cryptocrys7
Member
 Offline
Activity: 109
Merit: 10
|
 |
November 19, 2018, 08:58:56 PM |
|
Мне по дизайну и функционалу больше нравится LEDGER Nano S, поэтому я выбрал бы именно его, правда цены ещё толком не знаю  |
|
|
|
|
|
|
|
|
|
|
|
|
"There should not be any signed int. If you've found a signed int
somewhere, please tell me (within the next 25 years please) and I'll
change it to unsigned int." -- Satoshi
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
|
m2017
Legendary
Offline
Activity: 1806
Merit: 1305
keep walking, Johnnie
|
|
November 23, 2018, 04:05:17 PM |
|
Мне по дизайну и функционалу больше нравится LEDGER Nano S, поэтому я выбрал бы именно его, правда цены ещё толком не знаю Мне тоже Ledger Nano S внешне больше нравится, а цены на него до 26 ноября в 2 раза ниже рыночной стоимости благодаря акции "Черная пятница". Trezor тоже не дремлет и поэтому их модель One по той же акции подешевел. В результате, что Ledger Nano S, что Trezor One, если покупать в данный период, по стоимости примерно равны. Поэтому, желающие могут приобрести подходящее их требованиям устройство. |
|
|
|
AlexDogwill
Jr. Member
Offline
Activity: 31
Merit: 77
|
Что есть у Trezor и нету у Ledger Nano S - нельзя отправить средства сразу на несколько адресов - обмен криптовалют из интерфейса кошелька - нельзя подписать транзакцию оффлайн и получить готовый код для трансляции - нельзя использовать отложенные платежи op_locktime - нельзя использовать отправку произвольного кода в блокчейн op_return - Password Manager - нельзя отобразить в удобном виде пароли, так как отсутствует какой-либо интерфейс - Password Manager - нельзя сохранить пароль. Кошелек сам генерирует пароль исходят из метки и одного из приватных ключей кошелька Что есть у Ledger и нету у Trezor - отсутствует единый интерфейс с отображение всех балансов - еще хотел бы сказать пару слов о комьюнити. На редите Trezor разработчики отвечают намного чаще, чем в Ledger. Порой мне отвечал даже Stick (один из основателей Trezor) - Trezor всегда предоставляет больше информации о той или иной функции. Например. при использовании менеджера паролей, будет написано в какой из методов шифрования файла используется. Отсюда Trezor сделали фантастический wiki - https://wiki.trezor.io- открытая баунти программа и все зафиксированные уязвимости можно найти здесь - https://trezor.io/security/В целом на вкус и цвет, но мне ближе по духу Trezor за счет большего функционала. Ledger Nano S тоже неплохой вариант, но возня с приложениями и загрузками приложений меня всегда напрягала. Что же касается разговоров про чипы и сертификаты безопасности. Я бы на это вообще не обращал внимания, так как не было зарегистрировано ни одного случая удаленного взлома Трезора. А вероятность, что вас будут пасти, украдут кошелек, потом взломают кажутся фантастикой по следующим причинам: а) вряд ли человек с такими мозгами будет красть кошельки, он скорее инвестирует себя в более доходные методы заработка. И сразу может неплохо заработать на баунти от трезора. в) перед кражей злоумышленник должен какое-то время вас пасти, мониторить ваши адреса и следить за финансовой картиной (это еще дополнительные издержки для него) б) когда у вас украдут кошелек, и предположим, что злоумышленник знает как вытащить приватные ключи ему все равно на это потребуется время. За это время вы можете обнаружить кражу и мигрировать в другой кошелек все свои средства. |
|
|
|
|
igor72
Legendary
Offline
Activity: 1834
Merit: 2013
Crypto Swap Exchange
|
Что есть у Trezor и нету у Ledger Nano S
- нельзя отправить средства сразу на несколько адресов
- обмен криптовалют из интерфейса кошелька
- нельзя подписать транзакцию оффлайн и получить готовый код для трансляции
- нельзя использовать отложенные платежи op_locktime
- нельзя использовать отправку произвольного кода в блокчейн op_return
Да, родной софт леджера пока дает лишь базовый функционал. Но если кому-то нужны перечисленные функции, то это осуществимо и с леджером в Electrum. Обмен тоже вроде обещали сделать, хотя мне, например, эта функция не нужна, так как на комиссиях в таких обменах потери заметно больше, чем на нормальной бирже (плата за удобство). Что есть у Ledger и нету у Trezor
- отсутствует единый интерфейс с отображение всех балансов
А многим это нужно? Тем более в леджере он показывает лишь примерно половину поддерживаемых монет. В целом на вкус и цвет, но мне ближе по духу Trezor за счет большего функционала. Ledger Nano S тоже неплохой вариант, но возня с приложениями и загрузками приложений меня всегда напрягала.
