Аппаратные кошельки

[AlexDogwill]

сори за долгий ответ, не совсем понял, а что значит последовательное соединение кошелей? У вас есть два приватных ключа, которые принадлежат разным мнемоническим фразам импортированные в Trezor One и Ledger Nano S. На основе их порождается скрипт 2/2, которые хешируется и кодируется в формат segwit адреса.
Я бы не рекомендовал использовать такую конфигурацию 2/2 так как при утере одного кошелька с мнемонической фразой заблокированные невозможно будет потратить. По сути вы сожгете биткоины на этих адресах. Поэтому лучшая конфигурация это 2/3, где есть один кошелек резервный на разного рода случаи.

кстати, новый интерфейс Myetherwallet 5 запустил приложение для смартфонов MEWconnect, которое позиционирует себя почти как аппаратное хранилище приватных ключей. Цитата разработчиков - "We call it a hardware wallet without all the hardware." (я с этим утверждением не согласен).

Фишки MEW пятой версии

• регистрация через смартфон, установки пин-кода и мнемоника BIP39/24слова, здесь все как обычно
• логиниться к десктопному интерфейсу только считав QR-код через смартфон. Это один из новых безопасных способов входа в интерфейс наряду с аппаратными кошельками и метамаском
• во время траты средств (через десктоп) на смартфоне появляется попап с предложением подтвердить действия и только после этого транза подписывается

То есть, когда мы хотим А) залогиниться Б) потратить средств - нужен смартфон. Без смартфона доступа к кошельку не будет. Я бы приравнял это к приложению google authenticator, которое генерирует пароли, основанные на времени OTP для авторизации на сервисе. По сути принцип работы такой же.

В любом случае, это однозначно плюс к безопасности, так как недостаточно будет взлома ПК для кражи средств, необходимо будет взломать/украсть смартфон.

Демонстрация работы MEWconnect с совершением транзакции вот здесь - https://www.youtube.com/watch?v=UkhJ-8rYWRc&t=1704s
Идущие подряд сообщения объединены в одно модератором xandry.

[1714767973]

1714767973

[1714767973]

1714767973

[1714767973]

1714767973

[igor72]

о! инструмент для взлома Биткоин кошельков с Brainwallet
https://bits.media/belyy-khaker-sozdal-instrument-dlya-vzloma-bitkoin-koshelkov-s-brainwallet/
а там ссылка про недостаточную тяжесть Electrum - слишком легковесный !
https://bits.media/bitcoin-wallets/
Какие-то древние статейки вы откапываете постоянно... И офтопик к тому же.

эт я к разговору привязки электрума к аппаратнику с намёком что лучше бы потяжелее чего привязывать

Разверните мысль здесь, если можно, по вашим ссылкам я ходить больше не хочу.
 

Этот чип в стадии разработки и серийно еще не выпускается

да? а чего они его выложили в своих табличках ?

Там на всех чипах стоит метка "Active", а на этом "Preview"

а про EAL вики я уже вроде даже постил гдето выше это вам надо почитать
https://en.wikipedia.org/wiki/Evaluation_Assurance_Level#EAL6:_Semiformally_Verified_Design_and_Tested

Сами то читали? Эту фразу понимаете: " The EAL level does not measure the security of the system itself, it simply states at what level the system was tested."? Этот EAL ничего не гарантирует. Хоть EAL6 лучше, чем EAL5, но иногда на практике чип с EAL5+ вполне может оказаться надежнее чипа с EAL6+. Короче, слишком много внимания вы уделяете этому параметру, не стоит он того.

https://ledger-wallet.ru/security_nano_s
Ledger Nano S Wallet
Ledger Nano S также подключается через Micro-USB, имеет две кнопки ввода и дисплей. Главное различие Trezor и Ledger в том, что последний использует не один, а два микроконтроллера: STM32F042K и ST31H320.
STM32F042K очень похож на используемый в Trezor STM32F205, но у него есть не внешние, а внутренние часы. Также интересно то, что у Ledger есть полноценный микроконтроллер банковского уровня с технологией Secure Enclave ST31H320, где хранятся приватные ключи кошелька.
ST31H320 уже нашёл множество других применений, включая банковское дело, идентификацию и платное телевидение. Кроме того, он соответствует стандартам безопасности согласно общим критериям уровня EAL6+.

