johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
|
September 07, 2019, 08:43:35 PM |
|
Я тут где-то уже докладывал, что на днях у меня леджер сам сбросился до заводского состояния при подключении к Ledger Live (баг какой-то у них там, обещают исправить в следующей прошивке). Представляю ощущения при отсутствии сида ).
А можно поподробнее? Довольно "интересная", а если серъезно, то опасная ситуация. Знать было бы полезно. Притом что сброс до заводских настроек сам по себе может быть свидетельством очень нехороших вещей (где то здесь товарищ расписывал что в чип при желании можно прописать все что угодно, а в Леджере один чип закрыт и кто его знает что там, а второй на половину под действием лицензии Леджера)
|
|
|
|
|
|
|
|
According to NIST and ECRYPT II, the cryptographic algorithms used in
Bitcoin are expected to be strong until at least 2030. (After that, it
will not be too difficult to transition to different algorithms.)
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1972
Crypto Swap Exchange
|
|
September 07, 2019, 09:09:49 PM Last edit: September 07, 2019, 09:33:41 PM by igor72 Merited by chimk (2), johhnyUA (1), Vadi2323 (1) |
|
А можно поподробнее? Да особо нечего добавить. У меня в основном битки, поэтому я леджер лайв редко запускаю, вместо него пользуюсь электрумом. Ну а тут прочитал, что наконец-то erc-20 к ЛЛ прикрутили. Залез посмотреть. Потом смотрю, а девайс мне "Welcome" пишет (то есть как новый, "заряженный" приветствие не показывает), ну и полчаса промудохался сид вбивать, пароль, пины... А по проблеме - я уже видел раньше на реддите подобные сообщения, поэтому был готов. Поищите, если интересно. Вот, например, одно из них, там СТО что-то пытается объяснить, но подозреваю, они еще сами до конца не разобрались, что за фигня ). Вот еще одно нашел.. где то здесь товарищ расписывал что в чип при желании можно прописать все что угодно Сомневаюсь, там же проверка чек-суммы прошивки (или что-то в этом духе, не помню точно, не важно) производится при подключении к ЛЛ.
|
|
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1972
Crypto Swap Exchange
|
|
September 08, 2019, 04:48:49 AM Last edit: September 08, 2019, 05:13:04 AM by igor72 |
|
проверка чек-суммы прошивки у трезора тоже есть ? Да, в Trezor One загрузчик(bootloader) и прошивка(firmware) как-то там друг друга проверяют ). А в Trezor T еще есть неперезаписываемый boardloader, проверяющий загрузчик, который в свою очередь проверяет прошивку. Нашел, как в леджере происходит проверка, описано здесь или здесь.
|
|
|
|
be.open
Copper Member
Hero Member
Offline
Activity: 2058
Merit: 900
White Russian
|
|
September 08, 2019, 05:08:13 AM |
|
А можно поподробнее? Да особо нечего добавить. У меня в основном битки, поэтому я леджер лайв редко запускаю, вместо него пользуюсь электрумом. Ну а тут прочитал, что наконец-то erc-20 к ЛЛ прикрутили. Залез посмотреть. Потом смотрю, а девайс мне "Welcome" пишет (то есть как новый, "заряженный" приветствие не показывает), ну и полчаса промудохался сид вбивать, пароль, пины... А по проблеме - я уже видел раньше на реддите подобные сообщения, поэтому был готов. Поищите, если интересно. Вот, например, одно из них, там СТО что-то пытается объяснить, но подозреваю, они еще сами до конца не разобрались, что за фигня ). Вот еще одно нашел.. У меня тоже на днях ресетнулся леджер на ровном месте, live конечно весьма сыроват ещё, хотя обновляется довольно часто. Благо я почти сразу после начала использования кошелька принудительно сбрасывал его и восстанавливался из сида (что и всем советую делать), поэтому нервяков не было, просто восстановился ещё раз.
