Аппаратный кошелек Trezor

Тема в разделе "Аппаратные кошельки", создана пользователем architect, 17 апр 2016.

Метки:
  1. architect

    architect Новичок

    Данная статья посвящена новой версии популярного аппаратного кошелька для криптовалют – TREZOR, от достаточно известной команды SatoshiLabs, базирующейся в столице Чехии - городе Прага.

    Эту команду организовал активный участник криптовалютного сообщества Slush, который известен рядом существенных достижений в области развития криптовалют. Среди них:

    • создание самого известного протокола обмена для пулов – Stratum;
    • создание первого, и до сих пор одного из самых известных, пулов совместной добычи - Slush pool;
    • создание первого аппаратного кошелька для Биткоина.
    Покупка и доставка

    Для написания статьи производителем был предоставлен бесплатный образец кошелька Trezor. Это устройство находится в свободной продаже на сайте www.buytrezor.com и доставляется по всему миру.

    [​IMG]

    Стоимость устройства 99 долларов США, на выбор предоставляются кошельки трех цветов: белый (white), серый (gray) и черный (black). При покупке всех трех устройств одновременно, предоставляется скидка в размере 21$. Что интересно, сообществом освоен выпуск корпусов для Trezor в богатой гамме расцветок.

    Trezor изнутри

    Комплектация присланного аппаратного кошелька представлена на рисунке ниже:

    [​IMG]

    Кроме самого устройства, в комплекте имеются два кабеля разной длины, куча наклеек, а также чистый бланк для кодовых слов (так называемых «recovery seed»).

    Внутри корпуса находится плата с расположенным на ней черно-белым OLED дисплеем с разрешением 128х64 пикселя, а также различные элементы, среди которых центральное место занимает 120 МГц ARM процессор семейства Cortex M3.

    [​IMG]

    Для реализации обратной связи с пользователем предусмотрены две управляющие кнопки. Дополнительную информацию по внутреннему устройству кошелька можно найти на официальном сайте, в разделе документации. http://doc.satoshilabs.com/trezor-tech/hardware.html.

    Первичная настройка


    Первичная настройка кошелька несложна, однако имеется ряд особенностей, которые необходимо озвучить.

    В документации, входящей в комплект поставки, а также находящейся на сайте, рекомендуется начать работу с устройством с сайта - mytrezor.com. Данный сайт является веб-интерфейсом для работы с Trezor и предоставляет весь необходимый функционал, для работы с кошельком. В качестве браузера необходимо использовать Chrome (во всех трех поддерживаемых операционных системах), поскольку именно для него создано специальное расширение.

    [​IMG]
    Тем не менее, несколько удивило сообщение браузера о том, что расширение, которое хочет использовать ресурс, больше не поддерживается.

    Для работы в других браузерах существует возможность установки дополнительного приложения под названием «TREZOR Bridge», при запуске которого загружается служба «trezord», запускающая локальный веб-сервер, с которым, в свою очередь, и взаимодействуют другие браузеры.

    [​IMG]

    Для дальнейшей настройки кошелька необходимо подключить его с помощью кабеля, после чего автоматически устанавливаются драйверы и начинается процесс настройки.

    В ходе настройки нужно задать пин-код для входа в устройство в дальнейшем. На этом этапе очень часто возникают вопросы у новых пользователей.

    [​IMG]

    Дело в том, что числовой пин-код необходимо задавать через веб-интерфейс, но при этом цифры приходится нажимать именно в том порядке, в каком они представлены на самом устройстве.

    [​IMG]

    Причем, порядок отображения цифр изменяется при каждом запросе пин-кода. Подобная реализация обратной связи позволяет существенно повысить уровень безопасности при работе со своим кошельком.

    После настройки цифрового пин-кода необходимо записать 24 слова на английском языке, которые понадобятся для восстановления доступа к своему кошельку, если таковой будет утерян.

    [​IMG]

    Каждое из 24-х слов отображается на дисплее устройства, а записывать их предлагается в прилагающийся бумажный бланк.

    [​IMG]

    После завершения первичной настройки, на экране кошелька должно появиться имя профиля, заданного через веб-интерфейс. Это означает, что настройка кошелька завершена.

    Возможно, понадобится обновить встроенное ПО, однако этот процесс чаще всего не вызывает трудностей.

    Работа с кошельком

    Взаимодействие с кошельком через веб-интерфейс интуитивно понятно. Имеются точно такие же возможности для работы, как и у большинства программных кошельков.

    [​IMG]

    Можно просмотреть историю транзакций, получить и отправить биткоины, а также послать, либо проверить подписанное сообщение.

    Помимо использования аппаратного кошелька через веб-интерфейс браузера, можно работать с ним с помощью целого ряда сторонних приложений.

    [​IMG]

    Необходимо отметить, что существует возможность работы с использованием мобильного приложения для смартфона на платформе Android, с помощью OTG кабеля и
    соответствующего API.

    И наконец, как говорится – не биткоином единым. Используя данный кошелек в связке с Electrum-LTC и Electrum-DASH, можно работать с соответствующими альткойнами.

