Перейти к содержанию

Конфиденциальность аппаратных криптокошельков


Рекомендуемые сообщения

Интересует вопрос по конфиденциальности криптокошельков, в частности Ledger и Trezor.

Полагаю, у каждого выпущенного криптокошелька есть свой уникальный серийный номер, который привязывается к данным человека, который его приобрел.

Соответственно, при работе с криптокошельками, они отправляют на сервера разработчиков, или ещё куда свой серийный номер, или какой либо идентификационный знак? Например, при соединении аппаратного кошелька с Chrome плагином. И как следствие, все сгенерированные кошельки могут быть сопоставлены с конкретным человеком.

Ответа на данный вопрос я нигде не нашёл, если кто в курсе, то подскажите пожалуйста. Если я написал не в тот раздел, то прошу модераторов перенести мое сообщение в соответствующий раздел или тему.

Ссылка на комментарий
Поделиться на другие сайты

Тогда не покупайте на свое имя только и всего.

 Аппаратные кошельки для сохранности монет, а не для анонимности пользователя.

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, e46btc сказал:

Тогда не покупайте на свое имя только и всего.

 Аппаратные кошельки для сохранности монет, а не для анонимности пользователя.

Лично я так и поступил, но вопрос для удовлетворения интереса, чтобы быть в курсе подобных нюансов, которые нигде не описаны.

Ссылка на комментарий
Поделиться на другие сайты

20 часов назад, Инвестиции сказал:

Полагаю, у каждого выпущенного криптокошелька есть свой уникальный серийный номер, который привязывается к данным человека, который его приобрел.

Насколько мне известно, это не так (в Ledger, в других не знаю). Серийного номера нет, для служебных нужд в зашифрованном виде на сервере хранится идентификатор, который генерируется из сида (по сути публичный ключ одной из HD-ветвей), поэтому никакой связи с конкретным покупателем нет. А если пользоваться исключительно сторонним софтом, то там вообще никаких следов не остается.

Ссылка на комментарий
Поделиться на другие сайты

58 минут назад, jam72 сказал:

Насколько мне известно, это не так (в Ledger, в других не знаю). Серийного номера нет, для служебных нужд в зашифрованном виде на сервере хранится идентификатор, который генерируется из сида (по сути публичный ключ одной из HD-ветвей), поэтому никакой связи с конкретным покупателем нет. А если пользоваться исключительно сторонним софтом, то там вообще никаких следов не остается.

Благодарю за разъяснения. Если это так, тогда сопоставить девайс с покупателем нельзя.

 

А вот такой момент ещё важный, сгенерированные кошельки отправляются на сервер разработчиков(разработчики как кошелька, так и плагина для браузера)? Таким образом, чтобы разработчики, или иное лицо могло сопоставить принадлежность сгенерированных кошельков к одному сиду (и как следствие, к одному устройству).

Грубо говоря ситуация, один кошелек публичный, а другой для теневых операций, и тогда по теневому кошельку можно узнать все остальные сгенерированные кошельки, если эта информация есть у разработчиков.

Ссылка на комментарий
Поделиться на другие сайты

@Инвестиции  Кошельком я называю хранилище адресов, дерево адресов генерируется из сида.

 

27 минут назад, Инвестиции сказал:

сгенерированные кошельки отправляются на сервер разработчиков(разработчики как кошелька, так и плагина для браузера)?

Если вы пользуетесь на компе софтом разработчика, то он имеет доступ к публичным ключам xpub, к приватным ключам доступ никто, кроме пользователя, не имеет. Что вы называете "сгенерированными кошельками", мне не очень понятно.

 

31 минуту назад, Инвестиции сказал:

Таким образом, чтобы разработчики, или иное лицо могло сопоставить принадлежность сгенерированных кошельков к одному сиду (и как следствие, к одному устройству).

Принадлежность адресов к одному сиду, имея xpub, установить достаточно просто.

 

В Ledger Nano S (я говорю только про него, с другими не знаком) можно комфортно пользоваться двумя сидами (можно и больше, но менее удобно) - первый сид генерируется из 24 слов, а второй из этих же слов + дополнительное слово-пароль. Разработчики не смогут обнаружить связь между ними, разве что косвенно догадаться по IP-адресу. Они как два разных устройства (кошелька).

Ссылка на комментарий
Поделиться на другие сайты

Ещё раз спасибо. Как я понимаю, леджер через официальный софт всё таки сливает на сервера разработчиков всё дерево адресов которые генерируются из сида.

Все понял, вроде бы все нюансы для себя прояснил.

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Инвестиции сказал:

Как я понимаю, леджер через официальный софт всё таки сливает на сервера разработчиков всё дерево адресов которые генерируются из сида.

Не знаю, всё ли дерево, но xpub-ы некоторых веток сливает, да.

Ссылка на комментарий
Поделиться на другие сайты

Хотя, возможно я не прав. Нашел вот такую ссылку, там вроде бы говорится, что xpub не передается на сервер. Короче, надо исходники смотреть, чтобы наверняка знать...

Ссылка на комментарий
Поделиться на другие сайты

34 минуты назад, jam72 сказал:

Хотя, возможно я не прав. Нашел вот такую ссылку, там вроде бы говорится, что xpub не передается на сервер. Короче, надо исходники смотреть, чтобы наверняка знать...

Увы, адреса сливаются, вот слова разработчика Ledger:



technically we could also track every address since you're using our server with our Chrome app - so if that's your concern you should rather use a third party wallet

Некрасиво со стороны разработчиков столь серьезного девайса собирать информацию. В некоторых странах только за сам факт использования криптовалюты могут посадить на длительный срок, очень жаль, что разработчики аппаратных кошельков не желают это понимать.

