Подскажите начинающему, как выработать стратегию безопасного хранения кошелька

[Halavshk]

38 минут назад, samuel сказал:

Теперь надо только выбрать, какой аппаратный ключ купить :)

 

Их, на самом деле, только 2,5 варианта.
Есть Трезор, есть Леджер. Ну и кучка клонов трезора и мутных поделий (все остальные).
Мутные поделия я не рассматривал по причине их малой распространенности. Их никто плотно не исследовал на тему безопастности, у них нет истории и вообще репутации.
Клоны Трезора (тика кип кея) идут лесом, по тому, что уязвимости в них будут исправлять с отставанием. Сначала найдут дырку в Трезоре, потом ее исправят. И только после всего этого исправят клон.
Леджер всем хорош, НО он имеет закрытые части кода. А это всегда плохо.
Остался Трезор. В нем я вижу только хорошее:
1)Долгая история. Самый первый железный кошелек.
2)Полностью открыты все исходники. Их излазили уже все, кто хотел.
3)Регулярно допиливают новые фишки.

В выборе между Трезором 1 и Т я выбрал Т из за перспективной возможности хранить пароли и файлы на флешке.

[samuel]

2 minutes ago, Halavshk said:

В выборе между Трезором 1 и Т я выбрал Т из за перспективной возможности хранить пароли и файлы на флешке.

Т.е. вас не смущает, что 11% покупателей этого устройства остались крайне недовольны? Вам не кажется, что процент великоват?

Те, кто отписались на амазоне, также пишут, что в случае проблемы, техподдержка только по электронной почте и она довольно вялая.

[Halavshk]

47 минут назад, samuel сказал:

У меня встречный вопрос, а можно самому сделать хардверный самодостаточный кошелек из старого смартфона?

Можно. Только не хардверный, а холодный. Поставить Электрум, механически вырвать от туда все ЖСМы, вайфаи, блютусы, юсб и кард-ридеры. Оставить только камеру и экран, для комуникации с внешним миром. Это будет дешего и взломостойко.

Теперь про минусы:
1)Это трудно. Провести хорошую ампутацию, оставив поциэнта в живых требует некоторой квалификации.
2)Сид будет защищать только пароль на андроиде и электруме.
3)Это все-таки холодный кошелек. Т.е. баланс он не знает, его дело транзакцию подписать.

Изменено 2 июл 2018, 23:32 пользователем Halavshk

[Halavshk]

11 минут назад, samuel сказал:

Т.е. вас не смущает, что 11% покупателей этого устройства остались крайне недовольны? Вам не кажется, что процент великоват?

Не сильно. Большой % недовольных наверняка составляют не квалифицированные пользователи, которые сами виноваты во всех своих бедах. Что-то типа ВОТ.
Так же, не исключаю маркетинговые войны со стороны Леджеров.
 

16 минут назад, samuel сказал:

Те, кто отписались на амазоне, также пишут, что в случае проблемы, техподдержка только по электронной почте и она довольно вялая.

Форма обращения есть на сайте. Обратная связь(от ТП до юзера), да, по электронке. Но вялости ее я не заметил. Отписался в нее сразу после покупки(ночью), с прозьбой не писать в инвойсе ничего подозрительного (типа криптовалют, шифрования, криптографии и всего такого). Ответили на следующее утро.

[samuel]

5 minutes ago, Halavshk said:

Большой % недовольных наверняка составляют не квалифицированные пользователи, которые сами виноваты во всех своих бедах.

https://www.amazon.com/Trezor-bitcoin-hardware-compatible-ethereum/product-reviews/B00PCMSJQS/ref=cm_cr_dp_d_hist_1?ie=UTF8&filterByStar=one_star&reviewerType=all_reviews#reviews-filter-bar

По мне если устройство перестает определяться компом - это беда.

[Halavshk]

@samuel 
У конкурентов все еще хуже.

Ledger    55/9/7/5/24
Trezor 1  73/10/3/3/11

Trezor T  0/50/0/0/50 Ну тут просто выборка абсолютно не репрезентативна, всего два голоса.

