HODLER.TECH Pierwszy uniwersalny portfel sprzętowy z setkami obsługiwanych monet

pm7
Moderator
Posty: 7726
Rejestracja: 20 maja 2012
Reputacja: 832
Reputacja postu: 
5
Napiwki za post: 0 BTC

HODLER.TECH Pierwszy uniwersalny portfel sprzętowy z setkami obsługiwanych monet

Postautor: pm7 » sobota, 28 lipca 2018, 14:03

HODLER.TECH pisze:Przejdź do cytowanego posta Nasz pomysł:
Trochę późno, bo mnie ostatnio nie było na forum, ale może się przyda:
Pomysł sam w sobie nie jest zły, ale mam trochę uwag.
Seed jest mocno przemyślanym rozwiązaniem. Umożliwia wykonanie backupu i bezpieczne przywrócenie bez pośrednictwa komputera.
Ponieważ jest nieszyfrowany, domyślnie umożliwia odzyskanie dostępu nawet jak ktoś zapomni hasła (jak ktoś potrzebuje wyższego bezpieczeństwa, jest BIP39 Passphrase).

Nie rozumiem tego o możliwości przejęcia przez wyświetlenie na ekranie. Chodzi o podglądanie? Cóż, np. Trezor ostrzega, że seed należy przepisać w bezpiecznym miejscu (brak kamer i innych ludzi zaglądających nam przez ramię). Jeżeli zaś chodzi o luki w urządzeniu: wtedy i tak prawdopodobnie da się przejąć portfel na inne sposoby.

Seed co prawda nie przechowuje listy ręcznie dodanych tokenów, ale jednorazowy backup umożliwia odzyskanie dostępu do wszystkich w przyszłości, wystarczy je ponownie dodać. Wymaganie częstego kopiowania backupu jest znacząco gorsze niż seed. W dodatku, plik prawdopodobnie wiele osób skopiuje na komputer, więc bezpieczeństwo będzie się opierać na haśle. Drukowanie seed jest bardzo niebezpieczną rzeczą (a dokładniej, łatwo popełnić błąd, np. użycie "smart" drukarki, albo niedokładne wyczyszczenie komputera z którego się drukowało). Przepisanie seed wyświetlanego na portfelu na papier jest znacznie bezpieczniejsze.

Dobre hasło jest łatwe do zapomnienia. Jeżeli jeszcze tego nie zrobiliście, polecam na potrzeby backupu zaimplementować "key stretching" (najlepiej z solą). Jeżeli sprawdzenie jednego hasła trwa 10s i nie da się wygenerować tablicy częstych haseł (bo każdy backup ma inną sól), łamanie będzie znacznie trudniejsze i mniej opłacalne.

Lista tokenów to nie jest tak wrażliwa informacja jak seed/klucz prywatny. Mogłaby być szyfrowana kluczem prywatnym i automatycznie backupowania w waszej chmurze, nie? Dobrze by było, żeby to była funkcja opcjonalna :)

Oficjalny przedstawiciel projektu
Awatar użytkownika
Posty: 277
Rejestracja: 19 lutego 2018
Reputacja: 241
Reputacja postu: 
3
Napiwki za post: 0 BTC

HODLER.TECH Pierwszy uniwersalny portfel sprzętowy z setkami obsługiwanych monet

Postautor: HODLER.TECH » sobota, 28 lipca 2018, 17:13

@pm7

Dzięki za Twoją opinię. Rozwiązanie zostanie wprowadzone ze względu na to, że otrzymaliśmy wiele próśb o umożliwienie skopiowania seeda z aplikacji do schowka. Możemy się tylko domyślać co się z nim później stanie, najprawdopodobniej nastąpi przesłanie go poprzez email lub umieszczenie w chmurze bez żadnych zabezpieczeń. Chcemy stworzyć coś, co będzie można przesłać niezabezpieczonymi kanałami bez narażania się na utratę kryptowalut. Nie zmienimy podejścia ludzi do bezpieczeństwa, mamy jednak wpływ na to jak aplikacja będzie broniła użytkownika przed jego lekkomyślnością. HSB (tak nazwaliśmy to rozwiązanie) będzie umożliwiało odzyskanie portfela bez użycia komputera oraz bez wyświetlania seeda, jeśli natomiast ktoś świadomie będzie chciał go wyświetlić, może to zrobić rozpakowując archiwum na komputerze lub telefonie.

Odnośnie problemu z wyświetlaniem na ekranie, chodzi o różnego rodzaju loggery na smartfony i desktopy które przechwytują ekran. Zakładając że z czasem każdy będzie miał zainstalowany w smartfonie portfel, pojawi się więcej malware do przechwytywania seedów w ten sposób. Chcemy wyjść o krok na przód i przygotować się na tego typu masowe ataki zanim nastąpią.

