استفان توماس دو تلاش ناموفق برای رمز عبور از دست دادن کلیدهای خصوصی به ارزش 220 میلیون دلار است بیت کوینبیت کوین یک ارز دیجیتال است (که به آن ارز دیجیتال نیز گفته می شود) … بیشتر برای همیشه. این به این دلیل است که توماس کلیدهای خصوصی خود را نگه می دارد کیف پول بیت کوینکیف پول بیت کوین یک برنامه نرم افزاری است که در آن بیت کوین ها… بیشتر در IronKey «ایمنترین فلش درایو جهان» به لطف مجموعهای از محافظهای داخلی، ترجیح میدهد بمیرد تا اینکه اسرار خود را کنار بگذارد. IronKey توسط وزارت امنیت داخلی ایالات متحده تامین مالی شد 2006 و توسط Dave Jevans، مدیرعامل CipherTrace تأسیس شد.
Jevans به تحقیقات برای بازیابی کلیدهای خصوصی توماس کمک می کند، تلاشی که توسط IronKey بسیار مقاوم در برابر حمله که Jevans و تیمش برای محافظت از کلیدهای رمزنگاری طراحی کرده اند، چالش برانگیز است.
روز سهشنبه، ژوانز در گفتگوی توییتری با الکس استاموس، مدیر سابق CISO در فیسبوک، درباره وضعیت توماس اظهار نظر کرد.
تاپیک کامل اینجا پیدا شد https://twitter.com/alexstamos/status/1348999178702057476 اما دیگر در دسترس نیست
یک آرشیو در زیر رونویسی شده است.
الکس استاموس @alexstamos
6:24 ق.ظ · 12 ژانویه 2021
اوم، با 220 میلیون دلار بیت کوین قفل شده، 10 رمز عبور را حدس نمی زنید، بلکه آن را به متخصصان می برید تا 20 IronKey بخرند و شش ماه را صرف پیدا کردن یک کانال جانبی یا برداشتن آن کنید.
من آن را برای 10٪ انجام خواهم داد. به من زنگ بزن
«استفان توماس، یک برنامه نویس آلمانی الاصل که در سانفرانسیسکو زندگی می کند، دو حدس برای یافتن رمز عبوری دارد که ارزش آن از این هفته حدود 220 میلیون دلار است.
رمز عبور به او اجازه می دهد یک هارد دیسک کوچک به نام IronKey را باز کند که حاوی کلیدهای خصوصی یک کیف پول دیجیتالی است که دارای 7,002 بیت کوین است. در حالی که قیمت بیت کوین در روز دوشنبه به شدت کاهش یافت، اما همچنان بیش از 50 درصد نسبت به یک ماه پیش، زمانی که بالاترین رکورد قبلی خود یعنی حدود 20,000 دلار را پشت سر گذاشت، افزایش یافته است.
مشکل اینجاست که آقای توماس سالها پیش کاغذی را که در آن رمز عبور IronKey خود را یادداشت کرده بود، گم کرد، که به کاربران قبل از ضبط و رمزگذاری محتویات آن برای همیشه 10 حدس میزند. او از آن زمان هشت مورد از رایجترین فرمولهای رمز عبور خود را امتحان کرده است - بیفایده.
آقای توماس گفت: "من فقط در رختخواب دراز می کشیدم و به آن فکر می کردم." "سپس با یک استراتژی جدید به سراغ کامپیوتر می رفتم، و این کار نمی کرد و دوباره ناامید می شدم."
الکس استاموس @alexstamos
در حال پاسخ به @alexstamos
ما در مورد یک پردازنده رمزنگاری ساخته شده توسط NSA که روی یک SSBN نصب شده است صحبت نمی کنیم، بلکه یک قطعه قدیمی 50 دلاری از کیت مصرف کننده است. هیچ راهی وجود ندارد که در برابر ده سال گذشته کاغذهای USENIX که هرگز در عمل استفاده نشده اند، سخت شود.
