Аппаратные кошельки

[Dimenzino]

тут по-моему не "аппаратник не выпускает" а речь идет о связке "ось+аппаратник"

Аппаратник там вообще ни при чем. Поддельный софт просит лоха пользователя ввести сид-фразу. То есть это фишинг в чистом виде.

я теоретизировал
кстати про фишинг - вы уверены что он не усовершенствуется когда хакеры дойдут до модификации кода операционки ? (а опенсорсный линукс тут даже видимо им проще побороть?)
до такой степени что лохом станет любой
сид фразу ведь неподдельный софт тоже просит иногда..(..?)

[1714102397]

1714102397

[1714102397]

1714102397

[1714102397]

1714102397

[1714102397]

1714102397

[igor72]

тут по-моему не "аппаратник не выпускает" а речь идет о связке "ось+аппаратник"

Аппаратник там вообще ни при чем. Поддельный софт просит лоха пользователя ввести сид-фразу. То есть это фишинг в чистом виде.

я теоретизировал
кстати про фишинг - вы уверены что он не усовершенствуется когда хакеры дойдут до модификации кода операционки ? (а опенсорсный линукс тут даже видимо им проще побороть?)
до такой степени что лохом станет любой
сид фразу ведь неподдельный софт тоже просит иногда..(..?)

Не знаю, наверное фишинг будет совершенствоваться, как и всё остальное. Но ПО, например, леджера никогда не просит ввести сид в компьютер. Сид-фраза должна вводиться только в сам девайс - соблюдение этого правила гарантирует, что вы не станете жертвой фишинговой атаки, даже самой хитрой. Поэтому можно и не думать, что там происходит в операционке и прочем софте.

[Dimenzino]

А http://yandex.ru/ Wireshark _bitcointalk.org то здесь тоже пригодился жаль агликанцi одне на могучем не поймут

Но ПО, например, леджера никогда не просит ввести сид в компьютер.

А что у трезора просит ?
Да и у леджера ПО разделено на 2 части где вторая часть - на компе и не защищена от модификаций

Поэтому можно и не думать, что там происходит в операционке и прочем софте.

у меня сомненья.. что главное устройство ключа а устройство замка и двери неважно
да и вы писали про натяжки

[igor72]

А http://yandex.ru/ Wireshark _bitcointalk.org то здесь тоже пригодился жаль агликанцi одне на могучем не поймут

Но ПО, например, леджера никогда не просит ввести сид в компьютер.

А что у трезора просит ?

У меня нет трезора, но, насколько я знаю (может в последних прошивках это изменили), у трезора ONE по умолчанию упрощенный режим восстановления, где слова вводятся в комп (хоть и в случайной последовательности, но тем не менее...). Но есть и advanced опция, где, как и в леджере, слова сида на компе не светятся

Да и у леджера ПО разделено на 2 части где вторая часть - на компе и не защищена от модификаций

Да, но эта часть никак не взаимодействует с приватными ключами и сид-фразой. При всем желании кроме публичных ключей на компе взять нечего. Можно на компе модифицировать транзакцию перед подписью (изменить адрес, сумму), но это бесполезно, если производится контроль этих данных на дисплее устройства перед нажатием кнопки (а кнопку программно нажать невозможно).

Поэтому можно и не думать, что там происходит в операционке и прочем софте.

у меня сомненья.. что главное устройство ключа а устройство замка и двери неважно

А почему вы считаете, что двери с замками находятся в компе? Они в девайсе.

да и вы писали про натяжки

Я подразумевал теоретическую возможность ошибок в коде, потенциальные уязвимости. А если ошибок нет, то и доступа к ключам (и замкам с дверями) нет.

[marfich97]

Да и у леджера ПО разделено на 2 части где вторая часть - на компе и не защищена от модификаций

Да, но эта часть никак не взаимодействует с приватными ключами и сид-фразой. При всем желании кроме публичных ключей на компе взять нечего. Можно на компе модифицировать транзакцию перед подписью (изменить адрес, сумму), но это бесполезно, если производится контроль этих данных на дисплее устройства перед нажатием кнопки (а кнопку программно нажать невозможно).

Совершенно верно написано, пару дней назад за это же написал. Вот даже не пойму с чего возникают такие вопросы, ведь суть аппаратника что это полноценный комп внутри себя и что он приватные ключи никуда не передает, а подписывает и передает только уже подписанные транзакции - любые взломы тут не страшны и пусть на компе хоть сотни вирусов и троянов висят

[AlexDogwill]

Достаточно часто вижу здесь вопросы типа, где приобрести аппаратные кошельки.

