Nienaprawialny bug wszystkich portfeli TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
- Weteran
- Posty: 4618
- Rejestracja: 14 kwietnia 2016
- Reputacja: 2683
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: mecenas » czwartek, 4 lipca 2019, 17:48
Notariusz = 3 "zaufana" strona".
Opcja poza ideologią kryptowalut.
mecenas
- Weteran
- Posty: 3807
- Rejestracja: 26 lipca 2017
- Reputacja: 5091
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: benq » czwartek, 4 lipca 2019, 17:49
Hmmm a jak rodzina udowodni, że przed zdeponowaniem ktoś nie zrobił kopii klucza?
benq
ikswodnal
- Weteran
- Posty: 7526
- Rejestracja: 1 września 2015
- Reputacja: 2782
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: pael » czwartek, 4 lipca 2019, 18:07
Dokladnie.
Po to tu jestesmy zeby pozbywac sie posrednikow i placenia za ich uslugi. Coraz czesciej niektorzy odwracaja kota ogonem: a jak zaplacisz 5$ za przesyl to nie duzo; a to jest ciezko zlamac; a temu to mozna zaufac. Nie.
pael
- Weteran
- Posty: 1540
- Rejestracja: 25 kwietnia 2016
- Reputacja: 667
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ikswodnal » czwartek, 4 lipca 2019, 18:34
W moim rozumieniu notariusz nie jest pośrednikiem. Jest raczej depozytariuszem czy rozjemcą. Z podobną funkcją mamy do czynienia w https://local.bitcoin.com/offers. No ale nie jestem prawnikiem, szukam prostych rozwiązań problemów nieustannie komplikowanych.
ikswodnal
- Weteran
- Posty: 4618
- Rejestracja: 14 kwietnia 2016
- Reputacja: 2683
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: mecenas » czwartek, 4 lipca 2019, 18:39
Ale jesteś człowiekiem, a po ludzku ufać notariuszowi tylko dlatego, że ubrał ubranko z orzełkiem to raczej słabe jest. Zaufać możesz mi, ja Ci te klucze przechowam na bank. Mam pancerną szufladę i 6 psów obronnych... dam radę i słowo nawet dam.
mecenas
- Weteran
- Posty: 7526
- Rejestracja: 1 września 2015
- Reputacja: 2782
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: pael » czwartek, 4 lipca 2019, 19:22
ikswodnal pisze: ↑ czwartek, 4 lipca 2019, 18:34W moim rozumieniu notariusz nie jest pośrednikiem. Jest raczej depozytariuszem czy rozjemcą. Z podobną funkcją mamy do czynienia w https://local.bitcoin.com/offers. No ale nie jestem prawnikiem, szukam prostych rozwiązań problemów nieustannie komplikowanych.
w localu mozesz ograniczyc czas w ktorym ufasz 3 stronie. Z notariuszem troche gorzej.
Technologia daje mozliwosci i lepiej z nich korzystac. Wymyslic unikalna opcje z przekazaniem hasla do zaszyfrowanego pendrive'a z ukrytym veracryptem. Redundancja, sposob przekazania hasla oraz jego podzielenie inwencja wlasna.
W temacie: nie rozumiem co ludzmi kieruje gdy uzywaja nie open-sourcowych password managerow...
pael
- Weteran
- Posty: 1540
- Rejestracja: 25 kwietnia 2016
- Reputacja: 667
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ikswodnal » czwartek, 4 lipca 2019, 20:23
Źle mnie zrozumiałeś, do końca nie można ufać nawet sobie ( z gołą dziewczyną, na bezludnej wyspie w wstrzemięźliwości mało kto wytrzyma . Rozwiązań doskonałych jak koło brak, nawet liczba "pi" jest nieskończona. Proste rozwiązanie (dla mnie) przedstawiłem, zaproponuje ktoś wyraźnie lepsze skorzystam.
ikswodnal
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 21:19
Ale się męczycie, aż mi Was szkoda - może pomogę trochę.ikswodnal pisze: ↑ czwartek, 4 lipca 2019, 18:34 W moim rozumieniu notariusz nie jest pośrednikiem. Jest raczej depozytariuszem czy rozjemcą. Z podobną funkcją mamy do czynienia w https://local.bitcoin.com/offers. No ale nie jestem prawnikiem, szukam prostych rozwiązań problemów nieustannie komplikowanych.
