igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
October 18, 2018, 05:44:01 AM |
|
У леджера есть своё приложение на телефон Это какое, интересно?
|
|
|
|
Sancho18
Sr. Member
Offline
Activity: 728
Merit: 368
Sancho
|
|
October 18, 2018, 05:48:11 AM Last edit: October 18, 2018, 06:20:16 AM by Sancho18 |
|
Подобрать сид, можно считать, невозможно. Значит его безопасность практически абсолютна, а значит ее усиливать смысла нет.
Это и есть слабое место в исходной предпосылке. Подобрать сид-фразу конкретного кошелька допустим действительно технически невозможно. Однако, если вы начнёте целенаправленно восстанавливать рандомные сид-фразы, теоретически вы можете однажды попасть в чей-то аккаунт с ненулевым балансом. Слов для сид-фраз используется не так уж много, их список есть в открытом доступе. Полагаете подобный брутфорс абсолютно невозможен? Он может быть нецелесообразным, но объясните мне почему вероятность попасть таким образом в чей-то аккаунт равна нулю. Эта вероятность может и невелика, но она совершенно точно ненулевая. Более того, с ростом популярности леджера по идее она должна увеличиваться. Зная количество используемых для генерации сид-фразы слов и примерное количество отгруженных устройств её можно даже попробовать оценить с точностью до одного-двух порядков.
|
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
Подобрать сид, можно считать, невозможно. Значит его безопасность практически абсолютна, а значит ее усиливать смысла нет.
Это и есть слабое место в исходной предпосылке. Подобрать сид-фразу конкретного кошелька допустим действительно технически невозможно. Однако, если вы начнёте целенаправленно восстанавливать рандомные сид-фразы, теоретически вы можете однажды попасть в чей-то аккаунт с ненулевым балансом. Слов для сид-фраз используется не так уж много, их список есть в открытом доступе. Полагаете подобный брутфорс абсолютно невозможен? Он может быть нецелесообразным, но объясните мне почему вероятность попасть таким образом в чей-то аккаунт равна нулю. О-очень теоретически. Конечно, нельзя сказать, что брутфорс "абсолютно невозможен", но эта вероятность настолько ничтожна, что ей можно пренебречь. Давайте посмотрим на цифры. Сид из 24-х слов дает 2 256 вариантов, это примерно 10 77. Допустим, что есть 10 млрд.(это с большим запасом) "непустых" сидов. Следовательно, вероятность при брутфорсе что-то поймать равна 1/10 67. Представьте себе маленькую песчинку 0.1 мм. В одном кубическом миллиметре их 1000, в куб. метре - 10 12, в кубическом километре - 10 21. Чтобы засыпать Землю песком, чтобы получился шар, который достанет до Солнца, нужно примерно 10 47 таких песчинок, чтобы получился шар, который достанет до альфа Центавра, нужно 10 64 песчинок. Чтобы получить 10 67, понадобится 1000 таких песчаных шаров. Представили ? По прежнему считаете, что слов не так уж много?
|
|
|
|
Sancho18
Sr. Member
Offline
Activity: 728
Merit: 368
Sancho
|
|
October 18, 2018, 06:59:26 AM |
|
Подобрать сид, можно считать, невозможно. Значит его безопасность практически абсолютна, а значит ее усиливать смысла нет.