Рекомендую наш интернет магазин - https://cryptonist.ru

Мы являемся официальными представителями кошельков Trezor и Bitbox в РФ. Проверить это можно тут (https://trezor.io/resellers/, https://shiftcrypto.ch/resellers).

Помимо этого, в ассортименте есть другие популярные кошельки и оригинальные аксессуары – кабели, чехлы и устройства для хранения мнемоники Cryptosteel, Billfodl.

Цены ниже, чем у конкурентов, но немного выше, чем при заказе за границей, но у нас есть ряд преимуществ:

• Можно приехать к нам в офис (Москва, БЦ на Варшавке) и протестировать любую модель перед покупкой;
• Мы даем гарантию 1 год от магазина. При заводском браке – замена на новый или возврат денег без бюрократии;
• Мы хорошо разбираемся в аппаратных кошельках и можем ответить практически на любые вопросы по настройке и возможностям;
• Поддержка практически 24/7 через чат на сайте, почту, whatsapp, telegram, телефон или офлайн визит в нашем офисе;
• Нам нравится идеология блокчейна и мы стараемся участвовать в его развитии для чего и был создан YouTube-канал.

Можно говорить много о себе, но на мой взгляд, самое лучшее — это просто зайти на наш сайт – https://cryptonist.ru и ознакомиться с Блогом, Отзывами, Партнерской программой и другими информационными страницами. Для полной картины и доверия лучше почитать комменты на YouTube-канале (https://youtube.com/cryptonist) или поспрашивать о нас в чате телеграма (https://t.me/cryptonistHW), где есть небольшое комьюнити владельцев аппаратных кошельков.

Если есть вопросы, пишите по удобному способу связи.

[KosmoKisa]

Сама пользуюсь Ledger Nano S уже почти два года и ни разу не пожалела что купила, на мой взгляд он намного лучше Trezor. ПО постоянно обновляется, выпускаются новые модели появился Ledger с блютус.

[Dimenzino]

Помимо этого, в ассортименте есть другие популярные кошельки и оригинальные аксессуары – кабели

кстати стандартный usb удлинитель к трезору(Т) какую макс длину допускает ? а то только коротенький в комплекте идёт ?

самое лучшее — это просто зайти на наш сайт – https://cryptonist.ru и ознакомиться с Блогом, Отзывами,

Спасибо за блог, почитаем.. жаль нельзя в ворд скопировать для бумажной распечаки. Может снимете блок клипборда ? это глупо пытаться заблочить инфу которую стараетесь распространить

ведь суть аппаратника что это полноценный комп внутри себя и что он приватные ключи никуда не передает, а подписывает и передает только уже подписанные транзакции - любые взломы тут не страшны и пусть на компе хоть сотни вирусов и троянов

Если комп рояля не играет и от него ничего не зависит - то почему производители аппаратников к нему прицепились ? производили б кошели с прямым подключением к инету ээ ?

значит в компе чтото есть без чего нельзя обойтись ? и что это ? вот оно скоро хацкеров и заинтересует

п.2
+микрухи китайские ? -> получите аппаратные закладки - а проверить их отсуствие трезорцы-леджерцы не смогут.. вояки с бюджетами в мильярды и те далеко не сразу могут
https://xakep.ru/2012/05/28/58757/ - В военной микросхеме США китайского производства обнаружен бэкдор
(да и некитайские тоже с закладками наверняка почти всегда)

п.3
ну и просто аппаратные недоработки
https://yandex.ru/ trezor - fault injection attack

[AlexDogwill]

Помимо этого, в ассортименте есть другие популярные кошельки и оригинальные аксессуары – кабели

кстати стандартный usb удлинитель к трезору(Т) какую макс длину допускает ? а то только коротенький в комплекте идёт ?

Стандартный USB кабель Trezor T имеет длину чуть больше 40см. В наличии есть также удлиненный кабель 1,8м - https://cryptonist.ru/accessories/kabel-usb-type-a-usb-type-c/, также есть короткие TYPE-C-TYPE-C  кабели - https://cryptonist.ru/accessories/kabel-usb-type-c-usb-type-c-otg/ и карманные кабели InCharge 3,8см - https://cryptonist.ru/accessories/kabel_incharge_usb_c/. Все аксессуары имеются в большом количестве в наличии.