Вообще это вопрос веры. Кому коре, кому кэш....
Я свой выбор сделал, мотивы его изложил. Прав я или нет, пока сам не знаю - время покажет. Мой кошель еще в пути.

Изменено 3 июл 2018, 00:08 пользователем Halavshk

[moneymaker]

6 часов назад, samuel сказал:

Посмотрел отзывы по этому Трезор на амазоне, 11% из них - one star review.

Из этих 11% три четверти криворуких, одна пятая проплаченных и 2% вполне могли быть с браком. И то нужно смотреть даты и версии кошельков. 

Любой телефон уязвим изначально, вы хотите за 3 копейки обварить ноги)) сделайте тогда уж бумажный кошелек и не заморачивайтесь.

[samuel]

Давайте еще обсудим слабые места загрузочной флэшки с оперухой и кошельком.

Берем какую-нить шуструю флэшку на 32Гига, ставим туда Линукс на криптованный раздел.

Таким образом защищаем флешку от модификации и копирования содержимого когда ОС не загружена.

Далее поскольку флэшка загрузочная, то при загрузке системы все данные берутся с самой флэшки и опять же внедрить вредоносный софт затруднительно.

 

Чем такая флешка хуже чем аппаратный ключ?

Какие слабые места у такого способа?

[supreme1]

02.07.2018 в 00:33, samuel сказал:

Добрый день. Я начинающий в мире криптовалюты, планирую заняться инвестированием в биткоины, т.е. я буду покупать и продавать биткоины не очень часто (количество сделок - от одной в неделю до одной в год), но суммы будут существенные для меня. 

Хочу спланировать безопасный, но в том числе удобный способ хранения кошелька и доступа к нему.

 

Начать я хочу с того, как его создать. Я зарегистрировал аккаунт на gdax.com, который позже стал pro.coinbase.com. Далее я закинул деньги на счет и купил биткоины, сейчас они у меня хранятся на аккаунте этого ресурса. На сколько я понял, таким образом хранить биткоины считается небезопасно и лучше будет перенести на свой личный кошелек. Т.е. его надо как-то создать.

 

Тут у меня возникли вопросы, есть куча онлайн сервисов, которые это предлагают, но как я могу им доверять, ведь создавая кошелек с помощью них, они тоже получают доступ к нему (или могут получить). Не понятно, как тогда его создать, чтобы не скомпрометировать?

 

Вообще я думаю, что надо разделить задачи хранения секретной инфы кошелька и доступа к кошельку.

1. Для хранения кошелька я бы выбрал, какой-нибудь надежный не цифровой носитель, типа что-то что не горит, не повреждается от воды и времени. Желательно, чтобы это выглядело как-то неприметно, чтобы нельзя было догадаться по внешнему виду, что это такое. (такой кошелек будет просто лежать где-то в укромном месте дома и использоваться, только чтобы восстановить кошелек при утрате цифровой копии.

2. Для доступа к кошельку будет использоваться информация хранимая в цифровом виде. Храниться она будет в одном экземпляре на компьютере. Чтобы ее нельзя было просто украсть или скопировать, то думаю установить на компьютере виртуальную машину, и на ней настроить некий локальный клиент для совершения операций. Данная виртуальная машина будет использоваться исключительно для транзакций биткоинов, в остальное время она будет выключена. Таким образом изолировав данные внутри виртуальной машины я снижу риски их воровства. В самой виртуалке, можно сделать многоуровневую аутентификацию, чтобы даже завладев физически компом, доступ к кошельку был бы затруднен.

 

Кто что думает? ?

 

 

Этот весь набор бесполезного текста не читал.

Купи за 80 евро: ledger nano s , и решишь все проблемы .

[rammendo]

Только что, supreme1 сказал:

Этот весь набор бесполезного текста не читал.

Купи за 80 евро: ledger nano s , и решишь все проблемы .

Действительно, вся эта галиматья уже порядком поднадоела. Такое ощущение, что ТС просто троллит.

