Bitcoin Forum
November 19, 2017, 11:11:56 AM *
News: Latest stable version of Bitcoin Core: 0.15.1  [Torrent].
 
   Home   Help Search Donate Login Register  
Pages: « 1 2 [3]  All
  Print  
Author Topic: Consulting; sécurisation wallet bitcoin (Paris) 1BTC  (Read 4712 times)
kcud_dab
Moderator
Legendary
*
Offline Offline

Activity: 1596


Bitcoin enthusiast!


View Profile WWW
May 27, 2014, 01:06:34 PM
 #41

dd if=/dev/urandom bs=32 count=1 | sha256sum -

Jusqu'au jour ou on trouve un bug dans /dev/urandom (ou que tu te fais infecter ton PC par un malware qui comprommet la génération de nombre aléatoire) , cf le bug de génération de nombre aléatoire sur Android : http://www.coindesk.com/google-patches-android-flaw-that-led-to-bitcoin-heist/

(bon après j'ai utilisé le générateur de nombre aléatoire de mon raspi pour me faire des p'tit paper wallet, mais dans la théorie les dés sont mieux !)

1511089916
Hero Member
*
Offline Offline

Posts: 1511089916

View Profile Personal Message (Offline)

Ignore
1511089916
Reply with quote  #2

1511089916
Report to moderator
Join ICO Now Coinlancer is Disrupting the Freelance marketplace!
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1511089916
Hero Member
*
Offline Offline

Posts: 1511089916

View Profile Personal Message (Offline)

Ignore
1511089916
Reply with quote  #2

1511089916
Report to moderator
kcud_dab
Moderator
Legendary
*
Offline Offline

Activity: 1596


Bitcoin enthusiast!


View Profile WWW
May 27, 2014, 01:07:51 PM
 #42


il faut des moyens et de la patience

C'est impossible hors labo. Tout est noyé dans le bruit electromagnetique.

Ça a l'air d'un labo ça pour toi ?
-> http://mastoris.wordpress.com/2013/01/13/electromagnetic-keylogger/
D'ailleurs faudrait que j'essaie un jour :-)

linelec
Full Member
***
Offline Offline

Activity: 210


View Profile WWW
May 27, 2014, 04:51:58 PM
 #43


Ça a l'air d'un labo ça pour toi ?
-> http://mastoris.wordpress.com/2013/01/13/electromagnetic-keylogger/
D'ailleurs faudrait que j'essaie un jour :-)

Un local dans une zone industrielle, un 15 aout  Grin

Sinon ca serait comme ecouter un chuchotement lors d'un concert de Motorhead


linelec
Full Member
***
Offline Offline

Activity: 210


View Profile WWW
May 27, 2014, 06:42:35 PM
 #44

dd if=/dev/urandom bs=32 count=1 | sha256sum -

Jusqu'au jour ou on trouve un bug dans /dev/urandom (ou que tu te fais infecter ton PC par un malware qui comprommet la génération de nombre aléatoire)


Mais il y a 1000 & 1 sources !

date +"%H%M%S%3N%N" | sha512sum

Et plein de trucs dans /var/log /dev a hacher.

Pour les paranos il suffit de faire des xor, toggle, swap, set, ror, shift, etc... entres les divers resultats.



Alors sortir des dés....



 Grin
kcud_dab
Moderator
Legendary
*
Offline Offline

Activity: 1596


Bitcoin enthusiast!


View Profile WWW
May 27, 2014, 06:57:03 PM
 #45

Bien pour toi si tu penses que tu peux faire totalement confiance à un ordinateur... en espérant que tu ne te fasses jamais volé tes bitcoins :-)
On a vu recement les histoires de la NSA qui intercepte les colis pour y placer des mouchard et/ou modifier des composants, au moins avec une feuille et un papier je peux être assuré à 100% que ma clée privée n'est pas compromise !



Encore une fois l'idée n'est pas de devenir parano, et même si je ne pense pas que beaucoup d'entre nous ici soient des cibles pour lesquelles des gens y mettront les moyens et le temps necessaires, le but est plus de débattre des différentes techniques et dangers de ces dernières... (ainsi que d'apprendre un peu à ceux qui n'y connaissent rien).
Moi même perso je ne suis pas allé jusqu'aux dés mais me suis arrêté au raspberrypi + imprimante en offline pour générer des paper wallets.

kcud_dab
Moderator
Legendary
*
Offline Offline

Activity: 1596


Bitcoin enthusiast!