|
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1972
Crypto Swap Exchange
|
|
September 08, 2019, 05:32:30 AM Last edit: September 08, 2019, 05:43:31 AM by igor72 |
|
У меня тоже на днях ресетнулся леджер на ровном месте, live конечно весьма сыроват ещё, хотя обновляется довольно часто. Да, вроде хороший кошелек, все продумано, но софтописатели там средненькие и неторопливые (кажется, в общем это свойственно французам). Жаль, что в трезоре passphrase надо каждый раз вбивать, иначе перешел бы на него, наверное. Благо я почти сразу после начала использования кошелька принудительно сбрасывал его и восстанавливался из сида (что и всем советую делать), поэтому нервяков не было, просто восстановился ещё раз.
Это да, обязательно. Но там сейчас приложение есть для этого, можно и без сброса сид прочекать, если кто-то эту операцию сразу не сделал.
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
September 08, 2019, 05:32:30 AM |
|
Твиттер мне рекламу тыкнул... Ну вот, еще один "the most secure"... Жду интересных новостей, от наивных дурачков, которые потеряли бабло. Ну и конечно, "the most secure" не open source, они только " plan to make it open-source". Ну зато на сайте у них модный промо-ролик. Покупайте, лол.
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
September 08, 2019, 10:22:35 AM |
|
Жаль, что в трезоре passphrase надо каждый раз вбивать, иначе перешел бы на него, наверное. А надежность хранения крипты от этого "каждый раз" не повышается разве ?
|
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1972
Crypto Swap Exchange
|
|
September 08, 2019, 11:01:48 AM |
|
Жаль, что в трезоре passphrase надо каждый раз вбивать, иначе перешел бы на него, наверное. А надежность хранения крипты от этого "каждый раз" не повышается разве ? Раз при физическом взаимодействии с трезором можно добыть 24 слова, то очень вероятно, что тем же способом и пароль можно было бы добыть, если бы он хранился в флеш-памяти микроконтроллера. Поэтому в сложившихся обстоятельствах хорошо, что так. Только, если часто пользоваться, надоест длинный пароль каждый раз набирать, будет соблазн сделать его коротким, а это небезопасно. На леджере такой недостаток не выявлен, поэтому работа с ним более удобная. У меня, например, пароль больше 30 знаков, а вбивается он только однажды при начальной установке.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
|
September 08, 2019, 01:22:59 PM |
|
Сомневаюсь, там же проверка чек-суммы прошивки (или что-то в этом духе, не помню точно, не важно) производится при подключении к ЛЛ.
Ну я намекал скорее на действия разработчиков. Думаю ты понимаешь что в таком случае сумма прошивки ничего не значит. Притом, уже было расследование, что если используется тип атаки MITM с перехватом посылки и потом модифицируется сам аппаратник, то никакие чек суммы не помогут. Ссылочка: https://xakep.ru/2018/12/29/trezor-ledger-flaws/
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
September 08, 2019, 06:32:06 PM |
|
Раз при физическом взаимодействии с трезором можно добыть 24 слова, то очень вероятно, что тем же способом и пароль можно было бы добыть, если бы он хранился в флеш-памяти микроконтроллера. Поэтому в сложившихся обстоятельствах хорошо, что так. Только, если часто пользоваться, надоест длинный пароль каждый раз набирать, будет соблазн сделать его коротким, а это небезопасно. вот так новость а как проводится сие "физическое взаимодействие" ? + насчет флеш-памяти для если-б-хранения пароля - эта инфа откуда ? особливо трезор-Т интересует
|
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1972
Crypto Swap Exchange
|
|
September 08, 2019, 07:02:01 PM |
|
|
|
|
|
AlexDogwill
Jr. Member
Offline
Activity: 31
Merit: 77
|