W przypadku 2 spadkobierców:
1. Zrobić zaszyfrowany hasłem adres BCH z kluczem 3 of 4.
2. Notariusz N dostaje pierwszą część oraz klucz do skrytki bankowej
3. W skrytce bankowej S jest druga część
4. Spadkobierca A dostaje trzecia część
5. Spadkobierca B dostaje czwartą część
Aby zrealizować testament potrzeba:
= A + B + N
= A + N + S (w razie gdy jeden ze spadkobierców się nie zgłosi)
= B + N + S (w razie gdy jeden ze spadkobierców się nie zgłosi)
Sam notariusz i skrytka jest niewystarczająca, więc eleminuje to możliwość oszustwa banku oraz notariusza.
Ktoś wymyśli coś prostszego? Wydaje mi się, że to jest najprostsze w zastosowaniu i implementacji.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 4618
- Rejestracja: 14 kwietnia 2016
- Reputacja: 2683
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: mecenas » czwartek, 4 lipca 2019, 21:29
ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 21:19Aby zrealizować testament potrzeba:
= A + B + N
= A + N + S (w razie gdy jeden ze spadkobierców się nie zgłosi)
= B + N + S (w razie gdy jeden ze spadkobierców się nie zgłosi)
Sam notariusz i skrytka jest niewystarczająca, więc eleminuje to możliwość oszustwa banku oraz notariusza.
Ktoś wymyśli coś prostszego? Wydaje mi się, że to jest najprostsze w zastosowaniu i implementacji.
Przecież crypto to mega_scam i wałek, za kilka lat nikt nic nie dostanie... ludzie, szkoda kasy na notariusza!
mecenas
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 21:34
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Moderator
- Posty: 4286
- Rejestracja: 4 marca 2017
- Reputacja: 4288
- Lokalizacja: pomorskie
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: kozaki_wiesi » czwartek, 4 lipca 2019, 22:52
A potem będzie klasycznie:
„Nie mamy pańskiego płaszcza i co nam pan zrobisz?”
S.J. Lec
kozaki_wiesi
- Weteran
- Posty: 1540
- Rejestracja: 25 kwietnia 2016
- Reputacja: 667
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ikswodnal » czwartek, 4 lipca 2019, 23:08
Coś w tym jest - Tylko jak rozwiążesz problem jeżeli będzie więcej spadkobierców i o różnej wartości prawa do spadku (zachowek itp).ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 21:19W przypadku 2 spadkobierców:
1. Zrobić zaszyfrowany hasłem adres BCH z kluczem 3 of 4.
2. Notariusz N dostaje pierwszą część oraz klucz do skrytki bankowej
3. W skrytce bankowej S jest druga część
4. Spadkobierca A dostaje trzecia część
5. Spadkobierca B dostaje czwartą część
ikswodnal
- Początkujący
- Posty: 302
- Rejestracja: 20 maja 2018
- Reputacja: 102
- Napiwki: https://tippin.me/@Hegemon1995
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: randomowy świeżak » czwartek, 4 lipca 2019, 23:09
Jeszcze prastarzy górale mawiali, straciłeś urządzenie straciłeś klucze. Nie ważne co mówi producent nawet jak by tego buga nie było to znalazł by się inny. Wszystko kwestia czasu i tego jak dużo mamy na portfelu do którego ktoś chce się dobrać.Wymazywanie pisze: ↑ czwartek, 4 lipca 2019, 13:07Nie, dlaczego? Przecież Trezor to nie jedyny portfel sprzętowy. Czy Nano Ledgera też można tak złamać? Nie widziałem nigdy takiej informacji.
randomowy świeżak
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 23:46
Jeszcze tego nie wymyśliłem.
Sprawa jest prosta w przypadku jednego lub dwóch spadkobierców do podziału.
Przy większej ilości spadkobierców komplikuje się.
