Есть ли смысл ставить Linux-libre для холодных кошельков криптовалют?

[Голубчик]

Начинал я знакомство с Linux с дистрибутива Ubuntu, но постепенно знакомился с новыми дистрибутивами и идейными направлениями. Стимулом этого была безопасность своих холодных кошельков. Недавно я познакомился с Linux-libre. В вики написано, что Linux-libre — пакет GNU, являющийся модифицированной версией ядра Linux, разрабатываемый Free Software Foundation, состоящей целиком из свободного программного обеспечения, работающих совместно с ядром Linux. Цель в удалении программного кода, который поставляется закрытым, обфусцированным, выпущенным под проприетарной лицензией.

 

Так вот, между этими направлениями сборок на Linux мне нужно сделать выбор в рамках повышения безопасности для своих холодных кошельков. Грубо говоря Debian или PureOS, Ubuntu или Trisquel. То есть сделать выбор за Linux или GNU/Linux. Повысит ли безопасность моих криптокошельков Trisquel в отличии от Ubuntu или PureOS от Debian т.е. есть ли смысл в Linux-libre?

 

 

 

 

Edited 8 Sep 2019, 09:02 by Голубчик

[Oz]

Quote

То есть сделать выбор за Linux или GNU/Linux.

 

Linux - ядро операционной системы и только ядро операционной системы. По факту это отдельное приложение 1 штука - kernel.

GNU - набор пакетов или программ выпускаемых собственно проектом GNU, которые все вместе составляют операционную систему, в более привычном для пользователя понимании. Это тысячи пакетов разного плана, включая всевозможные CAD системы для инжереной проектировки.

 

Сам по себе Linux не имеет даже командной строки и его основная задача распределять ресурсы компьютера на низком уровне и предоставить какие-либо инструкции для программ более высокого уровня. Так к нему подключается та же командная строка - GNU Bash и всё остальное окружение пользователя. Иными словами любой дистрибутив Linux и есть GNU/Linux . А вот набор всех этих приложений может прекрасно жить с абсолютно другими ядрами. Так есть дистрибутивы GNU/kFreeBSD или GNU/Hurd .

 

То есть здесь невозможно сделать выбор и вопрос поставлен некорректно. И сам Linux во всех дистрибутивах одинаковый... И отличается разве что версиями.

oz@1700x:~$ uname -a
Linux 1700x 4.18.0-25-generic #26~18.04.1-Ubuntu SMP Thu Jun 27 07:28:31 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux

У меня на этом компьютер ядро linux версии 4.18.0-25 . На сайте https://www.kernel.org/ можно найти более последнюю версию ядра linux. Последней стабильной версии считается 5.2.13. В 99.9% дистрибутивов ядро значильно отстаёт от актуального, в котором исправлены ошибки. Т.е в плане именно защиты и безопасности целесообразнее не выбирать дистрибутив, а держать последнюю версию ядра, что обязательно выльется в определённый гемморой в плане поддержки.

 

Вот этот кусок мне переводить лень, так что цитатой:
 

Quote

The FSF calls it non-free because you can voluntarily add repos with some blobs in them. Their dividing line is waaaaay into the theoretical, and Debian is free and open in the ways that free software lovers tend to care about - can you audit and support the stuff that Debian calls Debian? Yes, you can. That Debian also provides blobs if you want to use them does not change that Debian itself is free and open.

 

 

Собственно подходим теперь к делу. linux-libre - это позиция в котором принципиально нет проприетарного кода. Есть у нас к примеру новая RTX 2080. А драйвер к нему проприетарный. И трахайся с nouaveau, чтобы она хотя бы изображение дала. При этом всё будет тормозить, глючить. Половина настроек не поддерживается. Другая половина может привести к вылетаниям, зависаниям и т.п. Или фильм закодированный с новым кодеком не сможем посмотреть, потому что патент. Нужно оно такое или нет уже отдельный вопрос. Если блоб нужен - пусть будет. Если не нужен. А зачем его вообще ставить? Я вот иногда люблю зайти в steam и провести вечерок в какую-нибудь игрушку... Чёрт, а нельзя. У нас же libre...

 

Так что это всего лишь выбор использовать только Free / Libre and Open-Source Software (FOSS) и ничего кроме. Своеобразная программная антикапиталистическая утопия и к безопасности имеет очень косвенное отношение.

 

Повысит ли это безопасность кошельков... А чёрт его знает. Может быть на 0.0000000x% и повысит. Но мы об этом не узнаем 🙂

 

-------

Да, и холодный кошелёк он на то и холодный, что к интернету не подключён. Его можно выжечь на дереве. Или в саду вырастить из цветочков.

[ДронT]

27 минут назад, Oz сказал:

Да, и холодный кошелёк он на то и холодный, что к интернету не подключён. Его можно выжечь на дереве. Или в саду вырастить из цветочков.