+ https://google.ru/ "Ledger Nano S" EAL6+
, https://google.ru/ "ST31H320" EAL6+

Спасибо за конкретный ответ, наконец-то.
 Это не леджера сайт, а какого-то московского интернет-магазина. Его нет даже в списке ретейлеров (а даже если бы и был, это не источник достоверной информации).

Я бы не рекомендовал использовать такую конфигурацию 2/2 так как при утере одного кошелька с мнемонической фразой заблокированные невозможно будет потратить. По сути вы сожгете биткоины на этих адресах. Поэтому лучшая конфигурация это 2/3, где есть один кошелек резервный на разного рода случаи.

Очень резонное замечание в общем случае (когда несколько людей-подписантов). Но когда все ключи в одних руках, то это уже не так актуально, безалаберный человек и все 3 сида умудрится потерять, а ответственный никогда не потеряет ни одного. А два хранить немного проще, чем три . Хотя на самом дле 2/3 segwit транзакция лишь на 8 байт больше, чем 2/2, так что можно сделать и 2/3, если кто-то считает это надежнее.

[AlexDogwill]

Я бы не рекомендовал использовать такую конфигурацию 2/2 так как при утере одного кошелька с мнемонической фразой заблокированные невозможно будет потратить. По сути вы сожгете биткоины на этих адресах. Поэтому лучшая конфигурация это 2/3, где есть один кошелек резервный на разного рода случаи.

Очень резонное замечание в общем случае (когда несколько людей-подписантов). Но когда все ключи в одних руках, то это уже не так актуально, безалаберный человек и все 3 сида умудрится потерять, а ответственный никогда не потеряет ни одного. А два хранить немного проще, чем три . Хотя на самом дле 2/3 segwit транзакция лишь на 8 байт больше, чем 2/2, так что можно сделать и 2/3, если кто-то считает это надежнее.

согласен, я вообще не вижу смысла использовать мультисиг одному человеку – это область паранойи. Для защиты средств идеально подходит правильное хранение мнемонической фразы. Для особых параноиков кодовая фраза к текущему сиду. Но как показывает практика, люди теряют деньги не из-за надежности/ненадежности аппаратного кошелька, а из-за собственной невнимательности и забывчивости.

У меня был случай, когда клиент записал мнемоническую фразу и боялся, что ее смогут обнаружить и поменял местами два слова. Через пол года обновили загрузчик Trezor One. Клиент обновил кошелек - кошелек обнулился. Правильный порядок слов он не смог восстановить по памяти. В итоге он обратился к конторе по брутфорсу и отдал им 30% баланса кошелька. И таких случаев я знаю очень много и природа их – невнимательность и глупость(когда начинают придумывать ерунду).

Напоследок приведу фразу Антонопулуса – "Dont do your own crypto" - не придумывай ничего, а используй то, что предлагает индустрия.

[igor72]

У меня был случай, когда клиент записал мнемоническую фразу и боялся, что ее смогут обнаружить и поменял местами два слова. Через пол года обновили загрузчик Trezor One. Клиент обновил кошелек - кошелек обнулился. Правильный порядок слов он не смог восстановить по памяти. В итоге он обратился к конторе по брутфорсу и отдал им 30% баланса кошелька.

Забавная история. Особенно потому, что "брутфорсить" там надо было всего 276 вариантов, из которых в среднем только восьмая часть прошла бы проверку чексуммы. Сам бы вручную за час управился . Дельцы тоже не слабо загнули - 30% . А главное - такая "защита" защиты не дает.

[everybodylovebtc]

Аппаратник хорош для мнительных инвесторов. Для аккуратных достаточно обычного холодного кошелька и соблюдения мер безопасности.

