Безопасный способ хранения крипты на отдельном ПК

[jam72]

@victor941 Повторю то, что сказал в начале темы - купите хороший аппаратник (трезор или Cobo Vault) и всё, будет удобно и очень надежно. Да, это практически холодный кошелек (а Cobo Vault - без всяких оговорок настоящий холодный). В трезорах есть нюанс - при физическом доступе к устройству с помощью спецоборудования можно извлечь из памяти мнемоническую фразу, поэтому для полной безопасности нужно установить дополнительно пассфразу длиной 10-12 символов.

[vernichter]

1 час назад, victor941 сказал:

Я уже о другом, что по сути трезор почти тоже самое

Ключевое - почти. Товарищ, вы параноик или где? -)

[mass]

Цитата

 

@victor941 Пять копеек. 

Виндовс,-это уже не безопасно.

+антивирус, что само по себе является вирусом.Вообщет если на винде, ток зачем Вам нужна безопасность?

Машинка до 2008 на интеле до 2011 на амд. (там можно ознакомится с процами самому, какие уже были с прибамбасами вроде trustzone).

Поставьте дебиан8, там не нужны знания кулхацкера-красноглазика.

 Wallet.dat под паролем (с алгоритмом (придётся придумать)нахожденя данного в папке+фраза из головы).приватники по той-же схеме.  (если не доверяете самому себе) старенький принтер(такие есть для работы с линухом) отключаете сеть и бумажный кошелёк. Папка в архив tar.gz . Gpg шифрование под симметрию. Пароль -любимое предложение из любимого любовного романа+фразу из головы.

Растиражировать данный файлик куда только придумаете.

И не пользуйтесь гаджетами для qr-кода, вернее ваще не пользуйтесь гаджетами с приличными суммами в крипте, включая перенос транзакции с "холодного"на горячий. А если и используете крипту с гаджета, то через tor и без сторонних приложений на гаджете, ака сбер/яндекстакси и прочее, то-есть чистый(хотя под ведроидом/быдлофоном это не столь важно?, там сами системы могут всем вирусам форы дать)

Аппаратные кошели те-же самые гаджеты, только что смсить и звонить не умеют, да ещё и покупать нужно.

[victor941]

Выявил для себя простой способ хранения на основе нескольких дней изучения. Из представленных ссылок стало понятно что такое холодный кошель в полной мере, tail os крутая штука, но есть одно но, бтс кошелек там встроенный, но вот для того же лайткоин установить довольно проблематично, я так и не нашел способа установки без подключения к интернету. При этом поняв суть данного метода могу предположить что таким же надежным методом (исключая физический доступ к пк 3 лицами), но на винде.

1. Снести все что было на пк, и поставить голую винду с оф. сайта, заведомо отключив провода на вайфай и выдернув шнур лан (их мы больше не используем)
2. Ставим электрумы на необходимые нам кошельки
3. Копируем все сид фразы от каждых кошелей, и на всякий случай шифруем наш валлет дат и тоже сохраняем его архивом под паролем на отдельные флеш носители)
4. Далее просто используем мастер ключ для оформления транзакций на рабочей машине с доступом к сети, но подтверждаем все транзакции через холод. (Доступа из сети к приватникам в таком случае нет)
5. Убираем сид фразы и валеты в надежные места в нескольких эксемплярах. 

Получается таким образом мы исключаем все потенциальные угрозы которые могут случиться с нами не считая физического доступа (но даже в этом случае мы можем запоролить саму винду и у нас запоролен сам электрум).

Вроде бы все, может я что то упустил и есть что добавить ? Аппаратники как писали выше способ интересный, но больше для пользования криптой удобного, так как нельзя исключить вероятность того что производитель случайно потом может иметь приватники с поставляемых устройств (паранойя или нет судить каждому, но тем не менее открытый код на гитхабе не гарантирует того, что именно он окажется на устройстве).

 

[jam72]

7 минут назад, victor941 сказал:

tail os крутая штука, но есть одно но, бтс кошелек там встроенный, но вот для того же лайткоин установить довольно проблематично, я так и не нашел способа установки без подключения к интернету.

