Polskie Forum Bitcoin

Dejmien pisze:Ogolnie to chyba trudno zlapac keyloggera na kompie jak sie ma antywirusa wiec mysle ze te kombinowanie coraz to wiekszym zabezpieczeniem portfela to jest troche paranoja.

To interesujące, bo z tego co wyczytałem o keyloggerach to mogą się zagnieździć na komputerze niezależnie od oprogramowania antywirusowego. Czy jakiś z bardziej doświadczonych użytkowników może się wypowiedzieć nt. keyloggerów i powyżej przeze mnie opisanego sposobu zabezpieczenia hasła do portfela?

Wpisywać hasło z klawiatury ekranowej

Adun pisze:Mam 'pomysł' na bezpieczny portfel. Powiedzcie mi tylko, czy taki sposób jest dobry:
1. Sciagam Mutlibita i instaluje go na pendrivie na swoim komputerze, na którym pracuje na codzien i synchronizuje sie z siecia.
2. Polaczam pendrive z porfelem do urzazenia, ktore nigdy wiecej nie polaczy sie z netem (świeżo po formacie/nowy z samym systemem)
3. Tworze mocne haslo i zapisuje kopie na sprzecie + na doatkowym pendrive.
4. Przelewam Bitcoiny z gieldy na moj adres, ale nikt nie ma prawa znać mojego hasla ponieważ tworzylem je offline.

I jak?

1. Będziesz jeszcze potrzebował transakcji offline aby wypłacić zaoszczędzone bitcoiny z komputera bez podłączania go do sieci.
2. Jest ryzyko, że zapomnisz hasło.
3. Jeśli zapiszesz hasło w password managerze, jest ryzyko że baza haseł wycieknie lub utracisz ją w zdarzeniu losowym.

Podsumowując, doszedłeś do punktu gdzie największym ryzykiem jest utrata hasła do bitcoinów. Dlatego często zaleca się utworzenie portfela papierowego bez żadnego szyfrowania. To znów rodzi nowe zagrożenia, czy ufasz swoim domownikom / współlokatorom / pracownikom banku, ryzyko nawet przypadkowej kradzieży czy pożaru itd.

Podsumowując, bezpieczne przechowywanie dużych kwot kryptowalut to bardzo trudny problem.

Mam tu na myśli nie 10.000 PLN tylko kwoty, które mogą zrujnować życie

Wpisywać hasło z klawiatury ekranowej

Ponoć klawiatura ekranowa wysyła "taki sam sygnał" (używając swojego laickiego języka ) jak wciśnięcie klawisza na kompie. Nie mniej jest to dodatkowe zabezpieczenie, które może wyeliminować chociaż część keyloggerów.

1. Będziesz jeszcze potrzebował transakcji offline aby wypłacić zaoszczędzone bitcoiny z komputera bez podłączania go do sieci.

Z drugiej strony moge dokonać transakcji online i chwilę po tym przełączyć portfel do urządzenia offline, na którym zmienie hasło i zapiszę kopie kluczy, a nastepnie znowu podłączę portfel do maszyny online, żeby zaktualizować nowe hasło z siecią. Okno czasowe, przy wcześniejszym przygotowaniu nowego hasła będzie krótkie i bezpieczne dla moich btc. Chyba?

2. Jest ryzyko, że zapomnisz hasło.

Jeśli będę miał je zaszyfrowane truecryptem i trzymał w dwóch kopiach, na dwóch różnych nośnikach oraz zapamiętam je, to chyba mam szanse nie utracić tegoż hasła?

qertoip pisze:Podsumowując, bezpieczne przechowywanie dużych kwot kryptowalut to bardzo trudny problem.
Mam tu na myśli nie 10.000 PLN tylko kwoty, które mogą zrujnować życie

I tak i nie.
Wystarczy mieć komputer odłączony od sieci i na nim wygenerować portfel, przesłać na adres wielką sumę bitków, portfel zaszyfrować mocnym hasłem (najlepiej jakąś sobie dobrze znaną frazą, zdaniem, którego się nie zapomni), portfel trzymać na tym kompie oraz w dwóch innych miejscach na przykład gdzieś w sieci.
Do tego można to wydrukować niezahasłowane na papierze i dać do sejfu w banku czy gdzieś do notariusza na wypadek jakbyśmy stracili pamięć czy umarli.

Uważam, że samo przechowywanie nie jest niebezpieczne.

Niebezpieczne jest tylko wysyłanie bitków - czyli moment w którym musimy wpisać hasło do portfela.