Да, некоторая возня с приложениями имеет место. Что касается функционала, то для меня все-таки главным критерием после безопасности является количество поддерживаемых монет. Мне нужно хранить где-то XMR, XRP, XLM и KMD, если бы не это, то даже не знаю, что бы выбрал )... |
|
|
|
imhoneer
Legendary
Offline
Activity: 2562
Merit: 1512
|
|
November 24, 2018, 05:24:07 PM |
|
Что есть у Trezor и нету у Ledger Nano S
- обмен криптовалют из интерфейса кошелька
Вижу Вы достаточно опытный пользователь. Не могли бы здесь подробней. Интересует насколько цена далека от биржевых курсов (меня интересуют самые ликвидные биткоин, лайткоин и эфир), насколько большая сама комиссия, как с ликвидностью. На сколько я помню Trezor делает такой обмен с помощью ShapeShift и Changelly. Там не слышно про всякие верификации и прочие защемления яиц  |
▄▀▀▀▀▀▀▀▀▀▀▀▀▀▄
█ █▀▀▀▀▀▀▀█ █
▄▀▀▀▀▄ ▄▀▀▀▀▄
▄▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▄
█ ▄▀▀▀▀▀▀▀▀▀ ▄▄▄▄▄ ▀▀▀▀▀▀▀▀▀▀ █
█ ▀ ▄▀ ▄ ▄ ▀▄ █
█▄▄▄ █ █▀█ █ ▄▄▄█
█ ▀▀▀▄▄▄█ █▀▀▄ █▄▄▄▀▀▀ █
█ █ █▄▄█ █ █
█ ▀▄ ▀ ▀ ▄▀ █
█ ▀▀▀▀▀ █ █
█ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀ █
▀▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀
▀▀ ▀▀
| Arbitrum Balance
| /
|
▄▄████▄▄
▄▄████████████▄▄
▄██████████ █████████▄
█▀█▄▄▄███████████ █▀█▀██████
▀▀▀ ▀████ ▀████
▀▀▀▀▀▀▀▀█▀▀▄ █ ████ ████
▄▄▄ ▀▄ ▀▀▀▀█ ███
█▄█ ▀▀▀▀▀█ █████ ███
▄▄▄▄▄▄▄▄█▄▄▄▄▄▄▄█ ▄██
▄▄▄ ▄█████ █▄█▄████
█▄█▀▀▀▀███████ ██████▀
▀████████▀▀
▀▀██▀▀
| imhoneer investment fund
| /
|
▄▄███████████████▄▄
▄█████████████████████▄
▄██████████████▀▀███████▄
████████████▀▀ ███████
█████████▀▀ ▄ ███████
██████▀▀ █ ███████
████▀ █ ███████
█████▄▄ ▄█ ███████
████████ ██▄ ███████
▀████████ ▀▄███▄▄███████▀
▀█████████████████████▀
▀▀███████████████▀▀
| Telegram-канал @imho_idea
|
|
|
|
AlexDogwill
Jr. Member
Offline
Activity: 31
Merit: 77
|
|
November 26, 2018, 05:32:11 AM |
|
Я месяц назад менял BTC на LTC и заплатил за это комиссию в 2000 сатоши. В целом это комиссия чуть выше среднего на тот момент. ShapeShift не взымает дополнительную комиссию за конвертацию, хотя у них, как я полагаю, чуть завешена сумма покупки валюты - за счет этого они и выживают). В момент когда я делал эту транзакцию это было точно выгоднее чем переводить деньги на биржу, менять и обратно на кошелек переводить. Сейчас комиссии изменились, надо проверять. Вот подробный обзор про trezor.io и обмен, тогда еще доступный в бета версии кошелька - https://youtu.be/5xItpPJHDK0 |
|
|
|
|
|
Gginger
|
|
November 29, 2018, 06:09:44 AM |
|
Поправьте меня если я не прав. При такой стоимости кошелька, его практичность заключается лишь в долгосрочном ходлировании крипты? Хотя по сути смотря за что покупать, взяв за крипту которая растет - он сам превращается в ликвидный актив.
|
|
|
|
|
AlexDogwill
Jr. Member
Offline
Activity: 31
Merit: 77
|
|
December 03, 2018, 08:03:20 AM |
|
как раз для ходлирования лучше всего подойдет бумажка и сейф. Аппаратный кошелек нужен для активных пользователей. Преимущества следующие:
1) каждая транзакция требует физического подтверждения, то есть удаленно за вас никто не подпишет транзу
2) приватные ключи скрыты (в том числе и от самого владельца аппаратного кошелька), что исключает множество атак
3) дисплей кошелька позволяет отображать детали транзакции (адрес отправки, сумму), которые можно сверять с интерфейсом на ПК и защищаться от фишинга.
вообще можно и с горячим кошельком безопасно пользоваться криптой, но необходимо быть всегда на чеку и соблюдать определенную гигиену ПК. А с аппаратным кошельком даже пьяному человеку будет сложно накосячить
|
|
|
|
|
btcleks
Jr. Member
Offline
Activity: 448
Merit: 3
|
|
December 03, 2018, 10:55:29 AM |
|
Для холдирования лучше взять пластину нержавейки и выпилять на ней фразу фосстановления каким-то дремелем. В воде не сгорит в огне не утонет, мыши не сгрызут.
|
|
|
|
|
igor72
Legendary
Offline
Activity: 1834
Merit: 2013
Crypto Swap Exchange
|
|
December 03, 2018, 11:04:22 AM |
|
Для холдирования лучше взять пластину нержавейки и выпилять на ней фразу фосстановления каким-то дремелем. В воде не сгорит в огне не утонет, мыши не сгрызут.
Да, а если нет гравера, то можно вытравить электролизом. Я экспериментировал - вполне неплохо получается. p.s. Пожалуйста, не закрепляйте в русском языке еще одно уродливое слово ("холдирование" или "ходлирование" имею в виду). Один придумал, второй-третий повторил и пошло... |
|
|
|
btcleks
Jr. Member
Offline
Activity: 448
Merit: 3
|
|
December 03, 2018, 11:24:00 AM |
|
Для холдирования лучше взять пластину нержавейки и выпилять на ней фразу фосстановления каким-то дремелем. В воде не сгорит в огне не утонет, мыши не сгрызут.
Да, а если нет гравера, то можно вытравить электролизом. Я экспериментировал - вполне неплохо получается. p.s. Пожалуйста, не закрепляйте в русском языке еще одно уродливое слово ("холдирование" или "ходлирование" имею в виду). Один придумал, второй-третий повторил и пошло... Кстати да, электролиз, и даже фотолитография на текстолитовой плате тоже хороший вариант. Но чуствителен к агресивным средам, а нержа будет долго сопротивляться. По остальному, наверное соглашусь. |
|
|
|
|
|
chimk
|
|
December 03, 2018, 03:47:48 PM |
|
если вы не житель атлантиды, можно выжигателем сид фразу, на какой нибудь деревянной мебели и кисточкой покрасить. Сначала зашифровать . всяко лучше чем ручкой на листочке
|
|
|
|
kudryashov
Jr. Member
Offline
Activity: 462
Merit: 5
|
|
December 04, 2018, 09:21:52 AM |
|
Отличные советы коллеги, я себе тоже нечто подобное воротил, но может не так креативно. На куске пластиковой вагонки несмываемым маркером и спрятал "где-надо". Только вот пожары да, не стойкое к ним.