[МамкинКриптоБизнесмен]

Бредовые идеи с этими кошельками как по мне. Какими б мега защищёнными они ни были, это всего лишь прослойка, зависимая от сайтика поставщика. Да и к тому же имея набор слов, насколько мне известно, позволяет восстановить кошель на другом устройстве. В этом случае вся безопасность упирается в хранение этих слов. И чем же оно лучше, чем хранение приватных ключей кора, только этот хотя бы поднимется на любой машинке с выходом в сеть, без надобности иметь «флешку» и рабочие сервера трезора?

[samuel]

Just now, rammendo said:

Действительно, вся эта галиматья уже порядком поднадоела. Такое ощущение, что ТС просто троллит.

Не нравится - проходите мимо. Я собираю информацию, чтобы принять решение.

 

3 minutes ago, supreme1 said:

Купи за 80 евро: ledger nano s , и решишь все проблемы .

На текущий момент меня не устраивает качество (не уровень безопасности) представленных хардверных ключей.

[rammendo]

Только что, samuel сказал:

Не нравится - проходите мимо. Я собираю информацию, чтобы принять решение.

Не надо хамить! Не нравится - проходите мимо.

1 минуту назад, samuel сказал:

На текущий момент меня не устраивает качество (не уровень безопасности) представленных хардверных ключей.

обработайте напильником качество.

[Halavshk]

12 минут назад, samuel сказал:

Чем такая флешка хуже чем аппаратный ключ?

 

Уязвимость в железе.
Тебя хотят поиметь не только Google&M$. Тебя хотят трахнуть в данные еще и Intel, AMD и какой нибудь реалтек с сегейтом.
И вообще - ПРОСТОТА ЗАЛОГ НАДЕЖНОСТИ.
Любое узкоспециализированное устройство для подписывания транзакций всегда будет надежнее универсальной системы, которой и кваку тянуть и с документами работать. Сам я все храню на флешке с Tails, приблизительно как вы и описывайте.
 

12 минут назад, supreme1 сказал:

надежный не цифровой носитель, типа что-то что не горит, не повреждается от воды и времени. Желательно, чтобы это выглядело как-то неприметно, чтобы нельзя было догадаться по внешнему виду, что это такое.

Дремель+нержавейка+сид. Если прибавить к этому книжку про какого-нибудь Гарика Потера на железном троне, то получится ещеи криптографическая стойкость (гуглить шифрование одноразовым блокнотом).
 

14 минут назад, supreme1 сказал:

Таким образом изолировав данные внутри виртуальной машины я снижу риски их воровства.

Виртуалка не абсолютна. Из матрицы можно сбежать, матрицу можно захватить. Лучше купить какой-нибудь ушатанный недобук и выдрать ему беспроводные интерфейсы, включая микрофон и динамики.
 

14 минут назад, МамкинКриптоБизнесмен сказал:

В этом случае вся безопасность упирается в хранение этих слов.

Она в любом случае в это упирается. Что кор, что электрум, что леджер/трезор. Ну и слова хранить легко и приятно, в отличие от данных.
 

15 минут назад, МамкинКриптоБизнесмен сказал:

И чем же оно лучше, чем хранение приватных ключей кора, только этот хотя бы поднимется на любой машинке с выходом в сеть, без надобности иметь «флешку» и рабочие сервера трезора?

Кор сам по себе громоздок.
Не нужно оборонять саму машину.
Приватники никак не утекут.

Если что, трезор и без своих серверов жить может, интегрируясь с электрумом или кором.

14 минут назад, samuel сказал:

На текущий момент меня не устраивает качество (не уровень безопасности) представленных хардверных ключей.

Других не завезли.

[rammendo]

@Halavshk обрати внимание, у чувака регистрация с января 2015 и такие вопросы, все еще

32 минуты назад, samuel сказал:

Я собираю информацию, чтобы принять решение.

Уже 3,5 года ее собирает

Так до бесконечности можно болталогией заниматься, вместо того, чтобы принять решение и купить.