Ставятся "электрумы" в persistent-раздел без проблем.

8 минут назад, victor941 сказал:

При этом поняв суть данного метода могу предположить что таким же надежным методом (исключая физический доступ к пк 3 лицами), но на винде.

Все правильно, можно и на винде. Только обязательно отключите везде автозапуск при подключении флешки, а лучше транзакции переносить туда-сюда посредством QR-кодов.

 

11 минут назад, victor941 сказал:

но тем не менее открытый код на гитхабе не гарантирует того, что именно он окажется на устройстве

Почему? Можно самому скомпилировать исходники и убедиться, что получится идентичный бинарник.

Я пользуюсь леджером, там код закрыт, паранойю вылечил использованием мультиподписного кошелька.

[KBV]

1 час назад, victor941 сказал:

не считая физического доступа

Еще можно размеcтить кошелек на зашифрованном томе пк, и перед открытием Электума подмонтировать по паролю.

Есть разные мнение на счет надежности крипто-контейнеров, кто-то считает, что в случае каких либо проблем/ошибок восстановить их будет невозможно. Но лично я надеюсь на резервные копии)

 

1 час назад, jam72 сказал:

Все правильно, можно и на винде. Только обязательно отключите везде автозапуск при подключении флешки, а лучше транзакции переносить туда-сюда посредством QR-кодов

Как это сделать, если холодный кошелек на ноуте под Win7? Предполагается какая-то программа для сканирования кодов с камеры, или как?

Edited 1 Feb 2021, 10:07 by KBV

[jam72]

3 минуты назад, KBV сказал:

Как это сделать, если холодный кошелек на ноуте под Win7?

В электрумах уже встроен ридер QR-кодов. Но на некоторых Win7-системах он некорректно работает (хотя может уже и исправили, давно не проверял), поэтому в этом случае придется пользоваться сторонними программами, либо ставить WIN8+.

[mass]

1 час назад, KBV сказал:

 Предполагается какая-то программа для сканирования кодов с камеры, или как?

Угу, двуногие люди создания серьёзно думают, что "усё у порядке"! Ну там, нормальные драйвера на камеры, которые

Цитата

1 час назад, jam72 сказал:

Можно самому скомпилировать исходники и убедиться, что получится идентичный бинарник.

 

..не существуют в природе. Там-же и перенос с флэшки (эт на винду!?) ну и всякое такое.

Не, я не против, ток Вам, @victor941  необходимо настроить эту самую винду под разграничение прав, правда не совсем понимаю, как Вы потом с ней будете работать(но это не точно!)

Хотя о чём это я, хотят-пусть делают...Ну да, параноя, она такая.

 

 

[scopus]

Как все у Вас сложно.. или Вы там миллиарды храните... Сделал копии зашифрованных валетдат на несколько флешек, туда же закатал приватники в ворде , положил в разные места и вообще не парюсь...нет у флешек интернета и не в сети мои адреса...

На компе стоит рабочий где мелочевка гоняется..

Edited 1 Feb 2021, 12:05 by scopus

[jam72]

@scopus Просто люди все разные: вас устраивает надежность 99.99%, а другим надо 99.999999%. Тем более, на мой взгляд, проще поставить на флешку Tails и записать 12 слов, чем делать по-вашему.

[alexoka]

Моим требованиям безопасности и удобства вполне удовлетворяет кошелек Ledger. Seed фраза - 24 слова + прикручиваешь своё 25-ое слово с паролем и вообще железобетонно. Удобство выше всяких похвал. Насчет вирусов совсем не парюсь. До того был не электруме, вроде безопасно, даже подключил авторизацию операций по SMS. Все равно параноя была. Сейчас все ок.

[Lenchik]

Многие заморачиваются от непонимания сути дела. Если у вас интернет только IPv4 без IPv6, есть роутер, то к вам из сети на комп даже в принципе попасть нельзя. То есть что бы что - то утекло, нужно что бы  кто то это передал изнутри наружу. Не разводите всяких вирей, троянов и прочей нечисти и некому будет ваши данные сливать. И выкиньте вы эту Windows 7. Microsoft её уже не поддерживает и не выпускает обновлений защиты.