Я только что завершил большую статью по аппаратному кошельку Keepkey. Раскрыл практически весь его функционал. Каждый раздел статьи наполнен подробными описаниями, скриншотами, фотографиями, ссылками на видео. Одно написание текста и его шлифовка заняла около 21 часа непрерывной работы. Это без учета времени на фотосессию и перенос статьи на движок сайта. Выпускаю эту статью как очередное детище и очень хотел бы, что как можно больше людей смогло найти ответы на свои вопросы по использованию кошелька. Важные части статьи – это обзор нового интерфейса ShapeShift, U2F аутентификация (с визуалкой) и ответы на вопросы. Вначале статьи есть удобная навигация по ключевым разделам: 01. Введение02. Упаковка и комплектация03. Интерфейс Keepkey client04. Новый интерфейс ShapeShift05. Совместимость06. Документация и поддержка07. Безопасность08. U2F аутентификация09. Частые вопросы10. О производителе11. Технические характеристики12. Сравнение с Trezor и Ledger13. Видео-обзорыНебольшое заключение от себя. Хочу сказать, что до появления ShapeShift у меня складывалось ощущение, что этот кошелек будет либо выкуплен другим проектом, либо закончит свое существование. Так как он сильно отставал от конкурентов Trezor и Ledger: не было поддержки u2f, кодовой фразы, segwit адресов, менеджера паролей, меньшая мультивалютность и главное - не было нормального интерфейса! В смысле не интерфейса-криптовалютного кошелька, а интерфейса приложения Keepkey Client. За 2019 год компания реально подтянулась: ввела u2f, кодовую фразу и появился наконец-то ShapeShift интерфейс с возможностью обменивать крипту. Основным преимуществом кошелька перед конкурентами является действительно большой дисплей 256x64px. Для сравнения Trezor T 240x240, Nano X 128x64. На мой взгляд, это идеальный кошелек для людей предпочитающим большие шрифты. Более того, кошелек удобно размещает любые виды публичных адресов на одном экране. Мои хотелки или недостатки Keepkey: 1) добавить шаг - проверки мнемонической фразы (после записи) - сейчас этот шаг вовсе отсутствует. На мой взгляд, очень странное решение. Если есть контрольная сумма, то почему бы не прогнать пользователя через проверку? Учитывая потенциальный риск невнимательности людей и риск утраты денег это ОБЯЗАТЕЛЬНО надо сделать! 2) добавить в ShapeShift поддержку аккаунтов больше индекса 0. Сейчас отображаются только аккаунты с нулевым индексом. 3) добавить user friendly возможность отображения xpub ключа 4) доработать ShapeShift, чтобы можно было задавать все настройки - от пин-кода, времени блокировки и до восстановления. Сейчас можно только очищать кошелек и создавать новый и все! 5) уменьшить конские комиссии при обмене валют. Если вы считаете, что статья будет полезной для знакомых и друзей, то просьба поделиться ею. Это будет ценным вкладом в развитие нашего проекта. Ссылка на статью - https://cryptonist.ru/blog/apparatnye-koshelki/obzor-keepkey/
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
September 13, 2019, 02:50:11 PM Last edit: September 13, 2019, 04:19:03 PM by Dimenzino |
|
спасибо за статью, https://cryptonist.ru/blog/apparatnye-koshelki/obzor-keepkey/Аналоги: сравнение с Trezor и Ledger Основным существенным преимуществом Keepkey перед конкурентами является большой дисплей, который удобно размещает на одном экране полные адреса разных криптовалют. Большой экран и увеличенный шрифт идеально подойдут для людей с пониженным зрением. Достаточно просто сравнить размеры дисплея в пикселях: Trezor T – 240×240, Ledger Nano X – 128×64 и Keepkey 256×64! сравнения размеров рабочего поля экранчиков сравниваемых кошелей в миллиметрах - явно не хватает, это важнее числа пикселей для людей с пониженным зрением, ну, с дальнозоркостью. диагонали тоже неинформативны - при вытянутых экранах площадь будет мала + не описаны плюсы отсутствия драйверов уязвимых для хакеров трезорцы вроде тоже хотят избавиться от драйвера по причине его уязвимости но у них это пока не получается как я понял п.2 о пользе аппаратников кстати https://google.ru/аппаратные кошельки для партии навальногоhttps://www.ridus.ru/news/302311https://www.youtube.com/watch?v=rhD1qJFDx38https://www.youtube.com/watch?v=Qmd1vV_AO4khttps://www.reddit.com/r/True_Russia... п.3 + насчет флеш-памяти для если-б-хранения пароля - эта инфа откуда ? Не понял, какая инфа?
