没有100%安全的硬件钱包,评Ledger和Trezor钱包互怼事件

  • 时间:
  • 浏览:1
  • 来源:大发快3_快3娱乐_大发快3娱乐

越来越400%安全的硬件钱包,评Ledger和Trezor钱包互怼事件

本文由站长之家内容合作土办法伙伴 巴比特授权发布

在今年的MIT比特币世博会上,硬件钱包厂商Ledger在会议现场演示了针对同行Trezor的三种攻击土办法,此后,该公司还在其官网发表声明 了具体的漏洞细节。都要能预料到是,好多好多 购买Trezor或其仿品硬件设备的用户们会坐不住了。

还不了解这回事的读者,都要能先阅读巴比特wendy小姐姐报道的这篇文章:《Ledger发表声明 Trezor五大漏洞,硬件钱包安全团队屡出奇招》

越来越,亲戚亲戚我想要们是否是就都要能说,Trezor是不安全的,而Ledger为何让更好的选择呢?

当然要能越来越简单下定论,亲戚亲戚我想要们也要听听某些人的解释。根据Trezor方面给出的发表声明 来看,Ledger所提到的漏洞,均需物理访问,其暗含要素已被Trezor防止,要素属于所有硬件设备都存在的问題,其余要素则是当前所有基于ST微芯片设备存在的问題,这也包括Ledger三种。

通过这起事件,亲戚亲戚我想要们都要能了解到,越来越任何另另有一个多硬件钱包是都要能做到400%安全的,重要的是用户要提高安全意识。

以下为Trezor方面的发表声明 :

亲戚亲戚我想要们希望借此原因防止、澄清以及发表声明 Ledger在MIT比特币世博会上针对Trezor提出的声明。

简单发表声明 :

  1. 供应链攻击:超出范围,影响运输中的所有硬件,越来越400%的防止方案,所有公司还会 不同的土办法来缓解三种 问題;
  2. 软件漏洞攻击:不可利用,已修复;
  3. 侧通道PIN攻击:已修复;
  4. 侧通道攻击标量乘法:不可利用,要能 PIN;
  5. 意外现在开始英文攻击(Surprise Concluding Attack):未详细披露,对基于ST微芯片的所有硬件设备还会 影响,可通过口令缓解;
首先,亲戚亲戚我想要们要强调的是,三种 攻击都还会 可远程利用的。

所有演示的攻击向量,都要能 物理访问设备,攻击者要能 使用专用设备,并掌握专业的攻击技术,最后还要能 时间。

这为何让为三种 亲戚亲戚我想要们认为,三种 问題对于绝大多数硬件钱包用户来说,它们的重要性是较低的。最近与币安合作土办法展开的研究证实了三种 点,要能5.93%的受访者认为物理攻击是对加密货币的最大威胁,而66%的受访者认为远程攻击是主要威胁。这5.93%的人群,可通过使用密码短语进行保护,通过三种 土办法可覆盖设备和恢复种子的物理安全性。

币安的安全调查结果,样本为 14471 名受访者

硬件钱包的主要用途,始终是保护资金免受恶意软件攻击、计算机病毒和各种某些远程威胁(如通过秘密更改地址从账本中窃取所有资金)的侵害。我我觉得实现完美的物理安还会 另另有一个多崇高的目标,但三种 目标最终还是无法实现的,这原因 5 美元扳手攻击的存在。此外,原因另另俩某些人有足够的资金、时间和资源,越来越硬件障碍可抵御住亲戚亲戚我想要们的攻击。原因亲戚亲戚我想要们考虑到意外盗窃,越来越他发现你的硬件钱包,并偶然拥有攻破三种 设备所需装备,其原因性是相对较小的。

5 美元扳手攻击,https://xkcd.com/538/

亲戚亲戚我想要们在设计Trezor设备时,考虑了中间解释的威胁模型——亲戚亲戚我想要们的主要重点是保护用户免受远程攻击。也为何让说,结合强大的密码和大慨基本的操作安全原则,即使是Ledger所提出的物理攻击,为何让会影响到Trezor用户。