Ссылка на комментарий
Поделиться на другие сайты

Из той же оперы.

 

Цитата

В продолжение экспериментов с леджером наткнулся на еще одну вещь, которая снова сеет во мне сомнение насчет того, что все хранится только внутри леджера, а не на каких серверах. Речь конечно же не об самих адресах, которые восстанавливаются из сида через BIP39, а немного о другом.

В леджер валлет для каждой валюты можно создать несколько аккаунтов (правда, только после того как на предыдущий будет осуществлена транзакция) и дать каждому аккунту название и цветовое обозначение. При восстановлении через BIP39 (например, здесь - https://www.ledgerwallet.com/support/bip39-standalone.html) есть редактируемое поле Account в Derivaton Part, которое и соответствует порядкому номеру аккаунта, начиная с нуля. В случае с аккаунтом по умолчанию (нулевым), все просто и понятно. Но стало интересно, что будет если восстанавливать леджер, на котором монеты хранились не на нулевом, а на N-ом аккаунте.

Для эксперимента хорошо было бы делать восстановление на втором леджере, но у меня только один, поэтому схема была следующая: перевел монеты на N-й аккаунт - сделал ресет леджера - для пущей убедительности создал новый сид и зашел под ним в леджер валлет, там только дефолтный аккаунт как должно быть, никакого N-го нет - снова делаю ресет - перехожу на другой компьютер (на котором леджер еще вообще никогда не исплользовал) и на нем восстанавливаю исходный сид - захожу на леджер валлет и вижу там мой N-й аккунт с тем же имененм и цветовой меткой, которые я ему и присваивал.

Тому, что леджер восстановил N-й аккунт еще могу как-то придумать объяснение, ну например, он при восстановлении пробегает по аккунтам, соответствующим восстанавливаемому сиду, и ищет через блокчейн ненулевые. Но откуда он берет название и цветовую метку, которые я присваивал этому аккаунтуHuh Это же никак не зашито в BIP39! Это чисто внутренние вещи леджера, которые могли остаться либо в файлах расширения (но я перешел на другой комп), либо внутри леджера (но должны были затереться при ресете), либо же получается на серверах леджера... Если последнее, то эти-то данные секьюрного значения конечно не имеют, но если они там хранятся, то кто знает что хранится еще...

Есть у кого-то идеи как леджер так ловко проворачивает восстановление не содержащихся в сиде параметров? 
Ну и по моему вопросу из цитируемого тоже по-прежнему интересно узнать знает ли кто чем проски-расширение мешает леджеру работать

 

https://bitcointalk.org/index.php?topic=2897956.80

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

    • Компания Ledger обещает возместить жертвам взлома криптокошельков $ 600 000

      Производитель криптовалютных кошельков Ledger заявил о готовности покрыть убытки пользователей, понесенные в ходе резонансной хакерской атаки на аппаратные устройства компании. В Ledger пообещали, что, помимо финансовых компенсаций пострадавшим владельцам аппаратных криптокошельков, компания обновит программное обеспечение на устройствах. К июню 2024 года пользователи смогут перестать подписывать криптовалютные транзакции вслепую.   При слепой подписи пользователи Ledger не видят всех

      в Новости криптовалют

    • ScamSniffer: Похитители данных криптокошельков Эфириума украли более $60 млн

      Эксперты ScamSniffer сообщают, что хакеры, специализирующиеся на получении доступа к закрытым ключам криптокошельков, за каких-то шесть месяцев украли криптоактивы на сумму более $60 млн. Хакеры модифицировали фрагмент кода CREATE2, который используется такими компаниями как Uniswap для создания парных контрактов и прогнозирования адреса контракта перед развертыванием в сети Эфириума.   Таким способом злоумышленники получили не только возможность мгновенно создавать временные адреса к

      в Новости криптовалют

    • Mastercard планирует сотрудничать с производителями криптокошельков

      Платежный гигант Mastercard представил план по работе с компаниями, выпускающими криптовалютные кошельки, такими как MetaMask и Ledger. В компании считают, что наличие платежной карты помогает поставщикам таких криптокошельков увеличивать количество активных пользователей. Но компании, производящие кошельки, сталкиваются со значительными требованиями при внедрении карт в новом регионе. Именно здесь на помощь может прийти Mastercard.   «Mastercard внедряет свой надежный и прозрачный

      в Новости криптовалют

    • Криптобиржа Binance заморозила около сотни криптокошельков по просьбе Израиля

      Крупнейшая криптовалютная биржа Binance заблокировала уже более сотни кошельков по просьбе израильских властей. Об этом сообщает издание Financial Times со ссылкой на свои источники. Израильские власти попросили закрыть криптовалютные счета и конфисковать цифровые активы на миллионы долларов после атак ХАМАС. По данным FT, после 7 октября было закрыто более 100 аккаунтов на Binance, при этом власти страны запросили информацию еще по 200 другим аккаунтам, в основном на той же бирже.   

      в Новости криптовалют

    • Производитель аппаратных кошельков Ledger сокращает 12% штата

      Генеральный директор французской фирмы Ledger, занимающейся производством аппаратных криптовалютных кошельков, сообщил о решении сократить 12% штата — всего будет уволено около 88 человек. В своем письме Паскаль Готье (Pascal Gauthier) сообщил о неблагоприятной макроэкономической ситуации и продолжительном кризисе в криптовалютной отрасли. Он напомнил о крахе таких компаний, как FTX и Voyager Digital, и заявил, что для «продолжения бизнеса» нужно сокращать сотрудников.   «Макроэконо

      в Новости криптовалют

×
×
  • Создать...