отсюда если бы он хранился в флеш-памяти микроконтроллера он видимо там и хранится (а если не там то где?) + В конце концов аппаратник можно хранить дома в тайнике, а не в ящике стола. только тут нет защиты от пожара + На леджере такой недостаток не выявлен, поэтому работа с ним более удобная. У меня, например, пароль больше 30 знаков, а вбивается он только однажды при начальной установке. то есть защита от кражи у такого аппаратника отсутствует ? воткнул в комп и сливай кассу ? https://yandex.ru/ где ищут воры тайникиhttps://yandex.ru/ Куда не надо прятать ценностиhttps://rg.ru/2007/06/29/vor.htmlПростукивают стены и полы - паркет, панель, кафель, линолеум или утеплитель - не помеха. Проверяют и потолок, особенно если он подвесной. Изучают балкон или лоджию. Цветы нередко вырывают с корнем: вдруг в горшке - клад? Не щадят ни детские игрушки, ни музыкальные инструменты - после ухода воров плюшевые мишки безжалостно прооперированы, скрипки разбиты, у аккордеонов изрезаны меха.
|
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1972
Crypto Swap Exchange
|
|
September 13, 2019, 04:06:41 PM |
|
+ насчет флеш-памяти для если-б-хранения пароля - эта инфа откуда ? Не понял, какая инфа?
отсюда если бы он хранился в флеш-памяти микроконтроллера он видимо там и хранится (а если не там то где?) нигде + В конце концов аппаратник можно хранить дома в тайнике, а не в ящике стола. только тут нет защиты от пожара Ну и что? При чем тут пожар? От пожара сид прятать нужно. + На леджере такой недостаток не выявлен, поэтому работа с ним более удобная. У меня, например, пароль больше 30 знаков, а вбивается он только однажды при начальной установке. то есть защита от кражи у такого аппаратника отсутствует ? воткнул в комп и снимай битки ? Пин-код защищает.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
|
September 13, 2019, 08:41:13 PM |
|
~snip~
Я вот одного не понял: если они от шейпшифт, то там случаем не нужно будет КУС проходить, в кошельке то, а? Или в декстопном интерфейсе, чтобы пользоваться кошельком.
|
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
September 14, 2019, 07:36:42 AM |
|
Ну вот, еще один аппаратник появится на рынке.
|
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1972
Crypto Swap Exchange
|
|
September 14, 2019, 07:53:57 AM |
|
А что там аппаратного, кусок пластика? Еще один бумажный кошелек, сгенерированный не пользователем. Я бы и даром такой не взял ).
|
|
|
|
be.open
Copper Member
Hero Member
Offline
Activity: 2058
Merit: 900
White Russian
|
|
September 14, 2019, 08:08:29 AM |
|
А что там аппаратного, кусок пластика? Еще один бумажный кошелек, сгенерированный не пользователем. Я бы и даром такой не взял ). Ну даром то поди уж можно, кинуть туда пару сатошиков и дать официантке в кафе на чай. А то они болезные с распространением безнала на голодном пайке сидят без чаевых. Вчера столкнулся с косяком леджера, точнее не самого аппаратного кошелька, а приложения ledger live. При отправлении транзакции он предложил подозрительно маленькую комиссию кажется 3 сатоши на байт, я пожал плечами и нажал кнопку отправить, ну и попал под резкий скачок в мемпуле, короче несколько часов транзакция висела без подтверждения пока не рассосалось. А косяк в том, что раньше в хром-приложении для биткоина была кнопочка с молнией, с помощью которой можно было ускорить зависшую транзакцию методом "ребёнок платит за родителя", а теперь её нету. Начал гуглить - действительно нету, " this functionality will be implemented in Ledger Live later.". Досадно, чё.
|
|
|
|
|