|
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
December 27, 2018, 12:22:53 AM
Last edit: March 10, 2019, 08:06:24 PM by Dimenzino |
|
п.0http://bitstat.top/blog.php?id_n=1442Самая большая разница между Trezor и Ledger заключается в том, что у Ledger два чипа вместо одного. Первым микрочипом является STM32F042K, а вторым - ST31H320. STM32F042K очень похож на STM32F205, используемый в Trezor, за исключением того, что он имеет внутренний генератор тактовых импульсов, а не внешний. Что еще интереснее, у Ledger Nano S есть «безопасный анклав» ST31H320 высокого класса, в котором хранятся приватные ключи кошелька. ST31H320 уже широко используется в других приложениях в банковской сфере, в процессах идентификации и в платном телевидении. Более того, он соответствует стандартам безопасности EAL6+. Объединенная архитектура ST31 / STM32 имеет более низкую, но также заслуживающую доверия сертификацию EAL5+. В дополнение к безопасному хранению приватных ключей, этот «безопасный анклав» содержит идентификационный ключ конкретного устройства, который гарантирует, что ваш Ledger не является подделкой и не был скомпрометирован в процессе поставки. , делаем поиск https://yandex.ru/ ST31H320 и EAL6+ , https://google.ru/ST31H320 EAL6+, https://google.ru/ST31H320 site:https://bitcointalk.orgсайт изготовителя ST31H320 говорит что Ledger врёт и держит нас за хомячков. (-> и насчёт аппарано-программных закладок-бэкдоров веры уже нет..) + у st.com есть другие варианты EAL6+ https://google.ru/ EAL6+ _www.st.comЖаль EAL7+ нет https://google.ru/ EAL7+ _www.st.comИ сие никто не замечает! https://google.ru/ EAL6+ _bitcointalk.orgПродолжение 2019г. тутп.1https://en.wikipedia.org/wiki/Evaluation_Assurance_Levelимеем https://xakep.ru/2008/12/08/46349/EAL5-EAL7 – система проверена всеми возможными математическими методами; узкоспециализированные стандарты, основанные на критериях безопасности конкретных стран-участников. Пример достижения: Integrity-178B уровня EAL6+ — военная операционная система (использовалась в ВВС для управления автоматикой новейших истребителей, а также в космических челноках NASA) https://ru.bmstu.wiki/Integrity-178BINTEGRITY-178B в настоящее время подвергается самой строгой оценке безопасности, когда-либо предпринятой операционной системой в соответствии с Международным стандартом общих критериев оценки безопасности информационных технологий ( ISO 15408) https://miningclub.info/threads/trezor-vs-ledger.44860/trezor vs ledger Ledger+ дает приватные ключи (сид фраза), по которой ты можешь добраться до средств, даже если все сервера ледгера потухнут — закрытый исходный код, ни один пользователь до конца не знает, что внутри железки, соответственно нет уверенности в том, что девайс не сливает ключи налево или не имеет этой возможности в принципе, всё зиждется на доверии к разработчикам Trezor+ открытый исходный код, в противовес сказанному выше — создаются мультисигнатурные кошельки (по крайней мере биткоин, начинаются на "3"), это значит, что хрен ты куда чего отправишь, если произойдет коллапс с серверами трезора, ибо для подписи транзакции нужно минимум два ключа, а у тебя только один https://google.ru/ ST31H320 Saleem Rashidhttps://xakep.ru/2018/03/22/ledger-backdoor/15-летний подросток скомпрометировал защиту аппаратных кошельков Ledger22.03.2018 В своем личном блоге Рашид опубликовал подробный материал https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/ , посвященный компрометации устройств Ledger Nano S и Ledger Blue. Демонстрацию атаки можно увидеть ниже. https://www.youtube.com/watch?v=3poUPY-VpSI...Работу Рашида уже изучили известные ИБ-эксперты, которые согласились с выводами молодого исследователя. Так, профессор криптографии из Университета Джонса Хопкинса, Мэтт Грин (Matt Green), дал следующий комментарий изданию ArsTechnica: «[Разработчики] Ledger пытаются решить фундаментальную аппаратную проблему. Им нужно проверять прошивку, работающую на процессоре. Но их защищенный чип не способен увидеть код, запущенный на этом процессоре. Поэтому они вынуждены просить процессор предоставить собственный код! Но это замкнутый круг, так как данный процессор может работать с недобросовестным кодом, и следовательно, его ответам нельзя верить. Это все равно, что попросить человека, который может быть преступником, предоставить все данные о криминальном прошлом: это система, построенная на доверии к преступникам». п.2Что с загрузчиком Trezor ? закрытый или открыт ? https://coinspot.io/technology/bitcoin/budushhee-za-apparatnymi-koshelkami-s-otkrytym-ishodnym-kodom-budushhee/27 октября 2014одним из самых популярных аппаратных кошельков является Trezor, стоимостью $119, получить который можно на www.bitcointrezor.com. Исходный код открыт, и вы можете просмотреть его, чтобы убедиться, что ему можно доверять (или прочитать анализ более сведущих людей, которые сделали это). Так, опять же, в чем проблема? К сожалению, прошивка Trezor это только часть программного обеспечения, что тоже важно. Загрузчик, как обнаружили пользователи, обладает закрытым кодом (загрузчик, это просто кусок кода, который загружает и устанавливает остальную часть программного обеспечения). Загрузчик, по необходимости, имеет доступ ко всей информации в программном обеспечении, в том числе и к приватному ключу, и, так как он поставляется с закрытым исходным кодом, с ним можно делать почти все что угодно, а это большая проблема безопасности.