Безопасный способ хранения крипты на отдельном ПК

[Lenchik]

2 часа назад, KBV сказал:

Кстати. Что вы думаете о Intel Management Engine? Говорят это чисто шпионский автономный модуль встроенный в чипсет.

Это вы где такое вычитали? Это просто интерфейс к некоторым функциям BIOS, в основном к ACPI. Служит для подключения через SMbus к мультиконтроллеру. Используется обычно "фирменными" утилитами для управления вентиляторами, разгоном и всем таким прямо на ходу. Не ставьте на него драйвер и не будет интерфейса. 

 

В некотором роде это как бы упрощенная, софтовая попытка изобразить модуль дистанционного мониторинга и управления у серверов. Но там это аппаратный модуль. Он работает даже в дежурном режиме. То есть по сети можно включить, выключить компьютер. Или скажем поменять настройки BIOS дистанционно. У Intel Management Engine возможностей гораздо меньше. Если на физическом уровне, то это подключение к шине I2C на материнской плате прямо из под Windows.

[mass]

3 минуты назад, Lenchik сказал:

Это вы где такое вычитали? Это просто интерфейс к некоторым функциям BIOS, в основном к ACPI. Служит для подключения через SMbus к мультиконтроллеру. Используется обычно "фирменными" утилитами для управления вентиляторами, разгоном и всем таким прямо на ходу. Не ставьте на него драйвер и не будет интерфейса. 

 

В некотором роде это как бы упрощенная, софтовая попытка изобразить модуль дистанционного мониторинга и управления у серверов. Но там это аппаратный модуль. Он работает даже в дежурном режиме. То есть по сети можно включить, выключить компьютер. Или скажем поменять настройки BIOS дистанционно. У Intel Management Engine возможностей гораздо меньше. Если на физическом уровне, то это подключение к шине I2C на материнской плате прямо из под Windows.

Перестаньте вводить в заблуждение людей.

Цитата

Intel Management Engine (Intel ME) — автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года^[1][2][3]. Она состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Так как чипсет всегда подключен к источнику тока (батарейке или другому источнику питания), эта подсистема продолжает работать даже когда компьютер отключен^[4]. Intel заявляет, что ME необходима для обеспечения максимальной производительности^[5]. Точный принцип работы^[6] по большей части недокументирован, а исходный код обфусцирован с помощью кода Хаффмана, таблица для которого хранится непосредственно в аппаратуре, поэтому сама прошивка не содержит информации для своего раскодирования. Главный конкурент Intel, компания AMD, также встраивает в свои процессоры аналогичную систему AMD Secure Technology (раньше называвшуюся Platform Security Proccessor), начиная с 2013 года.

Management Engine часто путают с Intel AMT. Технология AMT основана на ME, но доступна только для процессоров с технологией vPro. AMT позволяет владельцу удалённо администрировать компьютер^[7], например включать или выключать его, устанавливать операционную систему. Однако ME устанавливается с 2008 года на все чипсеты Intel, вне зависимости от наличия на них vPro. В то время как технология AMT может быть отключена, нет официального документированного способа отключить ME.

В ME было найдено несколько уязвимостей. 1 мая 2017 года компания Intel подтвердила наличие уязвимости удалённого повышения привилегий (SA-00075) в Management Technology^[8]. Каждая платформа Intel с установленным Intel Standard Manageability, Intel Active Management Technology или Intel Small Business Technology, от Nehalem (2008 год) до Kaby Lake (2017 год) имеет уязвимость в ME, которую можно использовать удалённо^[9][10]. Были найдены несколько путей неавторизованного выключения ME, которые могут сорвать выполнение функций ME^[11][12][13]. Дополнительные критические уязвимости в ME, затрагивающие большое число компьютеров с прошивками, включающими ME, Trusted Execution Engine (TXE) и Server Platform Services (SPS), от Skylake (2015 год) до Coffee Lake (2017 год), были подтверждены Intel 20 ноября 2017 года (SA-00086)^[14]. В отличие от SA-00075, эта уязвимости присутствует даже если AMT отключен, не входит в поставку или ME отключен одним из неофициальных методов.^[15]

тута, это если не смогли в гугл

[scopus]

7 часов назад, jam72 сказал:

на мой взгляд, проще поставить на флешку Tails и записать 12 слов, чем делать по-вашему.

Наверное Вы правы, но мне кажется, что все зависит от сумм... но чаще всего от лепрозория или лечащего врача..

