computer (da remoto o fisicamente in locale), senza password non ci sarebbe modo di accedere alle chiavi private, giusto?

Nel momento in cui firmo una transazione c'è un istante nel quale le chiavi private diventano teoricamente disponibili per qualche malware?

big_daddy
Sr. Member
****
Offline Offline

Activity: 882
Merit: 262


WOLF.BET - Provably Fair Dice Game


View Profile WWW
October 19, 2018, 11:10:19 AM
 #57

Soprattutto questa parte (da https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/) :

Quote
It is incredibly important to note that, for these devices to be secure at all, you must completely verify the physical hardware.

Since neither the packaging nor the actual device are tamper-evident, it is trivial for an attacker to modify the device. I cannot repeat this enough: if you do not verify the physical hardware, it is game over.

mi conferma su un punto cruciale: di per sè bisognerebbe controllare l'hardware.

Non sto dicendo che penso che Ledger manometta intenzionalmente i suoi dispositivi, sia chiaro, dico solo che un hardware che ha come scopo prioritario quello di generare e custodire le chiavi private di un wallet è il punto debole da controllare (oltre a far attenzione a come si conserva il backup del seed).

Dal mio punto di vista è molto più semplice per un utente comune verificare di avere una copia identica di un software scaricato dalla rete piuttosto che verificare che un certo hardware sia originale/non manomesso. Tutto qui.

Poi le probabilità che uno riceva un pezzo contraffatto sono sicuramente bassissime, e sono d'accordo che come comodità per quanto riguarda la mobilità un wallet hardware è il massimo.


Invece vorrei chiedervi, come vedete voi la sicurezza di un wallet software (tipo Bitcoin Core), su un pc connesso? Ovviamente parlo di wallet criptati con una password molto robusta.
Anche in caso qualcuno riuscisse ad accedere al mio computer (da remoto o fisicamente in locale), senza password non ci sarebbe modo di accedere alle chiavi private, giusto?

Nel momento in cui firmo una transazione c'è un istante nel quale le chiavi private diventano teoricamente disponibili per qualche malware?



se qualcuno accede al tuo PC, e ruba i file del bitcoin core nell'C:\utente_xy\AppData.... , inserendoli poi in un altro PC, puó accedere direttamente al tuo bitcoine core
puoi fare un prova:
copia questi file su un altro PC e vai a vedere quanto sei sicuro, sempre dipende quanto forte é la tua password, ma esistono programmi forti che sono in grado di decriptare facilmente password complesse

WOLF.BET
▀  ▀▀▀▀▀▀
  ▀ ▀▀▀
 ▄ ▄▄▄ 
  ▄ ▄▄▄
▄  ▄▄▄▄▄▄
        ▄▄▄▀▀▀▀▄▄▄
    ▄███▌        ▀▀▄
  ▄▀   ▐█████████▄  ▀▄
 ▄▀  ▄█████████████▄  █
 ▌  █████████████████  █
▐  ████████████████ ▄█
█  █████████████████████▌
▐  ██████████████████ ▀█▌
 ▌ ▐█████████████████▌ ▐▀
 █  ██████████████▀ ▄▀
  █   ███████████▀  ▄▀
   ▀▄▄██ ▀▀▀▀▀▀▀  ▄▄▀
     ▀██▄▄▄▄▄▄▄▄▀▀▀
▄███████████▄
███████    ████████████▄
███████    ███████   ▀██
██████████████████    ██
██    ██████████████████
██    ███████    ███████
█████████████    ███████
███████    █████████████
███████    ███████    ██
██████████████████   ▄██
██        ▀███████████▀
██
██
      ▄█▄         ▄█▄
 ▄██ ███ ███████ ███ ██▄
▐███▄ ▀ ▄███████▄ ▀ ▄███▌
▐█▌▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▐█▌
▐█▌   ▄▄▄▄▄▄▄▄        ▐█▌
▐█▌   ████████        ▐█▌
▐█▌       ███     ▄▄▀▀▀██▄
▐█▌      ███    ██▀      ▀█
▐█▌     ███    ███         █
▐█▌    ███     ███          █
 ██▄           ███▄         █
  ▀█████████████████▄     ▄█
                  ▀▀█████▀▀

████
██
██
██
██
██
██
██
██
██
██
████


AFFILIATE PROGRAM
   FREE FAUCET
CHAT RAIN
arulbero
Legendary
*
Offline Offline

Activity: 1289
Merit: 1334


View Profile
October 19, 2018, 11:36:46 AM
 #58

se qualcuno accede al tuo PC, e ruba i file del bitcoin core nell'C:\utente_xy\AppData.... , inserendoli poi in un altro PC, puó accedere direttamente al tuo bitcoine core
puoi fare un prova:
copia questi file su un altro PC e vai a vedere quanto sei sicuro, sempre dipende quanto forte é la tua password, ma esistono programmi forti che sono in grado di decriptare facilmente password complesse