دیو جوانز @davejevans
پاسخ به @alexstamos
من یکی از بنیانگذاران و مدیرعامل IronKey بودم. ما در طول توسعه محصولات، گفتگوهای متعددی با NSA داشتیم. اگر شخص قبل از اینکه شرکت را به Imation بفروشیم از نسل اول IronKey استفاده می کند، بسیار چالش برانگیز خواهد بود. /1
جکس @in3dye
هدف NSA از کمک به شما چه بود؟
دیو جوانز @davejevans
پاسخ به @in3dye و @alexstamos
هنگامی که آنها تشخیص دادند که هیچ درب پشتی وجود ندارد، می خواستند آن را تا حد امکان برای استفاده طبقه بندی شده ایمن کنند. به عنوان مثال، آنها فقط خواهان تخریب کلید AES نبودند، بلکه در مورد تکنیکهای پاک کردن فلش NAND که ما در سختافزار پیادهسازی کردیم، توصیه کردند.
دیو جوانز @davejevans
پاسخ به @alexstamos
شمارنده رمز عبور و کلیدهای رمزگذاری شده AES روی پردازنده Atmel AT98 ذخیره می شوند. برداشتن درپوش چالش برانگیز است زیرا یک لایه حفاظتی تصادفی روی تراشه وجود دارد به این معنی که دسترسی به مدار داخلی احتمالاً تراشه را از بین می برد. https://dtsheet.com/doc/232348/atmel-at98sc008ct /2
Dave Jevans @davejevans
در حال پاسخ به @alexstamos
ویژگیهای امنیتی IronKey/Atmel شامل آشکارسازهای ولتاژ، فرکانس و دما، جلوگیری از اجرای کد غیرقانونی، مانیتورهای دستکاری و محافظت در برابر حملات کانالهای جانبی و کاوش است. تراشه ها می توانند تلاش های دستکاری را تشخیص دهند و داده های حساس را در چنین رویدادهایی از بین ببرند /3
دیو جوانز @davejevans
پاسخ به @alexstamos
ما به Fly Labs رفتیم و در حین توسعه تراشههای امنیتی IronKey خود را با یک FIB بررسی کردیم. حمله کردن بسیار سخت خواهد بود. اگر بتوانید شمارنده رمز عبور را خاموش کنید، این بهترین گزینه است. شاید کلید AES رمزگذاری شده را استخراج کنید. هر دو بسیار بعید است. /4
الکس استاموس @alexstamos
من مطمئن هستم که شما بچهها کار بزرگی انجام دادید (من فکر میکنم iSEC در یک نقطه اعتبارسنجی را برای شما انجام داد) اما این یک مدل تهدید معقول نیست که انتظار داشته باشیم سختافزار مصرفکننده پس از یک دهه و در مقابل میلیونها دلار تحقیقات هدایتشده پایدار بماند.
دیو جوانز @davejevans
پاسخ به @alexstamos
خیلی جالب است که بفهمیم آیا کسی توانسته است بدون بازنشانی به خانواده کارت های هوشمند AT98SC حمله کند یا خیر. منظور من از قابل اعتماد، حمله به یک دستگاه، با شانس موفقیت بالا، به جای موفقیت در 1٪ مواقع است.
صورت کلاه گرت سراک کابوی @fearthecowboy
در حال پاسخ به @alexstamos
آیا چند ماه پیش موردی مشابه این وجود نداشت که شخصی بیت کوین را روی قطعه ای از دیسک کریپتو بیهوده داشته باشد؟
یکی از IIRC بیرون آمد و متوجه شد که سفتافزاری که روی آن بود را میتوان به یکی از آسیبپذیر کاهش داد، و آنها را باز کردند.
دیو جوانز @davejevans
پاسخ به @fearthecowboy و @alexstamos
شما نمی توانید سیستم عامل را در دستگاه های اصلی IronKey کاهش دهید. در سخت افزار بررسی می شود و باید توسط کلیدهای فیزیکی در یک HSM در IronKey (اکنون Imation) امضا شود. این یک Trezor با بررسی سیستم عامل نرم افزار نیست. در سخت افزار سفارشی انجام می شود. ما بیش از 10 میلیون دلار در تحقیق و توسعه تراشه خرج کردیم
برنت مولر @Patchemup1
در حال پاسخ به @alexstamos و @hacks4pancakes
من شرط می بندم که شمارنده حداقل 10 می تواند بازنشانی شود یا از سوئیچ kill جدا شود. حداقل با مقدار منابعی که پول زیادی می تواند خریداری کند.