Когда его спросили, собираются ли они исправлять это, сотрудник Trezor ответил:«Нет никаких причин, по которым бы загрузчик оставался закрытым, но мы сильно колеблемся в принятии решения по его открытию, потому что это последний кусок пазла для наших конкурентов, чтобы они могли создать полноценный клон нашего продукта». Этот мотив понятен – любая компания опасается появления дешевых подделок их продукции. Тем не мене, это тоже неправильно, просить своих пользователей доверить свои деньги коду, который не может быть просмотрен сообществом сторонников открытого кода. Все преимущества аппаратных кошельков сходят на нет, если нет возможности просмотреть программное обеспечение, работающее на них. Будущим аппаратных кошельков является либо компании, готовые идти на риск с подделками, уповая только на свою высокую репутацию перед пользователями, либо проекты с полностью открытым исходным кодом, в которых компании разрабатывают только аппаратное обеспечение, а весь соответствующий код и драйверы получают из хорошо проверенных репозиториев. Ledger более стойкий но исходники тоже открыты не полностью.. А полностью хоть ктото открывает ? https://cryptowiki.ru/mining/yiazvimosti-apparatnyh-koshelkov-2.htmlВ Trezor используется единственный микроконтроллер – стандартный STM32F205, – что создаёт большую аппаратную поверхность атаки. Это очень распространённый 32-битный процессор ARM Cortex M3. Он не считается одним из безопасных микроконтроллеров ST, и в нём не используется технология Secure Enclave. В этом микроконтроллере общего назначения генерируются и хранятся приватные ключи. По этим причинам у Trezor нет сертификата согласно общим критериям безопасности. ... у Ledger есть полноценный микроконтроллер банковского уровня с технологией Secure Enclave ST31H320, где хранятся приватные ключи кошелька. ST31H320 уже нашёл множество других применений, включая банковское дело, идентификацию и платное телевидение. Кроме того, он соответствует стандартам безопасности согласно общим критериям уровня EAL6+. поиск в форуме https://google.ru/ EAL6+ _bitcointalk.orghttps://bitnovosti.com/2017/12/07/uyazvimosti-apparatnyh-koshelkov/На DEF CON 25 была презентация, где Cryptotronix продемонстрировал, что в STM32F205 Trezor можно вызвать сбой с помощью вольтажного сбоя или сбоя часов. Это создаёт у Trezor уязвимости, позволяющие хакеру заполучить приватные ключи без необходимости знать ПИН. Есть даже блог с пошаговыми инструкциями о том, как это сделать без какого-либо специального оборудования, также обещающий в будущем опубликовать исходный код. А как насчёт Ledger? Ledger менее уязвим к подобной атаке благодаря внутренним часам, а также Secure Enclave. Если в Ledger всё предусмотрели, Secure Enclave перед подтверждением устройством сообщения потребует ПИН устройства. Благодаря этому средства не смогут быть похищены с Ledger даже в случае успешной атаки на STM32F042K. п.3отзывы из соседней ветки про Ledger https://bitcointalk.org/index.php?topic=4603149.0 - Холодное хранение битков: Armory, бумага+coinbin... все что связано с леджером подключенным к вашему компу, отправляется через код, который бегает на этом компе, и если он скомпрометирован, средства могут (если вы не внимательны) уйти не по назначению (MitM атака). Кроме того там есть механические кнопки (микрики), имеющие ограниченный ресурс. Пользоваться кошельком который в любую минуту может сломаться .... да причем в самый неподходящий момент..... для ежедневной рутинной работы .... я бы не рекомендовал. Одноразовые адреса, которые невозможно просмотреть после использования, невозможность выбора входов и адресов сдачи ....все это переносит это устройство в разряд игрушек......Ledger это выброшенные деньги для тех кто хочет серьезно работать с битком. Малофункциональное железо для чайников. У меня он есть но я его не использую. Примитив. Если мало средств на отдельный холодный комп или ноут ( а здесь нужен с минимумом ресурсов) купите Raspberry Pi. На нем легко реализуется холодный coinbin. Т е вы сможете для абсолютно безопасного хранения битков использовать метод бумага+coinbin Более тог, я вам скажу на него вы сможете поставить холодный MEW и безопасно отправлять и эфир и токены. Почитайте здесь как это делается https://bitcointalk.org/index.php?topic=4496714.msg40467328#msg40467328 п.4Инфа к размышлениям https://yandex.ru/search/ аппаратные закладки в процессорахhttps://ru.wikipedia.org/ Аппаратная_закладка , https://en.wikipedia.org/wiki/Hardware_Trojanhttps://xakep.ru/2011/12/26/58104/ - Китайские закладки: непридуманная история http://forum.ixbt.com/topic.cgi?id=8:25147 - Закладки в процессорах - Конференция iXBT.com ждём новостей тут https://www.google.ru/ STM32F205 Breaking Hardware Walletsсм https://yandex.ru/ журнал хакер pdf 2018https://habr.com/свободное железоhttps://habr.com/company/globalsign/blog/347874/ - Пришло время для открытых и свободных процессоров?Рассмотрим, например, проект OpenPOWER https://openpowerfoundation.org/ , основанный на архитектуре POWER. Это не полностью свободный проект, в отличие от некоторых других, но это хороший пример совместной разработки процессорной архитектуры. Процессоры на (относительно) открытой архитектуре уже продаются. OpenPOWER ориентируется на серверные CPU; они в ближайшее время вряд ли появятся в вашем компьютере или смартфоне. Затем, есть OpenSPARC https://www.oracle.com/technetwork/systems/opensparc/opensparc-overview-1562924.html , где Sun Microsystems полностью открыла архитектуры процессоров SPARC T1 и T2. Несколько проектов пытались использовать эти архитектуры, но пока неясно, удалось ли кому-нибудь добиться успеха. На данный момент открытой архитектуре SPARC уже десять лет, а будущее SPARC в целом под сомнением. Что-нибудь интересное может получиться, если Oracle решит открыть архитектуры современных процессоров, но ожидать этого события, затаив дыхание — тоже не лучшая идея. OpenRISC https://openrisc.io/ — полностью открытая архитектура процессора для встроенных приложений; у них полностью готов один процессор (OpenRISC 1000). Сделаны несколько ком
|
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
December 29, 2018, 02:01:35 PM
Last edit: December 29, 2018, 03:23:07 PM by Dimenzino |
|