Самое главное во всех кошельках не то какие Вы используете фразы , а приватный ключ к адресу ... 

З//Ы он к любому кошельку подойдет, даже к тому, который еще не придумали....

[jam72]

1 минуту назад, scopus сказал:

Самое главное во всех кошельках не то какие Вы используете фразы , а приватный ключ к адресу ... 

Не могу согласиться. Подавляющее большинство кошельков сейчас используют сид-фразу для генерации ключей. То есть сид-фраза главнее.

[Lenchik]

7 часов назад, mass сказал:

Перестаньте вводить в заблуждение людей.

Вы поменьше педивикию читайте, там ещё и не такое напишут. Intel ME она хоть и называется Intel, на самом деле не находится в чипах Intel. Вы покажите мне хотя бы одну материнскую плату на которой мультиконтроллер производства Intel? Он там обычно ITE или ещё какого производителя. Вот как раз в нем и есть отдельная прошивка и он работает в дежурном режиме. (про батарейку в педивикии то же чушь, на батарейке только часы работают и хранятся настройки CMOS).

Параноиков везде хватаете, они и в википедию то же пишут.

[victor941]

13 часов назад, mass сказал:

Вы один раз будете переносить приватники , и там , на холодном они будут вечно жить?

Нет конечно, вывести их оттуда потом на кошелек биржи или обменника можно будет с помощью qr кодов, но опять же, с использованием мастер ключа на рабочем пк, а транзу также подтверждает через этот холодный который так и не подключится к сети. Или я неправильно понял вопрос ?

[mass]

24 минуты назад, victor941 сказал:

Нет конечно, вывести их оттуда потом на кошелек биржи или обменника можно будет с помощью qr кодов, но опять же, с использованием мастер ключа на рабочем пк, а транзу также подтверждает через этот холодный который так и не подключится к сети. Или я неправильно понял вопрос ?

У Вас всегда будет флешка или qr-код, которые и являются дырой, даже если флешку каждый раз перед подключением к "холодному" проверять антивирусом,

п.с. так и не придуман способ безопасного переноса с "холодного", если хотя-бы одна из машин с неблагоприятной средой.

П.П.с. Вы придумываете намного сложнее чем это можно сделать.

[jam72]

7 минут назад, mass сказал:

qr-код, которые и являются дырой

Поясните, в чем уязвимость qr-кода?

[victor941]

@mass там есть 2 варианта, либо считать qr либо можно перенести это дело вручную, с учетом что это на длительный срок кладется, пару раз ручками поработать не будет проблемой.

[jam72]

@victor941 На длительный срок можно и бумажный кошелек сделать, как вариант. Но его тоже надо правильно создавать и правильно тратить. Если интересно, расскажу, как это делал бы я ).

[mass]

1 час назад, jam72 сказал:

Поясните, в чем уязвимость qr-кода?

в драйверах камеры, считывающего устройства.

[jam72]

1 минуту назад, mass сказал:

в драйверах камеры, считывающего устройства.

И что там можно спрятать? В информации, передающейся через камеру, нет секретов.

[mass]

@jam72 в самой камере, в самом устройстве. Если найдёте мне камеру с нормальными дравами, скиньте ссылку.

 

[jam72]

@mass Сначала скажите, почему именно в камере? В компе полно и других мест.

[victor941]

@jam72 Ну бумажный меня вдохновляет меньше, все таки как то буду увереннее себя чувствовать если на ноуте будет)

[victor941]

01.02.2021 в 23:36, jam72 сказал:

Там все элементарно - скачиваете Appimage, закидываете его в persistence-раздел, в свойствах этого файла ставите галку, чтобы он был исполняемым и всё, просто запускаете каждый раз этот файл, когда нужно. Если не разберетесь, попробую подробней расписать или поищу мануал.

Закуинул все в персистенс, получается 1 файл данного разрешения, но в настройках нет где бы уточнялось чтобы файл был исполняемым, мне просто дают выбор либо чтение и запись, либо просто чтение файла типо. При попытке открытия файла мне пишет что нет приложения, которое могло быть открыть данный файл.

upd/ Понял в чем была ошибка, галку нашел поставил и все завелось, вам огромное спасибо, если подскажите как вам сделать +реп то обязательно воспользуюсь)

Изменено 2 фев 2021, 19:37 пользователем victor941

[jam72]

23 минуты назад, victor941 сказал:

если подскажите как вам сделать +реп то обязательно воспользуюсь

У вас, наверное, мало пока сообщений для этого. Но я за плюсами не гонюсь, "спасибо" вполне достаточно ).

