Forwarded from Τеxниκ Ди
#crypto #ledger #bip39 #mnemonic
Сид-фраза (мнемоник) это лишь человеко-легко-читаемое представление закрытого (секретной части) ключа.
Часто используется протокол BIP, к примеру BIP39. Это алгоритм и он может работать локально (без сети), по сид-фразе криптографически "распаковывает" хоть целые каталоги секретных ключей.
То есть, используя всего одну сид-фразу можно на её основе через BIP протокол создать пары ключей (публичную часть + секретную) для подавляющего большинства крипто-проектов и почти что в любом количестве.
Ledger Nano как раз использует BIP39 и сам этот аппаратный кошелёк хранит у себя распакованную ноду на отдельном чипе безопасности. Она перед сохранением на чип шифруется пин-кодом.
Другими словами — потеря железки (холодного аппаратного кошелька Ledger) или гипотетическое закрытие фирмы их выпускающей НИКАК не отразится на сохранности того, что было на нём... Конечно же, ЕСЛИ у вас всё ещё есть сид-фраза. Потому как по BIP39 вы все те же самые кошельки сможете распаковать (получить секретные ключи) на любом другом горячем кошельке (мульти-кошельке) или аппаратном кошельке, который поддерживает BIP39... а таких много.
И тут подходим к тому, что ваш кошелёк (горячий или холодный) — это только место, где хранится секретный ключ, подписывающий вашу транзакцию.
А все активы на этих кошельках (адресах) находятся в сети. Вернее в базах данных, которые поддерживает сеть того или иного крипто-проекта. А сеть поддерживают ноды, зеркала и валидаторы — по сути своей отдельные компьютерные системы (сервера) подключённые к глобальной сети (интернет к примеру).
———
Итого: Внутри вашего крипто-кошелька лежит ТОЛЬКО секретный ключ, которым вы подписываете транзакции (приказы \ запросы) по перемещению активов в сети со своего адреса на любой другой. И уже далее консенсус сети решает вправе вы такой запрос осуществить или нет.
Сид-фраза (мнемоник) это лишь человеко-легко-читаемое представление закрытого (секретной части) ключа.
Часто используется протокол BIP, к примеру BIP39. Это алгоритм и он может работать локально (без сети), по сид-фразе криптографически "распаковывает" хоть целые каталоги секретных ключей.
То есть, используя всего одну сид-фразу можно на её основе через BIP протокол создать пары ключей (публичную часть + секретную) для подавляющего большинства крипто-проектов и почти что в любом количестве.
Ledger Nano как раз использует BIP39 и сам этот аппаратный кошелёк хранит у себя распакованную ноду на отдельном чипе безопасности. Она перед сохранением на чип шифруется пин-кодом.
Другими словами — потеря железки (холодного аппаратного кошелька Ledger) или гипотетическое закрытие фирмы их выпускающей НИКАК не отразится на сохранности того, что было на нём... Конечно же, ЕСЛИ у вас всё ещё есть сид-фраза. Потому как по BIP39 вы все те же самые кошельки сможете распаковать (получить секретные ключи) на любом другом горячем кошельке (мульти-кошельке) или аппаратном кошельке, который поддерживает BIP39... а таких много.
И тут подходим к тому, что ваш кошелёк (горячий или холодный) — это только место, где хранится секретный ключ, подписывающий вашу транзакцию.
А все активы на этих кошельках (адресах) находятся в сети. Вернее в базах данных, которые поддерживает сеть того или иного крипто-проекта. А сеть поддерживают ноды, зеркала и валидаторы — по сути своей отдельные компьютерные системы (сервера) подключённые к глобальной сети (интернет к примеру).
———
Итого: Внутри вашего крипто-кошелька лежит ТОЛЬКО секретный ключ, которым вы подписываете транзакции (приказы \ запросы) по перемещению активов в сети со своего адреса на любой другой. И уже далее консенсус сети решает вправе вы такой запрос осуществить или нет.
#crypto #wallet #trezor
Как вскрывают Trezor
С 22 минуты сам процесс. Подготовленный и подключенный чип отдаст свои ключи. Оборудование для этого у любого хорошего электронщика найти можно. Плюс прямые руки, конечно же.
https://youtu.be/dT9y-KQbqi4
С #Ledger процесс вскрытия, по сути, такой же, но по сложности на порядки выше. У Ledger есть отдельный чип для хранения ключа с сюрпризами по безопасности.
В общем, пока есть возможность вытащить с холодных кошелей только, если физически его разделать и снимать данные прямо с чипа.
