Keystone 硬件錢包Keystone 如何防護供應鏈攻擊——官網真機驗證
當我們收到心心念念的硬件錢包,應該如何辨別真偽,以防供應鏈攻擊? 供應鏈攻擊是硬件錢包安全性的主要威脅之一。從下單到我們收到包裹的這段时间,不可控因素非常之多,供應鏈攻擊就是发生在物流環節中。 在此給到大家兩個建議,所有硬件錢包通用: 1、不要從非官方渠道購入硬件錢包,如..閑..魚..等; 2、收到硬件錢包後,先不要急於拆開,仔細檢查包裝是否有被拆過。 與其他競品一樣,Keystone 的物流包裹上有防拆貼紙,我們拿到錢包的第一步就是檢查防拆貼紙是否有被撕掉過的痕跡。 但是,防篡改包裝只是增加攻擊成本的一种方式,不足以完全防住供應鏈攻擊,因為防篡改包裝是可以被仿造的。官網真機驗證原理為了更好的防止供應鏈攻擊,我們在您初始化 Keystone 時,設備會提示用戶進行官網真機驗證。如果運輸過程中設備被篡改,將無法通過官網真機驗證。與比特幣签名算法相同, Keystone 的官網真機驗證也采用了非對稱加密算法,可以實現機密信息的交換和驗證。非對稱加密算法需要兩個密鑰:一個私鑰與一個公鑰(兩者是一一對應關系,我們稱之為“密鑰對”)。私鑰可用於簽名和解密公鑰加密的信息,公鑰可用於驗證私鑰...
Keystone 硬件錢包Keystone 為什麼要增加分片助記詞功能
Keystone 硬件錢包已經成功實現了在 SatoshiLabs SLIP39 協議中提到的分片助記詞(Shamir Backup)功能,這篇文章將詳細介紹這個功能的優缺點,也給想使用這個功能的用户一些參考。助记词的风险模型在使用分片助記詞之前,我們先研究一下助记词的風險模型,以帮助您更好的决策是否要使用分片助记词这个功能。 威脅助記詞安全性的 3 種場景:記憶力衰退,如果您是靠記憶力保存助記詞(俗稱“腦錢包”);助記詞備份被偷或被搶;助記詞備份因重大事故或自然災害比如大火,洪水受損。還有一些其他的場景,例如,被狗吃掉,被咖啡污漬污染,甚至發生地震導致房子倒塌等也會導致助記詞備份受到損壞。對於第 1 種場景來講 ,我們強烈講義不要將“腦錢包”作為存儲助記詞的唯一方法,這種方法的不確定風險特別高。比如,創傷性腦損傷可能會導致失憶,衰老也會導致記憶力減退,阿爾茲海默氏症會導致無法記住事物。另外,隨著時間的流逝,許多存在腦海中的記憶片段也會自然而然地被遺忘。 對於第 2 種場景來講 ,您應該始終牢記助記詞被偷或被盜往往不是由一個局外人來完成,反而是親屬或者當時幫您存儲助記詞的這種身邊...
Keystone 硬件錢包盲签——以太坊社区的安全黑洞
隨著2020年 DeFi 項目的蓬勃發展,以太坊已經成為區塊鏈中最活躍的公鏈之一。當提及到 DeFi 的安全性,大多數人都是從智能合約的角度來討論,卻很少有人從另一個潛在的角度深入考慮DeFi 的安全性—— 我們的交易簽名過程是否安全? 事情發生在2020年12月,Nexus Mutual 的創始人 Hugh Karp 遭到了有針對性的遠程攻擊。據報道,攻擊者獲得了對 Hugh 計算機的遠程訪問權限然後針對他的 MetaMask 軟件錢包進行一些修改,從而篡改他某一筆交易,並將資金轉移到了攻擊者自己的地址。最終導致了價值800萬美元的數字貨幣被盜。 從 Hugh 的博客中還可以推斷,攻擊者不僅成功的攻擊了 Hugh,還有證據表明同樣成功的攻擊了以太坊社區的其他 DeFi 高級用戶。硬件錢包無法面面俱到Hugh 當時使用了硬件錢包,很明顯,僅僅知道如何使用硬件錢包並不是可以完全阻止攻擊的靈丹妙藥。 硬件錢包最基礎的安全假設之一,就是原則上不應該相信配套的軟件錢包,並且用戶應該有能力手動檢查硬件錢包上的交易,來確保沒有任何東西被暗地裏更換。 如果不能確保對交易進行簽署是安全的,我們就...
