Виж темата - Криптовалути

[vixx Профил]

Точно затова те въвлякох
Мен към момента нищо не ме притеснява, и да, [2] ми е по-малко вероятно. Освен ако някога по някой dark форум не се окаже, че и най-големия лаик може да свали малко код, да следва 5 стъпки и да отвори Трезора без дори да разбира как го е направил. И аз бих разчитал, че такива неща бързо ще се поправят и трудно ще могат да се случват в мащаб, но и аз не съм гледал сорса, не знам какви библиотеки ползва, коя от тях ще осиротее и тн. Затова само си коментирам, на никого не искам да давам наклон.

[Nickelback]

Точно затова те въвлякох
Мен към момента нищо не ме притеснява, и да, [2] ми е по-малко вероятно. Освен ако някога по някой dark форум не се окаже, че и най-големия лаик може да свали малко код, да следва 5 стъпки и да отвори Трезора без дори да разбира как го е направил. И аз бих разчитал, че такива неща бързо ще се поправят и трудно ще могат да се случват в мащаб, но и аз не съм гледал сорса, не знам какви библиотеки ползва, коя от тях ще осиротее и тн. Затова само си коментирам, на никого не искам да давам наклон.

Разбира се, дискутираме си - без лоши чувства и да давам акъл на общо основание

Това е малко като моя казус с дългосрочния съпорт на лични проекти със зависимости от други - нищо няма вечен съпорт
Вечно е, ако почнеш ти да си си съпорта, от оня момент нататък, когато осиротее първата библиотека, защото е твърде вероятно да има и следваща сирак

То от нищо не може да се опазиш на 100%. Но вероятността някой да е член на такъв форум, дори и без да знае какво прави, той трябва да е добре снабден с крадени Trezor-и, и твоят точно Trezor да попадне при него. Колко да са такива лаиците по света vs. твоят точно Trezor? Обикновено по тия форуми висят и белите хакери от тези добрите ентусиасти дето казах. Та ще знаят и те за "проблема" или backdoor, все нещо ще се знае

И каква е моята генерална препоръка - дори и да ползвате нещо open source - сложете нещо от себе си

[Top Gun Maverick]

Та понеже I wanna be a rock star в крайна сметка за Леджъра нещо по-категорично ще кажеш ли? Или за Трезора? Или да правим хартиени портфейли на стар комп? Или да купуваме по едно хардуерни за всеки 0.01 БТЦ? Или нещо друго...

[Nickelback]

Та понеже I wanna be a rock star в крайна сметка за Леджъра нещо по-категорично ще кажеш ли? Или за Трезора? Или да правим хартиени портфейли на стар комп? Или да купуваме по едно хардуерни за всеки 0.01 БТЦ? Или нещо друго...

Много ми се иска категорично да кажа нещо, ама трябва да прекарам доста време да им гледам схемите и кода Както и да направя доста експерименти. При Леджъра специално, ни схема в пълния и вид можеш (лесно) да видиш, ни код. Та мога само да се опитвам някакви атаки да му спретвам и да гледам как ще реагира. А това може да отнеме и месеци с неясен резултат, ако си го постави човек като самоцел.

При Трезора е по-добре, защото имаш всичко черно на бяло. Лошото е, че изключително малко съм ползвал ST микроконтролери и тепърва трябва и тях да разучавам в детайли, и да си играя.

Подробен анализ с цел категоричност би отнел доооста време. Отделно и на придужаващия им код, който върви на PC-то...

С две думи аз съм "за" open source решение, както казах

Може другата седмица да седна да рисърча кой open-source портфейл на пазара е "най-най". Може да е Trezor, ама може и да е някой друг

https://www.securities.io/best-open-source-wallets/

https://emcd.io/blog/best-open-source-c ... -and-risks

Ако някой има време да изрови някакви по-пълни сравнителни технически анализи, ама не се разбира какво са писали разни спецове, може да ги постне тук да разгледаме и да ги коментираме на "човешки език". В момента детето ми скача по главата и ми е малко труден рисърча

Sent from my M2102J20SG using Tapatalk

[Top Gun Maverick]

Тъй, тъй, знаем ги тия проблеми.

Мен лично ме вълнува не ако някой ми намери флашката да я хакне, а чисто и просто самата компания някак утре да реши да избомби клиентите си или някой да им открадне информацията, което е почти едно и също и най-вече те имат ли ги някъде тия 24 думи или не. За хакване първо трябва да я вземат, а това зор работа и докато го направи някой, предполагам ще съм преместил всичко. Иначе Леджъра се блокира(не знам дали унищожава)след три грешни пина, а Трезора унищожава информацията си след 16. При Леджъра имаш 8 цифри, при Трезора 54 мисля може да наредиш или поне при модела, който гледах.

П.п: Накрая ще питам и най-приближеният ти човек той какво ползва, ама препрочитам преди това да ми разсъждаваш.

[steeN Профил]

Аз не разбирам много смисъла от Леджър като цяло, ако наистина се притеснявате чак от софтуерни ъпдейти.
Щом сте такова ниво потребители един стар air gapped iphone може да свърши същата работа.