Это и есть слабое место в исходной предпосылке. Подобрать сид-фразу конкретного кошелька допустим действительно технически невозможно. Однако, если вы начнёте целенаправленно восстанавливать рандомные сид-фразы, теоретически вы можете однажды попасть в чей-то аккаунт с ненулевым балансом. Слов для сид-фраз используется не так уж много, их список есть в открытом доступе. Полагаете подобный брутфорс абсолютно невозможен? Он может быть нецелесообразным, но объясните мне почему вероятность попасть таким образом в чей-то аккаунт равна нулю. О-очень теоретически. Конечно, нельзя сказать, что брутфорс "абсолютно невозможен", но эта вероятность настолько ничтожна, что ей можно пренебречь. Давайте посмотрим на цифры. Сид из 24-х слов дает 2 256 вариантов, это примерно 10 77. Допустим, что есть 10 млрд.(это с большим запасом) "непустых" сидов. Следовательно, вероятность при брутфорсе что-то поймать равна 1/10 67. Представьте себе маленькую песчинку 0.1 мм. В одном кубическом миллиметре их 1000, в куб. метре - 10 12, в кубическом километре - 10 21. Чтобы засыпать Землю песком, чтобы получился шар, который достанет до Солнца, нужно примерно 10 47 таких песчинок, чтобы получился шар, который достанет до альфа Центавра, нужно 10 64 песчинок. Чтобы получить 10 67, понадобится 1000 таких песчаных шаров. Представили ? По прежнему считаете, что слов не так уж много? Вы правы, вероятность действительно ничтожна, но пренебрегать ею или нет - зависит от персональных настроек вашей паранойи. Вероятность катастрофы на Чернобыльской АЭС тоже была невелика, однако произошла цепь маловероятных совпадений и она случилась. Если исходить из предположения, что есть 10млрд инициированных сидов, то вероятность случайно или злонамеренно восстановить из сида любой ненулевой аккаунт в 10 млрд больше, чем попасть в какой-то конкретный аккаунт. Десять миллиардов это конечно изрядно поменьше, чем 10 67, но это по-прежнему десять миллиардов.
|
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
October 18, 2018, 07:07:34 AM |
|
Подобрать сид, можно считать, невозможно. Значит его безопасность практически абсолютна, а значит ее усиливать смысла нет.
Это и есть слабое место в исходной предпосылке. Подобрать сид-фразу конкретного кошелька допустим действительно технически невозможно. Однако, если вы начнёте целенаправленно восстанавливать рандомные сид-фразы, теоретически вы можете однажды попасть в чей-то аккаунт с ненулевым балансом. Слов для сид-фраз используется не так уж много, их список есть в открытом доступе. Полагаете подобный брутфорс абсолютно невозможен? Он может быть нецелесообразным, но объясните мне почему вероятность попасть таким образом в чей-то аккаунт равна нулю. О-очень теоретически. Конечно, нельзя сказать, что брутфорс "абсолютно невозможен", но эта вероятность настолько ничтожна, что ей можно пренебречь. Давайте посмотрим на цифры. Сид из 24-х слов дает 2 256 вариантов, это примерно 10 77. Допустим, что есть 10 млрд.(это с большим запасом) "непустых" сидов. Следовательно, вероятность при брутфорсе что-то поймать равна 1/10 67. Представьте себе маленькую песчинку 0.1 мм. В одном кубическом миллиметре их 1000, в куб. метре - 10 12, в кубическом километре - 10 21. Чтобы засыпать Землю песком, чтобы получился шар, который достанет до Солнца, нужно примерно 10 47 таких песчинок, чтобы получился шар, который достанет до альфа Центавра, нужно 10 64 песчинок. Чтобы получить 10 67, понадобится 1000 таких песчаных шаров. Представили ? По прежнему считаете, что слов не так уж много? Вы правы, вероятность действительно ничтожна, но пренебрегать ею или нет - зависит от персональных настроек вашей паранойи. Вероятность катастрофы на Чернобыльской АЭС тоже была невелика, однако произошла цепь маловероятных совпадений и она случилась. Если исходить из предположения, что есть 10млрд инициированных сидов, то вероятность случайно или злонамеренно восстановить из сида любой ненулевой аккаунт в 10 млрд больше, чем попасть в какой-то конкретный аккаунт. Десять миллиардов это конечно изрядно поменьше, чем 10 67, но это по-прежнему десять миллиардов. Десять миллиардов я уже учел в расчетах, если не учитывать, тогда цифра 10 77. Пример с атомными станциями некорректен, там совсем другие цифры.
|
|
|
|
Sancho18
Sr. Member
Offline
Activity: 728
Merit: 368
Sancho
|
|
October 18, 2018, 07:14:02 AM |
|
Подобрать сид, можно считать, невозможно. Значит его безопасность практически абсолютна, а значит ее усиливать смысла нет.
