Jump to content
Инвестиции

Конфиденциальность аппаратных криптокошельков

Recommended Posts

Интересует вопрос по конфиденциальности криптокошельков, в частности Ledger и Trezor.

Полагаю, у каждого выпущенного криптокошелька есть свой уникальный серийный номер, который привязывается к данным человека, который его приобрел.

Соответственно, при работе с криптокошельками, они отправляют на сервера разработчиков, или ещё куда свой серийный номер, или какой либо идентификационный знак? Например, при соединении аппаратного кошелька с Chrome плагином. И как следствие, все сгенерированные кошельки могут быть сопоставлены с конкретным человеком.

Ответа на данный вопрос я нигде не нашёл, если кто в курсе, то подскажите пожалуйста. Если я написал не в тот раздел, то прошу модераторов перенести мое сообщение в соответствующий раздел или тему.

Share this post


Link to post
Share on other sites

Тогда не покупайте на свое имя только и всего.

 Аппаратные кошельки для сохранности монет, а не для анонимности пользователя.

Share this post


Link to post
Share on other sites
4 минуты назад, e46btc сказал:

Тогда не покупайте на свое имя только и всего.

 Аппаратные кошельки для сохранности монет, а не для анонимности пользователя.

Лично я так и поступил, но вопрос для удовлетворения интереса, чтобы быть в курсе подобных нюансов, которые нигде не описаны.

Share this post


Link to post
Share on other sites
20 часов назад, Инвестиции сказал:

Полагаю, у каждого выпущенного криптокошелька есть свой уникальный серийный номер, который привязывается к данным человека, который его приобрел.

Насколько мне известно, это не так (в Ledger, в других не знаю). Серийного номера нет, для служебных нужд в зашифрованном виде на сервере хранится идентификатор, который генерируется из сида (по сути публичный ключ одной из HD-ветвей), поэтому никакой связи с конкретным покупателем нет. А если пользоваться исключительно сторонним софтом, то там вообще никаких следов не остается.

Share this post


Link to post
Share on other sites
58 минут назад, jam72 сказал:

Насколько мне известно, это не так (в Ledger, в других не знаю). Серийного номера нет, для служебных нужд в зашифрованном виде на сервере хранится идентификатор, который генерируется из сида (по сути публичный ключ одной из HD-ветвей), поэтому никакой связи с конкретным покупателем нет. А если пользоваться исключительно сторонним софтом, то там вообще никаких следов не остается.

Благодарю за разъяснения. Если это так, тогда сопоставить девайс с покупателем нельзя.

 

А вот такой момент ещё важный, сгенерированные кошельки отправляются на сервер разработчиков(разработчики как кошелька, так и плагина для браузера)? Таким образом, чтобы разработчики, или иное лицо могло сопоставить принадлежность сгенерированных кошельков к одному сиду (и как следствие, к одному устройству).

Грубо говоря ситуация, один кошелек публичный, а другой для теневых операций, и тогда по теневому кошельку можно узнать все остальные сгенерированные кошельки, если эта информация есть у разработчиков.

Share this post


Link to post
Share on other sites

@Инвестиции  Кошельком я называю хранилище адресов, дерево адресов генерируется из сида.

 

27 минут назад, Инвестиции сказал:

сгенерированные кошельки отправляются на сервер разработчиков(разработчики как кошелька, так и плагина для браузера)?

Если вы пользуетесь на компе софтом разработчика, то он имеет доступ к публичным ключам xpub, к приватным ключам доступ никто, кроме пользователя, не имеет. Что вы называете "сгенерированными кошельками", мне не очень понятно.

 

31 минуту назад, Инвестиции сказал:

Таким образом, чтобы разработчики, или иное лицо могло сопоставить принадлежность сгенерированных кошельков к одному сиду (и как следствие, к одному устройству).

Принадлежность адресов к одному сиду, имея xpub, установить достаточно просто.

 

В Ledger Nano S (я говорю только про него, с другими не знаком) можно комфортно пользоваться двумя сидами (можно и больше, но менее удобно) - первый сид генерируется из 24 слов, а второй из этих же слов + дополнительное слово-пароль. Разработчики не смогут обнаружить связь между ними, разве что косвенно догадаться по IP-адресу. Они как два разных устройства (кошелька).

Share this post


Link to post
Share on other sites

Ещё раз спасибо. Как я понимаю, леджер через официальный софт всё таки сливает на сервера разработчиков всё дерево адресов которые генерируются из сида.

Все понял, вроде бы все нюансы для себя прояснил.

Share this post


Link to post
Share on other sites
1 минуту назад, Инвестиции сказал:

Как я понимаю, леджер через официальный софт всё таки сливает на сервера разработчиков всё дерево адресов которые генерируются из сида.

Не знаю, всё ли дерево, но xpub-ы некоторых веток сливает, да.

Share this post


Link to post
Share on other sites

Хотя, возможно я не прав. Нашел вот такую ссылку, там вроде бы говорится, что xpub не передается на сервер. Короче, надо исходники смотреть, чтобы наверняка знать...

Share this post


Link to post
Share on other sites
34 минуты назад, jam72 сказал:

Хотя, возможно я не прав. Нашел вот такую ссылку, там вроде бы говорится, что xpub не передается на сервер. Короче, надо исходники смотреть, чтобы наверняка знать...

Увы, адреса сливаются, вот слова разработчика Ledger:



technically we could also track every address since you're using our server with our Chrome app - so if that's your concern you should rather use a third party wallet

Некрасиво со стороны разработчиков столь серьезного девайса собирать информацию. В некоторых странах только за сам факт использования криптовалюты могут посадить на длительный срок, очень жаль, что разработчики аппаратных кошельков не желают это понимать.