... 😏
Как вскрывают Trezor
С 22 минуты сам процесс. Подготовленный и подключенный чип отдаст свои ключи. Оборудование для этого у любого хорошего электронщика найти можно. Плюс прямые руки, конечно же.
https://youtu.be/dT9y-KQbqi4
С #Ledger процесс вскрытия, по сути, такой же, но по сложности на порядки выше. У Ledger есть отдельный чип для хранения ключа с сюрпризами по безопасности.
В общем, пока есть возможность вытащить с холодных кошелей только, если физически его разделать и снимать данные прямо с чипа.
... 😏
YouTube
How I hacked a hardware crypto wallet and recovered $2 million
I was contacted to hack a Trezor One hardware wallet and recover $2 million worth of cryptocurrency (in the form of THETA). Knowing that existing research was already out there for this device, it seemed like it would be a slam dunk. Little did I realize…
#ledger #spy #opinion
Ledger live
Весьма странно, что приложению нужно общаться с компанией производителем Ledger по API во время создания нового счëта на монетку.
На скрине ошибка связи скорее всего. И если б не она, то и видно б даже не было, что приложение куда-то стучит.
Чисто технически, создать, открыть новый адрес (счëт) для того же xlm можно без проблем имея только холодный кошелëк.
Что передаëт? Сливает данные об открываемых адресах и то, что они открыты именно на Ledger?
Значит компания знает все счета и все монетки, которыми вы управляете через ваш холодный кошелëк... а значит и знает сколько вы храните в общем и чего, ваш ip адрес (вашу локацию), отпечатки вашего устройства (компьютера).
И этого уже может быть достаточно, что бы идентифицировать вас. Так как с этого компьютера вы же заходите и в социалки скорее всего, и в почту, и много где ещë оставляете свои следы.
Ledger live
Весьма странно, что приложению нужно общаться с компанией производителем Ledger по API во время создания нового счëта на монетку.
На скрине ошибка связи скорее всего. И если б не она, то и видно б даже не было, что приложение куда-то стучит.
Чисто технически, создать, открыть новый адрес (счëт) для того же xlm можно без проблем имея только холодный кошелëк.
Что передаëт? Сливает данные об открываемых адресах и то, что они открыты именно на Ledger?
Значит компания знает все счета и все монетки, которыми вы управляете через ваш холодный кошелëк... а значит и знает сколько вы храните в общем и чего, ваш ip адрес (вашу локацию), отпечатки вашего устройства (компьютера).
И этого уже может быть достаточно, что бы идентифицировать вас. Так как с этого компьютера вы же заходите и в социалки скорее всего, и в почту, и много где ещë оставляете свои следы.
#ledger #hack #security
Статья о том, как проверить свой Ledger на вмешательство в начинку и прошивку.
https://support.ledger.com/hc/ru/articles/4404382029329
Если кратко, то:
Все устройства Ledger проходят проверку подлинности во время каждого подключения и при каждом запуске вкладки «Мой Ledger» в Ledger Live. Подлинные устройства Ledger содержат секретный ключ, устанавливаемый на этапе производства. Только подлинное устройство Ledger может использовать собственный ключ для предоставления криптографического доказательства, необходимого для подключения к защищённому серверу Ledger.
---
Ранее писал, что в этом есть риски того, что компания Ledger такими проверками технически имеет возможность знать все открываемые вами на конкретном устройстве счета (адреса кошельков).
Статья о том, как проверить свой Ledger на вмешательство в начинку и прошивку.
https://support.ledger.com/hc/ru/articles/4404382029329
Если кратко, то:
Все устройства Ledger проходят проверку подлинности во время каждого подключения и при каждом запуске вкладки «Мой Ledger» в Ledger Live. Подлинные устройства Ledger содержат секретный ключ, устанавливаемый на этапе производства. Только подлинное устройство Ledger может использовать собственный ключ для предоставления криптографического доказательства, необходимого для подключения к защищённому серверу Ledger.
---
Ранее писал, что в этом есть риски того, что компания Ledger такими проверками технически имеет возможность знать все открываемые вами на конкретном устройстве счета (адреса кошельков).
Блокнот Техника [📌📒📟]
#ps #tw #ledger #security #chip https://twitter.com/Ledger/status/1592551225970548736
#ps #tw #ledger #security #chip
Компания производящая холодные кошельки Ledger анонсировала функцию для восстановления Ledger Recover. С помощью которой, как предполагается, возможно будет восстановить данные на холодном кошельке после идентификации его пользователя (паспорт ID например).
