Аппаратный кошель Trezor

[Antei75]

3 минуты назад, jam72 сказал:

Этой истории уже больше года, ту дыру давно закрыли.

Я в курсе, что закрыли, просто сам масштаб дыры был настолько эпичен, что просто стало понятно насколько непрофессиональным был подход при разработке такого серьёзного девайса, что в принципе снизило доверие к разработчикам сабжа. То есть, совсем нет уверенности, что не всплывёт рано или поздно ещё подобный глобальный косяк.

 

10 минут назад, jam72 сказал:

К тому же там требовался физический доступ к устройству, что сильно снижает опасность.

Не снижает!!! Украли/потерял трезор (вероятность ненулевая) -> увели всю крипту -> полная катастрофа -> нафиг такое счастье...

Неважно насколько процесс взлома сложен и трудоёмок для взломщика, не должно быть даже теоретической возможности осуществления такой атаки.

 

16 минут назад, jam72 сказал:

Кстати, у леджера была подобная уязвимость тоже (там была возможность установить прошивку с предустановленными сидами). 

Нет, это далеко не подобная уязвимость. В случае леджера  речь идёт о девайсах, специально ПРЕДВАРИТЕЛЬНО доработанных умельцами. А в случае трезора, взламывали  обычный штатный немодифицированный девайс, а это, как говорится - Две большие разницы.

 

Полной защиты от предварительной модификации девайса практически нет, так как теоретически можно не только прошивку залить доработанную, но и доработать саму плату (или вообще целиком заменить всю плату внутри на  разработанную с нуля). Именно поэтому брать подобные девайсы с рук плохая затея.

 

37 минут назад, jam72 сказал:

Для долгосрочного хранения отлично подходит сочетание аппаратника с электрумом в мультиподпись, это на порядки увеличивает безопасность.

Вот это уже интересно, где можно почитать подробнее как это организовать?

[jam72]

3 часа назад, Antei75 сказал:

Нет, это далеко не подобная уязвимость. В случае леджера  речь идёт о девайсах, специально ПРЕДВАРИТЕЛЬНО доработанных умельцами. А в случае трезора, взламывали  обычный штатный немодифицированный девайс, а это, как говорится - Две большие разницы.

Хорошо, согласен - разница есть. Неизвестно, какие еще уязвимости выплывут в будущем и у трезора, и у леджера, так что если суммы внушительные - лучше перестраховаться.

 

3 часа назад, Antei75 сказал:

Вот это уже интересно, где можно почитать подробнее как это организовать?

Где-то я уже давал ссылку, сейчас не найду. Там все просто - создаете мультисиг-кошелек 2-2. Для первого подписанта создаете сид, сохраняете где-то, для второго выбираете свой подключенный леджер/трезор. Можно создать кошелек с segwit bech32-адресами, тогда комиссия будет гораздо меньше, но на эти адреса пока немногие биржи отправляют монеты, к сожалению. Поэтому для совместимости лучше выбирать стандартный, с адресами на тройку. Если не разберетесь, объясню подробнее.

Изменено 21 авг 2018, 10:56 пользователем jam72

[GendosMorev]

Вообще ключ трезор можно еще использовать для 2FA Гугл аккаунтов и SSH сессий.

А вот про это кто поподробнее  расскажет ?

 

[moneymaker]

4 минуты назад, GendosMorev сказал:

Вообще ключ трезор можно еще использовать для 2FA Гугл аккаунтов и SSH сессий.

А вот про это кто поподробнее  расскажет ?

 

Наверное их блог?

https://blog.trezor.io/secure-two-factor-authentication-with-trezor-u2f-e940fd5a60af

[Halavshk]

Вот: https://www.youtube.com/watch?v=gBI4y8b9pB4&list=PLuP9kN5Mh0TQWpnp6itZhVPzI2nJDxkrG

Полный мануал по всем фишкам Трезора. На видео и по русски.

Поймет пятилетний дибил.