Леджер - аппаратный кошелек для хранения к

[igor72]

иными словами при скомпроментированном проприетарном MCU "открытая" прошивка не является панацеей.

Да, в этом есть резон. Но мне это представляется настолько труднореализуемым в ширпотребном микроконтроллере, что, как говорится, пока не увижу - не поверю ).

Давайте сначала закончим с Сид bip-32. Вы признаете что были не правы?

Давайте. С удовольствием признаю, если укажете, в чем я неправ.

Я же выше уже написал, что сид bip 32 изменится. После ввода парольной фразы, что вам еще не понятно.

А я разве спорил с этим? Мнемоническая фраза вместе с парольной фразой прогоняются через pbkdf2-функцию, на выходе которой получается бинарный сид, из которого получается корневой мастер-ключ итд. Если бэкдор будет передавать этот сид... Не, давайте для простоты скажем по-другому: если бэкдор будет передавать приватный мастер-ключ через транзакции, какая бэкдору разница, как этот ключ был рассчитан? Ну поменяли мы пассфразу, изменился мастер-ключ, и что? Ничего - передается новый ключ.
 

Доступа у кошелька к Ledger Live больше не будет. Что еще не понятно?

Непонятно, при чем тут Ledger Live? Нет его уже давно, забыли. А уязвимость осталась.


update
Вы дополнили свое сообщение, отвечаю на дополненное.

И вы ведь выше сами признали:

Я вас понял, и ваш метод, конечно, рабочий против каких-то действий со стороны Ledger Live.

Я это и изначально признавал, тут не о чем спорить. Просто отметил, что ваша метода - не панацея.

Но затем чтобы как то оправдаться

Оправдаться за что? Покажите, где я сглупил?

, привели пример с крайне редким бэкдором, который к данному случаю не имеет отношения, так как первоначальный вопрос был не в этом а именно с угоном bip-32

Я именно этот бэкдор и имел в виду в первой же реплике. Начинаю сомневаться, то ли вы понимаете под BIP32?

Могу вам сказать что Леджер может угнать все что угодно во время обновлений или установки новых приложений. А вот реализовывать такие редкие бэкдоры, которые имеет смысл реализовывать в кошельках с воздушным зазором у них необходимости нет. Да и энергонезависимой памяти в их кошельках крайне мало. Куда проще внедрить фэйковый генератор случайных чисел

Возможно, что во время установки обновлений это сделать проще, не знаю. Но написать такой "редкий бэкдор" им тоже никакого труда не составило бы, и памяти для этого много не надо. А фейковый ГСЧ легко обходится импортом внешней сид-фразы, либо пассфразой.

[1714723657]

1714723657

[tenant48]

^

Не, давайте для простоты скажем по-другому: если бэкдор будет передавать приватный мастер-ключ через транзакции, какая бэкдору разница.

Вы речь завели не про приватный мастер ключ, а конкретно про bip 32Сид.
Через ваш бэкдор, который я уверен что вы мало себе представляете как именно он работает и как правильно реализовать алгоритм его работы,можно побайтово перегнать все что угодно, но вы про это не писали  
Из вашей логики практически все аппаратные кошельки уязвимы и моя инструкция сдесь не причем.
Если вам нравится, используйте и дальше свой мультисиг, я ничего не имею против. И давно дал вам мерит за пост про мультисиг

[igor72]

^

Не, давайте для простоты скажем по-другому: если бэкдор будет передавать приватный мастер-ключ через транзакции, какая бэкдору разница.

Вы речь завели не про приватный мастер ключ, а конкретно про bip 32Сид.

Тут есть принципиальная разница? Корневой мастер-ключ - это hmac512 bip32-сида.

Через ваш бэкдор, который я уверен что вы мало себе представляете как именно он работает и как правильно реализовать алгоритм его работы.

Это неважно, как я себе представляю.

Можно побайтово перегнать все что угодно включая сид и парольную фразу, но вы про это не писали  

Да, можно, что угодно.

Из вашей логики практически все аппаратные кошельки уязвимы и моя инструкция сдесь не причем.

Верно.

Если вам нравится, используйте и дальше свой мультисиг, я ничего не имею против. И давно дал вам мерит за пост про мультисиг

Cпасибо большое!

[tenant48]

Это неважно, как я себе представляю.

Так вот с этого надо и начинать.