View Profile WWW
May 27, 2014, 07:03:52 PM
 #46

D'ailleurs j'ai testé une BTChip ces derniers jours
-> https://bitcointalk.org/index.php?topic=176654.0
En gros c'est une carte SIM compatible USB qui sert de wallet bitcoin, la clée privée reste sur la puce et ça permet de se protéger des keyloggers et autres spywares.
Ça s'utilise avec une extension pour Chrome / Chromium pour l'instant mais un lib en C existe et une intégration avec d'autres client bitcoins est prévue.

Une seed est générée à l'initialisation pour pouvoir regénérer la même adresse bitcoin après un reset de sa carte (3 faux pin la carte se reset) ou de récupérer son adresse sur une autre puce (pour avoir plusieurs sim qui ont la même clée par ex, par contre j'ai pas encore testé).

Bref à suivre (et à tester pour ceux que ça intéresse, le développeur aime bien avoir des retours et des gens qui testent)

linelec
Full Member
***
Offline Offline

Activity: 210


View Profile WWW
May 27, 2014, 09:25:43 PM
 #47

Bien pour toi si tu penses que tu peux faire totalement confiance à un ordinateur...

Non ! Mais si le PC est verolé l'utilisation de dés n'arange rien  Grin
linelec
Full Member
***
Offline Offline

Activity: 210


View Profile WWW
May 27, 2014, 09:30:11 PM
 #48

D'ailleurs j'ai testé une BTChip ces derniers jours
-> https://bitcointalk.org/index.php?topic=176654.0
En gros c'est une carte SIM compatible USB qui sert de wallet bitcoin, la clée privée reste sur la puce et ça permet de se protéger des keyloggers et autres spywares.
Ça s'utilise avec une extension pour Chrome / Chromium

Bref un truc sur & fiable

sardokan
Legendary
*
Offline Offline

Activity: 1400



View Profile
May 27, 2014, 09:42:58 PM
 #49

Bien pour toi si tu penses que tu peux faire totalement confiance à un ordinateur...

Non ! Mais si le PC est verolé l'utilisation de dés n'arange rien  Grin


Si tu utilise un seed tiré par des dés sur un wallet bip32 que tu utilise offline, c'est déja bien mieux

Si tu as un hardware RNG chibbré qui génere sur des plages réduites, tu n'es pas impacté (cf articles mod hardware du RNG intel par la NSA.) qui sait si cette modif n'est pas implémentée en série ?

L'intéret du dé est que tu comprends ainsi la chaine de A a Z, alors que ce n'est pas le cas avec une génération sur ordinateur.

Donc pour 2 lancés de dés, tu t'épargnes une inconnue.
kcud_dab
Moderator
Legendary
*
Offline Offline

Activity: 1596


Bitcoin enthusiast!


View Profile WWW
May 27, 2014, 09:45:10 PM
 #50

Quote
mais un lib en C existe et une intégration avec d'autres client bitcoins est prévue.
En fait il ne manque que du temps pour faire un client qui ne tourne pas dans un browser douteux, les spécs sont dispos -> http://btchip.github.io/btchip-doc/bitcoin-technical.html

(et Chromium est plus ou moins open source, donc tu peux voir ce qu'il fait.. ou il suffit de le faire sur un poste offline)

mangodream
Hero Member
*****
Offline Offline

Activity: 630



View Profile
May 29, 2014, 01:15:58 AM
 #51

Sinon, une bête clef USB stockée dans un coffre fort enfoui sous terre avec un buisson recouvrant le tout, c'est pas mal non plus  Roll Eyes

                       ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
                     ▄█████████████████████▄   ▄███████████████████████████▄
                 ▄█████████████████████████████▄
               ▄█████████████████████████████████▄
              ▄████████████████████████████████████▄
           ▄██████████████████████████████████████████▄
        ▄████████████████████████████████████████████████▄
     ▄█████████████████████▀▀▀▀▀▀▀▀▀▀▀██████████████████████▄
  ▄████████████████████▀▀▀             ▀▀▀█████████████████████▄
████████████████████▀▀                     ▀▀█████████████████████
                          ▄▄▄▄▄▄▄▄▄▄▄▄▄     
                       ███████████████████
                    █████████████████████████
                  █████████████████████████████
                 ███████████████████████████████
                ███████████           ███████████
               ██████████               ██████████
               ████████                   ████████
               ████████                   ████████



              ██████████████████████████████████████
              ██████████████████████████████████████
              ██████████████████████████████████████
              ██████████████████████████████████████
.
.



.
.The 1st Algorithmic.
.
Crypto-asset Manager
.



.
ANN         Slack          Twitter
Bounty    Reddit        Telegram

Medium  Facebook
.