конец цитаты п.5https://habr.com/ Intel ME https://habr.com/company/pt/blog/430132/16 ноября 2018 в 17:29 Что мы узнали о безопасности Intel ME за последние годы: 7 фактов о таинственной подсистемеВ конце 2017 года на конференции Black Hat Europe исследователи Positive Technologies Марк Ермолов и Максим Горячий рассказали об уязвимости в Intel Management Engine 11, которая открывает злоумышленникам доступ к большей части данных и процессов на устройстве. Подробное описание проблемы мы публиковали в нашем блоге на хабре https://habr.com/company/pt/blog/346974/...Уязвимость позволяет злоумышленнику с правами администратора получить несанкционированный доступ к критически важным частям прошивки, записать туда уязвимую версию Intel ME и через ее эксплуатацию тайно закрепиться на устройстве. В дальнейшем он сможет получить полный контроль над компьютером и осуществлять шпионскую деятельность, без малейшей вероятности быть обнаруженным. https://habr.com/company/pt/blog/336242/ - Выключаем Intel ME 11, используя недокументированный режим _Блог компании Positive Technologies _Хабр полностью выключить ME на современных компьютерах невозможно. Это связано прежде всего с тем, что именно эта технология отвечает за инициализацию, управление энергопотреблением и запуск основного процессора. Сложности добавляет и тот факт, что часть кода «жестко прошита» внутри микросхемы PCH, которая выполняет функции южного моста на современных материнских платах. Основным средством энтузиастов, которые «борются» с данной технологией, является удаление всего «лишнего» из образа flash-памяти при сохранении работоспособности компьютера. Но сделать это не так просто, так как, если встроенный в PCH код не найдет во flash-памяти модули ME или определит, что они повреждены, система запущена не будет. Уже несколько лет в сети развивается проект me_cleaner https://github.com/corna/me_cleaner , в рамках которого доступна специальная утилита, позволяющая удалить большую часть образа и оставить только жизненно необходимые для основной системы компоненты. Но даже если система запустилась, радоваться рано https://habr.com/company/dsec/blog/282546/ - Intel ME. Как избежать восстания машин_ Блог компании Digital Security _ Хабр можно ли выключить Intel ME?Выключение Intel ME при помощи утилит из Intel System Tool Kit ...Нельзя говорить о том, что этот способ позволяет полностью отключить Intel ME, хотя бы потому, что до момента принятия команды на отключение ME-контроллер успеет загрузиться, а значит, выполнить некоторую часть кода прошивки. Несмотря на то, что Intel ME не подаёт «признаков жизни» после этой операции, неизвестно, может ли эту подсистему заново включить какой-нибудь сигнал извне. Также неясно, насколько Intel ME выключена. ...вопрос о том, как отключить Intel ME без потери работоспособности компьютерной системы, остаётся открытым. https://overclockers.ru/hardnews/show/77088/processory-intel-soderzhat-zakladku-dlya-polucheniya-polnogo-kontrolya-nad-pkПроцессоры Intel содержат "закладку" для получения полного контроля над ПК Согласно публикации специалиста по безопасности Дэмиена Заммита (Damien Zammit), в современных чипсетах Intel существует встроенный локальный и изолированный от других блоков чип-микроконтроллер Intel Management Engine (Intel ME). Это решение со своей прошивкой, недоступной для изучения сторонними средствами и с правами полного контроля над процессором, памятью и системой в целом. Причём контроллер может работать с выключенным ПК, лишь бы питание подавалось на память. Само собой, операционная система и утилиты ни сном, ни духом не будут знать о деятельности контроллера и не будут бить тревогу во время его работы с системой и данными. Для полноты картины сообщается, что контроллер Intel ME имеет собственный встроенный сервер TCP/IP и способен обмениваться данными с удалённым сервером минуя установленные на ПК защитные барьеры. Полагаться на безопасность системы с таким контроллером можно только на честное обещание компании Intel никому-никому ничего не рассказывать. Поверим? Я бы не стал. https://ru.wikipedia.org/wiki/Intel_Management_Engine , https://en.wikipedia.org/wiki/Intel_Management_EngineПодозрения в наличии бэкдораКритики, такие как Фонд электронных рубежей (EFF) и эксперт по безопасности Damien Zammit, обвиняют ME в наличии бэкдора[56][2] . Zammit отмечает, что ME имеет полный доступ к памяти (без всякого ведома на то родительского ЦПУ); имеет полный доступ к TCP/IP стеку и может посылать и принимать пакеты независимо от операционной системы, обходя таким образом её файрволл. Компания Intel ответила, что «Intel не встраивает бэкдоров в свои продукты, и они не дают Intel контроля или доступа к вычислительной системе без явного разрешения конечного пользователя»[7] и что «Intel не разрабатывает и не будет разрабатывать бэкдоров для доступа к своим продуктам. Последние отчёты, заявляющие об обратном, основаны на неверной информации и вопиюще ложны. Intel не предпринимает попыток снизить безопасность своих технологий»[57]. РеакцииКомпания Google, по состоянию на 2017 год, пыталась избавиться от проприетарных прошивок со своих серверов и обнаружила, что технология ME является препятствием на пути к этому[14]. Реакция производителей процессоров AMDВскоре после исправления уязвимости SA-00086, производители материнских плат для процессоров AMD стали поставлять обновления BIOS, позволяющие отключить AMD Secure Technology[58], схожую с Intel ME подсистему. https://en.wikipedia.org/wiki/AMD_Platform_Security_Processor ( https://translate.google.com ) AMD Platform Security Processor (PSP), официально известный как AMD Secure Technology Согласно руководству разработчика AMD, подсистема «отвечает за создание, мониторинг и поддержку среды безопасности», и «ее функции включают управление процессом загрузки, инициализацию различных механизмов, связанных с безопасностью, и мониторинг системы на предмет любых подозрительных действий или события и реализации соответствующего ответа. " [2] Критики опасаются, что это может быть использовано в качестве бэкдора и является проблемой безопасности. [3] [4] [5] AMD отказала в просьбах открыть исходный код, который работает на PSP. [1]История безопасностиВ сентябре 2017 года исследователь безопасности Google Сфир Коэн