Keystone 硬件錢包如何驗證骰子生成的助記詞
初始化數字貨幣加密錢包,其中最重要的環節就是創建助記詞。那你有沒有思考過一個問題——助記詞從何而來?實際上他來源於一串隨機數,也就是所謂的熵。該隨機數通常是由軟件錢包中的 PRNG(偽隨機數生成器)或者硬件錢包的 TRNG (真隨機數生成器)生成。這個過程中,保持高度的隨機性是私鑰不會被暴力破解的關鍵。關於 PRNG (偽隨機數生成器)和 TRNG (真隨機數生成器)之間的區別,我們在這篇文章中做了詳細解釋。 但是, TRNG(真隨機數生成器)也有一些缺點。TRNG 是由安全芯片供應商創建的專有代碼執行,也就是說,用戶在生成真隨機數時,需要去信任這個供應商是沒有問題的。 對於一些加密货币的持有者來講,這種盲目的信任是不能接受的。所以這就是為什麼像 ColdCard 和 Keystone 這些品牌的硬件錢包可以允許用戶使用投擲骰子的方式生成自己的隨機數。您可以查看這篇教程了解如何用 Keystone 通過投擲骰子創建助記詞。 “Don’t trust, verify!”不僅僅是一句口號,而是我們應該努力堅持的標準,這也與 Keystone 團隊產生了強烈共鳴,我們會以盡可能高的產品...
Keystone 硬件錢包Keystone 為什麼要增加分片助記詞功能
Keystone 硬件錢包已經成功實現了在 SatoshiLabs SLIP39 協議中提到的分片助記詞(Shamir Backup)功能,這篇文章將詳細介紹這個功能的優缺點,也給想使用這個功能的用户一些參考。助记词的风险模型在使用分片助記詞之前,我們先研究一下助记词的風險模型,以帮助您更好的决策是否要使用分片助记词这个功能。 威脅助記詞安全性的 3 種場景:記憶力衰退,如果您是靠記憶力保存助記詞(俗稱“腦錢包”);助記詞備份被偷或被搶;助記詞備份因重大事故或自然災害比如大火,洪水受損。還有一些其他的場景,例如,被狗吃掉,被咖啡污漬污染,甚至發生地震導致房子倒塌等也會導致助記詞備份受到損壞。對於第 1 種場景來講 ,我們強烈講義不要將“腦錢包”作為存儲助記詞的唯一方法,這種方法的不確定風險特別高。比如,創傷性腦損傷可能會導致失憶,衰老也會導致記憶力減退,阿爾茲海默氏症會導致無法記住事物。另外,隨著時間的流逝,許多存在腦海中的記憶片段也會自然而然地被遺忘。 對於第 2 種場景來講 ,您應該始終牢記助記詞被偷或被盜往往不是由一個局外人來完成,反而是親屬或者當時幫您存儲助記詞的這種身邊...
Keystone 硬件錢包盲签——以太坊社区的安全黑洞
隨著2020年 DeFi 項目的蓬勃發展,以太坊已經成為區塊鏈中最活躍的公鏈之一。當提及到 DeFi 的安全性,大多數人都是從智能合約的角度來討論,卻很少有人從另一個潛在的角度深入考慮DeFi 的安全性—— 我們的交易簽名過程是否安全? 事情發生在2020年12月,Nexus Mutual 的創始人 Hugh Karp 遭到了有針對性的遠程攻擊。據報道,攻擊者獲得了對 Hugh 計算機的遠程訪問權限然後針對他的 MetaMask 軟件錢包進行一些修改,從而篡改他某一筆交易,並將資金轉移到了攻擊者自己的地址。最終導致了價值800萬美元的數字貨幣被盜。 從 Hugh 的博客中還可以推斷,攻擊者不僅成功的攻擊了 Hugh,還有證據表明同樣成功的攻擊了以太坊社區的其他 DeFi 高級用戶。硬件錢包無法面面俱到Hugh 當時使用了硬件錢包,很明顯,僅僅知道如何使用硬件錢包並不是可以完全阻止攻擊的靈丹妙藥。 硬件錢包最基礎的安全假設之一,就是原則上不應該相信配套的軟件錢包,並且用戶應該有能力手動檢查硬件錢包上的交易,來確保沒有任何東西被暗地裏更換。 如果不能確保對交易進行簽署是安全的,我們就...