самое лучшее — это просто зайти на наш сайт – https://cryptonist.ru и ознакомиться с Блогом, Отзывами,

Спасибо за блог, почитаем.. жаль нельзя в ворд скопировать для бумажной распечаки. Может снимете блок клипборда ? это глупо пытаться заблочить инфу которую стараетесь распространить

Я с вами полностью согласен, это нужно было для кое-какой статистики, мы эту функцию отключим в ближайший день-два.

[igor72]

Если комп рояля не играет и от него ничего не зависит - то почему производители аппаратников к нему прицепились ? производили б кошели с прямым подключением к инету ээ ?

значит в компе чтото есть без чего нельзя обойтись ? и что это ? вот оно скоро хацкеров и заинтересует

Прицепились, потому что это выгоднее. В компе (включаю в это понятие и планшеты с смартфонами) стоит хороший процессор, много оперативной и дисковой памяти, сетевой интерфейс, развитая операционная система - как обойтись без этого? Не рационально делать такое сложное устройство только ради одного приложения, дорого получится, никто покупать не будет. Да и не нужно оно, на мой взгляд. В чем преимущество вы видите?

п.2
+микрухи китайские ? -> получите аппаратные закладки - а проверить их отсуствие трезорцы-леджерцы не смогут.. вояки с бюджетами в мильярды и те далеко не сразу могут
https://xakep.ru/2012/05/28/58757/ - В военной микросхеме США китайского производства обнаружен бэкдор
(да и некитайские тоже с закладками наверняка почти всегда)

п.3
ну и просто аппаратные недоработки
https://yandex.ru/ trezor - fault injection attack

Не доверяете - не пользуйтесь. Или делайте мультиподписной кошелек, его на порядки сложнее "забэкдорить". Или используйте холодный на офлайн компе. Тут уже каждый выбирает, исходя из степени своей паранойи и количества монет.

[marfich97]

ведь суть аппаратника что это полноценный комп внутри себя и что он приватные ключи никуда не передает, а подписывает и передает только уже подписанные транзакции - любые взломы тут не страшны и пусть на компе хоть сотни вирусов и троянов

Если комп рояля не играет и от него ничего не зависит - то почему производители аппаратников к нему прицепились ? производили б кошели с прямым подключением к инету ээ ?

значит в компе чтото есть без чего нельзя обойтись ? и что это ? вот оно скоро хацкеров и заинтересует

Суть аппаратника и его защиты как раз и состоит в том, что это закрытое устройство без инета и выполняет только ряд функций - хранит ключи, отображает входящие для подписи, подписывает данные и их отправляет, а вот на компах инет есть и через комп транзакции и транслируются в сеть. Что там хацкеров может заинтересовать я не представляя, они могут менять только входящие данные и для этого на дисплее они показывается перед подписью, на этапе подписи этих данных устройство закрыто в себе, на этапе передачи уже подписанных данных хацкеры могут делать все что угодно и в случае лома транзы просто не будут отправляться.

Делать аппаратник с двойной системой (одна закрытая для ключей и подписей, другая для отправки транзакций в сеть) идея бредовая, потому что это сильно поднимет цену и размеры устройства и оно будет никому не нужно, потому что компы и так у всех есть и флешка маленькая и удобная.

[Dimenzino]

Суть аппаратника и его защиты как раз и состоит в том, что это закрытое устройство
Делать аппаратник с двойной системой (одна закрытая для ключей и подписей, другая для отправки транзакций в сеть) идея бредовая, потому что это сильно поднимет цену и размеры устройства и оно будет никому не нужно, потому что компы и так у всех есть и флешка маленькая и удобная.

неудобная.. дисплейчик крохотный.. две кнопки всего - потому блокчейн-смартфоны и покупают
Кстати про "закрытое устройство" - оно наоборот должно быть по своей идее открытое
Все исходники трезора полностью открыты вроде как..(?)
И вот тут вопрос - они ж открыты и для хацкеров - то есть им легче чтото менять "в свою пользу"..(?)
Закрытую вынь и то ухитряются лечить http://forum.ru-board.com/topic.cgi?forum=2&topic=5493
Леджер тут "защитился закрытым чипом" контроля целостности кода (по их словам)
Так что ж трезор то беззащитен остался ?

[4rt3m]

Суть аппаратника и его защиты как раз и состоит в том, что это закрытое устройство
Делать аппаратник с двойной системой (одна закрытая для ключей и подписей, другая для отправки транзакций в сеть) идея бредовая, потому что это сильно поднимет цену и размеры устройства и оно будет никому не нужно, потому что компы и так у всех есть и флешка маленькая и удобная.

неудобная.. дисплейчик крохотный.. две кнопки всего - потому

Ну во-первых уже есть Леджер Блю. Во-вторых в нем нет смысла, если все интерфейс можно вывести на телефон или компютер, а за аппаратником оставить только функцию подписи. Лучше всех это реализовано в новом Леджере Х. Хотя я не очень понимаю, зачем большой баланс носить с собой на аппаратнике. Можно вывести часть на BRD в телефон и носить с собой.

[marfich97]

неудобная.. дисплейчик крохотный.. две кнопки всего - потому блокчейн-смартфоны и покупают
Кстати про "закрытое устройство" - оно наоборот должно быть по своей идее открытое
Все исходники трезора полностью открыты вроде как..(?)
И вот тут вопрос - они ж открыты и для хацкеров - то есть им легче чтото менять "в свою пользу"..(?)
Закрытую вынь и то ухитряются лечить http://forum.ru-board.com/topic.cgi?forum=2&topic=5493
Леджер тут "защитился закрытым чипом" контроля целостности кода (по их словам)
Так что ж трезор то беззащитен остался ?

На зрение не жалуюсь и меня дисплей Nano S более чем устраивает - все можно разглядеть без проблем. И не обязательно же сравнивать каждую букву, т.к. думаю вероятность генерации мошенниками очень похожего адреса ничтожно мала и я никогда все буквы в адресе не сравниваю. Блокчейн-смартфоны считаю попыткой выехать на хайпе и они мало кому нужны, что там предлагали работу ноды в смартфоне и еще смешнее было про майнинг на смартфоне А зачем это когда есть ПК?

Не вырывайте слова из контекста и если цитируете так цитируйте полноостью - в моем сообщении было четко написано в чем именно заключается "закрытость" устройства, и там ни слова не было про исходный код.

Про открытые/закрытые исходники. Если код закрыт то в нем потенциально сложнее обнаружить уязвимость, поэтому подход леджера с частично закрытым кодом вроде бы не так и плох. Открытый код все видят и могут найти уязвимость, но проблемы будут только если она будет допущена и будет критической и первой ее найдет кто-то кто станет использовать как дыру, но есть же и white hat хакеры и много таких разработчиков и хакеров следят за кодом таких серьезных проектов. Сколько эфира уже такие люди обезопасили и вернули.

[KosmoKisa]

Полностью согласна с marfich97 по поводу блокчейн-смартфонов это только маркетинговый ход не более, на тот же  Андроид есть неплохо защищённые программные кошельки. Я то же пользуюсь Nano S и никаких недостатков в нём пока не заметила, на дисплее всё отлично видно даже людям со слабым зрением

[igor72]

Полностью согласна с marfich97 по поводу блокчейн-смартфонов это только маркетинговый ход не более, на тот же  Андроид есть неплохо защищённые программные кошельки.

Зто, конечно, маркетинговый ход в том числе, но не только. Относить такие кошельки все же следует к аппаратным и, следовательно, сравнивать с программными не корректно - разный уровень защиты у них.

[Dimenzino]

кто нить понял почему KeepKey
https://youtu.be/X4wIahW-dLQ?t=87
на форуме так непопулярен ?
http://yandex.ru/ KeepKey _bitcointalk.org
на дисплее все длинноты адресов-фраз умещаются - не то что остальные леджеры
какойто минус вельми сильный..(?)
в поиске ветки _KeepKey_ выдало только

Все говорят про Леджер и Трезор, а кто-то пользуется кошельком  KeepKey ? Читал про него что благодаря большому экрану, он позволил разработчикам добавить несколько новых мер защиты, которые отсутствуют в Nano S и Trezor. И цена его в районе 100 долларов.

https://bitcointalk.org/index.php?topic=1283805.0 - самая крупная (вроде) гуглопереведенная ветка :

problem
chrome extension
hacker makes a extension that looks the same but says "error on device, please type in backup seed to restore device"
... and then your coins are gone..
trezor/keepkey still havnt solved this very easy exploit
11 декабря 2015 г., 02:15:32
проблема
расширение Chrome
хакер создает расширение, которое выглядит так же, но говорит: «ошибка на устройстве, пожалуйста, введите резервную копию для восстановления устройства»
... а потом твои монеты исчезли ..

