не прислушиваются к народной воле ..
https://www.reddit.com/r/TREZOR/comments/b06rlq/our_response_to_ledgers_mitbitcoinexpo_findings/что trezor может сделать, чтобы остановить
атаки цепочки поставок.
Например, трезор может иметь уникальный идентификатор. И этот идентификатор хранится в какой-то публичной книге.
Затем, когда вы отправляете устройство клиенту, сообщите ему идентификатор, который он должен ожидать.
Таким образом, злоумышленник не может слепо заменить свое устройство клоном. Они должны перехватить вашу электронную почту ...
Это тоже атака цепочки поставок ....
Это лучше, чем проверять голограммыTheres more trezor can do to stop supply chain attacks.
Eg trezor could have a unique id. And this id is stored in some public ledger.
Then when you ship the device to the customer tell them the id they should expect.
This way an attacker cannot blindly replace their device with a clone. They need to intercept your email to...
This is also a supply chain attack....
This is better than inspecting holograms
Микроконтроллер STM имеет уникальный серийный номер. Это отображается в режиме загрузчика.
Было бы неразумно связывать серийный номер Trezor с базой данных продаж клиентов (и их именем / адресом / адресом электронной почты / IP-адресом), но может быть размещена защищенная с помощью капчи страница, чтобы пользователи могли посмотреть свой серийный номер Trezor (и, возможно, показать последние 5 раз этот серийный номер был найден, в случае, если несколько поддельных клонов Трезора олицетворяют настоящий подлинный серийный номер)
The STM Microcontroller has a unique serial number. This is displayed in bootloader mode.
It would be unwise to link the Trezor Serial number to the customer sales database (and their name / address / email / IP), but a captcha protected page could be hosted to allow users to look up their Trezor serial number (and perhaps show the last 5 times that serial number was looked up, in case multiple fake Trezor clones impersonate a real genuine serial number)
Когда я купил свою модель T, я целую вечность искал, как выглядят настоящие голографические наклейки. А так как его несколько раз меняли, я чувствовал себя неуверенно.
Как только я вставил устройство, веб-сайт попросил проверить наклейку модели T, но для того, чтобы подключить его к сайту, мне пришлось удалить его /facepalm... Это было немного раздражает.
Я согласен, что было бы нарушение opsec, если бы люди получили список адресов владельцев трезоров.
Они могли отследить, когда сериал был отправлен и в какую страну, по крайней мере. Этого достаточно, чтобы знать, что это не клон, который был заменен на маршруте.
When I bought my model T i spent ages looking for what legit holographic stickers looked like. A since its been changed a few times I felt unsure. Once I put in the device the website asked to check the model T sticker but in order to connect it the site i had to remove it /facepalm...That was kind of annoying.
I agree it would be an opsec violation if people got a list of trezor owners addresses.
They could track when the serial was shipped and to what country at least. This is enough to know its not a clone that's been replaced enroute.
Я не вижу рекомендуемой длины пароля.Это вопрос личного выбора. Если вы хотите, чтобы «экспортный уровень» безопасности составлял 40 бит (то есть АНБ или Google
могут легко украсть ваши монеты), тогда достаточно 7 случайных символов (верхний / нижний / цифровой). Для 80-битной защиты (в основном SHA-1) используйте 14 случайных символов. Для полного 128-битного (в основном SHA-2 / SECP256k1 безопасности) используйте 22 случайных символа, а затем вы даже можете сделать свои 24 слова публичными.
I see no suggested passphrase length requirement.That's a matter of personal choice. If you want "export grade" security of 40 bit (i.e. NSA or Google can easily steal your coins) then 7 random characters (upper/lower/digit) are enough. For 80 bit of security (basically SHA-1 security), use 14 random characters. For full 128 bit (basically SHA-2/SECP256k1 security) use 22 random characters and then you can even make your 24 words public.