    Аппаратный кошелек Trezor рекомендуется тем, кто беспокоится о безопасности собственных средств, хранящихся в биткоинах или поддерживаемых альткойнах. Причем, кошелек является именно дополнительной защитой, реализуемой встроенным микроконтроллером Cortex M3. Для обеспечения защиты используются официальные реализации BIP39 (для работы с ключевыми словами), а также BIP32 и BIP44.

    Однако, кошелек не хранит в себе весь набор транзакций, используя для этого внешнее хранилище, с которым и организована работа.

    По этой причине, данный кошелек можно назвать только условно аппаратным. Тем не менее, в своем сегменте Trezor достаточно популярен и эту популярность ему обеспечивает именно реализация обратной связи с пользователем, что является «изюминкой» данного устройства.
     
  2. Doms30

    Doms30 Постоянный пользователь

    Ну так по сути это получается обычный онлайн-кошелек, примерно такой же как blockchain.info. Только и разница что для связи с внешним хранилищем вместо стандартного браузера используется специальное устройство. А сами средства(хранилища) точно также находятся под контролем 3й стороны.
    Тогда не ясно - зачем платить 100 баксов за это устройство? Получается что BitcoinCore на флешке и то надежнее.
    Или я что-то не так понимаю? Поправьте если не прав.
     
    WorldTank нравится это.
  3. Возможен и другой вариант, если аппарат синхронизируется с твоим локальным кошельком. Тогда 3-я сторона выступает переносчиком информации. Но это мои предположения, не более, ибо лично с устройством не сталкивался, соответственно по данным статьи не могу точно судить.
     
  4. admin

    admin Администратор Команда форума

    Это копипаста с битс-медиа. Я думал это авторский текст и зачислил ТС 60 сибов.
     
  5. architect

    architect Новичок

    это авторский текст, только сперва я его битсмедиа продал))
     
  6. Vladymyr

    Vladymyr новичок

    Так что получается.. лучше хранить на бесплатном кошельке blockhain.info.. раз уж это одно и тоже.. и не заморачиватся на счёт этой истории.. стоит ли вообще, его покупать..???
     
  7. btcpapa

    btcpapa Папа Биткоин Проверенный

    стоит. Нет ничего лучше аппаратного кошелька, и не сравнивайте его с говносервисом blockchain.info
     
    randers нравится это.
  8. Vladymyr

    Vladymyr новичок

    Ясно.. А Вы уже пользуетесь раз так уверены, да?.. значит будем покупать!..
     
  9. Yanina

    Yanina Флудер Флудер/халявщик

    Кто уже пользуется? Поделитесь мнением, плиз )
     
  10. Vladymyr

    Vladymyr новичок

    ну.. я только хочу приобрести.. как только так поделюсь сразу впечатлениями..
     
  11. BlockTechnology

    BlockTechnology новичок

    Однозначно аппаратные кошельки стоит использовать, особенно если суммы большие. Я бы по надежности хранения так классифицировал:
    1) Аппаратный кошелек.
    2) Электронный кошелек.
    3) Биржа.
     
  12. sergiyvasyl

    sergiyvasyl новичок

    Скажите пожалуйста,Trezor поддерживает Monacoin? Спасибо.
     
  13. djum

    djum новичок

    ну... Вообще вот интересно, поясните новичку...
    Ну вот я так понял, что аппаратник - это скажем так,для среднего класса...
    Новичку он и нафик не нужен, пока не набьеш себе монет, а люди, у которых большой оборот, он как бы и не нужен...
    Ну, безопасность это конечно хорошо, но смысл вот новичку его брать?
     
  14. btcpapa

    btcpapa Папа Биткоин Проверенный

    так не берите, никто ж не заставляет.

    на железе хорошо хранить монеты в долгую.
     
  15. djum

    djum новичок

    не, ну я ж без всякого...
    Просто вот так подумал, что он новичку вряд ли подойдет... А "средний класс", да, рассмотрит как вариант...
     
  16. djum

    djum новичок

    А вообще конечно, если быть объективным, Трезор в большинстве обзоров хвалят... Вон полез поискал, у БитГид хорошие отзывы, на Талке тоже...
    безопасность реализована на достаточно высоком уровне...
    Единственное, что цена пишут до 1,5 тыр вроде раньше больше была, или я ошибаюсь...
     
  17. btcpapa

    btcpapa Папа Биткоин Проверенный

    вообще трезоров всего две модели, и стоят они 90 и 150 евро, так что за 1500 деревянных не знаю что ты купишь и где :)
     
  18. djum

    djum новичок

    та от да, ты прав скорее всего, я сам об этом думал.
    Ага, проверил, не 1,5 а 15 конечно... То типа очепятка в обзоре была :p
     
  19. btcpapa

    btcpapa Папа Биткоин Проверенный

    определенно.

    ну ты погугли, а то флуд разводить тут не хочется.
     
  20. btcpapa

    btcpapa Папа Биткоин Проверенный

    Команда специалистов по кибербезопасности Wallet.fail (Дмитрий Недоспасов, Томас Рот, Джош Датко) на мероприятии Chaos Communication Congress, прошедшем 27 декабря в Лейпциге, продемонстрировала серию успешных атак на популярные аппаратные криптовалютные кошельки Trezor и Ledger.