Parlo di password molto lunghe, almeno 25-30 caratteri, scelti tra maiuscole, minuscole, numeri, simboli vari e senza parole di senso compiuto al suo interno. Cioè di una password che alla fine abbia una entropia paragonabile a quella di una chiave privata vera e propria. E' chiaro che se metto come password "ciao" la sicurezza è nulla.
Piggy
Hero Member
*****
Offline Offline

Activity: 784
Merit: 1385



View Profile WWW
October 19, 2018, 12:19:05 PM
 #59

se qualcuno accede al tuo PC, e ruba i file del bitcoin core nell'C:\utente_xy\AppData.... , inserendoli poi in un altro PC, puó accedere direttamente al tuo bitcoine core
puoi fare un prova:
copia questi file su un altro PC e vai a vedere quanto sei sicuro, sempre dipende quanto forte é la tua password, ma esistono programmi forti che sono in grado di decriptare facilmente password complesse

Parlo di password molto lunghe, almeno 25-30 caratteri, scelti tra maiuscole, minuscole, numeri, simboli vari e senza parole di senso compiuto al suo interno. Cioè di una password che alla fine abbia una entropia paragonabile a quella di una chiave privata vera e propria. E' chiaro che se metto come password "ciao" la sicurezza è nulla.

Se qualcuno accede alla tua macchina e legge la password mentre la digiti la complessità della tua password poco importa, senza contare che anche la tua macchina è composta da hardware che può essere manomesso.
Su un PC imo dal punto di vista della sicurezza ci sono molte più variabili da tenere in considerazione (e devi fidarti maggiormente di terze parti) rispetto ad un hardware wallet.
big_daddy
Sr. Member
****
Offline Offline

Activity: 882
Merit: 262


WOLF.BET - Provably Fair Dice Game


View Profile WWW
October 19, 2018, 12:27:27 PM
 #60

se qualcuno accede al tuo PC, e ruba i file del bitcoin core nell'C:\utente_xy\AppData.... , inserendoli poi in un altro PC, puó accedere direttamente al tuo bitcoine core
puoi fare un prova:
copia questi file su un altro PC e vai a vedere quanto sei sicuro, sempre dipende quanto forte é la tua password, ma esistono programmi forti che sono in grado di decriptare facilmente password complesse

Parlo di password molto lunghe, almeno 25-30 caratteri, scelti tra maiuscole, minuscole, numeri, simboli vari e senza parole di senso compiuto al suo interno. Cioè di una password che alla fine abbia una entropia paragonabile a quella di una chiave privata vera e propria. E' chiaro che se metto come password "ciao" la sicurezza è nulla.

i miei "core" wallet, li tengo su macchine virtuali
queste virtuali, sono connesse su internet, ma non vengono usate per navigare su internet, sono messe in moto solo per tenere vivi i core
cosí, praticamente ho diminuito la possibilitá di infettare il sistema operativo

WOLF.BET
▀  ▀▀▀▀▀▀
  ▀ ▀▀▀
 ▄ ▄▄▄ 
  ▄ ▄▄▄
▄  ▄▄▄▄▄▄
        ▄▄▄▀▀▀▀▄▄▄
    ▄███▌        ▀▀▄
  ▄▀   ▐█████████▄  ▀▄
 ▄▀  ▄█████████████▄  █
 ▌  █████████████████  █
▐  ████████████████ ▄█
█  █████████████████████▌
▐  ██████████████████ ▀█▌
 ▌ ▐█████████████████▌ ▐▀
 █  ██████████████▀ ▄▀
  █   ███████████▀  ▄▀
   ▀▄▄██ ▀▀▀▀▀▀▀  ▄▄▀
     ▀██▄▄▄▄▄▄▄▄▀▀▀
▄███████████▄
███████    ████████████▄
███████    ███████   ▀██
██████████████████    ██
██    ██████████████████
██    ███████    ███████
█████████████    ███████
███████    █████████████
███████    ███████    ██
██████████████████   ▄██
██        ▀███████████▀
██
██
      ▄█▄         ▄█▄
 ▄██ ███ ███████ ███ ██▄
▐███▄ ▀ ▄███████▄ ▀ ▄███▌
▐█▌▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▐█▌
▐█▌   ▄▄▄▄▄▄▄▄        ▐█▌
▐█▌   ████████        ▐█▌
▐█▌       ███     ▄▄▀▀▀██▄
▐█▌      ███    ██▀      ▀█
▐█▌     ███    ███         █
▐█▌    ███     ███          █
 ██▄           ███▄         █
  ▀█████████████████▄     ▄█
                  ▀▀█████▀▀

████
██
██
██
██
██
██
██
██
██
██
████


AFFILIATE PROGRAM
   FREE FAUCET
CHAT RAIN
Pages: « 1 2 [3] 4 5 »  All
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!