MetaMask 官方硬件钱包合作伙伴。Web3 安全首选!Telegram: https://t.me/KeystoneWalletCN Discord: https://keyst.one/DC
Keystone 硬件錢包Keystone 如何防護供應鏈攻擊——官網真機驗證
當我們收到心心念念的硬件錢包,應該如何辨別真偽,以防供應鏈攻擊? 供應鏈攻擊是硬件錢包安全性的主要威脅之一。從下單到我們收到包裹的這段时间,不可控因素非常之多,供應鏈攻擊就是发生在物流環節中。 在此給到大家兩個建議,所有硬件錢包通用: 1、不要從非官方渠道購入硬件錢包,如..閑..魚..等; 2、收到硬件錢包後,先不要急於拆開,仔細檢查包裝是否有被拆過。 與其他競品一樣,Keystone 的物流包裹上有防拆貼紙,我們拿到錢包的第一步就是檢查防拆貼紙是否有被撕掉過的痕跡。 但是,防篡改包裝只是增加攻擊成本的一种方式,不足以完全防住供應鏈攻擊,因為防篡改包裝是可以被仿造的。官網真機驗證原理為了更好的防止供應鏈攻擊,我們在您初始化 Keystone 時,設備會提示用戶進行官網真機驗證。如果運輸過程中設備被篡改,將無法通過官網真機驗證。與比特幣签名算法相同, Keystone 的官網真機驗證也采用了非對稱加密算法,可以實現機密信息的交換和驗證。非對稱加密算法需要兩個密鑰:一個私鑰與一個公鑰(兩者是一一對應關系,我們稱之為“密鑰對”)。私鑰可用於簽名和解密公鑰加密的信息,公鑰可用於驗證私鑰...
Keystone 硬件錢包Keystone 為什麼要增加分片助記詞功能
Keystone 硬件錢包已經成功實現了在 SatoshiLabs SLIP39 協議中提到的分片助記詞(Shamir Backup)功能,這篇文章將詳細介紹這個功能的優缺點,也給想使用這個功能的用户一些參考。助记词的风险模型在使用分片助記詞之前,我們先研究一下助记词的風險模型,以帮助您更好的决策是否要使用分片助记词这个功能。 威脅助記詞安全性的 3 種場景:記憶力衰退,如果您是靠記憶力保存助記詞(俗稱“腦錢包”);助記詞備份被偷或被搶;助記詞備份因重大事故或自然災害比如大火,洪水受損。還有一些其他的場景,例如,被狗吃掉,被咖啡污漬污染,甚至發生地震導致房子倒塌等也會導致助記詞備份受到損壞。對於第 1 種場景來講 ,我們強烈講義不要將“腦錢包”作為存儲助記詞的唯一方法,這種方法的不確定風險特別高。比如,創傷性腦損傷可能會導致失憶,衰老也會導致記憶力減退,阿爾茲海默氏症會導致無法記住事物。另外,隨著時間的流逝,許多存在腦海中的記憶片段也會自然而然地被遺忘。 對於第 2 種場景來講 ,您應該始終牢記助記詞被偷或被盜往往不是由一個局外人來完成,反而是親屬或者當時幫您存儲助記詞的這種身邊...