Ну так чтобы его создать надо скачать кошелёк, пополнить адрес, у адреса переписать приватный ключ, сделать резервную копию Wallet.dat. Как это можно сделать, если не подключаться к сети для синхронизации и работы с цифровыми деньгами? Вроде как холодный кошелёк - это то, что даёт доступ к работе с монетами через сеть, но все приватные ключи у тебя, а не у какого-то сервиса на хранении. Сегодня сервис есть, а завтра его нет. А так у тебя твои монетки у тебя и только у тебя. Надо поработать - подрубил к сети, синхронизировал, восстановил кошелёк через приватный ключ, если систему с нуля поднял, отправил денежки и выключи всё до следующего раза.

[Oz]

Холодный кошелёк означает полную физическую изоляцию. https://ru.wikipedia.org/wiki/Воздушный_зазор_(сети_передачи_данных)

Даже развернутый узел на вашем домашнем компьютере с установленным кошельком является горячим кошельком.

 

Допустим есть у нас биржа. Т.е мы и есть биржа. Мы и есть этот сервис. И храним свои монеты (и не только). Наш кошелёк включён постоянно и связан с другими сетями. Мы имеем над ним полный контроль, чтобы мы могли принимать и отправлять средства. Если нас каким-то образом взломали и получили доступ к кошельку, средства тю-тю. Так как шансы на это есть всегда, биржа большую часть средств обязана хранить на холодных кошельках. Которые никогда не подключаются к сети. Они изолированы. В них нет ethernet проводов и отключен wi-fi.

 

Вот официальная инструкция - https://en.bitcoin.it/wiki/How_to_set_up_a_secure_offline_savings_wallet Ещё раз обращаю внимание на то, что холодный кошелёк никогда не был подключён к интернету и никогда не будет подключаться к интернету. А отправка средств идёт с LiveCD образа. Т.е операционная система даже не устанавливается на компьютер. А если она не была установлена. То и ломать в ней нечего.

[A100off]

Наверное, тру-холодный кошелёк - это записанное на бумажке случайное число из диапазона приват-ключей и высчитанный вручную публичный адрес, на который и будем слать свои захолдженные битки. А в плане подконтрольного горячего - думаю использовать ту же серверную винду на виртуалке - с кучей пользователей под каждый кошель. Ну, и с настройками безопасности, само собой. Можно и на линуксе реализовать, но принципиальной разницы не вижу, мне так удобней. Смысл холда не в изощрённости ОС, а в изолированности приват ключа.

[ДронT]

@Oz Понятно. Получается, что защита у бирж, а значит и кошельков Guarda, Exodus или Atomic гораздо лучше, особенно у кошельков. Тогда нет смысла ставить отдельный пк с линукс, покупать 4тб диски, синхронизировать кошельки сутками и т.д. Верно?

Edited 8 Sep 2019, 15:14 by ДронT

[Old Miner]

9 минут назад, ДронT сказал:

Получается, что защита у бирж, а значит и кошельков Guarda, Exodus или Atomic гораздо лучше, особенно у кошельков.

 

Лучше, чем где? И почему вы пришли к такому выводу?

[TheFuzzStone]

3 часа назад, ДронT сказал:

Exodus или Atomic

Эти два не open source... я таким не пользуюсь, и другим не советую.

[ДронT]

23 часа назад, TheFuzzStone сказал:

Эти два не open source... я таким не пользуюсь, и другим не советую.

Полностью согласен! А вот Guarda с открытым исходным кодом, но на своём пк всё равно надежнее. Разве нет?

[Oz]

Quote

А вот Guarda с открытым исходным кодом, но на своём пк всё равно надежнее.

 

Ну и как Вам этот открытый исходный код? Дабы не томить, то в интернете нет ни одного code review. Зайдя и беглым взглядом покопавшись в их репозиториях я вот не нашёл то что мог бы назвать исходным кодом завершённого приложения. Так, посыпано кодом то тут, то там. И если всё же углубиться в вопрос. А что же это за исходный код такой и почему его на самом деле нет, то можно и на ответы создателей гуарды выйти:

 

Quote

Guarda mobile wallets are not completely open source cause "the heart" of the code is considered an intellectual property. Still, we share parts of the code, for example, the library you mentioned. It was created specially for the Zcash wallet, and so it's still in use. So far, we're going to keep it that way. | Source: https://www.reddit.com/r/Guarda/comments/9eltyy/open_source_mobile_wallets/

Quote

For the moment not. However, we will be open sourcing all the libraries we develop for the SVP wallets (if there's none existent at the moment). The best example of such a library is web3j. The library will be available for Android and iOS. | Source: https://github.com/ZcashFoundation/GrantProposals-2017Q4/issues/16

 

Но для того чтобы на это выйти, надо хотя бы зайти и увидеть код. И если какой-то код всё же есть, то его надо попробовать посмотреть. И если он на удивление даже читается, то его надо хотя бы чуть-чуть прочитать. Хорошо, у меня на это ушло несколько минут. А теперь представим, если бы код был на самом деле. И мы бы его захотели проверить, допустим на одну из тысячи распространённых уязвимостей CWE-918: Server-Side Request Forgery (SSRF) ... У меня вот нет на подобное ни времени, ни желания ...

