TREZOR - bezpieczeństwo.

[AdamM]

Wycinek z faq trezora:

Why should I trust TREZOR with my private keys?

Because the entire design of TREZOR, from software to hardware manufacturing files are open-source. You can verify the product by yourself or find some other professional you trust to do so.

kontra:

Is it possible to flash the device?

Devices sold by us have an USB bootloader that allows to flash only firmware signed by us. This is to increase security of the end users.

Czyli owszem, możesz poczytać źródła. Ale upewnić się że to właśnie ten program masz na swoim urządzeniu to już nie za bardzo.

[rav3n_pl]

Ojtam. Zaraz będzie crack bootloadera jak w komórkach i po bólu. Bo faktycznie, czemu mam flashować ICH binarki?

[AdamM]

Ojtam. Zaraz będzie crack bootloadera jak w komórkach i po bólu. Bo faktycznie, czemu mam flashować ICH binarki?

Ogólnie rzecz biorąc całe gadanie o opensource nie ma sensu jeśli nie dają możliwości wrzucenia swojego kodu (swoją drogą GPL v3 chyba na to nie pozwala, ciekawe jaką licencję wybiorą). No bo co to za bezpieczeństwo że dadzą do poczytania jakiś kod, który nawet nie wiadomo czy jest na urządzeniu...

Bez "cracka" na pewno tego nie tknę.

[AdamM]

Panowie rozwiali trochę moje wątpliwości na fejsie.

Bitcoin Trezor (stick) This part of FAQ is obsolete now. I have changed it to: "Yes, it is. Devices sold by us have an USB bootloader that allows firmware flashing. Upon start the firmware signature is checked and if it does not match ours a warning is issued. User can continue on his own risk after pressing the button. This small inconvenience is to increase the security of the end users."

Bitcoin Trezor (slush) Good question. Firstly, you can build your own firmware from the github sources, then download signed firmware from our website and compare they're exactly the same binaries (except digital signature area). Then you can flash such signed firmware into Trezor. Then you know that firmware running on Trezor is the same as on Github.

Secondly, the information in FAQ about inability to upload your own firmware is outdated and I'll fix it soon. Valid information is that you can upload unsigned (your own) firmware into the device, you'll be just informed about that fact every time you connected the device.

[rav3n_pl]

Czyli można, ale będzie marudzić za każdym razem? Bosz...