Как побайтово передавать Сид через родное приложение мне примерно понятно.
А вот чтобы передавать тоже самое через стороннее приложение, которым в нашем случае является Электрум, прийдется каким то образом впихивать в туже транзакцию вместе с полезной информацией еще и идентификаторы:Леджера, клиета, порядковый номер байтов и еще и сделать это так, чтобы все это не выглядело подозрительным для других. Лично я себе это плохо представляю.
Учитывая что у кошелька Леджер нано Х всего 2048Кб (у других моделей еще меньше), то запихнуть туда такой сложный алгоритм, чтобы он не сильно выделялся на фоне самой прошивки и приложений думаю врядли получится, даже если писать его на ассемблере.

[igor72]

Это неважно, как я себе представляю.

Так вот с этого надо и начинать.

Не знаю зачем, но раз надо, то давайте начнем.

Как побайтово передавать Сид через родное приложение мне примерно понятно.
А вот чтобы передавать тоже самое через стороннее приложение, которым в нашем случае является Электрум, прийдется каким то образом впихивать в туже транзакцию вместе с полезной информацией еще и идентификаторы:Леджера, клиета, порядковый номер байтов и еще и сделать это так, чтобы все это не выглядело подозрительным для других. Лично я себе это плохо представляю.

Я не программист, представляю себе это так. Если кто-то обоснованно раскритикует, буду только рад.
Проще описать алгоритм передачи через eth-транзакцию, там обычно используется только один адрес, и есть порядковый номер транзакции, который будет очень кстати как счетчик отправленных байтов.
Значение r (r - это, если упрощенно, результат ecdsa функции, примененной к произвольному числу - нонсу) в подписи первой транзакции с адреса подбирается перебором нонса таким образом, чтобы какой-то байт (допустим, десятый) этого r соответствовал первому байту сида. Во второй транзакции с данного адреса передается второй байт и так далее. Для маскировки следует передавать не непосредственно байт сида, а, к примеру, xor-ить его с хешем переменной - никто тогда не сможет уличить в бэкдоре.

Учитывая что у кошелька Леджер нано Х всего 2048Кб (у других моделей еще меньше), то запихнуть туда такой сложный алгоритм, чтобы он не сильно выделялся на фоне самой прошивки и приложений думаю врядли получится, даже если писать его на ассемблере.

В 90-х, помню, на ассемблере писались шикарные демки по 4 кБ и меньше. Не думаю, что это проблема, алгоритм тут совсем несложный.

[satscraper]

Я не программист,

Можете менять профессию.

Вот рабочий алгоритм. По-моему очень близко к предложенному вами.  

[tenant48]

Я не программист, представляю себе это так. Если кто-то обоснованно раскритикует, буду только рад.
Проще описать алгоритм передачи через eth-транзакцию, там обычно используется только один адрес, и есть порядковый номер транзакции, который будет очень кстати как счетчик отправленных байтов.
Значение r (r - это, если упрощенно, результат ecdsa функции, примененной к произвольному числу - нонсу) в подписи первой транзакции с адреса подбирается перебором нонса таким образом, чтобы какой-то байт (допустим, десятый) этого r соответствовал первому байту сида. Во второй транзакции с данного адреса передается второй байт и так далее. Для маскировки следует передавать не непосредственно байт сида, а, к примеру, xor-ить его с хешем переменной - никто тогда не сможет уличить в бэкдоре.

У нас речь шла о блокчейне биткоина и подключении Леджера к Электрум, вот исходя из этого и объясняйте, а не перескакивайте на новую тему с Эфиром. То что такая атака возможна на родном ПО (где все транзакции контролируются серверами Леджер), без необходимости передачи идентификаторов мне и так понятна и я с этим не спорил.
Учитывая, что многие Эфиром вообще не пользуются, а холдят биткоин.
Да и еще раскажите как вы собираетесь вытягивать побайтово сид у людей, которые не продают а только докупают биткоин.

[igor72]

У нас речь шла о блокчейне биткоина и подключении Леджера к Электрум, вот исходя из этого и объясняйте, а не перескакивайте на новую тему с Эфиром.

Я привел пример с эфиром, чтобы не усложнять описание. В битке всё, конечно, сложнее, но тоже возможно, хотя реже. Да и в эфире не всегда получится (у меня, например, немного эфира на кошельке лежит уже 5+ лет, а транзакций сделано всего около 3-х десятков - мало, если по байту вытягивать).
Алгоритм по битку почитайте в статье по ссылке в сообщении satscraper, не вижу смысла его здесь описывать.

То что такая атака возможна на родном ПО (где все транзакции контролируются серверами Леджер), без необходимости передачи идентификаторов мне и так понятна и я с этим не спорил.