Keystone 硬件錢包盲签——以太坊社区的安全黑洞
隨著2020年 DeFi 項目的蓬勃發展,以太坊已經成為區塊鏈中最活躍的公鏈之一。當提及到 DeFi 的安全性,大多數人都是從智能合約的角度來討論,卻很少有人從另一個潛在的角度深入考慮DeFi 的安全性—— 我們的交易簽名過程是否安全? 事情發生在2020年12月,Nexus Mutual 的創始人 Hugh Karp 遭到了有針對性的遠程攻擊。據報道,攻擊者獲得了對 Hugh 計算機的遠程訪問權限然後針對他的 MetaMask 軟件錢包進行一些修改,從而篡改他某一筆交易,並將資金轉移到了攻擊者自己的地址。最終導致了價值800萬美元的數字貨幣被盜。 從 Hugh 的博客中還可以推斷,攻擊者不僅成功的攻擊了 Hugh,還有證據表明同樣成功的攻擊了以太坊社區的其他 DeFi 高級用戶。硬件錢包無法面面俱到Hugh 當時使用了硬件錢包,很明顯,僅僅知道如何使用硬件錢包並不是可以完全阻止攻擊的靈丹妙藥。 硬件錢包最基礎的安全假設之一,就是原則上不應該相信配套的軟件錢包,並且用戶應該有能力手動檢查硬件錢包上的交易,來確保沒有任何東西被暗地裏更換。 如果不能確保對交易進行簽署是安全的,我們就...
MetaMask 官方硬件钱包合作伙伴。Web3 安全首选!Telegram: https://t.me/KeystoneWalletCN Discord: https://keyst.one/DC
Subscribe to Keystone 硬件錢包
Subscribe to Keystone 硬件錢包
Share Dialog
Share Dialog
<100 subscribers
<100 subscribers
初始化數字貨幣加密錢包,其中最重要的環節就是創建助記詞。那你有沒有思考過一個問題——助記詞從何而來?實際上他來源於一串隨機數,也就是所謂的熵。該隨機數通常是由軟件錢包中的 PRNG(偽隨機數生成器)或者硬件錢包的 TRNG (真隨機數生成器)生成。這個過程中,保持高度的隨機性是私鑰不會被暴力破解的關鍵。關於 PRNG (偽隨機數生成器)和 TRNG (真隨機數生成器)之間的區別,我們在這篇文章中做了詳細解釋。
但是, TRNG(真隨機數生成器)也有一些缺點。TRNG 是由安全芯片供應商創建的專有代碼執行,也就是說,用戶在生成真隨機數時,需要去信任這個供應商是沒有問題的。
對於一些加密货币的持有者來講,這種盲目的信任是不能接受的。所以這就是為什麼像 ColdCard 和 Keystone 這些品牌的硬件錢包可以允許用戶使用投擲骰子的方式生成自己的隨機數。您可以查看這篇教程了解如何用 Keystone 通過投擲骰子創建助記詞。
“Don’t trust, verify!”不僅僅是一句口號,而是我們應該努力堅持的標準,這也與 Keystone 團隊產生了強烈共鳴,我們會以盡可能高的產品透明度來實現這一目標。之前我們已經將操作系統和安全芯片固件代碼進行開源,在未來,我們會逐步實現“未驗證,勿相信”這一終極目標。
資深技術用戶可以在我們的 Github 中驗證我們的代碼。對於非技術用戶,可以使用 Ian Coleman 工具去驗證結果。
下面詳細介紹驗證過程:
假設您投擲了 50 次骰子,然後得到了一串數字:
51236422654236551235532545533355551153256611442361
將這些數字輸入 Keystone ,就會生成一套 24 位的助記詞。
請注意,将投擲产生的 50 个数字转换成六进制数,相當於 128 位字节。如果您投擲次數少於 50 ,隨機性可能會減弱,導致生成的助記詞安全係數較低。保險起見,我們更建議投擲 100 次。
在 Ian Coleman 的密鑰生成工具中,您可以打開“顯示熵詳細信息” (Show entropy details)。
然後在頁面的右側選擇 Dice [1-6] ,在助記詞長度這一列選擇 24 words 。然後在“熵”這一列輸入您剛在 Keystone 中輸入的數字。