сообщил об уязвимости AMD для подсистемы PSP, которая может позволить злоумышленнику получить доступ к паролям, сертификатам и другой конфиденциальной информацииВ марте 2018 года израильская компания по информационной безопасности, связанная с PSP, объявила о нескольких предполагаемых серьезных недостатках в процессорах AMD Zen с архитектурой AMD ( EPYC , Ryzen , Ryzen Pro и Ryzen Mobile), которые могли позволить вредоносным программам работать и получать доступ к конфиденциальным данным. Информация. [9] AMD объявила об обновлениях прошивки для устранения этих недостатков. [10] [11] Хотя были утверждения, что недостатки были опубликованы с целью манипулирования рынком, [12] [13] их обоснованность с технической точки зрения была подтверждена независимыми экспертами по безопасности, которые рассмотрели раскрытия. [14] http://www.hardwareluxx.ru/index.php/news/hardware/prozessoren/43870-amd-platform-security-processor-.htmlAMD Platform Security Processor также имеет уязвимость
09.01.2018 Похоже, что атаки Spectre и Meltdown привели к серьезным проблемам не только для Intel. Как уже говорилось раньше, к атаке Spectre потенциально уязвимы и процессоры AMD. Теперь у AMD была опубликована еще одна серьезная уязвимость безопасности, касающаяся модуля Platform Security Processor или PSP. Здесь можно провести параллели с Management Engine, с которым у Intel возникли проблемы еще осенью. Реализация AMD PSP опирается на ARM TrustZone, изолированное окружение для хранения чувствительных данных. Оно также используется для старта основных ядер (Main X86 Core Startup). На PSP работает прошивка fTPM, которая считается доверенной. fTPM обеспечивает интерфейс TPM 2.0 (Trusted Platform Module) к host-системе через Memory-Mapped I/O (MMIO). Если не вдаваться в детали, атаки методом переполнения буфера достаточно, чтобы PSP выполнил произвольный код. Для этого пользователь должен войти с учетной записью администратора или root. Запущенный на PSP код считается доверенным и может работать скрытно. „Through manual static analysis, we’ve found a stack-based overflow in the function EkCheckCurrentCert. This function is called from TPM2_CreatePrimary with user controlled data DER encoded [6] endorsement key (EK) certificate stored in the NV storage. A TLV (type-length-value) structure is parsed and copied on to the parent stack frame. Unfortunately, there are missing bounds checks, and a specially crafted certificate can lead to a stack overflow" Уязвимость была обнаружена Cloud Security Team, 8 сентября информация была передана AMD. Закрывать уязвимость AMD планирует с помощью обновлений BIOS. Первые материнские платы с обновленным BIOS вышли еще 12 декабря, но, как и в случае Spectre, уязвимость не полностью закрыта, а лишь усложнена для атакующего. др статьи про AMD : https://www.reddit.com/r/Amd/comments/5vvipr/ryzen_platform_security_processor_and_coreboot/https://www.reddit.com/r/Amd/comments/a0o77m/with_zen_2_on_the_way_the_amd_platform_security/https://www.pcworld.com/article/3262967/security/amds-ryzen-epyc-security-co-processor-and-chipset-have-major-flaws-researchers-claim.htmlhttps://www.bleepingcomputer.com/news/security/security-flaw-in-amds-secure-chip-on-chip-processor-disclosed-online/+ https://translate.google.comп.6если нет гравера, то можно вытравить электролизом https://www.youtube.com/ электро карандашhttps://www.youtube.com/watch?v=KxU_TJtNKEQ... |
|
|
|
|
igor72
Legendary
Offline
Activity: 1834
Merit: 2013
Crypto Swap Exchange
|
|
December 29, 2018, 02:47:21 PM |
|
Можно и так, только буквы конские получаются, и погибнуть можно от опасного напряжения. Простыню вашу лень комментировать, там винегрет из фактов, домыслов и неправды. Лучше напишите своими словами, что вы хотели сказать? |
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
December 29, 2018, 03:05:05 PM
Last edit: December 30, 2018, 03:43:50 AM by Dimenzino |
|
погибнуть можно от опасного напряжения. думается можно вместо ~220 подать ~48 вольт на грифель или лучше угольный электрод (угольно-графитовые щётки для движков вообще низкоомные) https://www.youtube.com/watch?v=VAMtH_0Qo4Y - электро карандаш 60 Вольт Лучше напишите своими словами, что вы хотели сказать? Всё гораздо хуже чем мы думаем. дырок полно в процессорах и что с этим всем делать мне непонятно, ждём экспертов возможно им эта темка пригодится https://bitcointalk.org/index.php?topic=4603149.0 - Холодное хранение битков: Armory, бумага+coinbin + Новинка от Ledger - QRL https://google.ru/ Quantum Resistant Ledgerhttps://zen.yandex.ru/media/id/5bb8e3e353018c00a9ee3938/10-kvantovoustoichivyh-kriptovaliut-5bc5ad922667aa00ab8cb6a910 квантово-устойчивых криптовалютQRLОсновным назначением проекта QRL является обеспечение безопасности при выполнении платежей. Это одна из первых криптовалют, призванных обеспечить защиту от атак с применением квантовых компьютеров. В дальнейшем разработчики планируют расширить область применения защиты от подобных атак и создать защищенные каналы передачи данных с постквантовым шифрованием. Подробнее о проекте вы можете прочесть в нашей предыдущей статье. Отличительной особенностью QRL является качественный и безопасный код, который прошел проверку нескольких сторонних организаций. Квантовая защита обеспечивается расширенной подписью Винтерница и модифицированной схемой XMSS с использованием хеш-функции SHA-256. https://inp.one/cryptoworld/quantum-resistant-ledgerQuantum Resistant Ledger (QRL): криптовалюта — обзорQRL — это криптовалюта, которая с самого начала реализуется, чтобы быть устойчивой как к классической, так и к квантовой компьютерной атаке. Первоначальная цель проекта — создать функциональный и безопасный блокчейн, на которой может быть построено больше технологий, таких как эфемерные защищенные каналы данных квантового времени. ОсобенностиВ отличие от существующих регистров, таких как bitcoin или ethereum, QRL специально разработан для использования формы постквантовой защищенной подписи для