[victor941]

@jam72 видимо да, сообщений маловато, но вам в любом случае спасибо огромное, а то я с ним сидел пару суток голову ломал)

[victor941]

1. Подскажите, если я к  фразе seed которую мне выдает сам электрум добавлю несколько своих слов, то смогу ли я потом восстановить свои ключи на другом кошельке кроме электрума ?  (если да то на каких)
2. Если немного скептически относится к генерации ключей на встроенном электруме на тэил и сделать себе сид фразу из 24 слов как описано например здесь, как я смогу зайти в электрум используя их ? Там же вроде только 12 слов. 
3. И какую версию электрума лучше использовать для рабочей машины через которую буду оформлять транзы, 1 - 4.0.9 на винде10 или 3.3.8 но на макОС, четверку на мак поставить не могу так как 10.12 мак ос не поддерживает 4+ версию электрума.
 

Изменено 3 фев 2021, 12:31 пользователем victor941

[jam72]

2 минуты назад, victor941 сказал:

1. Подскажите, если я к  фразе seed которую мне выдает сам электрум добавлю несколько своих слов, то смогу ли я потом восстановить свои ключи на другом кошельке кроме электрума ?  (если да то на каких)

Да, кроме электрума есть другие инструменты, понимающие этот сид. Из кошельков это, например, Bluewallet. Но это не понадобится, Electrum не может исчезнуть без следа ).

5 минут назад, victor941 сказал:

2. Если немного скептически относится к генерации ключей на встроенном электруме на тэил и сделать себе сид фразу из 24 слов как описано например здесь, как я смогу зайти в электрум используя их ? Там же вроде только 12 слов. 

Электрум принимает BIP39-сид, просто при вводе сида следует нажать кнопку "опции" и поставить там галку BIP39. Кстати, в электруме можно сгенерировать не только 12 слов, можно и 24 при желании. Только смысла в этом нет, 12 слов более, чем достаточно.

[victor941]

3 минуты назад, jam72 сказал:

Да, кроме электрума есть другие инструменты, понимающие этот сид. Из кошельков это, например, Bluewallet. Но это не понадобится, Electrum не может исчезнуть без следа ).

дополнительные слова которые я вставлю нужно будет также на других кошельках вводить по определенной последовательности и и также грубо говоря в отдельном окне ? То есть 12 основных + в отдельном окне те слова которые я написал ? Также такой вопрос, я могу добавлять слова только из 2048 слов которые поддерживаются ? Сейчас просто пробовал их сокращенную версию в 4 буквы, и  доп слова без сокращений, адреса (как получается и кошелек) получаются другие. 

[jam72]

8 минут назад, victor941 сказал:

дополнительные слова которые я вставлю нужно будет также на других кошельках вводить по определенной последовательности и и также грубо говоря в отдельном окне ? То есть 12 основных + в отдельном окне те слова которые я написал ?

Да.

 

8 минут назад, victor941 сказал:

Также такой вопрос, я могу добавлять слова только из 2048 слов которые поддерживаются ?

Нет, там можно произвольный набор любых символов. Пробел тоже символ, поэтому фразы "aaaa bbbb" и "aaaa   bbbb" дадут разные ключи, по этой причине я бы пробелы не использовал.

Изменено 3 фев 2021, 12:53 пользователем jam72

[victor941]

2 минуты назад, jam72 сказал:

Нет, там можно произвольный набор любых символов. Пробел тоже символ, поэтому если "aaaa bbbb" и "aaaa   bbbb" дадут разные ключи, по этой причине я бы пробелы не использовал.

Получается если добавить такое доп слово, пусть даже одно но не из базы 2048, то шанс что кто то получит такой же практически невозможен ?

[jam72]

Только что, victor941 сказал:

Получается если добавить такое доп слово, пусть даже одно но не из базы 2048, то шанс что кто то получит такой же практически невозможен ?

Да. Но шанс, что кто-то подберет или случайно получит те же 12 слов из словаря тоже практически нулевой ).

[victor941]

Есть какая то разница создать legacy или segwit адреса ? В плане сохранности и восстановления средств. Про комсу и скорость почитал, может еще что то есть.

И что будет если с легаси отправить на сегвит, или например наоборот

Изменено 3 фев 2021, 19:32 пользователем victor941