Powinien powstać łatwy mechanizm, który działa na kompie odłączonym od sieci, wpisujemy hasło do portfela on nam generuje transakcje offline, którą przenosimy na pendrive do kompa online, wrzucamy do realizacji i już. Nawet jak ktoś nam przechwyci taki kod transakcji to nic nie zrobi bo ona ma podpis pasujący tylko do adresu doecelowego i kwoty.
Nie znam dobrze tych mechanizmów offline, nie ma takich łatwych?

Przemo pisze:

qertoip pisze:Podsumowując, bezpieczne przechowywanie dużych kwot kryptowalut to bardzo trudny problem.
Mam tu na myśli nie 10.000 PLN tylko kwoty, które mogą zrujnować życie

I tak i nie.

Czynisz tu co najmniej dwa założenia:
- implementacja szyfrowania portfela w danym kliencie nie ma błędów (skoro umieszczamy kopie w sieci)
- bank/notariusz sam nie użyje / nie zgubi / nie ukradną mu papierowego portfela

Dla mnie to jest OK do sporych kwot, powiedzmy 50.000 zł ale jeśli hipotetycznie rozważam kwoty mogące zrujnować życie - powiedzmy wiele milionów złotych - zwłaszcza nieswoich bitcoinów - to bałbym się czynić takie założenia.

Nie mam gotowego rozwiązania ale na pewno w każdej ścieżce do bitcoinów musi być minimum dwuwarstwowe zabezpieczenie. Nigdy nie można polegać na jednej warstwie zabezpieczeń (np. "ufamy skrytkom bankowym" albo "ufamy implementacji szyfrowania portfela w Bitcoin-QT").

Przemo pisze:...
Powinien powstać łatwy mechanizm, który działa na kompie odłączonym od sieci, wpisujemy hasło do portfela on nam generuje transakcje offline, którą przenosimy na pendrive do kompa online, wrzucamy do realizacji i już. Nawet jak ktoś nam przechwyci taki kod transakcji to nic nie zrobi bo ona ma podpis pasujący tylko do adresu doecelowego i kwoty.
Nie znam dobrze tych mechanizmów offline, nie ma takich łatwych?

Taką funkcję na portfel Armory. Generujemy transakcję na portfelu online, przenosimy na pendrivie do portfela offline, podpisujemy i przenosimy transakcję do portfela online. Privkeye nie opuszczają portfela offline.

Podobnie działa portfel sprzętowy Tresor, przy współpracy z Multibitem. Zastrzegam, że na razie nie sprawdzałem tego w praktyce

Moim zdaniem Armory to świetnie zapowiadający się projekt. Bardzo prosta obsługa i zaawansowane funkcje. Polecam dla zaawansowanych.
Muszą niestety jeszcze poprawić trochę kod do wersji stabilnej bez zżerania ogromnych ilości pamięci.

Przemo pisze:Powinien powstać łatwy mechanizm, który działa na kompie odłączonym od sieci, wpisujemy hasło do portfela on nam generuje transakcje offline, którą przenosimy na pendrive do kompa online, wrzucamy do realizacji i już. Nawet jak ktoś nam przechwyci taki kod transakcji to nic nie zrobi bo ona ma podpis pasujący tylko do adresu doecelowego i kwoty.
Nie znam dobrze tych mechanizmów offline, nie ma takich łatwych?

Wymaga to znania inputów, więc historię adresu musimy ściągnąć online, skopiować do skrytpu offline który podpisuje tx i możemy ją puścić online.
Niestety, "łatwiej" się nie da.
Chyba, że importujesz priva, wysyłasz co chcesz i puszczasz resztę na kolejny offline.

Ja tworze takie rozwiązanie
1. Tworze dysk TrueCrypt
2. Instaluje system (windows/linux) na wirtualboxie
4. Odpalam odpowiednie klienty + synchronizacja + hasła na portfele
3. Dysk wirtualboxa jest zapisywany na dysku TC.
5 Hasła zapisuje w keepass (lub je zapamiętać, ale 256 bitowe ciężko zapamietać).
6 Teraz dysk TC mogę wysłać w chmurę np: dropbox.

W razie awarii mam kopie

rav3n_pl pisze:

Przemo pisze:Powinien powstać łatwy mechanizm, który działa na kompie odłączonym od sieci, wpisujemy hasło do portfela on nam generuje transakcje offline, którą przenosimy na pendrive do kompa online, wrzucamy do realizacji i już. Nawet jak ktoś nam przechwyci taki kod transakcji to nic nie zrobi bo ona ma podpis pasujący tylko do adresu doecelowego i kwoty.
Nie znam dobrze tych mechanizmów offline, nie ma takich łatwych?