[igor72]

достаточно обычного холодного кошелька

например?

и соблюдения мер безопасности

каких?

[marfich97]

Я бы не рекомендовал использовать такую конфигурацию 2/2 так как при утере одного кошелька с мнемонической фразой заблокированные невозможно будет потратить. По сути вы сожгете биткоины на этих адресах. Поэтому лучшая конфигурация это 2/3, где есть один кошелек резервный на разного рода случаи.

Очень резонное замечание в общем случае (когда несколько людей-подписантов). Но когда все ключи в одних руках, то это уже не так актуально, безалаберный человек и все 3 сида умудрится потерять, а ответственный никогда не потеряет ни одного. А два хранить немного проще, чем три . Хотя на самом дле 2/3 segwit транзакция лишь на 8 байт больше, чем 2/2, так что можно сделать и 2/3, если кто-то считает это надежнее.

Полностью поддерживаю. Лучше использовать 2 сида и хранить их надежно не допуская даже мысли о возможной потере, чем думать что 1 сид можно потерять - в итоге из-за таких мыслей о возможной потере потеряется 1, потеряется 2 - и все, приплыли Это только выглядит более безопасно.

[postquantumcryptocat]

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

[marfich97]

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

Это даже выглядит странновато когда заинтересованные компании говорят о проблемах конкурентов Даже если правда, то нужно ждать подтверждений от Trezor'а или от независимых экспертов. Помню такое же было с EOS'ом, какое-то подразделение Ethereum'а тоже много чего понаписали.

[igor72]

Ответ Трезора https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4

[chimk]

Ответ Трезора https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4

оперативно отреагировали. пишут что считают трезор ван по прежнему самым защищенным устройством. главная задача защита от удаленных атак.

[m2017]

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

Если я правильно понимаю, то для взлома с помощью методов, представленных  Attack Lab, необходимо физическое воздействие на аппаратный кошелек. Это очередное напоминание о том, что покупать кошельки следует у производителя напрямую (вариант покупки с рук или б\у полностью исключить).

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

Это даже выглядит странновато когда заинтересованные компании говорят о проблемах конкурентов Даже если правда, то нужно ждать подтверждений от Trezor'а или от независимых экспертов. Помню такое же было с EOS'ом, какое-то подразделение Ethereum'а тоже много чего понаписали.

Пусть лучше конкуренты копаются в кошельках друг друга, находят проблемные места и помогают их устранить, чем это сделают злоумышленники.

Ответ Трезора https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4

оперативно отреагировали. пишут что считают трезор ван по прежнему самым защищенным устройством. главная задача защита от удаленных атак.

Оперативность - хороший показатель и + Trezor.

P.S. Ждем ответки от Trezor с поиском уязвимостей у Ledger?
Считаю подобные новости позитивными, т.к. подталкивают производителей совершенствоваться, а не заморозиться с лозунгами "у нас все самое лучше и ничего не надо менять". До покупателя будет доходить наиболее защищенная продукция, а не дырявое ведро. Это радует.

[igor72]

Если я правильно понимаю, то для взлома с помощью методов, представленных  Attack Lab, необходимо физическое воздействие на аппаратный кошелек. Это очередное напоминание о том, что покупать кошельки следует у производителя напрямую (вариант покупки с рук или б\у полностью исключить).

Они (леджер) утверждают, что и это не панацея. Типа злоумышленник может купить партию, феном отклеить защитные наклейки, заменить прошивку, заклеить все как было и вернуть назад, а дальше трезор их продаст кому-то другому (будущим жертвам). И от этого одно спасение - купить и не пользоваться до выхода новой прошивки (которая гарантированно затрет предыдущую). Логично, только почему они уверены, что трезор те девайсы опять пустит в продажу без перепрошивки - непонятно.

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

Это даже выглядит странновато когда заинтересованные компании говорят о проблемах конкурентов Даже если правда, то нужно ждать подтверждений от Trezor'а или от независимых экспертов. Помню такое же было с EOS'ом, какое-то подразделение Ethereum'а тоже много чего понаписали.