Про родное ПО я вообще ничего не говорю, говорю только про бэкдор в прошивке, не требующий какого-то дополнительного ПО на компе/телефоне жертвы.

Учитывая, что многие Эфиром вообще не пользуются, а холдят биткоин.

Голословное утверждение. Могу так же голословно ответить, что многие пользуются эфиром и прочими evm-блокчейнами гораздо больше, чем битком.

Да и еще раскажите как вы собирать вытягивать побайтово сид у людей, которые не продают а только докупают биткоин.

Никак. Я и не говорил, что 100% кошельков могут быть таким образом обчищены.

[tenant48]

У нас речь шла о блокчейне биткоина и подключении Леджера к Электрум, вот исходя из этого и объясняйте, а не перескакивайте на новую тему с Эфиром.

Я привел пример с эфиром, чтобы не усложнять описание. В битке всё, конечно, сложнее, но тоже возможно, хотя реже. Да и в эфире не всегда получится (у меня, например, немного эфира на кошельке лежит уже 5+ лет, а транзакций сделано всего около 3-х десятков - мало, если по байту вытягивать).
Алгоритм по битку почитайте в статье по ссылке в сообщении satscraper, не вижу смысла его здесь описывать.

То что такая атака возможна на родном ПО (где все транзакции контролируются серверами Леджер), без необходимости передачи идентификаторов мне и так понятна и я с этим не спорил.

Про родное ПО я вообще ничего не говорю, говорю только про бэкдор в прошивке, не требующий какого-то дополнительного ПО на компе/телефоне жертвы.

Учитывая, что многие Эфиром вообще не пользуются, а холдят биткоин.

Голословное утверждение. Могу так же голословно ответить, что многие пользуются эфиром и прочими evm-блокчейнами гораздо больше, чем битком.

Да и еще раскажите как вы собирать вытягивать побайтово сид у людей, которые не продают а только докупают биткоин.

Никак. Я и не говорил, что 100% кошельков могут быть таким образом обчищены.

Вы так и не ответили на главный вопрос, куда будете засовывать идентификаторы при передаче каждого байта, которые необходимы для определения к какому конкретно пользователю принадлежит данный байт, в случае использования Леджер совместно с Электрум?
Для справки: учитывая, что у Леджер более миллиона клиентов, то только сам идентификатор будет иметь размер минимум 2.5 байта.

[igor72]

Вы так и не ответили на главный вопрос, куда будете засовывать идентификаторы при передаче каждого байта, которые необходимы для определения к какому конкретно пользователю принадлежит данный байт, в случае использования Леджер совместно с Электрум?

Это главный вопрос, по-вашему? По-моему, главный вопрос следующий - существует ли возможность у разработчика закрытой прошивки кошелька незаметно воровать ключи пользователей без вспомогательного софта на компе жертвы? Я считаю, что да, существует. У всех пользователей можно украсть ключи таким способом? Нет, не у всех. Могут ли пострадать исключительно пользователи биткоина? Могут при определенных условиях: либо транзакции должны быть взаимосвязаны (что не такая уж редкость, согласитесь), либо пользователь с электрумом будет пользоваться чужими серверами, а не своим (а среди общедоступных серверов при этом будет пару десятков нод злоумышленника, что несложно организовать).
На ваш "главный вопрос" мой ответ такой: идентифицировать каждого пользователя, наверное, невозможно, можно только поставить метку, что данная транзакция с высокой вероятностью отправлена с леджера, что тоже неплохо. Но я - дилетант. А профессионал, может быть, найдет более эффективный способ сузить область поиска.

А теперь вы мне ответьте на вопрос. На ваш метод обезопаситься от потенциальных козней леджера я написал буквально следующее: "Теоретически в закрытой прошивке возможен бэкдор, угоняющий BIP32-сид (не путать с BIP39 сид-фразой), в этом случае наличие парольной фразы не спасет. Тут только мультисиг обезопасит." Вы по-прежнему считаете, что я чушь написал? Вы по-прежнему считаете, что ваш способ на 100% всем подойдет?

[BVeyron]

     А профессионал, может быть, найдет более эффективный способ сузить область поиска.

А теперь вы мне ответьте на вопрос. На ваш метод обезопаситься от потенциальных козней леджера я написал буквально следующее: "Теоретически в закрытой прошивке возможен бэкдор, угоняющий BIP32-сид (не путать с BIP39 сид-фразой), в этом случае наличие парольной фразы не спасет. Тут только мультисиг обезопасит." Вы по-прежнему считаете, что я чушь написал? Вы по-прежнему считаете, что ваш способ на 100% всем подойдет?