 

Так вот OpenSource бывает разный. В нём так же есть всевозможные лицензии. OpenSource бывает платный. И далеко не всегда бывает свободным. OpenSource код не означает, что его проверяли на ошибки и то что он безопасный. А серьёзная работа с ним предполагает наличие технической поддержки и программистов. И здесь совершенно внезапно оказывается, что решения на Windows почти всегда обходятся дешевле.

Edited 10 Sep 2019, 04:11 by Oz

[TheFuzzStone]

7 часов назад, ДронT сказал:

Guarda

Не знаю, не пользуюсь, не вижу смысла.

 

Для Битка десктоп (https://electrum.org/#home), пользуюсь с конца 2015-го, никогда проблем не было.

Для Битка мобильный, пользуюсь с 2016-го, никогда проблем не было (https://play.google.com/store/apps/details?id=com.mycelium.wallet&hl=ru)

Для Эфира -- https://mycrypto.com/

Для Монеро (https://web.getmonero.org/downloads/#linux) и Monerujo (https://www.monerujo.io/)

 

Да данный момент жизни мне больше кошельков не надо. Никогда не фанател от мульти-кошельков.

Если мне вдруг понадобится мульти-кошель для какого то шиткоина, заюзаю -- https://trustwallet.com/

---

 

@Голубчик, кстати, по поводу системы -- https://neon.kde.org/, сижу больше месяца на данном дистре, и даже не думаю менять на что либо другое.

Edited 10 Sep 2019, 05:28 by TheFuzzStone

[alevlaslo]

Удалось запустить бумажный кошелек в Таилс, оказывается это непросто, но возможно:

1. Открываем штатный браузер Тор и выключаем настройки приватности
2. Скачиваем Мозилу
3. Распаковываем ее и результат переносим в созданный раздел из свободного места для хранения (предварительно надо его создать), чтобы не исчезла при первой же перезагрузке и запускаем оттуда
4. Ставим галку "использовать данный браузер по умолчанию"
5. Запускаем бумажный кошелек

Если просто скачать на другой ОС и скопировать, то Мозила не запустится. Таилс - это хороший аналог второму компу для холода, вместо него вторым компом является флешка с установленной на ней ОС

 

Еще удалось победить глюк клавы при переключении раскладки клавиатуры в Дебиан, для этого фиксируем меню которое появляется при нажатии клавиши alt чтобы оно всё время было видимым либо перепревыкаем к другой комбинации (виндовс + пробел) чтобы то меню не занимало места

 

Edited 10 Sep 2019, 07:14 by alevlaslo

[mass]

@Голубчик Машина до 2008 года, дебиан ( только с дебиановских репов обновы), отключить юсб и приводы.

А вообще вопрос странно поставлен.

 

[Halavshk]

08.09.2019 в 20:10, ДронT сказал:

Получается, что защита у бирж, а значит и кошельков Guarda, Exodus или Atomic гораздо лучше, особенно у кошельков. Тогда нет смысла ставить отдельный пк с линукс, покупать 4тб диски, синхронизировать кошельки сутками и т.д. Верно?

Бро, ты совсем не понимаешь сути. Защита у них может быть и лучше. Да скорее всего и есть на порядок лучше, только она у них, а не у тебя...
В какой-то книге Пелевин так и написал - "Облако, это модный синоним ЧУЖОГО компьютера". 
Захотят ОНИ что бы их "взломали" - их взломают. Захотят просто уйти в закат - и спокойно уйдут, прихватив твои битки на дорожку.

 

 

08.09.2019 в 17:50, ДронT сказал:

Ну так чтобы его создать надо скачать кошелёк, пополнить адрес, у адреса переписать приватный ключ, сделать резервную копию Wallet.dat. Как это можно сделать, если не подключаться к сети для синхронизации и работы с цифровыми деньгами?

Нет.
Есть железка, у которой выкорчевано все кроме картридера (перенести программу кошелек один раз в жизни), камеры (прочитать с горячего кошелька не подписанную транзакцию) и экрана (отправить подписанную транзакцию на горячий кошель и далее в сеть). Кошелек (приватники) создаются в холодильнике и никогда не покидают его уютную память. На горячий, для синхронизации, выходят только открытые ключи. И подписанные транзакции.
Это очень похоже на железный кошель, только круче, - в виду того, что связаны они между собой только QR кодами. Хрен его знает, как там можно по USB мозги контроллеру запудрить, а уж по камере поломать - это совсем фантастика.

И не надо путать горячие кошельки, типа кора или электрума, с онлайн кошельками. Ключевое отличие - горячие кошельки хоронят твои приватники у тебя, а горячие - в облаке (читай "на чужом компьютере").

Лично я предпочитаю два решения - Электрум в Tails и Trezor T. Ни то не другое не является холодными кошельками, но по моему мнению дает достаточную безопастность, при минимуме мозговых усилий и суеты.

Edited 16 Oct 2019, 03:18 by Halavshk