Пользователь в твиттер задал компании вопрос:
---
страничка блокнота с темой о чипе безопасности:
https://t.iss.one/tech_di/1606
---
Как по мне, так тут просто уход от ответа. Чип безопасности, конечно же, надёжен, но это значит что компания предлагает второй слой шифрования для целей резервирования данных кошелька в облаке.
Пока непонятно, почему они настолько уверены в том, что эта схема будет надёжна. И речь ведь уже не только о потенциальной возможности программного взлома их облаков, но больше вопросов по доступу третьих лиц (спец.служб) к такой чувствительной информации как личные кошельки. Да и с чего они настолько уверены, что цифровые паспорта в сети не будут подделывать? что бы неправомерно, к примеру, злоумышленник мог получить восстановление для чужого кошелька.
Пока вопросов больше, чем адекватных ответов. Видимо это подготовочка к MiCA, закону в ЕС для идентификации всех крипто-транзакций, даже на частных кошельках (Отслеживание всех транзакций по аналогии с фиатом, в том числе с использованием некастодиальных кошельков).
Компания производящая холодные кошельки Ledger анонсировала функцию для восстановления Ledger Recover. С помощью которой, как предполагается, возможно будет восстановить данные на холодном кошельке после идентификации его пользователя (паспорт ID например).
Пользователь в твиттер задал компании вопрос:
Как вы можете доказать нам, клиентам, что закрытые ключи на устройстве не могут быть утеряны через обновление прошивки, если кто-то в компании захочет этого? Спасибо!На что получил ответ:
Привет - ваши закрытые ключи никогда не покидают чип Secure Element, который никогда не был взломан. Secure Element сертифицирован третьей стороной и представляет собой ту же технологию, которая используется в паспортах и кредитных картах. Обновление микропрограммы не может извлечь закрытые ключи из Secure Element.https://twitter.com/Ledger/status/1592551225970548736
---
страничка блокнота с темой о чипе безопасности:
https://t.iss.one/tech_di/1606
---
Как по мне, так тут просто уход от ответа. Чип безопасности, конечно же, надёжен, но это значит что компания предлагает второй слой шифрования для целей резервирования данных кошелька в облаке.
Пока непонятно, почему они настолько уверены в том, что эта схема будет надёжна. И речь ведь уже не только о потенциальной возможности программного взлома их облаков, но больше вопросов по доступу третьих лиц (спец.служб) к такой чувствительной информации как личные кошельки. Да и с чего они настолько уверены, что цифровые паспорта в сети не будут подделывать? что бы неправомерно, к примеру, злоумышленник мог получить восстановление для чужого кошелька.
Пока вопросов больше, чем адекватных ответов. Видимо это подготовочка к MiCA, закону в ЕС для идентификации всех крипто-транзакций, даже на частных кошельках (Отслеживание всех транзакций по аналогии с фиатом, в том числе с использованием некастодиальных кошельков).
X (formerly Twitter)
Ledger (@Ledger) on X
@S_Radude Hi - your private keys never leave the Secure Element chip, which has never been hacked. The Secure Element is 3rd party certified, and is the same technology as used in passports and credit cards. A firmware update cannot extract the private keys…
Блокнот Техника [📌📒📟]
#ps #tw #ledger #security #chip Компания производящая холодные кошельки Ledger анонсировала функцию для восстановления Ledger Recover. С помощью которой, как предполагается, возможно будет восстановить данные на холодном кошельке после идентификации его пользователя…
#ps #ledger #kyc
Ещё, по поводу новой "волшебной" и "безопасной" функции хранения в облаках секретной фразы от ваших Ledger Nano X
Предлагается, пока добровольная, процедура прохождения KYC и удалённое хранение зашифрованного хэшем от этого самого KYC общего ключа от вашего холодного кошелька.
Ну да, они разделяют этот ключ на три части, как калистражи, и хранят в разных местах. Ну да, хакеру или редиске сложнее становится добыть такой ключ и хэш вашего KYC. А как насчёт гос.органов? А чьих органов? А они к вам будут лояльны?
Вот так, холодный кошелёк становится чуть теплее 😉 Мало того, что компания потенциально знает ваши адреса и количество монет, теперь же предлагает отдать и сами ключи от ваших кошельков. Конечно же, в зашифрованном виде.
Благими намерениями о безопасности своих же клиентов выстилают дорогу новой финансовой системе.