Archiwum z backupem to będzie właśnie archiwum z seedem, czyli nie będzie konieczne jego wielokrotne tworzenie, chyba że użytkownik będzie chciał stworzyć backup listy monet i ustawień portfela, będzie to niezależna opcja, tak jak zaproponowałeś.

Sugestię co do key stretching przekazałem do przeanalizowania dla programistów.

Co do chmury, wylała się na nas fala niezadowolenia z tego rozwiązania, na bitcointalk słusznie zaminusowano moje konto, gdyż próbowałem bronić tego rozwiązania https://bitcointalk.org/index.php?actio ... ;u=1775834 dlatego wraz z pomysłem na HSB pomysł został zarzucony ponieważ jeśli backup będzie zaszyfrowany i będzie możliwość przesłania go np. na email bez ryzyka utraty kontroli nad kluczem, Cloud Backup stał się pomysłem niepotrzebnym. Centralna chmura gdzie przechowywane są duże ilości kluczy to jednak słabe rozwiązanie w przyszłym zdecentralizowanym świecie:)

HSB rozwiąże nam też funkcjonalność "pay-to-email". Funkcja ta, ma służyć do przekazywania drobnych kwot osobom które nie wiedzą jak posługiwać się krytpowalutami, nie posiadają portfela a my chcemy ich tym zainteresować. Wystarczy wpisać w pole "Adres odbiorcy" email osoby do której chcemy przesłać kryptowaluty. Aplikacja automatycznie utworzy nowy portfel na którego adres wpłyną nasze środki, następnie wyśle do odbiorcy wiadomość email z linkiem do pobrania naszej aplikacji oraz załączonym portfelem ze środkami. Odbiorca będzie mógł trzema kliknięciami zaimportować ten plik do portfela i po otrzymaniu hasła do portfela inną drogą (np. SMS) zacząć swoją przygodę z kryptowalutami, zarejestrować się na giełdzie, przesłać na nią otrzymane kryptowaluty, sprzedać je i wypłacić gotówkę na konto. Liczymy na to że część "zarażonych" w ten sposób osób, zostanie w naszym środowisku na dłużej.
HODLER Wallet - BTC, BCH, LTC, DASH, ETH + Tokeny ERC20- https://hodler.tech
Telegram: http://t.me/HODLERTECHPL
Testy portfela: https://goo.gl/forms/sDL3Wteab4jee3U03
Rozwój: https://github.com/HODLERTECH/HODLER-Android-App/issues

pm7
Moderator
Posty: 7726
Rejestracja: 20 maja 2012
Reputacja: 832
Reputacja postu: 
1
Napiwki za post: 0 BTC

HODLER.TECH Pierwszy uniwersalny portfel sprzętowy z setkami obsługiwanych monet

Postautor: pm7 » poniedziałek, 30 lipca 2018, 23:33

HODLER.TECH pisze:Przejdź do cytowanego posta Rozwiązanie zostanie wprowadzone ze względu na to, że otrzymaliśmy wiele próśb o umożliwienie skopiowania seeda z aplikacji do schowka.
No, to w porównaniu z kopiowaniem do schowka ta opcja jest dużo lepsza :)

HODLER.TECH pisze:Przejdź do cytowanego posta Możemy się tylko domyślać co się z nim później stanie
Smutne rzeczy zapewne.

HODLER.TECH pisze:Przejdź do cytowanego posta Odnośnie problemu z wyświetlaniem na ekranie, chodzi o różnego rodzaju loggery na smartfony i desktopy które przechwytują ekran. Zakładając że z czasem każdy będzie miał zainstalowany w smartfonie portfel, pojawi się więcej malware do przechwytywania seedów w ten sposób.
Wydaje mi się wątpliwe, by oprogramowanie było w stanie przechwytywać obraz innej aplikacji, a nie mogło skopiować backupu i przechwycić hasła. Ale nie znam się aż tak na aktualnym bezpieczeństwie telefonów.

HODLER.TECH pisze:Przejdź do cytowanego posta Sugestię co do key stretching przekazałem do przeanalizowania dla programistów.
Super.

HODLER.TECH pisze:Przejdź do cytowanego posta Cloud Backup stał się pomysłem niepotrzebnym. Centralna chmura gdzie przechowywane są duże ilości kluczy to jednak słabe rozwiązanie w przyszłym zdecentralizowanym świecie:)
No, kluczy nie powinniście wysyłać do siebie, nawet szyfrowanych :)
Co innego zaszyfrowany backup ustawień. Np. Trezor pozwala zapisać zaszyfrowane opisy kont/adresów/transakcji w Dropbox.

HODLER.TECH pisze:Przejdź do cytowanego posta HSB rozwiąże nam też funkcjonalność "pay-to-email".
Ciekawy sposób. Mam tylko nadzieję, że nie będzie niepotrzebnie utrudniane wypakowanie seed dla osób, które mają inny portfel kryptowalut.