В Widows 10 снаружи пробиться практически невозможно, что бы вам "линксятники" не говорили. Сам не единожды сканировал XSpider компьютеры с Windows 10. Ни одной щёлки нет.

Не устанавливайте ломаного софта с файлопомоек и не будет вирусов.

 

Сама суть полного кошелька с нодой в  том и состоит, что приватный ключ не покидает компьютера. Приватный ключ применяется к записи в ноде. Казалось бы чего проще, пользуйся нодой удалённо и скачивать не надо. Но тогда пришлось бы передавать приватный ключ по сети, где его теоретически могут перехватить. Особенно если сет WiFi. WiFi это сплошная дыра, ломается на раз. А к витой паре ещё надо исхитриться доступ получить. WiFi вы сами, добровольно светите свой трафик на сотни метров вокруг.

 

И статистика говорить что криптовалюты потеряно от утраты приватных ключей несравненно больше, чем от похищения этих ключей.

[jam72]

3 минуты назад, Lenchik сказал:

Сама суть полного кошелька с нодой в  том и состоит, что приватный ключ не покидает компьютера. Приватный ключ применяется к записи в ноде. Казалось бы чего проще, пользуйся нодой удалённо и скачивать не надо. Но тогда пришлось бы передавать приватный ключ по сети, где его теоретически могут перехватить.

Вы заблуждаетесь, в легких кошельках никуда приватный ключ не передается.

 

6 минут назад, Lenchik сказал:

И статистика говорить что криптовалюты потеряно от утраты приватных ключей несравненно больше, чем от похищения этих ключей.

Вас этот факт успокаивает? Меня нет.

[mass]

37 минут назад, Lenchik сказал:

В Widows 10 снаружи пробиться практически невозможно, что бы вам "линксятники" не говорили. Сам не единожды сканировал XSpider компьютеры с Windows 10. Ни одной щёлки нет.

Ага..

Совсем неВозможно. А ребятки, ну те, которые с не хорошим кодом работают, вот просто нервно курят в сторонке, посматривая на наилучшую защиту Windows от компании Microsoft

И для чего тогда это нужно?

Цитата

• Проверка автономного Microsoft Defender (запустите эту проверку, если ваше устройство было заражено или может быть заражено вирусом или вредоносной программой). Подробнее об автономном Microsoft Defender

Всё-таки мелкомягкие с подковырочкой, "может" ,-оно такое понятие.?

[victor941]

@mass ну я так понимаю данный вопрос касается только тех людей, которые пользуются с такого устройства интернетом. В случае с холодным использованием подобное невозможно (при условии чистой флешки с установщиком кошелька)

[KBV]

4 часа назад, jam72 сказал:

В электрумах уже встроен ридер QR-кодов. Но на некоторых Win7-системах он некорректно работает (хотя может уже и исправили, давно не проверял), поэтому в этом случае придется пользоваться сторонними программами, либо ставить WIN8+

Спасибо. У меня еще вопрос немного из другой "оперы", но тоже касается безопасности крипты. Есть проблема с 2FA аутентификацией на различные сайты т.к. телефон слишком ненадежное устройство.

А можно сохранить скриншот экрана с QR кодом, который вводится в программу 2FA, чтобы в случае утери/поломки отсканировать этот скриншот на другом телефоне? Норм идея или фигня?)

Edited 1 Feb 2021, 14:38 by KBV

[mass]

@victor941 а перенос приватника чем будете делать? И на какую машину, под вин? А обратно чистить антивирусом флэшку? Или с гаджета сканить qr-код?