EDIT:
Hmmm,
Na razie wymyśliłem coś takiego dla 3 spadkobierców:
Adres multisig typu "4 z 6"
Skrytka S: 2 klucze
Notariusz N: 1 klucz
Spadkobierca A: 1 klucz
Spadkobierca B: 1 klucz
Spadkobierca C: 1 klucz
A + B + C + N = 4
A + B + C + S = 5
S + N + A = 4
S + N + B = 4
S + N + C = 4
Ma to pewnie jakieś wady, jeszcze nie przeanalizowałem. Najważniejsze jest jednak, że notariusz z bankiem nie mogą ukraść kasy sami. Wymagany jest co najmniej jeden spadkobierca.
EDIT2:
Widzę taką wadę, że 2 Spadkobierców może po prostu pójść do banku, ale to można prawnie zabezpieczyć jakoś że mogą tak zrobić tylko w przypadku śmierci notariusza.
Chociaż zgaduję że Notariusze też mają już jakieś zabezpieczenia tego typu na przypadek własnej śmierci.
EDIT3:
Sprawa nierównych praw do spadku/różnych sum i zachowków nie trzeba rozwiązywać.
Od tego jest już prawo.
Spadkobiercy + Notariusz wybierają najpierw wszystko z adresu, a resztę załatwia normalne prawo spadkowe.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Gaduła
- Posty: 417
- Rejestracja: 4 sierpnia 2017
- Reputacja: 310
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: KamilZ » niedziela, 21 lipca 2019, 15:19
Ledger musi mieć chyba na pieńku z Trezorem bo trochę zmanipulowali tym fragmentem.ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 11:30Twórcy TREZORa przyznają, że o tej możliwości wiedzieli od początku projektowania swojego portfela.
Trezorowi chodziło o to, że żaden portfel sprzętowy nie jest w pełni bezpieczny przed fizycznym atakiem, bo zawsze można tak rozebrać sprzęt i podłączyć się do takich linii informacyjnych, że sprzęt "wyśpiewa" co ma w środku.
Pełen cytat, z którego wycięli tylko pierwszą część: "“We would like to thank Ledger for practically demonstrating the attack that we have been aware of since designing Trezor. Because we realize no hardware is 100% safe, we introduced the concept of passphrase; that besides plausible deniability eliminates many kinds of physical attacks, like this one.” — Marek Palatinus, CEO SatoshiLabs"
Zaskoczeniem jest tutaj cena około 100$ zamiast 100 000$ za sprzęt do ekstrakcji seeda!
Hasło tak długie jest tylko wtedy jeśli chcemy mieć poziom złożoności zbliżony do 24 słów z seeda.ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 11:30Jedyną możliwością ochronienia się przed atakiem jest zabezpieczenie portfelów TREZOR hasłem o długości co najmniej 37 losowych znaków.
Krótsze hasła (i nie muszą być z losowych znaków) też będą działać dekadami zanim komuś będzie się opłacał bruteforce na jedno konkretne urządzenie.
Scenariusz, aby był opłacalny musi zakładać wiedzę, że ktoś ma na trezorze miliony dolarów. Musisz ukraść mu trezora, aby się nie zorientował, wyciągnąć seed, podrzucić trezora właścicielowi (bo inaczej przeleje wszystko na nowe portfele), zacząć bruteforce hasła, licząc, że do czasu złamania nie przeleje środków i, że ma schowane wszystko pod tylko jednym i prostym hasłem.
Nie łatwiej już "użyć klucza do kół za 5$"?
http://lh3.ggpht.com/-NjoSh24H4Fo/UDsn8 ... imgmax=800
Do wszystkich właścicieli trezora: przelejcie środki z niezabezpieczonego hasłem konta na trezorze na kilka kont z w miarę dobrym hasłem (nigdy pojedyncze słowo). Nie chwalcie się dużymi środkami jakie macie w krypto.
(wcześniej można w ogóle zmienić seed, aby ślady dużego przelewu wychodzącego nie zostały na starym niezabezpieczonym seedzie, a na nowego seeda bez dodatkowego hasła przelać jakieś "grosze" w crypto dla niepoznaki
Należy zaznaczyć, że szczegóły ataku nie zostały w pełni ujawnione i do 100$ należy doliczyć koszty "tajemnej wiedzy eksperckiej" w tym temacie.
ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 13:08Oprogramowanie jest bardziej elastyczne.
Trochę nie rozumiem. Czy oprogramowanie nie działa na jakimś sprzęcie?
Do tej pory wszystkie błędy trezora były łatane właśnie przez nowe oprogramowanie.
Jeśli sprzęt posiada dziurę, to oprogramowanie i jego zmiana chyba nam zbytnio nie pomoże...?
KamilZ
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » niedziela, 21 lipca 2019, 15:38
Oprogramowanie działa tylko do wyłączenia urządzenia, po wyłączeniu urządzenia z pamięci tymczasowej (RAM) są usuwane wszystkie klucze i wrażliwe informacje.
Wrażliwe informacje pozostają na dysku w stanie zaszyfrowanym.
Różnica jest taka:
- Jak ktoś Ci ukradnie TREZORa, to może z niego wykraść klucz prywatny
- Jak ktoś Ci ukradnie Laptopa z Linux Mintem (co samo w sobie jest mniej prawdopodobne, bo laptop jest dużo większy - co też gra rolę), to nie ma żadnych szans na wykradzenie z niego klucza prywatnego, który oczywiście był zaszyfrowany.
A do tego jeżeli będzie jakaś dziura w Laptopie z Linux Mintem, to możesz ją w 10 sekund załatać poprzez
Kod: Zaznacz cały
sudo apt-get upgrade
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Gaduła
- Posty: 417
- Rejestracja: 4 sierpnia 2017
- Reputacja: 310
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: KamilZ » niedziela, 21 lipca 2019, 15:56
Czyli gdyby trezor szyfrował seed dodatkowym hasłem i odszyfrowywał dopiero po jego podaniu, to wyszłoby na to samo co laptop z Mintem.
Obecnie tylko hasło chroni Minta przed uzyskaniem seeda (i crypto na nim), a w trezorze tylko hasło chroni przed uzyskaniem dostępu do środków (crypto) z seeda.
Dobrze rozumuję?
Dodano po 1 minucie 32 sekundach:
O ile to nie jest dziura np. w procesorze intela?ShadowOfHarbringer pisze: ↑ niedziela, 21 lipca 2019, 15:38A do tego jeżeli będzie jakaś dziura w Laptopie z Linux Mintem, to możesz ją w 10 sekund załatać
KamilZ
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » niedziela, 21 lipca 2019, 16:14
Dziury w procesorze INTELa też są załatane przez Linuksowy kernel.
Wszystkie dystrybucje już to mają.
Oczywiście możesz kupić laptopa z AMD jeżeli tak Cię to martwi, ale ten bug jest prawie niemożliwy do efektywnego wykorzystania i tak w sytuacji gdzie używasz taniego laptoka tylko jako portfela, więc nie martwiłbym się.
TREZOR ma jakiś PIN, ale problem z tą dziurą jest taki, że ten PIN niczego nie chroni i się łatwo go łamie.
Dodatkowo można klucz zaszyfrować minimum 37 znakowym hasłem, ale wtedy taki TREZOR będzie bezużyteczny dość, bo komu się chce z każdą transakcją tak długie hasło wpisywać. Więc Linux Mint lepszy.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: Bit-els » niedziela, 21 lipca 2019, 17:02
Od pół roku w 2 knajpach w widocznych miejscach wiszą paper wallety btc z 0.001 bita i nikt tego nie zauważa, nie zdejmuje. (Taki mały marketing zrobiłem)
Szansa, że zgubiony trezor wpadnie w ręce fachowca jest tak mała, że bardziej prawdopodobne jest zapętlenie się z hasłami, pinami i utrata samemu dostępu do portfela.
Do tego mając seed po zgubieniu można odtworzyć w innych portfelach czy narzędziach w necie swoje środki i przesłać je w bezpieczne miejsce
Bit-els
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 12 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).