Это и есть слабое место в исходной предпосылке. Подобрать сид-фразу конкретного кошелька допустим действительно технически невозможно. Однако, если вы начнёте целенаправленно восстанавливать рандомные сид-фразы, теоретически вы можете однажды попасть в чей-то аккаунт с ненулевым балансом. Слов для сид-фраз используется не так уж много, их список есть в открытом доступе. Полагаете подобный брутфорс абсолютно невозможен? Он может быть нецелесообразным, но объясните мне почему вероятность попасть таким образом в чей-то аккаунт равна нулю. О-очень теоретически. Конечно, нельзя сказать, что брутфорс "абсолютно невозможен", но эта вероятность настолько ничтожна, что ей можно пренебречь. Давайте посмотрим на цифры. Сид из 24-х слов дает 2 256 вариантов, это примерно 10 77. Допустим, что есть 10 млрд.(это с большим запасом) "непустых" сидов. Следовательно, вероятность при брутфорсе что-то поймать равна 1/10 67. Представьте себе маленькую песчинку 0.1 мм. В одном кубическом миллиметре их 1000, в куб. метре - 10 12, в кубическом километре - 10 21. Чтобы засыпать Землю песком, чтобы получился шар, который достанет до Солнца, нужно примерно 10 47 таких песчинок, чтобы получился шар, который достанет до альфа Центавра, нужно 10 64 песчинок. Чтобы получить 10 67, понадобится 1000 таких песчаных шаров. Представили ? По прежнему считаете, что слов не так уж много? Вы правы, вероятность действительно ничтожна, но пренебрегать ею или нет - зависит от персональных настроек вашей паранойи. Вероятность катастрофы на Чернобыльской АЭС тоже была невелика, однако произошла цепь маловероятных совпадений и она случилась. Если исходить из предположения, что есть 10млрд инициированных сидов, то вероятность случайно или злонамеренно восстановить из сида любой ненулевой аккаунт в 10 млрд больше, чем попасть в какой-то конкретный аккаунт. Десять миллиардов это конечно изрядно поменьше, чем 10 67, но это по-прежнему десять миллиардов. Десять миллиардов я уже учел в расчетах, если не учитывать, тогда цифра 10 77. Пример с атомными станциями некорректен, там совсем другие цифры. А вы учли в расчётах, что генераторы случайных чисел на практике псевдослучайны? В суровой неидеальной действительности энтропия будет несколько меньше.
|
|
|
|
Nick808
|
|
October 18, 2018, 07:14:56 AM |
|
Подобрать сид, можно считать, невозможно. Значит его безопасность практически абсолютна, а значит ее усиливать смысла нет.
Это и есть слабое место в исходной предпосылке. Подобрать сид-фразу конкретного кошелька допустим действительно технически невозможно. Однако, если вы начнёте целенаправленно восстанавливать рандомные сид-фразы, теоретически вы можете однажды попасть в чей-то аккаунт с ненулевым балансом. Слов для сид-фраз используется не так уж много, их список есть в открытом доступе. Полагаете подобный брутфорс абсолютно невозможен? Он может быть нецелесообразным, но объясните мне почему вероятность попасть таким образом в чей-то аккаунт равна нулю. Эта вероятность может и невелика, но она совершенно точно ненулевая. Более того, с ростом популярности леджера по идее она должна увеличиваться. Зная количество используемых для генерации сид-фразы слов и примерное количество отгруженных устройств её можно даже попробовать оценить с точностью до одного-двух порядков. кстати да надо понимать что это реально. вот подобрать ключ к эфирному кошельку в разы труднее но умельцы все таки пытаются. так что и тут думаю нашлись пару десятков человек которые каждый день прогоняют десятки тысяч вариантов. шанс небольшой но он есть и если получится то все окупиться сразу.