Като искаш да превеждаш пускаш wifi sync-ваш chain-a правиш си превода, после го гасиш и толкова.
Дори и някой да ти го открадне, голямо чудо, успех му пожелавам да разбие touch/face id.
Ако нямаш доверие на биометрика и не искаш да ти отрежат пръста (а просто да те бият докато си кажеш паролата )
може да спреш биометриката и да сложиш парола колкото си искаш дълга. Не сте/сме такива ценни цели, че хората с
ресурсите да разбият такова устройство (iphone) ще ви атакуват точно вас... като няма да е достатъчно, после трябва да
преодолеят и криптирането на софтуерния портфейл

Леджъра не съм го ползвал, но 100% има съпровождащ софтуер, който се инсталира на компа, на който го ползваш.
Достатъчно е да ви се компрометира компа (което е безкрайно по-лесно от това да е компрометира мобилно
устройство което седи 99.99966% от времето изкл. и ест. не го позлвате да цъкате клипчета в тик ток).

Мои си разсъждения

[Top Gun Maverick]

Ами аз нямах инсталирано на комп докато не се наложи да ъпдейтна. Мога да го махна, а през телефон или комп, не мисля през него някой да може да направи нещо докато флашката ти си стои някъде в шкафа.

[steeN Профил]

Ако си нямал на компа си имал на мобилно устройство... и ако тва е Андроид, още по-зле и от Windows машина. Но и iphone да е, пак отваряш там какво ли не от незнайни места.
Ledger няма как да работи самостоятелно. Докато седи в чекмеджето няма нищо да стане, ще стане като рано или късно го вкл. пак очевидно.

100% тва е и причината да изкарат този продукт дето изглежда като телефон, за вдигнат сигурността, като изкл. 3ти страни от които зависят.

[Top Gun Maverick]

Нищо, ама нищо не те бърка да ти е инсталиран лайфа на телефона и да си влизаш да разглеждаш само, а когато включваш флашката да е към някакво друго устройство за да пратиш или приемеш. А това новото...и то се гледа с голям скептицизъм.

[steeN Профил]

Оставям на Никелбака да обясни

[b_u_b_o Профил]

Леджъра не съм го ползвал, но 100% има съпровождащ софтуер, който се инсталира на компа, на който го ползваш.
Достатъчно е да ви се компрометира компа (което е безкрайно по-лесно от това да е компрометира мобилно
устройство което седи 99.99966% от времето изкл. и ест. не го позлвате да цъкате клипчета в тик ток).

Мои си разсъждения

Грешни са ти разсъжденията, ама не ми се пише на телефона защо. По късно ако сетя ще ти обясня.

[steeN Профил]

Колко да са грешни? Нека да позная, ще кажеш, че като правиш превода ще сравняваш адресите на екрана на двете устройства примерно,
нищо че това което виждаш на екрана на компа, изобщо не гарантира, че е адреса, на който ще отидат нещата... и т.н. И че си 100% сигурен
какво работи на личния ти комп/телефон където, пак казвам, отваряш неща от къде ли не.

[b_u_b_o Профил]

Не, грешно ти е изначално разбирането как работят хардуерните портфейли. Най-общо казано, частния ти ключ, с който можеш да подпишеш транзакция стои в хардуерния портфейл. Като го вържеш с компютър/телефон единствената комуникация която може да протече помежду им е да му пратят транзакция, която да бъде подписана и върната на компютъра за да я прати той по мрежата. Тая транзакция се одобрява на самия дивайс. Дори и да ти е компрометиран компа/телефона и да смени адреса, няма как на дисплея на дивайса също да го смени.

Освен това изобщо не е това проблемът в момента с леджър. В това което горе описах като процес нищо не се променило. Проблема е в съхраняването на частния ключ и възможността за споделянето му. До сега се смяташе, че единственото мястно през което е достъпен е дисплея на леджъра. Сега се оказва, че леджър могат да го пратят към приложението си и от там където си решат.

Идеята ти с телефона пък не струва, защото в момента в който му пуснеш wifi-я за да пратиш транзакцията покрай нея може да ти замине и частния ключ на някъде. Решението е, устройството на което се съхранява частния ключ никога ама никога да не вижда достъп до интернет, нито някога да е виждало. Би могло да стане с air gapped телефон, но или ще трябва да се въвеждат ръчно адресите и после да се преписва подписаната транзакция. Ама това не е удбоно и може да има много грешки, а те са необратими. Най-вероятно удобен вариант би бил с qr-кодове да се предава между подписващото устройство и пращащото всичко.

[steeN Профил]

Ц. Пробвай пак. Зависи колко на дълбоко е компрометирано всичко.

https://support.ledger.com/hc/en-us/art ... er-malware

Шанса да замине нещо на някъде от телефон, с който нищо друго не отваряш в нета е единствено с компрометиран портфейл, което може да го решиш да си напишеш собствен портфейл

[b_u_b_o Профил]

Ц. Пробвай пак.

https://support.ledger.com/hc/en-us/art ... er-malware

Това в линка ти само потвърждава моите думи. Ако не го виждаш то или не разбираш написаното от мен или това в леджър сайта. А може и двете.