MetaMask 官方硬件钱包合作伙伴。Web3 安全首选!Telegram: https://t.me/KeystoneWalletCN Discord: https://keyst.one/DC
Keystone 硬件錢包如何驗證骰子生成的助記詞
初始化數字貨幣加密錢包,其中最重要的環節就是創建助記詞。那你有沒有思考過一個問題——助記詞從何而來?實際上他來源於一串隨機數,也就是所謂的熵。該隨機數通常是由軟件錢包中的 PRNG(偽隨機數生成器)或者硬件錢包的 TRNG (真隨機數生成器)生成。這個過程中,保持高度的隨機性是私鑰不會被暴力破解的關鍵。關於 PRNG (偽隨機數生成器)和 TRNG (真隨機數生成器)之間的區別,我們在這篇文章中做了詳細解釋。 但是, TRNG(真隨機數生成器)也有一些缺點。TRNG 是由安全芯片供應商創建的專有代碼執行,也就是說,用戶在生成真隨機數時,需要去信任這個供應商是沒有問題的。 對於一些加密货币的持有者來講,這種盲目的信任是不能接受的。所以這就是為什麼像 ColdCard 和 Keystone 這些品牌的硬件錢包可以允許用戶使用投擲骰子的方式生成自己的隨機數。您可以查看這篇教程了解如何用 Keystone 通過投擲骰子創建助記詞。 “Don’t trust, verify!”不僅僅是一句口號,而是我們應該努力堅持的標準,這也與 Keystone 團隊產生了強烈共鳴,我們會以盡可能高的產品...
Keystone 硬件錢包Keystone 為什麼要增加分片助記詞功能
Keystone 硬件錢包已經成功實現了在 SatoshiLabs SLIP39 協議中提到的分片助記詞(Shamir Backup)功能,這篇文章將詳細介紹這個功能的優缺點,也給想使用這個功能的用户一些參考。助记词的风险模型在使用分片助記詞之前,我們先研究一下助记词的風險模型,以帮助您更好的决策是否要使用分片助记词这个功能。 威脅助記詞安全性的 3 種場景:記憶力衰退,如果您是靠記憶力保存助記詞(俗稱“腦錢包”);助記詞備份被偷或被搶;助記詞備份因重大事故或自然災害比如大火,洪水受損。還有一些其他的場景,例如,被狗吃掉,被咖啡污漬污染,甚至發生地震導致房子倒塌等也會導致助記詞備份受到損壞。對於第 1 種場景來講 ,我們強烈講義不要將“腦錢包”作為存儲助記詞的唯一方法,這種方法的不確定風險特別高。比如,創傷性腦損傷可能會導致失憶,衰老也會導致記憶力減退,阿爾茲海默氏症會導致無法記住事物。另外,隨著時間的流逝,許多存在腦海中的記憶片段也會自然而然地被遺忘。 對於第 2 種場景來講 ,您應該始終牢記助記詞被偷或被盜往往不是由一個局外人來完成,反而是親屬或者當時幫您存儲助記詞的這種身邊...
Keystone 硬件錢包盲签——以太坊社区的安全黑洞
隨著2020年 DeFi 項目的蓬勃發展,以太坊已經成為區塊鏈中最活躍的公鏈之一。當提及到 DeFi 的安全性,大多數人都是從智能合約的角度來討論,卻很少有人從另一個潛在的角度深入考慮DeFi 的安全性—— 我們的交易簽名過程是否安全? 事情發生在2020年12月,Nexus Mutual 的創始人 Hugh Karp 遭到了有針對性的遠程攻擊。據報道,攻擊者獲得了對 Hugh 計算機的遠程訪問權限然後針對他的 MetaMask 軟件錢包進行一些修改,從而篡改他某一筆交易,並將資金轉移到了攻擊者自己的地址。最終導致了價值800萬美元的數字貨幣被盜。 從 Hugh 的博客中還可以推斷,攻擊者不僅成功的攻擊了 Hugh,還有證據表明同樣成功的攻擊了以太坊社區的其他 DeFi 高級用戶。硬件錢包無法面面俱到Hugh 當時使用了硬件錢包,很明顯,僅僅知道如何使用硬件錢包並不是可以完全阻止攻擊的靈丹妙藥。 硬件錢包最基礎的安全假設之一,就是原則上不應該相信配套的軟件錢包,並且用戶應該有能力手動檢查硬件錢包上的交易,來確保沒有任何東西被暗地裏更換。 如果不能確保對交易進行簽署是安全的,我們就...