|
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
October 18, 2018, 07:34:55 AM |
|
А вы учли в расчётах, что генераторы случайных чисел на практике псевдослучайны? В суровой неидеальной действительности энтропия будет несколько меньше. Во-первых, не настолько псевдослучайны, чтобы на это обращать особое внимание. Во-вторых, считается, что в леджере стоит именно генератор случайных чисел, я думаю, что используется тепловой шум полупроводника (верить в это не призываю). В-третьих, несложно сгенерировать энтропию (и, в итоге, сид-фразу) самому, подбросив 256 раз монетку или 100 раз кубик (хотя кто-то скажет, что и монетка неидеальна ).
|
|
|
|
Sancho18
Sr. Member
Offline
Activity: 728
Merit: 368
Sancho
|
|
October 18, 2018, 07:53:13 AM |
|
А вы учли в расчётах, что генераторы случайных чисел на практике псевдослучайны? В суровой неидеальной действительности энтропия будет несколько меньше. Во-первых, не настолько псевдослучайны, чтобы на это обращать особое внимание. Во-вторых, считается, что в леджере стоит именно генератор случайных чисел, я думаю, что используется тепловой шум полупроводника (верить в это не призываю). В-третьих, несложно сгенерировать энтропию (и, в итоге, сид-фразу) самому, подбросив 256 раз монетку или 100 раз кубик (хотя кто-то скажет, что и монетка неидеальна ). Я поразмышляю об этом на досуге, пока что будем считать, что вы меня убедили. Это хорошо, потому что у меня у самого есть пара леджеров, которые я использую по назначению.
|
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
October 18, 2018, 08:17:20 AM |
|
На самом деле если уж брутфорсить, то несравнимо проще искать не сиды, а приватники богатых топ10 адресов с засвеченными публичными ключами. Там "всего-то" 2 128 (примерно 10 38) вариантов .
|
|
|
|
@boutiuqe
|
|
October 18, 2018, 08:30:34 AM |
|
На днях наткнулся где-то в сети на статистику украденной крипты в этом году и просто ужаснулся… Почти на лярд долларов наворовали хакеры в этом году у людей. Для заметки, в прошлом году было около 400 миллионов… Да, это жестко… Люди вообще неграмотно охраняют свои средства в сети и из-за этого вот такая ужасная статистика. Поэтому реально советую людям, которые часто гуляют по просторам интернета, закупиться данным кошельком и не попасть в число потерпевших.
|
|
|
|
Sancho18
Sr. Member
Offline
Activity: 728
Merit: 368
Sancho
|
|
October 18, 2018, 08:33:14 AM |
|
На самом деле если уж брутфорсить, то несравнимо проще искать не сиды, а приватники богатых топ10 адресов с засвеченными публичными ключами. Там "всего-то" 2 128 (примерно 10 38) вариантов . Когда эфир перейдёт на PoS и высвободятся большие мощности майнеров, можно запилить децентрализованное приложение для распределенного суперкомпьютера типа sonm или iexec и побрутфорсить холодный кошелёк какой-нибудь топовой биржи. Конечно не ради наживы, а для демонстрации превосходства децентрализованного решения над централизованным. Если брутфорс окажется удачным, можно смартконтрактом аирдропнуть награбленное всем воркерам пропорционально их вкладу. Как думаете, юридически это противозаконно или в крипте у кого приватный ключ тот и владелец?
|
|
|
|
Ignacia
|
|
October 18, 2018, 08:45:01 AM |
|
Подобрать сид, можно считать, невозможно. Значит его безопасность практически абсолютна, а значит ее усиливать смысла нет.
Это и есть слабое место в исходной предпосылке. Подобрать сид-фразу конкретного кошелька допустим действительно технически невозможно. Однако, если вы начнёте целенаправленно восстанавливать рандомные сид-фразы, теоретически вы можете однажды попасть в чей-то аккаунт с ненулевым балансом. Слов для сид-фраз используется не так уж много, их список есть в открытом доступе. Полагаете подобный брутфорс абсолютно невозможен? Он может быть нецелесообразным, но объясните мне почему вероятность попасть таким образом в чей-то аккаунт равна нулю. О-очень теоретически. Конечно, нельзя сказать, что брутфорс "абсолютно невозможен", но эта вероятность настолько ничтожна, что ей можно пренебречь. Давайте посмотрим на цифры. Сид из 24-х слов дает 2 256 вариантов, это примерно 10 77. Допустим, что есть 10 млрд.(это с большим запасом) "непустых" сидов. Следовательно, вероятность при брутфорсе что-то поймать равна 1/10 67. Представьте себе маленькую песчинку 0.1 мм. В одном кубическом миллиметре их 1000, в куб. метре - 10 12, в кубическом километре - 10 21. Чтобы засыпать Землю песком, чтобы получился шар, который достанет до Солнца, нужно примерно 10 47 таких песчинок, чтобы получился шар, который достанет до альфа Центавра, нужно 10 64 песчинок. Чтобы получить 10 67, понадобится 1000 таких песчаных шаров. Представили ? По прежнему считаете, что слов не так уж много? Вы правы, вероятность действительно ничтожна, но пренебрегать ею или нет - зависит от персональных настроек вашей паранойи. Вероятность катастрофы на Чернобыльской АЭС тоже была невелика, однако произошла цепь маловероятных совпадений и она случилась. Если исходить из предположения, что есть 10млрд инициированных сидов, то вероятность случайно или злонамеренно восстановить из сида любой ненулевой аккаунт в 10 млрд больше, чем попасть в какой-то конкретный аккаунт. Десять миллиардов это конечно изрядно поменьше, чем 10 67, но это по-прежнему десять миллиардов. и все эти расчеты про безопасность сводятся к нулю, если сам пользователь пренебрегает элементарными правилами безопасности в сети, либо сам куда-то копирует свои пароли, или держит их в ненадежном месте
|
|
|
|
Alex1990io
Copper Member
Jr. Member
Offline
Activity: 711
Merit: 1
|
|
October 18, 2018, 08:57:53 AM |
|
На днях наткнулся где-то в сети на статистику украденной крипты в этом году и просто ужаснулся… Почти на лярд долларов наворовали хакеры в этом году у людей. Для заметки, в прошлом году было около 400 миллионов… Да, это жестко… Люди вообще неграмотно охраняют свои средства в сети и из-за этого вот такая ужасная статистика. Поэтому реально советую людям, которые часто гуляют по просторам интернета, закупиться данным кошельком и не попасть в число потерпевших.
Еще не адаптировались, после банков где для того чтобы деньги не украли работают целые отряды специалистов.А тут люди на компьютерах хранят свои приватники и думают, что уж у них-то точно не утащат, а не не тут-то было.Поэтому только аппаратники для безопасного хранения.
|
[ waves ◆ ] Join The Waves Community [ waves ◆ ] ◆ Smart Contract ◆ No Gas ◆ High Speed
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
October 18, 2018, 09:13:59 AM |
|
Когда эфир перейдёт на PoS и высвободятся большие мощности майнеров, можно запилить децентрализованное приложение для распределенного суперкомпьютера типа sonm или iexec и побрутфорсить холодный кошелёк какой-нибудь топовой биржи. Конечно не ради наживы, а для демонстрации превосходства децентрализованного решения над централизованным. Если брутфорс окажется удачным, можно смартконтрактом аирдропнуть награбленное всем воркерам пропорционально их вкладу. Как думаете, юридически это противозаконно или в крипте у кого приватный ключ тот и владелец? Эт я не знаю ). Но воровать по-любому плохо. Есть богатые потерянные адреса, например 12ib7dApVFvg82TXKycWBNpN8kFyiAN1dr, а возвращение в оборот потерянных монет можно считать полезной процедурой ).
|
|
|
|
chimk
|
|
October 18, 2018, 09:17:19 AM |
|
Когда эфир перейдёт на PoS и высвободятся большие мощности майнеров, можно запилить децентрализованное приложение для распределенного суперкомпьютера типа sonm или iexec и побрутфорсить холодный кошелёк какой-нибудь топовой биржи. Конечно не ради наживы, а для демонстрации превосходства децентрализованного решения над централизованным. Если брутфорс окажется удачным, можно смартконтрактом аирдропнуть награбленное всем воркерам пропорционально их вкладу. Как думаете, юридически это противозаконно или в крипте у кого приватный ключ тот и владелец? Эт я не знаю ). Но воровать по-любому плохо. Есть богатые потерянные адреса, например 12ib7dApVFvg82TXKycWBNpN8kFyiAN1dr, а возвращение в оборот потерянных монет можно считать полезной процедурой ). почему он считается потерянным? на нем свежие входящие транзакции есть)
|
|
|
|
Masha Me1
Member
Offline
Activity: 182
Merit: 10
|
|
October 18, 2018, 09:18:20 AM |
|
Вообще то здесь спорный вопрос насколько нужная это вещь.Во первых цена может подойти не всем,во вторых что-будет если этот леджер выйдет из строя как обычные флешки выходят?ну одна есть здесь только привилегия это безопасность Ваших крипто-финансов.
Я тоже так думаю. Что безусловно безопасность есть и она не мало важная, но будет ли эта флешка всем нужна и для всех актуальна? Не уверена.
|
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
October 18, 2018, 09:22:10 AM |
|
Когда эфир перейдёт на PoS и высвободятся большие мощности майнеров, можно запилить децентрализованное приложение для распределенного суперкомпьютера типа sonm или iexec и побрутфорсить холодный кошелёк какой-нибудь топовой биржи. Конечно не ради наживы, а для демонстрации превосходства децентрализованного решения над централизованным. Если брутфорс окажется удачным, можно смартконтрактом аирдропнуть награбленное всем воркерам пропорционально их вкладу. Как думаете, юридически это противозаконно или в крипте у кого приватный ключ тот и владелец? Эт я не знаю ). Но воровать по-любому плохо. Есть богатые потерянные адреса, например 12ib7dApVFvg82TXKycWBNpN8kFyiAN1dr, а возвращение в оборот потерянных монет можно считать полезной процедурой ). почему он считается потерянным? на нем свежие входящие транзакции есть) Да, щедрые поступления ).
|
|
|
|
swap
Member
Offline
Activity: 364
Merit: 14
|
|
October 18, 2018, 01:23:54 PM |
|
Больше всего интересует именно возможность бэкдора, встроенного самим производителем кошелька. Кто то копал этот вопрос, снифал исходящий трафик при обновлении прошивки леджера и при отправке крипты?
|
|
|
|
afterdark
|
|
October 18, 2018, 01:29:00 PM |
|
Сид, он же приватный ключ хранится внутри леджера. Леджер - это и есть защищенное хранилище для приватников, которые никогда не покидают леджер. Странно, что об этом не знают.
Не думаю, что он хранится только внутри леджера. Если бы это было так, то с потерей/выходом из строя устройства, вы бы лишились всех своих активов. Но нет, покупай новый леджер - вводи сид и все будет ок. В связи с этим можно предположить, что где-то таки эти сиды хранятся. Думаю, что вы с пин-кодом путаете..
|
|
|
|
|