没有100%安全的硬件钱包,评Ledger和Trezor钱包互怼事件

  • 时间:
  • 浏览:0
  • 来源:大发时时彩官网_大发时时彩平台有哪些_大发时时彩正规平台

这麼5000%安全的硬件钱包,评Ledger和Trezor钱包互怼事件

本文由站长之家内容合作妙招妙招伙伴 巴比特授权发布

在今年的MIT比特币世博会上,硬件钱包厂商Ledger在会议现场演示了针对同行Trezor的并是否是攻击妙招,此后,该公司还在其官网提前大选了具体的漏洞细节。可不还上能 预料到是,好多好多 购买Trezor或其仿品硬件设备的用户们会坐不住了。

还不了解这回事的读者,可不还上能 先阅读巴比特wendy小姐姐报道的这篇文章:《Ledger提前大选Trezor五大漏洞,硬件钱包安全团队屡出奇招》

这麼,朋友 是是是否是是就可不还上能 说,Trezor是不安全的,而Ledger怎么让更好的确定呢?

当然不到这麼简单下定论,朋友 也要听听当事人的解释。根据Trezor方面给出的提前大选来看,Ledger所提到的漏洞,均需物理访问,其暗含主次已被Trezor处理,主次属于所有硬件设备都处在的问提,其余主次则是当前所有基于ST微芯片设备处在的问提,这也包括Ledger并是否是。

通过这起事件,朋友 可不还上能 了解到,这麼任何另有2个 硬件钱包是可不还上能 做到5000%安全的,重要的是用户要提高安全意识。

以下为Trezor方面的提前大选:

朋友 希望借此原因分析分析处理、澄清以及提前大选Ledger在MIT比特币世博会上针对Trezor提出的声明。

简单提前大选:

  1. 供应链攻击:超出范围,影响运输中的所有硬件,这麼5000%的处理方案,所有公司都有不同的妙招来缓解你累似 问提;
  2. 软件漏洞攻击:不可利用,已修复;
  3. 侧通道PIN攻击:已修复;
  4. 侧通道攻击标量乘法:不可利用,不到PIN;
  5. 意外很久 刚现在开始攻击(Surprise Concluding Attack):未全部披露,对基于ST微芯片的所有硬件设备都有影响,可通过口令缓解;
首先,朋友 要强调的是,什么攻击都都有可远程利用的。

所有演示的攻击向量,都不到物理访问设备,攻击者不到使用专用设备,并掌握专业的攻击技术,最后还不到时间。

这怎么让为啥朋友 认为,什么问提对于绝大多数硬件钱包用户来说,它们的重要性是较低的。最近与币安合作妙招妙招展开的研究证实了你累似 点,不到5.93%的受访者认为物理攻击是对加密货币的最大威胁,而66%的受访者认为远程攻击是主要威胁。这5.93%的人群,可通过使用密码短语进行保护,通过你累似 妙招可覆盖设备和恢复种子的物理安全性。

币安的安全调查结果,样本为 14471 名受访者

硬件钱包的主要用途,始终是保护资金免受恶意软件攻击、计算机病毒和各种一些远程威胁(如通过秘密更改地址从账本中窃取所有资金)的侵害。觉得 实现完美的物理安都有另有2个 崇高的目标,但你累似 目标最终还是无法实现的,这是原因分析分析 5 美元扳手攻击的处在。此外,原因分析分析另有2个 人有足够的资金、时间和资源,这麼硬件障碍可抵御住朋友 的攻击。原因分析分析朋友 考虑到意外盗窃,这麼他发现你的硬件钱包,并偶然拥有攻破什么设备所需装备,其原因分析分析性是相对较小的。

5 美元扳手攻击,https://xkcd.com/538/

朋友 在设计Trezor设备时,考虑了上边解释的威胁模型——朋友 的主要重点是保护用户免受远程攻击。也怎么让说,结合强大的密码和离米 基本的操作安全原则,即使是Ledger所提出的物理攻击,怎么让会影响到Trezor用户。

知道了你累似 点,让朋友 看看Ledger在周日所提到的问提。

问提1-供应链攻击

“供应链攻击”是所有硬件设备(不仅是钱包)都处在的永恒问提,无论它们受到多大程度的保护。一件硬件无法检查自身,并验证其全部性。硬件认证并都有另有2个 处理方案,原因分析分析硬件修改是可被加进的,这会原因分析分析设备确认它是真的。

此外,朋友 所有的制造过程都有在欧盟,在那朋友 会紧密控制整个制造过程。

演示将任意恢复词注入到Ledger硬件钱包, 演示人:Saleem Rashid

问提2- 软件漏洞攻击

在Trezor代码库测试期间,Ledger研究人员发现了另有2个 问提,朋友 也确认了朋友 的代码对恶意行为者的抵抗力很强。尽管什么漏洞无法利用,但朋友 还是修复了它们。朋友 想利用你累似 原因分析分析,感谢Ledger再次确认Trezor源代码是高质量编写的。

问提3- 侧通道攻击PIN

在Trezor One钱包上的侧通道攻击PIN觉得 是令人印象深刻的,朋友 赞扬Ledger的努力。同时,朋友 要感谢Ledger负责任地向朋友 披露你累似 问提。你累似 攻击向量,可通过将Trezor T模型上的数据存储妙招向后移植到Trezor One而处理。

问提4- 侧通道攻击标量乘法(Scalar Multiplication)

此漏洞假定攻击者拥有用户的PIN,并拥有对设备的物理访问权限,以及最终的密码短语。掌握了以上所有,攻击者就全部掌握了硬件钱包所保管的所有资金。

问提5+6 意外很久 刚现在开始攻击 (Surprise Concluding Attack)

这另有2个 问提实际上是相同的,但 6 比 5 听起来更好。尽管这麼,朋友 对Ledger提前大选你累似 问提感到惊讶,有点痛 是在Ledger明确要求不提前大选你累似 问提很久 ,原因分析分析这原因分析分析会影响整个微芯片行业,而不仅仅是硬件钱包(如医疗和汽车行业)。原因分析分析Ledger目前正在与芯片制造商(ST)谈判,朋友 也将处理泄露任何关键信息,除了此攻击载体也是资源密集型的,其不到实验室级的设备来操作微芯片以及深入的专业知识。

“朋友 仍在和ST讨论中,请越多提及攻击细节,好吗? — Ledger

原因分析分析你是一名Trezor钱包用户,并害怕针对设备的物理攻击,朋友 建议你设置另有2个 受密码保护的钱包。在最佳情形下,可使用多个密码进行组合保护。密码将全部缓解此攻击向量。

觉得 应该赞扬硬件测试和遵守负责任的披露,但最后另有2个 问提的披露,似乎还为时过早。

“朋友 要感谢Ledger实际演示了朋友 自设计Trezor以来所意识到的所有攻击妙招。原因分析分析朋友 意识到这麼硬件是5000%安全的,好多好多 朋友 引入了密码短语的概念;除了合理的可提前大选性之外,还消除了好多好多 物理攻击,如这次Ledger提到的。

SatoshiLabs首席执行官Marek Palatinus

结论

Ledger在MIT比特币博览会上的陈述概要

整个事件对朋友 来说是另有2个 宝贵的教训。朋友 不到传达一些朋友 已知的信息:这麼硬件是不可破解的,根据你的安全模型,让人使用一些工具来减轻威胁。而对于什么担心物理攻击的用户来说,设置合理提前大选和操作安全的密码是可行妙招。而对于关注远程攻击的用户来说,觉得 这麼处在任何变化。朋友 将在未来继续推广密码短语功能,以及一些操作安全策略,以确保您的安全。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请

相关文章