...

@notlist3d have you been able to use a passphrase with your KeepKey? The site claims you can add passphrase protection to the seed but I see no way to do it. I just got my KeepKey the other day and am writing up a comparison article to Trezor. KeepKey also claims on reddit that it is now compatible with GreenBits on Android, still trying to get that working also. I have a support ticket open on that one. No passphrase protection is a huge negative for KeepKey.
14 января 2016 года, 17:54:10
@ notlist3d Вам удалось использовать фразу-пароль с вашим ключом KeepKey? Сайт утверждает, что вы можете добавить защиту парольной фразы в семя, но я не вижу способа сделать это. Я только что получил свой KeepKey на днях и пишу сравнительную статью для Трезора. KeepKey также заявляет на Reddit, что теперь он совместим с GreenBits на Android, все еще пытаясь заставить это работать. У меня есть открытый билет поддержки. Отсутствие защиты парольной фразы является огромным негативом для KeepKey.

...

There are no passphrase protected accounts on KeepKey unless you use it with Electrum confirmed. Using it with the Chrome App you can only use PIN protection.
16 января 2016 г., 02:50:43
На KeepKey нет защищенных паролем учетных записей, если вы не используете его с подтвержденным Electrum. Используя его с приложением Chrome, вы можете использовать только защиту PIN-кодом.

И как это понимать если он - полная копия трезора как утверждается?

[igor72]

кто нить понял почему KeepKey
https://youtu.be/X4wIahW-dLQ?t=87
на форуме так непопулярен ?
http://yandex.ru/ KeepKey _bitcointalk.org
на дисплее все длинноты адресов-фраз умещаются - не то что остальные леджеры
какойто минус вельми сильный..(?)
в поиске ветки _KeepKey_ выдало только

Все говорят про Леджер и Трезор, а кто-то пользуется кошельком  KeepKey ? Читал про него что благодаря большому экрану, он позволил разработчикам добавить несколько новых мер защиты, которые отсутствуют в Nano S и Trezor. И цена его в районе 100 долларов.

KeepKey сравнивать правильнее с Trezor One - у них практически одинаковое "железо", кипки - это порт трезора. Кроме большего экрана и алюминиевого корпуса я плюсов в KeepKey не вижу (да и этот плюс так себе, из за него размер и вес устройства заметно больше). Монет поддерживает в два раза меньше (7 против 14), фич меньше, поддержка хуже, цена такая же. Про доп. меры защиты ничего не знаю, сомневаюсь, что они есть. В общем, как кошелек трезор лучше, а внешне, наверное, лучше кипки - тут уже каждый выбирает, что ему важнее ).

И как это понимать ?

Если я правильно понял, о чем была речь, то это уже не актульно.

[Dimenzino]

новости

https://www.reddit.com/r/TREZOR/comments/bpzyxd/trezor_dns_hack/
Posted byu/chaivira  1 day ago
Trezor DNS Hack!
I got Hacked unknowingly by clicking 'wallet' and I was directed to a site to enter my 24-seed.
I had not been using my Trezor for a very long amount of time. So, I thought I needed to provide my seed to access my wallet. Few moments later, all my crypto on the device are hacked!
Is there a way to retrieve this?

гуглоперевод

О.П., извините, вы были фишингом ... эта группа проводила рекламную кампанию на прошлой неделе и похоже, что они вас поймали. Боюсь, ты ничего не сможешь сделать. Вы точно помните, как вы оказались на сайте. Это обнаружилось, или вы уверены, что ваш DNS был атакован? Был ли изображен тот же URL?

Кроме большего экрана и алюминиевого корпуса я плюсов в KeepKey не вижу

спасибо, +я про длинноты адресов-фраз - если они не умещаются то это не сильно замедляет работу ?

[igor72]

новости

https://www.reddit.com/r/TREZOR/comments/bpzyxd/trezor_dns_hack/

Ну там он сам виноват, не надо было вводить сид-фразу в комп. Да и лучше бы эти свои 8 битков разделил на несколько частей (с одной сид-фразой, но с разными паролями), чтобы в случае подобной ошибки не все сразу потерять.

Кроме большего экрана и алюминиевого корпуса я плюсов в KeepKey не вижу

я про длинноты адресов-фраз - если они не умещаются то это не сильно замедляет работу ?

На леджере S сверка адреса, суммы и комиссии занимает секунд 10 ). Не критично, по-моему.