ICO PRE-SALE
█████████████████████████████████████████████████████████
10 October
[/
btchip
Hero Member
*****
Offline Offline

Activity: 628

CTO, Ledger


View Profile WWW
May 29, 2014, 04:55:37 AM
 #52

D'ailleurs j'ai testé une BTChip ces derniers jours
-> https://bitcointalk.org/index.php?topic=176654.0
En gros c'est une carte SIM compatible USB qui sert de wallet bitcoin, la clée privée reste sur la puce et ça permet de se protéger des keyloggers et autres spywares.
Ça s'utilise avec une extension pour Chrome / Chromium

Bref un truc sur & fiable

hop, toi tu vas prendre pour les autres, parce que la parano c'est bien, mais correctement ajustée c'est mieux  Grin

le seul interet de Chrome içi, c'est de présenter une interface qui permet d'utiliser facilement le dongle pour la mythique Madame Michu (en supposant qu'un jour elle ait des bitcoins, on va dire que c'est la manière la plus sécurisée et simple de lui en mettre dans les mains) - le fait que Chrome espionne l'utilisateur, vire des applications du store, donne le cancer ou soit réalisé par le fils caché d'Hitler et Dieudonné (après qu'ils se soient mariés pour tous et fait 5 GPA préparées par les reptilios-illuminatis judéo-communistes depuis l'Atlantide), on s'en tape complètement, vu que toute la partie intéressante cryptographiquement parlant se passe dehors.

là on va me répondre "ben oui, mais bon, Google méchants, ils peuvent voir tout ce que j'ai comme bitcoins quand meme, et faire un index pour l'envoyer à l'encore plus méchant fisc qui va venir me cueillir à 6h du matin" ; mais on s'en tape une nouvelle fois, bitcoin n'est de toute façon pas conçu pour cacher ce qui va etre intégré à la blockchain ou la blockchain elle meme.

donc s'il vous plait, passez aux vrais arguments, genre ça vous ennuie que le dongle ne soit pas open source (en plus c'est cool, j'ai aussi des réponses pour ça  Grin)

accessoirement quand on connait un minimum Google de l'intérieur, on voit assez vite que c'est une des rares boites dans le monde où les gens en ont quelque chose à foutre de la protection des données utilisateur en interne (et ont les compétences pour les gérer correctement)  Kiss


prismicide
Newbie
*
Offline Offline

Activity: 19


View Profile
May 29, 2014, 11:35:56 AM
 #53

@kcud_dab (yeah, on est aussi fans du raspi Smiley )
@linelec (merci pour la ref à Lenny!)
@sardokan (cette obsession des dés... ça sent le rôliste...)

Même si Nicolas (btchip) s'énerve un peu et s'amuse à Troller sur google,
on est tous du même bord et évidemment l'idéal est de ne faire confiance
à personne et surtout pas à l'environnement logiciel autour du soft qui
fait office de wallet si il est proprio et pas ouvert.

Comme Nicolas le rappelait, le plugin Chrome est juste une version de
Kryptokit rapidement modifiée pour montrer l'utilisation de clefs protégées
par une carte à puce. Et comme le rappelait aussi kcud_dab, l'API est
dispo, tout développeur avec un peu de temps devant lui peut adapter
un autre wallet qui ne sera pas forcément un plugin chrome... ou même
redévelopper un soft wallet from scratch qui sait dialoguer avec l'API
du hard wallet (la carte).

Concernant une étape supplémentaire de sécurisation, vous pouvez
toujours regarder notre prochain projet (notre = équipe BTCHIP avec
d'autres fous dont moi) si n'est déjà fait :

PRISMicide for Bitcoin :
----------------------
=> https://www.youtube.com/watch?v=GiylJnkh85w  

Remarques, commentaires, ect... bienvenus ici :
----------------------------------------------
=> https://bitcointalk.org/index.php?topic=596196.0

Dans ce projet, l'environnement immédiat est sécurisé (le lecteur open
source et open hardware) et si vous souhaitez générer votre propre
seed (avec des dés ou même à pile ou face en binaire... ce qui vous
chante), vous pourrez l'importer dans la carte (si vous ne souhaitez
pas faire confiance au RNG de la carte).  L'OS de cette carte sera
open source. Le projet avance bien et on passera par une campagne
de crowdfunding via indiegogo dans les prochains jours pour ceux
qui voudront avoir les premiers samples et participer à l'accélération
du projet Smiley

Toute aide sera bienvenue !

In crypto we trust.
And nothing else.
--
Fred
sardokan
Legendary
*
Offline Offline

Activity: 1400



View Profile
May 29, 2014, 04:18:07 PM
 #54

Je ne suis pas geek, je suis elfe doré, magicien lvl6, incantatrix lvl10, archimage lvl3  Grin

Sinon, je serais intéréssé par votre campagne de crowdfunding, j'adorerais déjà avoir un prismicide  Smiley
(En espérant que vous tenniez mieux les dates que Trezor.)
Pages: « 1 2 [3]  All
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!