Wymaga to znania inputów, więc historię adresu musimy ściągnąć online, skopiować do skrytpu offline który podpisuje tx i możemy ją puścić online.
Niestety, "łatwiej" się nie da.

Uściślijmy

Historię rzeczywiście trzeba ściągnąć online, to się nazwya watching-only-wallet.

Historii nie trzeba natomiast kopiować do komputera offline.

To działa tak:
1) tworzymy transakcję na komputerze online
2) podpisujemy transakcję na komputerze offline
3) wysyłamy transakcję na komputerze online

Podsumowując, komputer offline służy tylko do podpisywania transakcji. Nie ma historii, nie zna salda, nie zna inputów adresu -> nie może samodzielnie utworzyć transakcji ale może ją podpisać, bo do tego wystarczą klucze prywatne.

Odświeżam temat dla nowych użytkowników i dodaję propozycję bezpiecznej klawiatury mobilnej.
https://play.google.com/store/apps/deta ... pckeyboard

Praktycznie bez żądań uprawnień. Z góry trzeba odrzucić wszystkie samouczące się klawiatury typu swiftkey. One przesyłają wszystko na swoje serwery. Niby poza hasłami...
Kto ma jakikolwiek portfel crypto na tel powinien przynajmniej używać fabrycznej. I wyłączyć inteligentne podpowiedzi. A najlepiej właśnie tę powyższą.
Tu jeszcze art
https://www.dobreprogramy.pl/Hackers-Ke ... 53822.html

fajna klawiatura, oraz cenna uwaga co do klawiatur ekranowych . Ja zachęcam do całkowitego usunięcia z systemu wszelkich usług powiązanych z Google, zwłaszcza gdy dany smartfon jest portfelem. Istnieje bogaty soft opensource zastępujący ekosystem googla , bez żądań uprawnień, bez spersonalizowanego logowania się , bez klawiatur i aplikacji które przekazują wszystko do korporacyjnej chmury.
np tu: https://f-droid.org

Skoda że twórca na gitchub nie udostępnia binarek.
Tutaj jest binarka , plik APK dla osób które mają usunięte z systemu wszelkie usługi powiązane z google:
https://f-droid.org/en/packages/org.poc ... ckeyboard/

Bit-els pisze: ↑ poniedziałek, 21 stycznia 2019, 12:03 Odświeżam temat dla nowych użytkowników i dodaję propozycję bezpiecznej klawiatury mobilnej.
https://play.google.com/store/apps/deta ... pckeyboard

Praktycznie bez żądań uprawnień. Z góry trzeba odrzucić wszystkie samouczące się klawiatury typu swiftkey.

Wiesz co, ja powiem inaczej.

Przeanalizowałem jak działa struktura bezpieczeństwa w Androidzie (a szczególnie żałosne szyfrowanie oraz non-stop podsłuch Google'a) i doszedłem do wniosku że używanie zwykłego telefonu androida z usługami google i appkami ze sklepu google'a do logowania się gdziekolwiek totalnie mija się z celem i jest ekstremalnie niebezpieczne.

Obecnie loguję się na swoje serwisy tylko z laptopa, który jest podłączony do tel. z Androidem tylko przez WiFi + szyfrowane połączenie. Jest to jedyny sposób na zapewnienie sobie "rozsądnego" poziomu bezpieczeństwa.

Jak będę znowu chciał z telefonu wchodzić gdzieś na SSH, na konto w banku czy inne secure serwisy to kupię sobie chyba taki telefon specjalnie do tego:
https://puri.sm/products/librem-5/

No i najważniejsze.
Nie będziesz rozważał zakupu innych shitcoinów poza satoshiego I nie pożądaj żadnych innych sexy shitcoinów bo to jak z kobietą ,która wydaje się perspektywiczna ale później się je*ie (na notowaniach) z pozostałymi shitcoinami.

wiąże się to zbitcoinem, czy w ogóle z krypto. trzeba pamiętać, że smartkontrakty na sieciach typu eth nigdy nie są tak bezpieczne i niezależne jak natywne krypto typu bitcoin.

zawsze taki kontrakt można unieważnić. Co właśnie robi Tether.

nie mówię, że akurat w tym przypadku właściwe to nie jest, bo łapiemy złodzieja przecież. Ale jak można w dobrym to zawsze można też i w każdym innym celu i z innego powodu.

kontrakty nie dają pewności przechowywania środków!