MetaMask 官方硬件钱包合作伙伴。Web3 安全首选!Telegram: https://t.me/KeystoneWalletCN Discord: https://keyst.one/DC
Subscribe to Keystone 硬件錢包
Subscribe to Keystone 硬件錢包
Share Dialog
Share Dialog
<100 subscribers
<100 subscribers
當我們收到心心念念的硬件錢包,應該如何辨別真偽,以防供應鏈攻擊?
供應鏈攻擊是硬件錢包安全性的主要威脅之一。從下單到我們收到包裹的這段时间,不可控因素非常之多,供應鏈攻擊就是发生在物流環節中。
在此給到大家兩個建議,所有硬件錢包通用:
1、不要從非官方渠道購入硬件錢包,如..閑..魚..等;
2、收到硬件錢包後,先不要急於拆開,仔細檢查包裝是否有被拆過。
與其他競品一樣,Keystone 的物流包裹上有防拆貼紙,我們拿到錢包的第一步就是檢查防拆貼紙是否有被撕掉過的痕跡。
但是,防篡改包裝只是增加攻擊成本的一种方式,不足以完全防住供應鏈攻擊,因為防篡改包裝是可以被仿造的。
為了更好的防止供應鏈攻擊,我們在您初始化 Keystone 時,設備會提示用戶進行官網真機驗證。如果運輸過程中設備被篡改,將無法通過官網真機驗證。與比特幣签名算法相同, Keystone 的官網真機驗證也采用了非對稱加密算法,可以實現機密信息的交換和驗證。非對稱加密算法需要兩個密鑰:一個私鑰與一個公鑰(兩者是一一對應關系,我們稱之為“密鑰對”)。私鑰可用於簽名和解密公鑰加密的信息,公鑰可用於驗證私鑰的簽名和加密信息。由於公鑰是私鑰通過不可逆算法派生的,僅持有公鑰無法反推私鑰,所以我們通常將公鑰信息公開,供驗證使用。
在生產環節中,我們在每台 Keystone 的安全芯片內都預錄入了一對專門用於官網真機驗證的密鑰對,這對密鑰對和 Keystone 在初始化期間由安全芯片通過物理熵生成的真隨機錢包私鑰無關。
Keystone 官網真機驗證頁面的後端是由 HSM( Hardware Security Module )服務器操作,HSM 是由 AWS( Amazon Web Servce ,也就是大名鼎鼎的亞馬遜雲服務。AWS 是雲服務的鼻祖,相比於大家耳熟能詳的阿里雲,亞馬遜雲的誕生,早了足足九年)提供的高度安全加密服務。HSM 服務器中同樣有一對密鑰對,還同時保存了 Keystone 官網真機驗證密鑰對中的公鑰。Keystone 的安全芯片保存官網真機驗證密鑰對的同時,也保存了 HSM 服務器密鑰對的公鑰。
用戶進行官網真機驗證時,系統會提示用戶使用 Keystone 掃描官網真機展示的二維碼。這個二維碼的原始信息是一串由 HSM 生成的8位隨機字符,這個字符串先由 Keystone 的官網真機驗證公鑰進行加密,然後由 HSM 的私鑰簽名,最終以二維碼形式展示在網頁上供 Keystone 掃描。當 Keystone 掃描官網真機驗證二維碼獲得加密信息後,會先用 HSM 公鑰驗證簽名,這一步可以確保用戶是通過 Keystone 官網真機進行官網真機驗證的,而不是釣魚網站。
然後 Keystone 再用官網真機驗證的私鑰對 HSM 服務器加密的信息進行解密,得到原始信息(8位字符)。將 Keystone 解析的數據輸入到官網真機進行驗證,HSM 服務器會將我們輸入的信息與原始數據進行比對,數據一致就會提示驗證成功。如果驗證失敗,就意味著用戶手中的 Keystone 已經被篡改過(替換安全芯片或者修改固件文件,甚至整個硬件錢包都是偽造的),建議立即停止使用。
黑客需要同時攻破我們的 HMS 服務器和 Keystone 設備的安全芯片。Keystone 使用的 HSM 服務器是由 AWS(亞馬遜雲)提供的安全加密服務,是我們評估的所有同類服務供應商中安全性最高。而且,眾所周知,安全芯片被攻擊的難度也非常大,因此黑客很難同時破壞兩者。所以,Keystone 的官網真機驗證可以有效預防供應鏈攻擊。
Keystone 專業版還增加了拆機自毀機制,試圖打開 Keystone 並篡改內部組件時,會觸發自毀機制,安全芯片內的敏感信息將全部自動擦除,設備也將無法繼續使用。
當我們收到心心念念的硬件錢包,應該如何辨別真偽,以防供應鏈攻擊?