[samuel]

2 minutes ago, rammendo said:

@Halavshk обрати внимание, у чувака регистрация с января 2015 и такие вопросы, все еще

Уже 3,5 года ее собирает 

3.5 года назад, я не поверил в то, что биткоин может так подорожать ? и отказался от идеи в это ввязываться.

 

 

[jam72]

39 минут назад, МамкинКриптоБизнесмен сказал:

Какими б мега защищёнными они ни были, это всего лишь прослойка, зависимая от сайтика поставщика.

Ошибаетесь. Зависимостей от сайта поставщика не будет, если захотите.

[rammendo]

8 минут назад, samuel сказал:

3.5 года назад, я не поверил в то, что биткоин может так подорожать ? и отказался от идеи в это ввязываться.

И сейчас не верь. Это пузырь. Продолжай собирать информацию.

[moneymaker]

7 минут назад, rammendo сказал:

И сейчас не верь. Это пузырь. Продолжай собирать информацию.

Напоминает периодически возникавшие разговоры, когда люди неделями выбирали какую видеокарту купить, чтобы на ней майнить. Или асики обсчитывали месяцами, выбирая, ожидая новые, короче так ничего и не сделав, либо пропустив все барыши.

[rammendo]

@moneymaker ну что можно сказать человеку, выбирающему аппарат. кошелек на эту его цитату

1 час назад, samuel сказал:

На текущий момент меня не устраивает качество (не уровень безопасности) представленных хардверных ключей.

Не устраивает качество сборки. КАЧЕСТВО сборки, Карл! Как он это определил не купив - мне вообще странно.

[samuel]

11 minutes ago, moneymaker said:

Напоминает периодически возникавшие разговоры, когда люди неделями выбирали какую видеокарту купить, чтобы на ней майнить. Или асики обсчитывали месяцами, выбирая, ожидая новые, короче так ничего и не сделав, либо пропустив все барыши.

Вообще-то я уже купил, сейчас биткоины хранятся на бирже, думаю куда их перенести.

[jam72]

1 час назад, rammendo сказал:

Действительно, вся эта галиматья уже порядком поднадоела. Такое ощущение, что ТС просто троллит.

По-моему, автор задает вопросы в рамках тематики форума и данной ветки. А вы ничего здесь по теме не написали, только пытаетесь заткнуть и обидеть автора (мне непонятно - зачем? Что-то личное?). Это называется "троллинг" в моем понимании.

[moneymaker]

Только что, jam72 сказал:

По-моему, автор задает вопросы в рамках тематики форума и данной ветки. А вы ничего здесь по теме не написали, только пытаетесь заткнуть и обидеть автора (мне непонятно - зачем? Что-то личное?). Это называется "троллинг" в моем понимании.

Ему уже показали ссылки, рассказали про разные варианты, а он снова и снова спрашивает одно и тоже.  Речь только про это.

[rammendo]

Только что, samuel сказал:

Вообще-то я уже купил, сейчас биткоины хранятся на бирже, думаю куда их перенести.

Тебе уже ответили, если такой параноик, купи Леджер. Если просто заботишься о безопасности - перенеси в Электрум или Кор.

Если не знаешь, куда - да хоть в онлайн сервис блокчейн и думай дальше,  но на бирже ХРАНИТЬ - совсем не дело.

[samuel]

10 minutes ago, rammendo said:

@moneymaker ну что можно сказать человеку, выбирающему аппарат. кошелек на эту его цитату

Не устраивает качество сборки. КАЧЕСТВО сборки, Карл! Как он это определил не купив - мне вообще странно.

Да не сборки, а качество устройства, как такового. Его надежность. По отзывам понятно, что хлам.

 

Представьте в продаже пуленепробиваемый авто, c какой-то супер крутой степенью защиты, выдерживает попадания снарядов из танка. Внутри прямо, как у "Христа за пазухой". Но 11%  пользователей автомобиля также говорят, что бывает двигатель заклинивает или тормоза отказывают и в дороге может отвалиться колесо.

На рынке сопоставимых с защищенностью машин просто нет, будете брать такую? Или посмотрите на что-то менее защищенное, но более надежное? 

Изменено 3 июл 2018, 07:06 пользователем samuel