دیو جوانز @davejevans
آره. اما نظرات من را در مورد مش محافظ، جلوگیری از حمله کانال جانبی و غیره در تراشه مدیریت کلید که در ساخت دستگاههای IronKey استفاده میکنیم، ببینید. شما یک فرصت دارید که مش فیزیکی را غیرفعال کنید و به صورت تصادفی در هر دستگاه تنظیم می شود.
iver_Tam @RiverTamYDN
من احساس میکنم که او میتواند پول کافی برای بهروزرسانی سیستمافزار IronKey به کینگستون بپردازد که به او تلاشهای نامحدود رمزگشایی میکند.
دیو جوانز @davejevans
اگر نسخه اصلی IronKey است، هیچ راهی برای به روز رسانی سیستم عامل روی کارت هوشمندی که کلید رمزگذاری شده AES و شمارنده رمز عبور را در خود نگه می دارد، وجود ندارد. نیاز به حمله فیزیکی دارد که تراشه در برابر آن محافظت های زیادی دارد.
جاش @JDG_1980
آیا امکانی وجود دارد که IronKey را جدا کرده و رمز عبور را با میکروسکوپ الکترونی رمزگشایی کند؟
دیو جوانز @davejevans
در طول توسعه در IronKey، ما کارت هوشمند را جدا کردیم و با یک FIB بازی کردیم. این کارت دارای محافظتهای فیزیکی زیادی در برابر حافظه خواندن است، از جمله تشخیص UV، مش سختافزاری تصادفی، تشخیص حمله کانال جانبی، و غیره. آنها به راحتی بازنشانی میشوند.
دن کامینسکی @dakami
اگر مفید است، @justmoon، پیشنهاد الکس کاملاً معتبر است.
دیو جوانز @davejevans
پاسخ به @dakami، @lacker و 2 دیگران
به عنوان یکی از بنیانگذاران و مدیر عامل سابق IronKey، من به شما کمک خواهم کرد. شما باید Atmel AT98 را کرک کنید (با فرض اینکه این IronKey است که ما قبل از خرید شرکت ما توسط Imation توسعه داده ایم).
کیف پول سخت افزاری، کلید آهنی و امنیت نشکن
شرکتهای کیف پول سختافزاری باید وضعیت امنیتی خود را بالا ببرند و به دنبال گواهی خارجی رمزگذاری خود باشند. برخلاف کیفپولهای سختافزاری، IronKeys بیش از یک دهه پس از انتشار اولیهشان همچنان ضد دستکاری هستند. مؤسسه ملی استانداردها و فناوری (NIST) سری 140 حفاظت اطلاعات فدرال را برای هماهنگ کردن الزامات و استانداردهای ماژول های رمزنگاری که شامل اجزای سخت افزاری و نرم افزاری برای استفاده توسط ادارات و آژانس های دولت فدرال ایالات متحده است، صادر می کند.
- FIPS 140-2 سطح 1 پایین ترین، الزامات بسیار محدودی را تحمیل می کند. به طور ساده، همه اجزاء باید «درجه تولید» باشند و انواع مختلف ناامنی فاحش باید وجود نداشته باشد.
- FIPS 140-2 سطح 2 الزاماتی را برای شواهد دستکاری فیزیکی و احراز هویت مبتنی بر نقش اضافه می کند.
- FIPS 140-2 سطح 3 الزاماتی را برای مقاومت فیزیکی در برابر دستکاری اضافه می کند.
در سال 2011، IronKey تا حد زیادی "ایمن ترین فلش درایو جهان" بود، زیرا این تنها دستگاه رمزگذاری موبایلی بود که گواهینامه FIPS 140-2 سطح 3، مقاومت در برابر دستکاری را دریافت کرد. فروشندگان کیف پول سخت افزاری Zero هنوز نرم افزار خود را حتی در سطح 140 FIPS 2-1 تأیید نکرده اند. در حالی که برخی از کیف پول های Trezor دارای چیپست هایی از Super Micro، ST31 و STM32 هستند که به طور جداگانه دارای اعتبار EAL هستند، کیف پول Trezor خود گواهینامه ندارد.