транзакций под названием XMSS. QRL также использует алгоритм с низким энергопотреблением (POS), который снова использует итеративные хеш-цепи и доказуемо защищает функции псевдослучайных чисел на основе хэша. POS-алгоритм призван обеспечить нулевую зависимость от обычных сигнатур, которые уязвимы для достаточно мощного контроля качества и позволяют узлам работать на устройствах с малой потребляемой мощностью Токены QRLВ системе Quantum Resistant Ledger токены QRL предназначены для оплаты проводящихся транзакций и доступа к системе. Если пользователь пожелает воспользоваться услугами платформы, он обязан будет купить токены и с их помощью провести перевод. Получатель сможет обменять токены QRL на удобную ему криптовалюту или фиатные деньги. В процессе перевода майнерам Quantum Resistant Ledger, чьи системные ресурсы используются, будет выплачиваться определенная комиссия. Размер комиссии зависит от ряда параметров: размеров перевода, количества майнеров, задействованных в проведении транзакции и некоторых других факторов. Дорожная карта на конец 2018 года: Продолжение разработки активных узлов. Завершение эфемерала для агностики сигнатурной схемы. Легкое развитие клиента. Легкий клиентский API, позволяющий приложениям и веб-устройствам получать доступ к QRL. Интерференционное сжатие сообщений. Исследования и разработки — постквантовые транзакции с несколькими сигналами. ВыводПреимущества Разработчики выбрали интересную сферу для деятельности. Первые квантовые компьютеры могут появиться в ближайшие годы. И защита от подобного взлома окажется весьма нелишней. Предлагаются четкие алгоритмы работы блокчейна Quantum Resistant Ledger. Разобраться в них непросто, но разработчики, как минимум, не пытаются обойтись одними только обещаниями. Они еще и объясняют, как именно работает их продукт. Разработка ведется уже в 2016 года. А это значит, что им занимаются не мошенники, а заинтересованные в развитии системы люди. Умилило Легкий клиентский API это что, EAL4+ ? , он же ж должен иметь EAL7+ !! С какой стати он будет "лёгкий" ? Имхо такое пренебрежение надежностью кошельков отразилась в графиках падающего стремительным домкратом графика курса в теханализах.. да ещё и майнить нельзя.. https://www.masterinvest.info/cryptocurrency-QRL-quantum-resistant-ledger.htmlКриптовалюта Quantum Resistant Ledger не подлежит майнингу, то есть все монеты данной криптовалюты были выпущены сразу или выпусаются исключительно разработчиками / основателями данной криптовалюты. Количество выпущенных монет криптовалюты Quantum Resistant Ledger на данный момент составляет 52,000,000 монеты, что составляет 49.52% от общего количества монет криптовалюты Квантум Резистент Леджер. Максимально возможное количество монет Квантум Резистент Леджер Quantum Resistant Ledger QRL составляет 105,000,000 монет. QRL - https://vk.com/myqrlКВАНТОВО-УСТОЙЧИВЫЙ БЛОКЧЕЙН В недалеком будущем такие системы как Биткойн могут оказаться уязвимыми перед атакой квантового компьютера. К такому выводу пришла группа ученых из Сингапурского и Австралийского университетов. По их прогнозу Биткойн, в его классическом виде, может быть взломан уже к 2027 году. 24 дек в 13:06 Действия QRL успешно выходит на биржу Bittrex и устанавливает жесткий срок для миграции токенов: 28 февраля 2019 года. https://habr.com/post/409985/Квантово-устойчивый блокчейнВ конце октября 2017 Международная исследовательская группа из Сингапурского и Австралийского университетов пришла к выводу, что большинство криптографических протоколов, применяемых в блокчейне, уязвимо к атакам мощного квантового компьютера. Наиболее уязвимым к атакам квантового компьютера признан алгоритм создания цифровой подписи на основе эллиптических кривых (ECDSA). Таким образом, говорится в отчете группы, Биткойн в его классическом виде может быть взломан уже к 2027 году. Ага, вот где все https://bitcointalk.org/index.php?topic=1730273.0 - [ANN] QRL - Announcing the Quantum Resistant Ledger https://google.ru/ Quantum Resistant Ledger _bitcointalk.orghttps://bitcointalk.org/index.php?topic=2068249.0 - [ANN] QRL : the Quantum Resistant Ledger project |
|
|
|
|
igor72
Legendary
Offline
Activity: 1834
Merit: 2013
Crypto Swap Exchange
|
|
December 30, 2018, 06:09:37 AM |
|
- Холодное хранение битков: Armory, бумага+coinbin Electrum, на мой взгляд, удобнее для холодного кошелька. В той теме, кстати, ничего не сказано про опасность автозапуска usb-устройств. Я там писал об этом, но автор удалил это сообщение Новинка от Ledger - Почему вы решили, что это от Ledger? И какое отношение этот очередной шиткоин имеет к данной теме? |
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
December 30, 2018, 10:15:22 AM
Last edit: December 31, 2018, 02:05:40 PM by Dimenzino |
|
Почему вы решили, что это от Ledger? И какое отношение этот очередной шиткоин имеет к данной теме? ну естессно предположить что Ledger должен вскорости выпустить квантовый кошелек для квантовой валюты. в обычный то её не впихнуть.. а вы думаете есть второй Ledger ? add вот нашлось и https://miningclub.info/threads/qrl-quantum-resistant-ledger-cryptonightv7.44913/Quantum Resistant Ledger (QRL) – это криптовалютный реестр, созданный с нуля на базе Python. Его основное предназначение – противостоять классическим и квантовым компьютерным атакам. Он использует собственную систему криптографии, отличную от биткоина и всех альткоинов, известную как цифровая подпись древа Меркла на базе хеша, которая защищена от квантовых атак. , https://github.com/theQRL/QRL + http://yandex.ru/ квантовый спутниковый интернетhttps://xakep.ru/2017/06/23/quantum-entanglement/Запущенный в прошлом году китайский спутник Micius успешно завершил орбитальные испытания и установил новый рекорд квантовой связи. Он сгенерировал пару запутанных фотонов, разделил их и передал одновременно двум наземным станциям, удаленным друг от друга на 1203 км. Затем наземные станции использовали эффект квантовой телепортации для обмена зашифрованными