Пусть лучше конкуренты копаются в кошельках друг друга, находят проблемные места и помогают их устранить, чем это сделают злоумышленники.

Я считаю, что сначала пусть в своих продуктах баги повылавливают, а не тратят ресурсы на поиск недостатков конкурентов. Вон недавно у человека 1500 монерок куда-то ушло, а леджеровцы до сих пор не удосужились убрать потенциально проблемное приложение и вывесить предупреждение в Ledger Live. Не все же форумы читают.

[postquantumcryptocat]

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

Если я правильно понимаю, то для взлома с помощью методов, представленных  Attack Lab, необходимо физическое воздействие на аппаратный кошелек. Это очередное напоминание о том, что покупать кошельки следует у производителя напрямую (вариант покупки с рук или б\у полностью исключить).

Сразу вспоминаются многочисленные конкурсы и розыгрыши на просторах соцсетей, где за победу давали аппаратные кошельки.

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

Это даже выглядит странновато когда заинтересованные компании говорят о проблемах конкурентов Даже если правда, то нужно ждать подтверждений от Trezor'а или от независимых экспертов. Помню такое же было с EOS'ом, какое-то подразделение Ethereum'а тоже много чего понаписали.

Пусть лучше конкуренты копаются в кошельках друг друга, находят проблемные места и помогают их устранить, чем это сделают злоумышленники.

Да, очень полезная практика, радует что проблемы озвучиваются и информация об уязвимостях оперативно появляется в широком доступе, подкрепленная потребительским резонансом.

[m2017]

Если я правильно понимаю, то для взлома с помощью методов, представленных  Attack Lab, необходимо физическое воздействие на аппаратный кошелек. Это очередное напоминание о том, что покупать кошельки следует у производителя напрямую (вариант покупки с рук или б\у полностью исключить).

Они (леджер) утверждают, что и это не панацея. Типа злоумышленник может купить партию, феном отклеить защитные наклейки, заменить прошивку, заклеить все как было и вернуть назад, а дальше трезор их продаст кому-то другому (будущим жертвам). И от этого одно спасение - купить и не пользоваться до выхода новой прошивки (которая гарантированно затрет предыдущую). Логично, только почему они уверены, что трезор те девайсы опять пустит в продажу без перепрошивки - непонятно.

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

Это даже выглядит странновато когда заинтересованные компании говорят о проблемах конкурентов Даже если правда, то нужно ждать подтверждений от Trezor'а или от независимых экспертов. Помню такое же было с EOS'ом, какое-то подразделение Ethereum'а тоже много чего понаписали.

Пусть лучше конкуренты копаются в кошельках друг друга, находят проблемные места и помогают их устранить, чем это сделают злоумышленники.

Я считаю, что сначала пусть в своих продуктах баги повылавливают, а не тратят ресурсы на поиск недостатков конкурентов. Вон недавно у человека 1500 монерок куда-то ушло, а леджеровцы до сих пор не удосужились убрать потенциально проблемное приложение и вывесить предупреждение в Ledger Live. Не все же форумы читают.

Вы правы, что это как минимум странно и не этично ковыряться в чужих устройствах, когда и у самих не все гладко. Но со стороны Trezor тоже есть непонятки: Ledger утверждает, что они давно сообщили о лазейках в безопасности, но Trezor никак не отреагировали и потому обнародовали инфо, после чего Trezor сразу зашевелились.

По поводу, предупреждения в Ledger Live тоже соглашусь. Хоть баг пофиксили - Link , но пока правили, кто-нибудь еще мог бы напороться. Неужели сложно и дорого оповещение повесить в приложении? Не мешало бы в Ledger Live добавить какую-то информационную панель под экстренную и важную инфо, чтобы пользователи сразу были в курсе происходящего.