然後您將得到一組助記詞,這與在 Keystone 上用骰子生成的助記詞完全相同。 如下所示:
boost nephew sea noise apology three grocery alter season gym leaf token defense today vacuum purse gate swear want road opera fine flag twice
建议您最好離線使用 Ian Coleman 網絡工具去驗證骰子助記詞,避免有潛在的惡意軟件控制你的鍵盤或對您的計算機實施其他網絡攻擊。您可以在 Ian Coleman 頁面的底部,找到離線使用指南。
這是“Don't trust, verify!”系列文章的第一篇。接下來我們还會講如何驗證固件升級包。敬請期待。
初始化數字貨幣加密錢包,其中最重要的環節就是創建助記詞。那你有沒有思考過一個問題——助記詞從何而來?實際上他來源於一串隨機數,也就是所謂的熵。該隨機數通常是由軟件錢包中的 PRNG(偽隨機數生成器)或者硬件錢包的 TRNG (真隨機數生成器)生成。這個過程中,保持高度的隨機性是私鑰不會被暴力破解的關鍵。關於 PRNG (偽隨機數生成器)和 TRNG (真隨機數生成器)之間的區別,我們在這篇文章中做了詳細解釋。
但是, TRNG(真隨機數生成器)也有一些缺點。TRNG 是由安全芯片供應商創建的專有代碼執行,也就是說,用戶在生成真隨機數時,需要去信任這個供應商是沒有問題的。
對於一些加密货币的持有者來講,這種盲目的信任是不能接受的。所以這就是為什麼像 ColdCard 和 Keystone 這些品牌的硬件錢包可以允許用戶使用投擲骰子的方式生成自己的隨機數。您可以查看這篇教程了解如何用 Keystone 通過投擲骰子創建助記詞。
“Don’t trust, verify!”不僅僅是一句口號,而是我們應該努力堅持的標準,這也與 Keystone 團隊產生了強烈共鳴,我們會以盡可能高的產品透明度來實現這一目標。之前我們已經將操作系統和安全芯片固件代碼進行開源,在未來,我們會逐步實現“未驗證,勿相信”這一終極目標。
資深技術用戶可以在我們的 Github 中驗證我們的代碼。對於非技術用戶,可以使用 Ian Coleman 工具去驗證結果。
下面詳細介紹驗證過程:
假設您投擲了 50 次骰子,然後得到了一串數字:
51236422654236551235532545533355551153256611442361
將這些數字輸入 Keystone ,就會生成一套 24 位的助記詞。
請注意,将投擲产生的 50 个数字转换成六进制数,相當於 128 位字节。如果您投擲次數少於 50 ,隨機性可能會減弱,導致生成的助記詞安全係數較低。保險起見,我們更建議投擲 100 次。
在 Ian Coleman 的密鑰生成工具中,您可以打開“顯示熵詳細信息” (Show entropy details)。
然後在頁面的右側選擇 Dice [1-6] ,在助記詞長度這一列選擇 24 words 。然後在“熵”這一列輸入您剛在 Keystone 中輸入的數字。
然後您將得到一組助記詞,這與在 Keystone 上用骰子生成的助記詞完全相同。 如下所示:
boost nephew sea noise apology three grocery alter season gym leaf token defense today vacuum purse gate swear want road opera fine flag twice
建议您最好離線使用 Ian Coleman 網絡工具去驗證骰子助記詞,避免有潛在的惡意軟件控制你的鍵盤或對您的計算機實施其他網絡攻擊。您可以在 Ian Coleman 頁面的底部,找到離線使用指南。
這是“Don't trust, verify!”系列文章的第一篇。接下來我們还會講如何驗證固件升級包。敬請期待。
No activity yet