مفاهیم برای کیف پول های سخت افزاری
از نظر تاریخی، hکیف پول های ardware هرگز بسیار امن نبوده اند. در سال 2018، کیف پول های سخت افزاری لجر wویژگی های توسط یک محقق 15 ساله به خطر افتاده است، رشید سلیم، با استفاده از مقدار بسیار کمی کد سلیم یک درب پشتی بر روی Ledger Nano S نصب کرد که باعث شد دستگاه رمزهای عبور بازیابی از پیش تعیین شده را تولید کند. یک مهاجم میتواند آن رمزهای عبور را در کیف پول سختافزاری جدید لجر وارد کند تا کلیدهای خصوصی دستگاه درب پشتی را بازیابی کند. رشید همچنین یک سال قبل توانست از نقص کیف پول Trezor استفاده کند. https://ciphertrace.com/ledger-bitcoin-wallet-hacked/
نقض داده های لجر در سال 2020 نشانی های ایمیل و موارد دیگر را افشا کرد PII با بیش از 270,000 کاربر، که در نتیجه بسیاری از مشتریان لجر قربانی حملات فیشینگ و باجافزاری میشوند که شامل تهدید خشونت میشود. در حالی که هک مستقیماً وجوه مشتری را تهدید نکرد، شهرت آنها در صنعت در هکتار استs به خطر افتاده است و باعث شده بسیاری از آینده امنیت کیف پول سخت افزاری را زیر سوال ببرند. شاید این شرکتهای سختافزاری عاقلانه باشند که مشارکتهای IronKey در امنیت کریپتو را بررسی کنند. با روحیه غیرمتمرکز، مسئولیت حفظ کلیدهای خصوصی بر عهده کاربر است تا در وضعیت ناگوار توماس با صدها میلیون دلار غیرقابل دسترس قرار نگیرند.
منبع: https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/
- 000
- 2020
- 7
- دسترسی
- الکس
- معرفی
- بایگانی
- دور و بر
- تصدیق
- درپشتی
- بهترین
- ورزش ها
- بیت کوین
- کیف پول بیت کوین
- شکاف
- بنا
- خرید
- صدا
- ایجاد می شود
- مدیر عامل شرکت
- گواهی
- چک
- تراشه
- چیپس
- CipherTrace
- بنیانگذاران
- رمز
- نظرات
- شرکت
- شرکت
- مصرف کننده
- محتویات
- ادامه دادن
- گفتگو
- گفتگو
- عضو سازمانهای سری ومخفی
- واحد پول
- مشتریان
- داده ها
- عدم تمرکز
- از بین بردن
- کشف
- پروژه
- دستگاه ها
- DID
- دیجیتال
- ارز دیجیتال
- کیف پول دیجیتال
- دلار
- کاهش یافته است
- بالا بردن
- پست الکترونیک
- رمزگذاری
- حوادث
- بهره برداری
- چهره
- فیس بوک
- خانواده
- امکانات
- فدرال
- دولت فدرال
- شکل
- نام خانوادگی
- فلاش
- نقص
- فرانسیسکو
- کامل
- بودجه
- بودجه
- آینده
- دولت
- بزرگ
- هک
- سخت افزار
- کیف پول سخت افزار
- کیف جیبی
- اینجا کلیک نمایید
- زیاد
- نگه داشتن
- امنیت میهن
- HTTPS
- صدها نفر
- غیر مجاز
- از جمله
- صنعت
- اطلاعات
- تحقیق
- مسائل
- IT
- کار
- کلید
- کلید
- آزمایشگاه
- برجسته
- دفتر کل
- سطح
- محدود شده
- نگاه
- مدیریت
- میلیون
- موبایل
- مدل
- دوشنبه
- پول
- ماه
- نانو
- ارائه
- دیگر
- مقاله
- کلمه عبور
- کلمه عبور
- پرداخت
- فیشینگ
- پیشگیری
- قیمت
- خصوصی
- کلیدهای خصوصی
- محصولات
- حرفه ای
- برنامه
- محافظت از
- حفاظت
- محافظ
- تصادفی
- باجافزار
- حملات باج افزار
- مطالعه
- بهبود یافتن
- بهبود
- مورد نیاز
- تحقیق
- منابع
- سان
- سان فرانسیسکو
- تیم امنیت لاتاری
- سلسله
- شش
- کوچک
- هوشمند
- So
- نرم افزار
- فروخته شده
- خرج کردن
- استانداردهای
- ایالات
- استراتژی
- موفقیت
- موفق
- گزینه
- سخنگو
- پیشرفته
- تهدید
- زمان
- گاو صندوق
- توییتر
- متحد
- ایالات متحده
- بروزرسانی
- us
- کاربران
- فروشندگان
- آسیب پذیر
- کیف پول
- کیف پول
- هفته
- در داخل
- مهاجرت کاری
- با ارزش
- سال
- سال
- صفر