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

Если я правильно понимаю, то для взлома с помощью методов, представленных  Attack Lab, необходимо физическое воздействие на аппаратный кошелек. Это очередное напоминание о том, что покупать кошельки следует у производителя напрямую (вариант покупки с рук или б\у полностью исключить).

Сразу вспоминаются многочисленные конкурсы и розыгрыши на просторах соцсетей, где за победу давали аппаратные кошельки.

"Бойся данайцев, дары приносящих". К счастью, жалоб об этом вроде как не было и про взломанные подарки не слышно.

[marfich97]

Они (леджер) утверждают, что и это не панацея. Типа злоумышленник может купить партию, феном отклеить защитные наклейки, заменить прошивку, заклеить все как было и вернуть назад, а дальше трезор их продаст кому-то другому (будущим жертвам). И от этого одно спасение - купить и не пользоваться до выхода новой прошивки (которая гарантированно затрет предыдущую). Логично, только почему они уверены, что трезор те девайсы опять пустит в продажу без перепрошивки - непонятно.

А леджеры этой атаке что-ли не подвержены? Как я понимаю то абсолютно все аппаратники подвержены если их не проверить/перепрошить после возврата за чем строго должны следить все ритейлеры, а так не утилизируют же они все возвраты.

Подразделение компании Ledger, именуемое Attack Lab и занимающееся тестированием безопасности аппаратных кошельков, выявило множество уязвимостей в кошельках конкурента Trezor. Подробности на их официальном сайте в статье ниже.

https://www.ledger.fr/2019/03/11/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/

Это даже выглядит странновато когда заинтересованные компании говорят о проблемах конкурентов Даже если правда, то нужно ждать подтверждений от Trezor'а или от независимых экспертов. Помню такое же было с EOS'ом, какое-то подразделение Ethereum'а тоже много чего понаписали.

Пусть лучше конкуренты копаются в кошельках друг друга, находят проблемные места и помогают их устранить, чем это сделают злоумышленники.

Я же не против, я только за. Только делается это как-то странно, тогда уже и писали б в этой аттак лабе что леджеры, трезоры и другие подвержены такой уязвимости

[igor72]

Они (леджер) утверждают, что и это не панацея. Типа злоумышленник может купить партию, феном отклеить защитные наклейки, заменить прошивку, заклеить все как было и вернуть назад, а дальше трезор их продаст кому-то другому (будущим жертвам). И от этого одно спасение - купить и не пользоваться до выхода новой прошивки (которая гарантированно затрет предыдущую). Логично, только почему они уверены, что трезор те девайсы опять пустит в продажу без перепрошивки - непонятно.

А леджеры этой атаке что-ли не подвержены? Как я понимаю то абсолютно все аппаратники подвержены если их не проверить/перепрошить после возврата за чем строго должны следить все ритейлеры, а так не утилизируют же они все возвраты.

Ну они же не "пломбируют" свои устройства/упаковки, как трезор. Значит уверены, что модифицированный леджер не пройдет тест при подключении к Ledger Live. Может быть так и есть. Нам остается только в это верить, проверить закрытый код мы не можем.

[Irina1999]

Аппаратник хорош для мнительных инвесторов. Для аккуратных достаточно обычного холодного кошелька и соблюдения мер безопасности.

Не думаю, все таки обычный холодный кошелек менее безопасен, чем аппаратный, смотря какая сумма на кошельке лежит

[igor72]

Аппаратник хорош для мнительных инвесторов. Для аккуратных достаточно обычного холодного кошелька и соблюдения мер безопасности.

Не думаю, все таки обычный холодный кошелек менее безопасен, чем аппаратный, смотря какая сумма на кошельке лежит

Обычный холодный кошелек при правильном использовании более безопасен, чем аппаратный. Просто, я думаю, под холодным кошельком вы подразумеваете горячий.

[btcleks]

Правильный холодный кошель, что сделан на виртуальной машине, после чего уничтожен вместе с виртмашиной, но с сохранением твердом виде фразы восстановления, и только после этого через пару месяцев пополненый битком, обладает супер надежностью. Круче ничего и не придемаеш.