Share this post


Link to post
Share on other sites

Из той же оперы.

 

Цитата

В продолжение экспериментов с леджером наткнулся на еще одну вещь, которая снова сеет во мне сомнение насчет того, что все хранится только внутри леджера, а не на каких серверах. Речь конечно же не об самих адресах, которые восстанавливаются из сида через BIP39, а немного о другом.

В леджер валлет для каждой валюты можно создать несколько аккаунтов (правда, только после того как на предыдущий будет осуществлена транзакция) и дать каждому аккунту название и цветовое обозначение. При восстановлении через BIP39 (например, здесь - https://www.ledgerwallet.com/support/bip39-standalone.html) есть редактируемое поле Account в Derivaton Part, которое и соответствует порядкому номеру аккаунта, начиная с нуля. В случае с аккаунтом по умолчанию (нулевым), все просто и понятно. Но стало интересно, что будет если восстанавливать леджер, на котором монеты хранились не на нулевом, а на N-ом аккаунте.

Для эксперимента хорошо было бы делать восстановление на втором леджере, но у меня только один, поэтому схема была следующая: перевел монеты на N-й аккаунт - сделал ресет леджера - для пущей убедительности создал новый сид и зашел под ним в леджер валлет, там только дефолтный аккаунт как должно быть, никакого N-го нет - снова делаю ресет - перехожу на другой компьютер (на котором леджер еще вообще никогда не исплользовал) и на нем восстанавливаю исходный сид - захожу на леджер валлет и вижу там мой N-й аккунт с тем же имененм и цветовой меткой, которые я ему и присваивал.

Тому, что леджер восстановил N-й аккунт еще могу как-то придумать объяснение, ну например, он при восстановлении пробегает по аккунтам, соответствующим восстанавливаемому сиду, и ищет через блокчейн ненулевые. Но откуда он берет название и цветовую метку, которые я присваивал этому аккаунтуHuh Это же никак не зашито в BIP39! Это чисто внутренние вещи леджера, которые могли остаться либо в файлах расширения (но я перешел на другой комп), либо внутри леджера (но должны были затереться при ресете), либо же получается на серверах леджера... Если последнее, то эти-то данные секьюрного значения конечно не имеют, но если они там хранятся, то кто знает что хранится еще...

Есть у кого-то идеи как леджер так ловко проворачивает восстановление не содержащихся в сиде параметров? 
Ну и по моему вопросу из цитируемого тоже по-прежнему интересно узнать знает ли кто чем проски-расширение мешает леджеру работать

 

https://bitcointalk.org/index.php?topic=2897956.80

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Topics

    • Новая конфиденциальность LocalBitcoins - что делать со старыми акками

      Прошу совета.  У меня 2 аккаунта в Локалбиткоинс, один (если я правильно помню) был никак не привязан ни ко мне, ни к другому человеку, никаких документов; на другой чтобы совершать более менее часто продажи/покупки оформил на левый скан паспорта (ради сбережения конфиденциальности). Это было тройку лет назад, потом биток начал катится вниз, я с биржи битки не стал выводить, все равно оттуда планировал конвертировать на карту, когда курс подрастет. Сейчас захожу в аккаунт и понимаю, что

      in Юридические вопросы

    • Secret Network внедрит ориентированные на конфиденциальность смарт-контракты

      Secret Network развернет «секретные контракты» в своем блокчейне 15 сентября. Эти смарт-контракты позволяют использовать конфиденциальные данные в dApps без раскрытия исходной информации. Как заявил генеральный директор и председатель Secret Foundation Тор Бэйр (Tor Bair), официальное предложение о внедрении смарт-контрактов будет представлено 8 сентября. Входы, выходы и состояние сети будут зашифрованы в секретном контракте. Это означает, что эти данные будут скрыты даже в публичном блок

      in Новости криптовалют

    • Chainlink приобрела ориентированный на конфиденциальность протокол оракула DECO

      Chainlink приобрела ориентированный на конфиденциальность протокол оракула DECO, созданный разработчиками из Корнельского университета, а также работает над второй Белой книгой проекта. DECO был создан в соавторстве с Ари Джуэлсом (Ari Juels), бывшим главным научным сотрудником компании RSA, ориентированной на цифровую безопасность. Теперь он будет занимать аналогичную должность в Chainlink Labs. Джуэлс, также преподающий в Корнельском университете, разработал DECO совместно с другими разр

      in Новости криптовалют

    • Верификация криптокошельков

      Привет! Я провожу исследование - очень нужно мнение всех, кто имеет отношение к криптовалютам. Вопрос: если бы у вас была возможность верифицировать свои криптокошельки, при каких обстоятельствах вы бы это сделали? И если это не интересно вам лично, кого, на ваш взгляд может заинтересовать подобная услуга?    Первичный анализ показывает, что больше всего верификация привлекательна для новых криптопроектов: тех, кому нужно завоевать доверие аудитории. Теоретически, это может быть интере

      in Юридические вопросы

    • Опрос: 46% владельцев BTC хранят криптоактивы в аппаратных кошельках

      Согласно опубликованному на Reddit опросу, большинство владельцев криптовалют хранят свои BTC в аппаратных кошельках, а также имеют бумажную резервную копию закрытых ключей. Пользователь Reddit под ником gunnaj опубликовал результаты опроса владельцев криптовалют, проведенного им во время написания докторской диссертации. Он задал 339 респондентам пять вопросов, связанных с безопасностью BTC, сосредоточив внимание на том, как пользователи криптовалют хранят свои закрытые ключи.   Н

      in Новости криптовалют

×
×
  • Create New...