Ещё, по поводу новой "волшебной" и "безопасной" функции хранения в облаках секретной фразы от ваших Ledger Nano X
Предлагается, пока добровольная, процедура прохождения KYC и удалённое хранение зашифрованного хэшем от этого самого KYC общего ключа от вашего холодного кошелька.
Ну да, они разделяют этот ключ на три части, как калистражи, и хранят в разных местах. Ну да, хакеру или редиске сложнее становится добыть такой ключ и хэш вашего KYC. А как насчёт гос.органов? А чьих органов? А они к вам будут лояльны?
Вот так, холодный кошелёк становится чуть теплее 😉 Мало того, что компания потенциально знает ваши адреса и количество монет, теперь же предлагает отдать и сами ключи от ваших кошельков. Конечно же, в зашифрованном виде.
Благими намерениями о безопасности своих же клиентов выстилают дорогу новой финансовой системе.
Блокнот Техника [📌📒📟]
#ps #ledger #kyc Ещё, по поводу новой "волшебной" и "безопасной" функции хранения в облаках секретной фразы от ваших Ledger Nano X Предлагается, пока добровольная, процедура прохождения KYC и удалённое хранение зашифрованного хэшем от этого самого KYC общего…
#ps #ledger #kyc #old
Нововведение не затрагивает модели кошельков Ledger снятых с производства в 2018-ом (Ledger Blue) и в 2022-ом (Ledger Nano S)
Упоминается только модель Nano X (с опцией подключения Bluetooth)
на мой взгляд есть тому 2 причины:
1) Только модель с Bluetooth имеет возможность коннекта со смартфоном, на котором есть камера. Прохождение KYC требует сканировать лицо.
2) Старые модели Ledger имеют на борту весьма ограниченный объём памяти и их операционка почти впритык размещается на этом чипе. Потому новый функционал и новые функции реализовывать в них весьма проблематично. Это, своего рода, ещё один уровень защиты, модифицированный микро-код туда прошить сложно, попросту может не поместиться. Уж слишком ювелирная работа. Так же учитывать стоит, что исходный код ОС Ledger для их холодного кошелька закрытый.
Нововведение не затрагивает модели кошельков Ledger снятых с производства в 2018-ом (Ledger Blue) и в 2022-ом (Ledger Nano S)
Упоминается только модель Nano X (с опцией подключения Bluetooth)
на мой взгляд есть тому 2 причины:
1) Только модель с Bluetooth имеет возможность коннекта со смартфоном, на котором есть камера. Прохождение KYC требует сканировать лицо.
2) Старые модели Ledger имеют на борту весьма ограниченный объём памяти и их операционка почти впритык размещается на этом чипе. Потому новый функционал и новые функции реализовывать в них весьма проблематично. Это, своего рода, ещё один уровень защиты, модифицированный микро-код туда прошить сложно, попросту может не поместиться. Уж слишком ювелирная работа. Так же учитывать стоит, что исходный код ОС Ledger для их холодного кошелька закрытый.
#opinion #dlt #bank #ledger
Пояснение "де-централизации" на пальцах...
По разному понимают это сетевое свойство,... моё таково:
Де-централизация в мире крипто — это когда у тебя есть минимум три ноды в разных сетях и местах и они между собой по консенсусу могут договориться и криптографически гарантировать, что у всех трёх будет ОДИНАКОВАЯ база данных с одинаковыми транзакциями в ней. У этих трёх нод нет одного, который командует двум другим что именно включать в базу, а что нет. Они должны именно согласованно поддержать идентичные базы, у каждого своя копия и каждый может убедиться что она такая же как у всех.
Сюда же можно привнести понятие DLT, которое так необходимо банкам, корпам, да и госам тоже.
А что такое DLT? — distributed ledger technology — технология распределённого реестра (бух.книги).
То есть банкам нужно и даже жизненно необходимо, что бы у всех его дочерних контор и чуть ли не в каждом отделении был доступ к их общим базам данных и бухгалтериям (ledger)... И если "крякнется" один сервер или отключат на сутки-неделю электроэнергию в дата-центре — то у всех остальных, кто остался в строю и с сетью, останется доступ к этой бух.книге... и все отделения конкретного банка по всем регионам и миру продолжат работу без перебоя.
Почему?, потому что их базы данных и бухгалтерия распределена (де-централизована) по разным серверам, а потому, если часть их сети осталась в строю — то она продолжит работу, и транзакции от них будут учтены и выполнены. Когда "упавшая" часть сети "поднимется" — она сможет наверстать (синхронизировать) отсутствующие блоки данных и тоже продолжит работу.
