rav3n_pl pisze: ↑ środa, 27 listopada 2019, 00:18 Wolę kartę i offline kompa.
Początkującemu użytkownikowi z zawirusowanym komputerem sugerujesz wykorzystanie programu komputerowego do przetworzenia krytycznego sekretu. Co może pójść nie tak?
To jest naprawdę fatalny pomysł, również w wykonaniu zaawansowanych użytkowników z Tailsami offline.
To inwaliduje cały model bezpieczeństwa portfeli sprzętowych.
rav3n_pl pisze: ↑ środa, 27 listopada 2019, 00:18Który portfel ma TRNG?
Każdy popularny ma TRNG (Ctrl+F):
Coldcard -
https://coldcardwallet.com/
Ledger -
https://shop.ledger.com/products/ledger-nano-s
Trezor -
https://github.com/trezor/trezor-core/b ... ardware.md
Coldcard
dodatkowo umożliwia zasilenie
rzutami kostką przy czym wyniki rzutów wprowadza się na HW oczywiście nie na komputerze - polecam tę opcję wszystkim mającym obawy.
Trezor
dodatkowo łączy swój sprzętowy RNG z komputerowym RNG w kryptograficznie bezpieczny sposób. Ponieważ entropia jest addytywna, wystarczy że jeden z nich jest silny (drugi może być skompromitowany - wciąż będzie okay). Ponieważ przetworzenie tych entropii jest jednokierunkowe (SHA256), nie jest problemem, że komputer zna "swoją część" entropii wejściowej. W żaden sposób nie osłabia to wynikowego sekretu.
Podsumowując, sceptycyzm wobec RNG jest zdrowy, wszystko warto kwestionować i weryfikować ale niestety zaproponowana alternatywa to zło