    Специалисты обнаружили ряд аппаратных и программных и уязвимостей, которые позволяют злоумышленнику получить доступ к средствам на кошельках. Команде удалось перехватить PIN-код из кошелька Trezor и Ledger Blue, а также удаленно подписать транзакцию и взломать загрузчик Ledger Nano S.

    Атаки варьируются от взлома проприетарной защиты загрузчика и взлома веб-интерфейса, который используется для работы с кошельками, до физических атак, нацеленных на обход защиты в микроконтроллерах кошелька. В конце своего выступления специалисты предложили несколько решений для создания более устойчивых аппаратных кошельков.
     
  21. Joey Tribbiani

    Joey Tribbiani новичок

    Ууухх!.. На бирже, что-ли хранить. Так хоть надежда есть, что биржа что-то вернёт, если её хакнут. С кошельком же такое не прокатит)))
     
  22. Andrei1990bit

    Andrei1990bit Кремль 2015 год! Флудер/халявщик

    Trezor опровергла данные об уязвимости криптокошельков

    Компания-производитель аппаратных криптовалютных кошельков Ledger представила отчет об обнаруженных уязвимостях в устройствах главного конкурента - фирмы Trezor. 12 марта сотрудники Trezor опубликовали статью, в которой выразили свое отношение к результатам исследования Ledger и сообщили об исправленных недостатках.

    В отчете Ledger от 10 марта указано, что криптокошельки Trezor уязвимы к 5 видам атак:
    • Атака на цепочку поставок;
    • атака на программное обеспечение устройства;
    • атака по сторонним каналам для получения доступа к PIN коду;
    • атака по сторонним каналам на скалярное умножение;
    • атака на микрочип криптокошелька.
    Сотрудники Trezor сообщили, что все вышеперечисленные виды атак невозможно осуществить удаленно, для их выполнения необходимо иметь доступ к устройству, специальное оборудование, время и технические знания. По данным исследования криптобиржи Binance, лишь 5,93% владельцев цифровых активов опасаются физических атак на криптокошельки, 66% считают, что главная угроза исходит от удаленных атак на устройства. Именно поэтому специалисты Trezor уверены, что Ledger намеренно сгущает краски в своем отчете.

    В публикации Trezor указано, что главная цель аппаратного кошелька заключается в защите криптохранилища от компьютерных вирусов и удаленных атак. Более того, работники компании считают, что от любой физической атаки устройство можно обезопасить с помощью фразы-пароля и элементарных принципов операционной безопасности (к примеру, не подключать криптокошелек к компьютеру в общественном месте).

    Представители Trezor прокомментировали каждую обнаруженную уязвимость по отдельности:

    1. Атака на цепочку поставок - это проблема, свойственная любому оборудованию, вне зависимости от уровня безопасности самого устройства. На каждом этапе перевозки аппаратные криптокошельки могут быть модифицированы, эту уязвимость невозможно исключить на 100%. Однако вероятность подобной атаки на устройства Trezor крайне мала, потому что компания тщательно контролирует процесс производства и доставки продукции.
    2. Атаку на программное обеспечение устройств Trezor невозможно выполнить на практике. Компания протестировала программный код кошельков и обнаружила лишь 2 уязвимости, которые не могли быть использованы хакерами. Trezor устранила эти недостатки и доказала высокий уровень безопасности кода.
    3. Вероятность атаки по сторонним каналам для получения доступа к PIN коду была устранена после установки патчей 1.8.0 для Trezor One и 2.1.0 для Trezor Model T. Разработчики изменили способ хранения PIN кода, поэтому данный вид атаки больше не угрожает пользователям кошельков.
    4. Атака по сторонним каналам на скалярное умножение может быть реализована, если злоумышленник знает PIN код и фразу-пароль, а также имеет физический доступ к кошельку. В этом случае человеку проще перевести деньги с устройства, чем взламывать его с помощью атаки по сторонним каналам.
    5. Абсолютно любой микрочип уязвим к определенным атакам, которые можно выполнить с помощью лабораторного оборудования для манипуляций с микроэлектроникой. Полную защиту от взлома не может гарантировать ни один производитель микрочипов.
    В заключении сотрудники Trezor сообщили, что не существует ни одного аппаратного кошелька со 100% защитой от взлома. Тем не менее, у владельцев устройств есть возможность снизить вероятность атаки на криптокошелек. От кражи цифровых активов в результате потери или хищения устройства надежно защищает фраза-пароль, а от цифровых угроз можно себя обезопасить, соблюдая элементарные правила: не подключать криптокошелек к чужому компьютеру и не пользоваться устройством в общественном месте.
     
    moordraal и Михаил_D нравится это.
  23. Andrei1990bit

    Andrei1990bit Кремль 2015 год! Флудер/халявщик

    теперь мы видим что аппаратные кошельки не на много лучше онлайн кошельков -уязвимостей тоже хватает в данном случае.