Если Вы действительно желаете сделать машину под Win безопасной, то:

Цитата

Если вы все еще думаете, что ваш любимый антивирус защитит вас от напастей интернетов, то можете поставить для успокоения антивирус на обновление и дальше не читать. В реальности вы будете так думать до тех пор, пока на ваш комп не попадёт вирус или троян, который обойдёт антивирус. Для неисправимых параноиков у нас найдется пара дельных советов анальным рабам монопольной индустрии Мелкомягких 

Как известно, настоящая компьютерная безопасность начинается с перерубленных проводов связи с внешним миром, закатывания компьютера в бетон и отправки его на орбиту. Всё остальное — полумеры, разве что переход в другое измерение спасёт гиганта мысли. Ну или установка x64 редакции XP/Vista/Win7, на которых имеется штатный kernel patch protection. Дополненная любым вшивым антивирусом, такая система окажется очень устойчивой.

Больше Ни как, совсем.

Ну а про антивирус..

Цитата

Создание антивируса

Берём свой самый лучший вирус;

Отрезаем от него вредоносную составляющую, опционально пришиваем полезную составляющую, анально огораживаем;

Прикручиваем к нему базу данных с описанием других вирусов;

Рисуем к нему интерфейс, логотип и называем его «Антивирус»

Продаём. Требуем бабло каждые n дней;

 ??????

PROFIT

Теперь можно заколачивать бабло не только на вирусах, но и на продаже противоядий от них. Всё гениальное просто.

 

[Lenchik]

@mass Не читайте с утра советских газет". Вы просто разный бред собираете из сети. К примеру SMBv1 в Windows 10 отключена. Если вы сами её не включите, например что бы в древний NAS попасть в локальной сети. 

Через которое место вы собрались попадать на мой ноутбук?

 

Ну а если паранойя, то тут уже ничего не поможет. Только терять криптовалюту при отказе компьютеров из китайских деталей.

[mass]

1 минуту назад, Lenchik сказал:

Через которое место вы собрались попадать на мой ноутбук?

Вопрос не так задан.

А вредоносный код-

Вы сами его поставите. Своими руками.

Или, как вариант, обновления, под вывеской-Самое_лучшее_от_Микрософта, что впрочем с вероятностью 146% уже и есть. Ибо виндовс это и есть вредоносный код.

[victor941]

30 минут назад, mass сказал:

а перенос приватника чем будете делать?

перенос вручную вполне удовлетворит (планирую на очень длительное хранение). 

 

30 минут назад, mass сказал:

@victor941И на какую машину, под вин?

вин 10

 

30 минут назад, mass сказал:

А обратно чистить антивирусом флэшку?

Зачем ее еще раз чистить ? Я покупаю новую флешку, форматирую ее, скидываю установщики кошельков, и все она мне больше не нужна, вытаскиваю ее. Предварительно перед скидываением установщиков проверяю и их и пк на вредоносное ПО.

 

30 минут назад, mass сказал:

Если Вы действительно желаете сделать машину под Win безопасной, то:

Все бы ничего, но вирус в описанном мной случае может попасть на холодный пк с приватниками туда только единожды (ноуту физически будут отрублены провода связи вифи и лан), это через флешку, но опять же, мне ничего не мешает скачать эти установочные файлы через голый tail os и скинуть их на эту флешку.

Edited 1 Feb 2021, 15:11 by victor941

[KBV]

1 час назад, Lenchik сказал:

Через которое место вы собрались попадать на мой ноутбук?

Я думаю каждый уважающий себя разработчик ПО встроил в свой софт модуль поиска и копирования биткоин-ключей.

Это ведь такая естественная и понятная слабость. И никто ничего не докажет?

А уж поместить на сайт обменника все возможные вирусы и трояны- как говорится "сам Бог велел", понятно ведь, что пользователь сейчас будет отрывать кошелек чтобы сделать перевод.

 

ps Кстати. Что вы думаете о Intel Management Engine? Говорят это чисто шпионский автономный модуль встроенный в чипсет. Честно говоря я не удивлюсь если это окажется правдой. Если вспомнить историю с Crypto AG - это не кажется чем-то невероятным.

Edited 1 Feb 2021, 15:54 by KBV

[victor941]

6 часов назад, jam72 сказал:

Ставятся "электрумы" в persistent-раздел без проблем.