Вот 20 постов прочитал вашего разговора о бип 32/39 и мастерключах.  
И нихрена не понял. Вы ведь не забывайте, что раздел локала называется "новички"
Можно может как то попроще.

Вот допустим есть у меня старый леджер ещё со шнурком,  лет 6 ему наверное. Так эта новая фича от девов леджера  что неужели сопрет мою сид которая ещё с тех давних пор никогда никуда мною не вводилась.
И можно ли юзать их ledger live, или не стоит. ?

Или может напрасно такой шорох подняли. Хотя наверное и не напрасно?, я так и не понял.

[tenant48]

Тут только мультисиг обезопасит." Вы по-прежнему считаете, что я чушь написал? Вы по-прежнему считаете, что ваш способ на 100% всем подойдет?

Я нигде не писал что мультисиг хуже. Только это еще более замороченный способ, и уж тем более на 100% не подойдет здесь всем.

[igor72]

Вот допустим есть у меня старый леджер ещё со шнурком,  лет 6 ему наверное. Так эта новая фича от девов леджера  что неужели сопрет мою сид которая ещё с тех давних пор никогда никуда мною не вводилась.

Теоретически леджеровцы могут спереть сид и без новой фичи. Будут ли они это делать? Сильно сомневаюсь. Но могут, и это для меня, например, неприемлемо.

И можно ли юзать их ledger live, или не стоит. ?

Я считаю, что вопрос должен ставиться шире: можно ли использовать этот аппаратник вообще в одноподписных кошельках? Зависит от того, готовы ли вы принять какой-либо риск потери средств с леджера или нет.

[BVeyron]

Тут только мультисиг обезопасит." Вы по-прежнему считаете, что я чушь написал? Вы по-прежнему считаете, что ваш способ на 100% всем подойдет?

Я нигде не писал что мультисиг хуже. Только это еще более замороченный способ, и уж тем более на 100% не подойдет здесь всем.

Я вообще считаю мультисиг хренью особо не нужной по жизни. И конечно это дурацкий способ когда перессорятся например пара подписантов и все вообще останавливается, суды там и прочая херня.
В таких как раз вопросах, как платить или не платить нужна исключительно автократия. Тогда только все чётко работает.

Вот допустим есть у меня старый леджер ещё со шнурком,  лет 6 ему наверное. Так эта новая фича от девов леджера  что неужели сопрет мою сид которая ещё с тех давних пор никогда никуда мною не вводилась.

Теоретически леджеровцы могут спереть сид и без новой фичи. Будут ли они это делать? Сильно сомневаюсь. Но могут, и это для меня, например, неприемлемо.

Так это теоретически значит что этот сид где-то на серверах леджера давно уже  крутится.
Это что, разве так?

[igor72]

Я вообще считаю мультисиг хренью особо не нужной по жизни. И конечно это дурацкий способ когда перессорятся например пара подписантов и все вообще останавливается, суды там и прочая херня.
В таких как раз вопросах, как платить или не платить нужна исключительно автократия. Тогда только все чётко работает.

Не буду спорить, хотя не согласен. Но здесь речь шла о единоличном владении мультисиг-кошельком, а не о кооперативном.

[BVeyron]

Я вообще считаю мультисиг хренью особо не нужной по жизни. И конечно это дурацкий способ когда перессорятся например пара подписантов и все вообще останавливается, суды там и прочая херня.
В таких как раз вопросах, как платить или не платить нужна исключительно автократия. Тогда только все чётко работает.

Не буду спорить, хотя не согласен. Но здесь речь шла о единоличном владении мультисиг-кошельком, а не о кооперативном.

А, ну я не понял, если так, то конечно нормально. Если это просто повышенный уровень безопасности типа как 2 FA,  только конечно без участия всяких левых гуглов   

[Polkat]

Я считаю, что вопрос должен ставиться шире: можно ли использовать этот аппаратник вообще в одноподписных кошельках? Зависит от того, готовы ли вы принять какой-либо риск потери средств с леджера или нет.