知道了三种 点,让亲戚亲戚我想要们看看Ledger在周日所提到的问題。

问題1-供应链攻击

“供应链攻击”是所有硬件设备(不仅是钱包)都存在的永恒问題,无论它们受到多大程度的保护。一件硬件无法检查自身,并验证其详细性。硬件认证并还会 另另有一个多防止方案,原因硬件修改是可被加进的,这会原因设备确认它是真的。

此外,亲戚亲戚我想要们所有的制造过程还会 在欧盟,在从前们会紧密控制整个制造过程。

演示将任意恢复词注入到Ledger硬件钱包, 演示人:Saleem Rashid

问題2- 软件漏洞攻击

在Trezor代码库测试期间,Ledger研究人员发现了另另有一个多问題,亲戚亲戚我想要们也确认了亲戚亲戚我想要们的代码对恶意行为者的抵抗力很强。尽管三种 漏洞无法利用,但亲戚亲戚我想要们还是修复了它们。亲戚亲戚我想要们想利用三种 原因,感谢Ledger再次确认Trezor源代码是高质量编写的。

问題3- 侧通道攻击PIN

在Trezor One钱包上的侧通道攻击PIN我我觉得是令人印象深刻的,亲戚亲戚我想要们赞扬Ledger的努力。同時 ,亲戚亲戚我想要们要感谢Ledger负责任地向亲戚亲戚我想要们披露三种 问題。三种 攻击向量,可通过将Trezor T模型上的数据存储土办法向后移植到Trezor One而防止。

问題4- 侧通道攻击标量乘法(Scalar Multiplication)

此漏洞假定攻击者拥有用户的PIN,并拥有对设备的物理访问权限,以及最终的密码短语。掌握了以上所有,攻击者就详细掌握了硬件钱包所保管的所有资金。

问題5+6 意外现在开始英文攻击 (Surprise Concluding Attack)

这另另有一个多问題实际上是相同的,但 6 比 5 听起来更好。尽管越来越,亲戚亲戚我想要们对Ledger发表声明 三种 问題感到惊讶,不得劲是在Ledger明确要求不发表声明 三种 问題随后,原因这原因会影响整个微芯片行业,而不仅仅是硬件钱包(如医疗和汽车行业)。原因Ledger目前正在与芯片制造商(ST)谈判,亲戚亲戚我想要们也将防止泄露任何关键信息,除了此攻击载体也是资源密集型的,其要能 实验室级的设备来操作微芯片以及深入的专业知识。

“亲戚亲戚我想要们仍在和ST讨论中,请暂且提及攻击细节,好吗? — Ledger

原因你是一名Trezor钱包用户,并害怕针对设备的物理攻击,亲戚亲戚我想要们建议你设置另另有一个多受密码保护的钱包。在最佳情况报告下,可使用多个密码进行组合保护。密码将详细缓解此攻击向量。

我我觉得应该赞扬硬件测试和遵守负责任的披露,但最后另另有一个多问題的披露,似乎还为时过早。

“亲戚亲戚我想要们要感谢Ledger实际演示了亲戚亲戚我想要们自设计Trezor以来所意识到的所有攻击土办法。原因亲戚亲戚我想要们意识到越来越硬件是400%安全的,好多好多 亲戚亲戚我想要们引入了密码短语的概念;除了合理的可发表声明 性之外,还消除了好多好多 物理攻击,如这次Ledger提到的。

SatoshiLabs首席执行官Marek Palatinus

结论

Ledger在MIT比特币博览会上的陈述概要

整个事件对亲戚亲戚我想要们来说是另另有一个多宝贵的教训。亲戚亲戚我想要们要能 传达某些亲戚亲戚我想要们已知的信息:越来越硬件是不可破解的,根据你的安全模型,我想要使用某些工具来减轻威胁。而对于三种 担心物理攻击的用户来说,设置合理发表声明 和操作安全的密码是可行土办法。而对于关注远程攻击的用户来说,我我觉得越来越存在任何变化。亲戚亲戚我想要们将在未来继续推广密码短语功能,以及某些操作安全策略,以确保您的安全。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请

相关文章