Я нашел только методы с онлайн способом, 2 дня бьюсь не могу найти оффлайн вариант того как именно на тэилс поставить в персистенс. Может вы знаете какой то материал которым можно воспользоваться чтобы научиться это делать ? Я вот архив завел туда с электрумом, но вот что с этим архивом в персистнс делать дальше ума не приложу

[Lenchik]

1 час назад, mass сказал:

Вы сами его поставите. Своими руками.

Ну я к примеру не поставлю, а вот насчёт вас не уверен. Наверняка супер, пупер софт с рутрекера качаете? Я даже абсолютно бесполезным CCleaner не пользуюсь.

А какая утилита "сладкая". Её каждый уважающий "Кулцхакер" устанавливает. Приделать к ней трояна плёвое дело. Он куда ни будь на взломанный серверок сольёт wallet.dat, а клавиатурный снифер пароль перехватит. Заходишь иногда через цепочку анонимайзерво на этот серверок и забираешь "добро". 

 

Но не боись, я честный хакер. Раз только как то сеть у местного провайдера посканировал. Геймеров с самопальными сборками Windows 7 конечно по боку, зато попался серверок на Server 2003. И даже без пароля. А у них на рабочем столе лежат накладные. Оказался сервер ближайшего магазина. Хотел им на рабочем столе записку оставить, что бы хоть пароль поставили, да передумал. Удобно, видно когда в магазин свежие булочки привозят. 

[jam72]

1 час назад, KBV сказал:

У меня еще вопрос немного из другой "оперы", но тоже касается безопасности крипты. Есть проблема с 2FA аутентификацией на различные сайты т.к. телефон слишком ненадежное устройство.

А можно сохранить скриншот экрана с QR кодом, который вводится в программу 2FA, чтобы в случае утери/поломки отсканировать этот скриншот на другом телефоне? Норм идея или фигня?)

Наверное, можно, я этим не пользовался. Лучше просто замените Google Authenticator на Authy и всё. Там можно и синхронизировать несколько устройств, и восстановить по бэкап-паролю, поэтому описанной проблемы не будет.

30 минут назад, victor941 сказал:

Я нашел только методы с онлайн способом, 2 дня бьюсь не могу найти оффлайн вариант того как именно на тэилс поставить в персистенс. Может вы знаете какой то материал которым можно воспользоваться чтобы научиться это делать ? Я вот архив завел туда с электрумом, но вот что с этим архивом в персистнс делать дальше ума не приложу

Там все элементарно - скачиваете Appimage, закидываете его в persistence-раздел, в свойствах этого файла ставите галку, чтобы он был исполняемым и всё, просто запускаете каждый раз этот файл, когда нужно. Если не разберетесь, попробую подробней расписать или поищу мануал.

[mass]

2 часа назад, KBV сказал:

ps Кстати. Что вы думаете о Intel Management Engine?

Интеловский , что-то вроде аналога amd-шнего (ARM) trustzone. Штука, которая имеет свои вычислительные мощности с операционкой, и полным доступом к системе, как к основной ОС так и к железу.(ну и ко всем дравам)

1 час назад, Lenchik сказал:

Ну я к примеру не поставлю, а вот насчёт вас не уверен. Наверняка супер, пупер софт с рутрекера качаете? Я даже абсолютно бесполезным CCleaner не пользуюсь.

А какая утилита "сладкая". Её каждый уважающий "Кулцхакер" устанавливает.

 

 

Да, это мне как-раз и не хватает, в особенности программ с рутрекера.

Надо-же, в репах закончилисЯ?

 

2 часа назад, victor941 сказал:

Все бы ничего, но вирус в описанном мной случае может попасть на холодный пк с приватниками туда только единожды (ноуту физически будут отрублены провода связи вифи и лан), это через флешку, но опять же, мне ничего не мешает скачать эти установочные файлы через голый tail os и скинуть их на эту флешку.

Вы один раз будете переносить приватники , и там , на холодном они будут вечно жить?

Edited 1 Feb 2021, 17:48 by mass