Давайте поставим вопрос шире. Прочитав всю вашу переписку с tenant48, я пришел к выводу, что чисто теоретически побайтово можно вывести Seed в течении примерно 64 транзакций через блокчейн биткоина, но смысл это будет делать только через приложение Ledger Live, так как выводя эти байты через стороннее приложение для компании Леджер это будет просто бессвязный набор байт, которые непонятно кому принадлежат.
Но да бог с ним, но даже если предположить, что Леджеру удастся через 64 транзакции добраться до вашего Seed (что вам кстати так и не удалось объяснить, как именно это сделать не через родное, а стороннее приложение), то можно после 63 транзакций (что очень не мало, так как транзакцией следует считать только отправку а не получении монет) просто перевести все монеты на новую парольную фразу, тем самым солидно сэкономив на комиссиях, так как в мультиподписных транзакциях они значительно больше.

Кроме того, не следует считать ваш способ использования мультисиг 100% панацеей в безопасности, так как вы используете в нем тот же Леджер, который сами считаете скомпрометированным и слабо защищенный Электрум.

[igor72]

Давайте поставим вопрос шире. Прочитав всю вашу переписку с tenant48, я пришел к выводу, что чисто теоретически побайтово можно вывести Seed в течении примерно 64 транзакций через блокчейн биткоина,

Да, если выводить по одному байту. Я не знаю производительности процессора леджера, нужно провести опыты - возможно, и на один байт ее не хватит без заметной задержки, а может хватит и на два-три.

но смысл это будет делать только через приложение Ledger Live

Не уверен, что через опенсорс приложение можно незаметно вывести, поэтому такую схему не рассматриваю. Если можно, то тогда вообще ахтунг.

так как выводя эти байты через стороннее приложение для компании Леджер это будет просто бессвязный набор байт, которые непонятно кому принадлежат.

Я уже высказывался на эту тему раньше, перечитайте.

Но да бог с ним, но даже если предположить, что Леджеру удастся через 64 транзакции добраться до вашего Seed (что вам кстати так и не удалось объяснить, как именно это сделать не через родное, а стороннее приложение),

Не удалось? По-моему, мой оппонент (и не только) меня понял. Что именно вам непонятно?

то можно после 63 транзакций (что очень не мало, так как транзакцией следует считать только отправку а не получении монет) просто перевести все монеты на новую парольную фразу

Можно. Но вы не знаете точно, по байту там передается или по два, придется почаще это делать. И в одной транзакции может быть несколько входов (а у некоторых и десятки), так что транзакций часто потребуется меньше.

, тем самым солидно сэкономив на комиссиях, так как в мультиподписных транзакциях они значительно больше.

На 39 вбайт типичная 2-из-2 транзакция больше простой. Может, это и значительно, если мемпул сильно забит.

Кроме того, не следует считать ваш способ использования мультисиг 100% панацеей в безопасности, так как вы используете в нем тот же Леджер, который сами считаете скомпрометированным и слабо защищенный Электрум.

Не следует. Но, чтобы эта защита сломалась, должны совпасть несколько маловероятных событий, делая общую вероятность взлома на порядки меньше. Нужна еще выше надежность - добавьте третьего подписанта: jade, trezor, keystone, bitbox02, coldcard, passport.

[Polkat]

Вам выше на английском написали, что потребуется около 64 транзакций чтобы передать ключ и вы даже поставили за этот пост мериты, а теперь начинаете по этому поводу спорить, притянув  зачем-то количество входов, хотя выше с ваших же слов утверждаете что не программист и дилетант.
Кроме того вы сами писали, что используете в мультисиг только Леджер и Электрум, а теперь уже советуете добавлять третьего подписанта. В общем не буду вам мешать, «паранойте» дальше  

[satscraper]

И в одной транзакции может быть несколько входов (а у некоторых и десятки), так что транзакций часто потребуется меньше.[

Совершенно верно, учитывая что каждый вход должен быть подписан и каждая подпись требует свой nonce.

Кстати необходимость подписания каждого входа это причина почему Леджер "тормозит" при отправке транзакций с многочисленными входами, а иногда и заканчивает ошибкой когда их слишком много.

Но, чтобы эта защита сломалась, должны совпасть несколько маловероятных событий, делая общую вероятность взлома на порядки меньше. Нужна еще выше надежность - добавьте третьего подписанта: jade, trezor, keystone, bitbox02, coldcard, passport.

Так оно и есть, можно добавлять сколько угодно подписантов (для новичков - не пугайтесь этого слова, все они это ваши кошельки от разных вендоров/разрабов).

При этом если вероятность "взлома " одного подписанта р_i то вероятность "взлома " цепочки  из n подписантов  Р=  ∏_i=1...n(р_i) - вероятности перемножаются!  что множит эту вероятность на ноль, если хотя бы один из подписантов невзламываемый.