Так же и для внутренних нужд в большой стране или крупной организации... А то привыкли, поставят один мощный сервер в столице — и все к нему подключаются. А если землятресение, вспышка на солнце, пожар? или ещё что... то что? все филиалы во всей стране "встанут колом" потому что не могут получить доступ к базе, к бухгалтерии?.
Облачные хостинги решают эту проблему — но, во первых, не у всех есть в своей юрисдикции подходящий хостинг с лицензией на соответствующий уровень безопасности, а во вторых такую крупную и чувствительную информацию как бухгалтерия стараются держать "поближе к телу" и всё же строят собственные сети.
Вот для этого им и нужна RTGS DLT система... а ещё лучше с византийским консенсусом,.. который сам по себе предотвратит большинство атак на такой реестр и сеть.
Возвращаясь к де-централизации. Выше упоминал — что трое с консенсусом уже по сути децентрализованы. А сколько сейчас валидирующих нод в XRPL? на момент написания этих строк: 123 !!! и ещё под 600-700 обычных нод, которые формируют транзакции и так же могут следить за тем, что всё работает "ровно", по консенсусу и без "наедалова".
https://livenet.xrpl.org/network/validators
В каких руках все эти валидаторы и кто их контролирует — это вопрос отдельной дискуссии. Потому как доказать что-то в этом сложно. Я же вижу разные страны, разные юрисдикции и разную географию участников. Этого полностью достаточно, что бы сеть не легла и продолжила работать даже в условиях глобальных катаклизмов.
Пояснение "де-централизации" на пальцах...
По разному понимают это сетевое свойство,... моё таково:
Де-централизация в мире крипто — это когда у тебя есть минимум три ноды в разных сетях и местах и они между собой по консенсусу могут договориться и криптографически гарантировать, что у всех трёх будет ОДИНАКОВАЯ база данных с одинаковыми транзакциями в ней. У этих трёх нод нет одного, который командует двум другим что именно включать в базу, а что нет. Они должны именно согласованно поддержать идентичные базы, у каждого своя копия и каждый может убедиться что она такая же как у всех.
Сюда же можно привнести понятие DLT, которое так необходимо банкам, корпам, да и госам тоже.
А что такое DLT? — distributed ledger technology — технология распределённого реестра (бух.книги).
То есть банкам нужно и даже жизненно необходимо, что бы у всех его дочерних контор и чуть ли не в каждом отделении был доступ к их общим базам данных и бухгалтериям (ledger)... И если "крякнется" один сервер или отключат на сутки-неделю электроэнергию в дата-центре — то у всех остальных, кто остался в строю и с сетью, останется доступ к этой бух.книге... и все отделения конкретного банка по всем регионам и миру продолжат работу без перебоя.
Почему?, потому что их базы данных и бухгалтерия распределена (де-централизована) по разным серверам, а потому, если часть их сети осталась в строю — то она продолжит работу, и транзакции от них будут учтены и выполнены. Когда "упавшая" часть сети "поднимется" — она сможет наверстать (синхронизировать) отсутствующие блоки данных и тоже продолжит работу.
Так же и для внутренних нужд в большой стране или крупной организации... А то привыкли, поставят один мощный сервер в столице — и все к нему подключаются. А если землятресение, вспышка на солнце, пожар? или ещё что... то что? все филиалы во всей стране "встанут колом" потому что не могут получить доступ к базе, к бухгалтерии?.
Облачные хостинги решают эту проблему — но, во первых, не у всех есть в своей юрисдикции подходящий хостинг с лицензией на соответствующий уровень безопасности, а во вторых такую крупную и чувствительную информацию как бухгалтерия стараются держать "поближе к телу" и всё же строят собственные сети.
Вот для этого им и нужна RTGS DLT система... а ещё лучше с византийским консенсусом,.. который сам по себе предотвратит большинство атак на такой реестр и сеть.
Возвращаясь к де-централизации. Выше упоминал — что трое с консенсусом уже по сути децентрализованы. А сколько сейчас валидирующих нод в XRPL? на момент написания этих строк: 123 !!! и ещё под 600-700 обычных нод, которые формируют транзакции и так же могут следить за тем, что всё работает "ровно", по консенсусу и без "наедалова".
https://livenet.xrpl.org/network/validators
В каких руках все эти валидаторы и кто их контролирует — это вопрос отдельной дискуссии. Потому как доказать что-то в этом сложно. Я же вижу разные страны, разные юрисдикции и разную географию участников. Этого полностью достаточно, что бы сеть не легла и продолжила работать даже в условиях глобальных катаклизмов.