供應鏈攻擊是硬件錢包安全性的主要威脅之一。從下單到我們收到包裹的這段时间,不可控因素非常之多,供應鏈攻擊就是发生在物流環節中。
在此給到大家兩個建議,所有硬件錢包通用:
1、不要從非官方渠道購入硬件錢包,如..閑..魚..等;
2、收到硬件錢包後,先不要急於拆開,仔細檢查包裝是否有被拆過。
與其他競品一樣,Keystone 的物流包裹上有防拆貼紙,我們拿到錢包的第一步就是檢查防拆貼紙是否有被撕掉過的痕跡。
但是,防篡改包裝只是增加攻擊成本的一种方式,不足以完全防住供應鏈攻擊,因為防篡改包裝是可以被仿造的。
為了更好的防止供應鏈攻擊,我們在您初始化 Keystone 時,設備會提示用戶進行官網真機驗證。如果運輸過程中設備被篡改,將無法通過官網真機驗證。與比特幣签名算法相同, Keystone 的官網真機驗證也采用了非對稱加密算法,可以實現機密信息的交換和驗證。非對稱加密算法需要兩個密鑰:一個私鑰與一個公鑰(兩者是一一對應關系,我們稱之為“密鑰對”)。私鑰可用於簽名和解密公鑰加密的信息,公鑰可用於驗證私鑰的簽名和加密信息。由於公鑰是私鑰通過不可逆算法派生的,僅持有公鑰無法反推私鑰,所以我們通常將公鑰信息公開,供驗證使用。
在生產環節中,我們在每台 Keystone 的安全芯片內都預錄入了一對專門用於官網真機驗證的密鑰對,這對密鑰對和 Keystone 在初始化期間由安全芯片通過物理熵生成的真隨機錢包私鑰無關。
Keystone 官網真機驗證頁面的後端是由 HSM( Hardware Security Module )服務器操作,HSM 是由 AWS( Amazon Web Servce ,也就是大名鼎鼎的亞馬遜雲服務。AWS 是雲服務的鼻祖,相比於大家耳熟能詳的阿里雲,亞馬遜雲的誕生,早了足足九年)提供的高度安全加密服務。HSM 服務器中同樣有一對密鑰對,還同時保存了 Keystone 官網真機驗證密鑰對中的公鑰。Keystone 的安全芯片保存官網真機驗證密鑰對的同時,也保存了 HSM 服務器密鑰對的公鑰。
用戶進行官網真機驗證時,系統會提示用戶使用 Keystone 掃描官網真機展示的二維碼。這個二維碼的原始信息是一串由 HSM 生成的8位隨機字符,這個字符串先由 Keystone 的官網真機驗證公鑰進行加密,然後由 HSM 的私鑰簽名,最終以二維碼形式展示在網頁上供 Keystone 掃描。當 Keystone 掃描官網真機驗證二維碼獲得加密信息後,會先用 HSM 公鑰驗證簽名,這一步可以確保用戶是通過 Keystone 官網真機進行官網真機驗證的,而不是釣魚網站。
然後 Keystone 再用官網真機驗證的私鑰對 HSM 服務器加密的信息進行解密,得到原始信息(8位字符)。將 Keystone 解析的數據輸入到官網真機進行驗證,HSM 服務器會將我們輸入的信息與原始數據進行比對,數據一致就會提示驗證成功。如果驗證失敗,就意味著用戶手中的 Keystone 已經被篡改過(替換安全芯片或者修改固件文件,甚至整個硬件錢包都是偽造的),建議立即停止使用。
黑客需要同時攻破我們的 HMS 服務器和 Keystone 設備的安全芯片。Keystone 使用的 HSM 服務器是由 AWS(亞馬遜雲)提供的安全加密服務,是我們評估的所有同類服務供應商中安全性最高。而且,眾所周知,安全芯片被攻擊的難度也非常大,因此黑客很難同時破壞兩者。所以,Keystone 的官網真機驗證可以有效預防供應鏈攻擊。
Keystone 專業版還增加了拆機自毀機制,試圖打開 Keystone 並篡改內部組件時,會觸發自毀機制,安全芯片內的敏感信息將全部自動擦除,設備也將無法繼續使用。
No activity yet