сообщениями. Потенциально запуск таких спутников открывает возможность создания глобальных систем связи, защищенных от перехвата на уровне физических принципов. Эксперимент уже окрестили «началом квантового интернета». Аппарат стоимостью около 100 миллионов долларов был создан в рамках проекта QUESS (Quantum Science Satellite) — совместной инициативы Китайской и Австрийской академии наук. «Данный проект призван доказать возможность внедрения квантовых коммуникаций в мировом масштабе», — комментирует Антон Цайлингер, эксперт по квантовой физике Венского университета ... Оптоволоконная линия или связь «через воздух» в зоне прямой видимости нужна только для первоначального разделения запутанных фотонов. В дальнейшем информация об изменении их квантового состояния передается мгновенно и независимо от расстояния. Поэтому, кроме традиционно перечисляемых преимуществ квантовой передачи данных (высокая плотность кодирования, скорость и защищенность от перехвата), Цайлингер отмечает еще одно важное свойство: квантовая телепортация возможна и в том случае, когда точное взаимное расположение приемника и передатчика неизвестно. Это особенно важно для спутниковых систем связи, поскольку в них взаимное расположение узлов сети постоянно меняется. В новом эксперименте с использованием Micius лаборатории, находящиеся в столицах Китая и Австрии, передавали друг другу сообщение, зашифрованное шифром Вернама, по наземным открытым каналам. В качестве криптографического ключа использовались результаты измерения квантовых свойств у принимаемых со спутника пар запутанных фотонов.Очевидно, что принять на Земле миллиарды фотонов даже от далекого Солнца — не проблема. Любой может сделать это в солнечный день, просто выйдя из тени. Зарегистрировать же одновременно определенную пару запутанных фотонов со спутника в двух разных лабораториях и измерить их квантовые свойства — исключительно сложная техническая задача. Для ее решения в проекте QUESS использовалась адаптивная оптика. Она постоянно измеряет степень искажений, вызываемых турбулентностью земной атмосферы, и компенсирует их. Дополнительно применялись оптические фильтры для отсечения лунного света и городской засветки. Без них в оптической линии связи был слишком сильный уровень шумов. Каждый проход спутника над территорией Китая длился всего 275 с. За это время требовалось одновременно установить с него два исходящих канала. В первой серии экспериментов — между Делингой и Наньшанем (расстояние 1120 км). Во второй — между Делингой и Лицзянем (1203 км). В обоих экспериментах со спутника успешно принимались пары запутанных фотонов и защищенный канал связи работал. Это считается прорывом сразу по нескольким причинам. Во-первых, Micius стал первым удачным экспериментом в области спутниковой квантовой связи. До сих пор все подобные опыты проводились в наземных лабораториях, где приемник и передатчик были удалены друг от друга на куда меньшие расстояния. Во-вторых, в других экспериментах для передачи запутанных фотонов требовалось использование какой-то изолированной среды. Например, оптоволоконных линий связи. В-третьих, при квантовой связи по оптоволокну передаются и регистрируются одиночные фотоны, а спутник повышает эффективную скорость обмена. Сигнал от Micius шел через атмосферу и был одновременно принят двумя наземными станциями. «Если бы мы использовали оптоволокно длиной 1200 км для распределения пар запутанных фотонов на Земле, то из-за потери мощности сигнала с расстоянием мы могли бы передавать только одну пару в секунду. Спутник помогает преодолеть этот барьер. Мы уже улучшили скорость распределения на 12 порядков по сравнению с прежними технологиями», — говорит Цзянь-Вэй Пан. Квантовая передача данных через спутник открывает возможность построения глобальных систем связи, максимально защищенных от перехвата на уровне физических принципов. «Это первый шаг в направлении всемирной безопасной квантовой коммуникации и, возможно, даже квантового интернета», — считает Антон Цайлингер. Парадокс данного достижения состоит в том, что даже авторы проекта не знают всех деталей о работе квантовой системы связи. Есть только рабочие гипотезы, их экспериментальная проверка и долгие дебаты о правильности трактовки полученных результатов. Так часто бывает: сначала открывают какое-то явление, потом его начинают активно использовать, и только спустя долгое время находится кто-то, способный понять его суть. Первобытные люди умели добывать огонь, но никто из них не понимал физико-химические процессы горения. Разобраться в них пришлось для того, чтобы сделать качественный переход от костра до двигателя внутреннего сгорания и ракетного двигателя. Квантовая телепортация — штука и вовсе запутанная во всех смыслах. Давай попробуем абстрагироваться от сложных формул, незримых понятий и разобраться в ее основах. ... https://www.google.ru/ китайский спутник Miciushttps://habr.com/post/410071/Китайский спутник использовал квантовую криптографию для проведения защищенной межконтинентальной видеоконференцииКвантовая криптография позволяет сделать общение людей полностью безопасным, защитив каналы связи от прослушивания. Эта технология становится все более важной. Физики уже давно знают, что квантовые компьютеры (когда они появятся в пригодном для работы виде) позволяют взломать любые типы криптографической защиты. Ну а поскольку появление коммерческих квантовых компьютеров не за горами, то ученым приходится изобретать все более сложные методы защиты данных. Все это — в интересах бизнеса, правительственных организаций, военных. В целом, квантовая криптография важна для всех, кому нужна практически стопроцентная защита от взлома. ... Micius, был запущен в 2016 году. В течение предыдущих лет он выполнял различные задания и выходил на операционный уровень. Прошлым летом он заработал на полную мощность и смог телепортировать фотон с орбиты прямо на Землю. |
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
January 02, 2019, 08:27:42 AM |
|
|
|
|
|
|
|
