Re: [新聞] Ledger助記詞恢復功能爭議整理

看板DigiCurrency (數位貨幣)作者azuel (Observer)時間11月前 (2023/05/28 21:02)推噓1(1推 0噓 2→)

留言3則, 1人參與討論串8/8 (看更多)

: 推 john371911: https://reurl.cc/nD61kD 樓上，這篇說還是有問題？ 05/22 08:36 : → azuel: 感謝john補充，那看來如果實體被奪走裝置還是有可能被破解 05/22 11:57 : → azuel: 但相較之下，比起裝置沒有被奪走、自己插上USB卻被漏洞攻擊 05/22 11:58 : → azuel: 的程度來說，嚴重度應該還是低了許多 05/22 11:59 : → azuel: 需要被實體奪走、跟軟體更新就可能被奪走的差距還是有 05/22 12:00 : → azuel: https://youtu.be/M78BpPCO43Q

05/22 12:04 : → azuel: Unciphered聲稱破解的影片是這個 05/22 12:05 : → azuel: 這方法是要置換掉晶片，跟最早破解的那種方法又不同了 05/22 12:11 先不論Unciphered的破解方式到底是不是真的存在 (因為也有可能並不是真的破解) Trezor有另一個方法增強防護能力，官方聲稱這可以阻斷物理攻擊。不過僅限於Trezor T，並且需要自己建立Python環境。 https://trezor.io/learn/a/using-trezorctl-commands https://trezor.io/learn/a/encrypt-pin-with-microsd-card 簡單說就是： 1. 從Python環境安裝trezorctl命令工具 2. Trezor T裝MicroSD卡，用trezorctl相關工具啟用SD protect 這樣會把機敏訊息分拆一份token到SD卡上，必須要插卡才能解密Trezor T。就官方的說法來說，只要把Trezor跟SD卡分開放的話，就算被物理取得Trezor也無法破解，除非你再次手動關閉這個功能，或是把Trezor給還原成出廠狀態。這個就屬於比較進階的操作了，用Trezor T同時又有這些技能的人可能少，但既然有方法，我就轉貼上來，有需要的人去使用吧。 https://twitter.com/brian_trollz/status/1661470842847625216 Shinobius認為Coldcard是目前安全度比較高的選擇，但Trezor T如果至少能採用這種方法的話，沒有SD卡就不可能解密私鑰，基本無法物理破解，就會比較好些。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 136.23.34.72 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1685278950.A.5A2.html ※ 編輯: azuel (136.23.34.72 臺灣), 05/28/2023 21:03:49

推

john371911

05/28 22:23, 11月前 , 1^F

05/28 22:23, 1^F

→

john371911

05/28 22:23, 11月前 , 2^F

05/28 22:23, 2^F

→

john371911

05/28 22:23, 11月前 , 3^F

05/28 22:23, 3^F

我不太確定你說的passphrase是指哪邊的passphrase 如果要把任何的passphrase / seed phrase放到SD卡上的話強烈建議要用GPG加密，然後把GPG的key放在不同的SD卡上收起來或是用multisig在不同的卡上存放不同的key 總之避免一個儲存裝置被找到就被整鍋端走的風險 ※ 編輯: azuel (136.23.34.72 臺灣), 05/29/2023 02:02:32