Początkujący
Posty: 14
Rejestracja: 2 marca 2018
Reputacja: 1
Reputacja postu: 
1
Napiwki za post: 0 BTC

HODLER.TECH Pierwszy uniwersalny portfel sprzętowy z setkami obsługiwanych monet

Postautor: FL4RE » wtorek, 31 lipca 2018, 19:54

@pm7

Odnośnie keystreching, w archiwim znajduje sie plik tekstowy z zaszyfrowanym seedem metoda z keystreching (Speck + TCA), jednakże w wersji Alpha jedna próba na smartfonie przeciętnego użytkownika trwa ok. 10 sekund, jednak na PC to będzie około 1 sekundy. Jest to limit narzucony jedynie do latwiejszego testowania wczesnych wersji. Docelowo, hasło będzie wspomagane solą, przez co próba złamania metodami słownikowymi nie powiedzie się tak szybko nawet w przypadku użycia hasła admin1

Oficjalny przedstawiciel projektu
Awatar użytkownika
Posty: 277
Rejestracja: 19 lutego 2018
Reputacja: 241
Reputacja postu: 
1
Napiwki za post: 0 BTC

HODLER.TECH Pierwszy uniwersalny portfel sprzętowy z setkami obsługiwanych monet

Postautor: HODLER.TECH » wtorek, 7 sierpnia 2018, 15:36

Pierwsza wersja pliku HODLER Secure Backup gotowa: https://hodler.tech/download/HodlerFiles.hsb.zip
Hasło: 12345

Zostaną dodane jeszcze pliki z seedem i kodem QR do jego wczytania. Użycie tego rozwiązania sprawia że backup na email czy komunikatorze można stworzyć w ciągu kilku sekund, może być przechwycony gdyż cały plik jest zaszyfrowany, dostęp do pliku daje dopiero znajomość hasła które jest wymyślane przez użytkownika.
HODLER Wallet - BTC, BCH, LTC, DASH, ETH + Tokeny ERC20- https://hodler.tech
Telegram: http://t.me/HODLERTECHPL
Testy portfela: https://goo.gl/forms/sDL3Wteab4jee3U03
Rozwój: https://github.com/HODLERTECH/HODLER-Android-App/issues

Początkujący
Posty: 31
Rejestracja: 17 maja 2011
Reputacja: 16
Reputacja postu: 
3
Napiwki za post: 0 BTC

HODLER.TECH Pierwszy uniwersalny portfel sprzętowy z setkami obsługiwanych monet

Postautor: Infinum » wtorek, 7 sierpnia 2018, 17:34

HODLER.TECH pisze:Przejdź do cytowanego posta Pierwsza wersja pliku HODLER Secure Backup gotowa: https://hodler.tech/download/HodlerFiles.hsb.zip

Coś kojarzę, że była chyba kiedyś mowa o pakowaniu tego archuwim 7zipem - jest tam wtedy opcja "encrypt filenames", dzięki której bez hasła nie da się nawet podejrzeć struktury archiwum.

Oficjalny przedstawiciel projektu
Awatar użytkownika
Posty: 277
Rejestracja: 19 lutego 2018
Reputacja: 241
Reputacja postu: 
0
Napiwki za post: 0 BTC

HODLER.TECH Pierwszy uniwersalny portfel sprzętowy z setkami obsługiwanych monet

Postautor: HODLER.TECH » wtorek, 7 sierpnia 2018, 17:53

Zgadza się. Właśnie pracujemy nad ulepszeniem szyfrowania i opcję o której mówisz również sprawdzimy.

EDIT: Dodaliśmy obsługę natywnych adresów Segwit oraz Multisign. Hodler Secure Backup działa i jest naprawdę wygodny. Prace nad importem kluczy prywatnych są na ukończeniu. Przygotowujemy się do publikacji nowej wersji portfela, w celu dołączenia do testów wersji Alpha zapraszamy do wypełnienia formularza klikając w link se stopki.

Następna aktualizacja portfela, poza obsługą Segwit oraz HODLER Secure Backup, będzie również zawierała funkcjonalność "Multiwallet" czyli umożliwi tworzenie wielu profili portfela z których każdy będzie miał nowy seed. Umożliwi to odseparowanie od siebie środków różnych osób oraz przesyłanie kryptowalut poprzez sms i email. Będzie możliwe również importowanie kluczy prywatnych.

Przygotowujemy się do wysyłki obiecanych darmowych urządzeń do naszych inwestorów posiadających co najmniej 100.000 tokenów HDL, nadal kompletujemy elementy studia nagrań do tworzenia filmików instruktażowych i promocyjnych.
HODLER Wallet - BTC, BCH, LTC, DASH, ETH + Tokeny ERC20- https://hodler.tech
Telegram: http://t.me/HODLERTECHPL
Testy portfela: https://goo.gl/forms/sDL3Wteab4jee3U03
Rozwój: https://github.com/HODLERTECH/HODLER-Android-App/issues

Wróć do „Projekty związane z Bitcoin”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość