220 میلیون دلار بیت کوین ممکن است برای همیشه در اطلاعات IronKey PlatoBlockchain رمزگذاری شود. جستجوی عمودی Ai.

220 میلیون دلار بیت کوین ممکن است برای همیشه در IronKey رمزگذاری شود

تمبر زمان: 14 ژانویه 2021، ساعت 3:58 بعد از ظهر

استفان توماس دو تلاش ناموفق برای رمز عبور از دست دادن کلیدهای خصوصی به ارزش 220 میلیون دلار است بیت کوین برای همیشه. این به این دلیل است که توماس کلیدهای خصوصی خود را نگه می دارد کیف پول بیت کوین در IronKey «ایمن‌ترین فلش درایو جهان» به لطف مجموعه‌ای از محافظ‌های داخلی، ترجیح می‌دهد بمیرد تا اینکه اسرار خود را کنار بگذارد. IronKey توسط وزارت امنیت داخلی ایالات متحده تامین مالی شد 2006 و توسط Dave Jevans، مدیرعامل CipherTrace تأسیس شد. 

Jevans به تحقیقات برای بازیابی کلیدهای خصوصی توماس کمک می کند، تلاشی که توسط IronKey بسیار مقاوم در برابر حمله که Jevans و تیمش برای محافظت از کلیدهای رمزنگاری طراحی کرده اند، چالش برانگیز است. 

روز سه‌شنبه، ژوانز در گفتگوی توییتری با الکس استاموس، مدیر سابق CISO در فیسبوک، درباره وضعیت توماس اظهار نظر کرد.  

تاپیک کامل اینجا پیدا شد https://twitter.com/alexstamos/status/1348999178702057476 اما دیگر در دسترس نیست

یک آرشیو در زیر رونویسی شده است.

الکس استاموس @alexstamos

6:24 ق.ظ · 12 ژانویه 2021

اوم، با 220 میلیون دلار بیت کوین قفل شده، 10 رمز عبور را حدس نمی زنید، بلکه آن را به متخصصان می برید تا 20 IronKey بخرند و شش ماه را صرف پیدا کردن یک کانال جانبی یا برداشتن آن کنید.

من آن را برای 10٪ انجام خواهم داد. به من زنگ بزن

«استفان توماس، یک برنامه نویس آلمانی الاصل که در سانفرانسیسکو زندگی می کند، دو حدس برای یافتن رمز عبوری دارد که ارزش آن از این هفته حدود 220 میلیون دلار است.

رمز عبور به او اجازه می دهد یک هارد دیسک کوچک به نام IronKey را باز کند که حاوی کلیدهای خصوصی یک کیف پول دیجیتالی است که دارای 7,002 بیت کوین است. در حالی که قیمت بیت کوین در روز دوشنبه به شدت کاهش یافت، اما همچنان بیش از 50 درصد نسبت به یک ماه پیش، زمانی که بالاترین رکورد قبلی خود یعنی حدود 20,000 دلار را پشت سر گذاشت، افزایش یافته است.

مشکل اینجاست که آقای توماس سال‌ها پیش کاغذی را که در آن رمز عبور IronKey خود را یادداشت کرده بود، گم کرد، که به کاربران قبل از ضبط و رمزگذاری محتویات آن برای همیشه 10 حدس می‌زند. او از آن زمان هشت مورد از رایج‌ترین فرمول‌های رمز عبور خود را امتحان کرده است - بی‌فایده.

آقای توماس گفت: "من فقط در رختخواب دراز می کشیدم و به آن فکر می کردم." "سپس با یک استراتژی جدید به سراغ کامپیوتر می رفتم، و این کار نمی کرد و دوباره ناامید می شدم."

الکس استاموس @alexstamos

در حال پاسخ به @alexstamos

ما در مورد یک پردازنده رمزنگاری ساخته شده توسط NSA که روی یک SSBN نصب شده است صحبت نمی کنیم، بلکه یک قطعه قدیمی 50 دلاری از کیت مصرف کننده است. هیچ راهی وجود ندارد که در برابر ده سال گذشته کاغذهای USENIX که هرگز در عمل استفاده نشده اند، سخت شود.

دیو جوانز @davejevans

پاسخ به  @alexstamos

من یکی از بنیانگذاران و مدیرعامل IronKey بودم. ما در طول توسعه محصولات، گفتگوهای متعددی با NSA داشتیم. اگر شخص قبل از اینکه شرکت را به Imation بفروشیم از نسل اول IronKey استفاده می کند، بسیار چالش برانگیز خواهد بود. /1

جکس @in3dye

هدف NSA از کمک به شما چه بود؟

دیو جوانز @davejevans

پاسخ به  @in3dye و  @alexstamos

 

هنگامی که آنها تشخیص دادند که هیچ درب پشتی وجود ندارد، می خواستند آن را تا حد امکان برای استفاده طبقه بندی شده ایمن کنند. به عنوان مثال، آنها فقط خواهان تخریب کلید AES نبودند، بلکه در مورد تکنیک‌های پاک کردن فلش NAND که ما در سخت‌افزار پیاده‌سازی کردیم، توصیه کردند.

دیو جوانز @davejevans

پاسخ به  @alexstamos

 

شمارنده رمز عبور و کلیدهای رمزگذاری شده AES روی پردازنده Atmel AT98 ذخیره می شوند. برداشتن درپوش چالش برانگیز است زیرا یک لایه حفاظتی تصادفی روی تراشه وجود دارد به این معنی که دسترسی به مدار داخلی احتمالاً تراشه را از بین می برد. https://dtsheet.com/doc/232348/atmel-at98sc008ct  /2

Dave Jevans @davejevans

در حال پاسخ به @alexstamos

ویژگی‌های امنیتی IronKey/Atmel شامل آشکارسازهای ولتاژ، فرکانس و دما، جلوگیری از اجرای کد غیرقانونی، مانیتورهای دستکاری و محافظت در برابر حملات کانال‌های جانبی و کاوش است. تراشه ها می توانند تلاش های دستکاری را تشخیص دهند و داده های حساس را در چنین رویدادهایی از بین ببرند /3

دیو جوانز @davejevans

پاسخ به  @alexstamos

 

ما به Fly Labs رفتیم و در حین توسعه تراشه‌های امنیتی IronKey خود را با یک FIB بررسی کردیم. حمله کردن بسیار سخت خواهد بود. اگر بتوانید شمارنده رمز عبور را خاموش کنید، این بهترین گزینه است. شاید کلید AES رمزگذاری شده را استخراج کنید. هر دو بسیار بعید است. /4

الکس استاموس @alexstamos

من مطمئن هستم که شما بچه‌ها کار بزرگی انجام دادید (من فکر می‌کنم iSEC در یک نقطه اعتبارسنجی را برای شما انجام داد) اما این یک مدل تهدید معقول نیست که انتظار داشته باشیم سخت‌افزار مصرف‌کننده پس از یک دهه و در مقابل میلیون‌ها دلار تحقیقات هدایت‌شده پایدار بماند.

دیو جوانز @davejevans

پاسخ به  @alexstamos

 

خیلی جالب است که بفهمیم آیا کسی توانسته است بدون بازنشانی به خانواده کارت های هوشمند AT98SC حمله کند یا خیر. منظور من از قابل اعتماد، حمله به یک دستگاه، با شانس موفقیت بالا، به جای موفقیت در 1٪ مواقع است.

صورت کلاه گرت سراک کابوی @fearthecowboy

در حال پاسخ به @alexstamos

آیا چند ماه پیش موردی مشابه این وجود نداشت که شخصی بیت کوین را روی قطعه ای از دیسک کریپتو بیهوده داشته باشد؟

یکی از IIRC بیرون آمد و متوجه شد که سفت‌افزاری که روی آن بود را می‌توان به یکی از آسیب‌پذیر کاهش داد، و آن‌ها را باز کردند.

دیو جوانز @davejevans

پاسخ به  @fearthecowboy و  @alexstamos

 

شما نمی توانید سیستم عامل را در دستگاه های اصلی IronKey کاهش دهید. در سخت افزار بررسی می شود و باید توسط کلیدهای فیزیکی در یک HSM در IronKey (اکنون Imation) امضا شود. این یک Trezor با بررسی سیستم عامل نرم افزار نیست. در سخت افزار سفارشی انجام می شود. ما بیش از 10 میلیون دلار در تحقیق و توسعه تراشه خرج کردیم

برنت مولر @Patchemup1

در حال پاسخ به @alexstamos و @hacks4pancakes

من شرط می بندم که شمارنده حداقل 10 می تواند بازنشانی شود یا از سوئیچ kill جدا شود. حداقل با مقدار منابعی که پول زیادی می تواند خریداری کند.

دیو جوانز @davejevans

 

آره. اما نظرات من را در مورد مش محافظ، جلوگیری از حمله کانال جانبی و غیره در تراشه مدیریت کلید که در ساخت دستگاه‌های IronKey استفاده می‌کنیم، ببینید. شما یک فرصت دارید که مش فیزیکی را غیرفعال کنید و به صورت تصادفی در هر دستگاه تنظیم می شود.

iver_Tam @RiverTamYDN

من احساس می‌کنم که او می‌تواند پول کافی برای به‌روزرسانی سیستم‌افزار IronKey به کینگستون بپردازد که به او تلاش‌های نامحدود رمزگشایی می‌کند.

دیو جوانز @davejevans

 

اگر نسخه اصلی IronKey است، هیچ راهی برای به روز رسانی سیستم عامل روی کارت هوشمندی که کلید رمزگذاری شده AES و شمارنده رمز عبور را در خود نگه می دارد، وجود ندارد. نیاز به حمله فیزیکی دارد که تراشه در برابر آن محافظت های زیادی دارد.

جاش @JDG_1980

آیا امکانی وجود دارد که IronKey را جدا کرده و رمز عبور را با میکروسکوپ الکترونی رمزگشایی کند؟

دیو جوانز @davejevans

 

در طول توسعه در IronKey، ما کارت هوشمند را جدا کردیم و با یک FIB بازی کردیم. این کارت دارای محافظت‌های فیزیکی زیادی در برابر حافظه خواندن است، از جمله تشخیص UV، مش سخت‌افزاری تصادفی، تشخیص حمله کانال جانبی، و غیره. آنها به راحتی بازنشانی می‌شوند.

دن کامینسکی @dakami

اگر مفید است،  @justmoon، پیشنهاد الکس کاملاً معتبر است.

 دیو جوانز @davejevans

پاسخ به  @dakami، @lacker  و 2 دیگران

 

به عنوان یکی از بنیانگذاران و مدیر عامل سابق IronKey، من به شما کمک خواهم کرد. شما باید Atmel AT98 را کرک کنید (با فرض اینکه این IronKey است که ما قبل از خرید شرکت ما توسط Imation توسعه داده ایم).

کیف پول سخت افزاری، کلید آهنی و امنیت نشکن

شرکت‌های کیف پول سخت‌افزاری باید وضعیت امنیتی خود را بالا ببرند و به دنبال گواهی خارجی رمزگذاری خود باشند. برخلاف کیف‌پول‌های سخت‌افزاری، IronKeys بیش از یک دهه پس از انتشار اولیه‌شان همچنان ضد دستکاری هستند. مؤسسه ملی استانداردها و فناوری (NIST) سری 140 حفاظت اطلاعات فدرال را برای هماهنگ کردن الزامات و استانداردهای ماژول های رمزنگاری که شامل اجزای سخت افزاری و نرم افزاری برای استفاده توسط ادارات و آژانس های دولت فدرال ایالات متحده است، صادر می کند.  

  • FIPS 140-2 سطح 1 پایین ترین، الزامات بسیار محدودی را تحمیل می کند. به طور ساده، همه اجزاء باید «درجه تولید» باشند و انواع مختلف ناامنی فاحش باید وجود نداشته باشد. 
  • FIPS 140-2 سطح 2 الزاماتی را برای شواهد دستکاری فیزیکی و احراز هویت مبتنی بر نقش اضافه می کند. 
  • FIPS 140-2 سطح 3 الزاماتی را برای مقاومت فیزیکی در برابر دستکاری اضافه می کند. 

در سال 2011، IronKey تا حد زیادی "ایمن ترین فلش درایو جهان" بود، زیرا این تنها دستگاه رمزگذاری موبایلی بود که گواهینامه FIPS 140-2 سطح 3، مقاومت در برابر دستکاری را دریافت کرد. فروشندگان کیف پول سخت افزاری Zero هنوز نرم افزار خود را حتی در سطح 140 FIPS 2-1 تأیید نکرده اند. در حالی که برخی از کیف پول های Trezor دارای چیپست هایی از Super Micro، ST31 و STM32 هستند که به طور جداگانه دارای اعتبار EAL هستند، کیف پول Trezor خود گواهینامه ندارد. 

مفاهیم برای کیف پول های سخت افزاری 

از نظر تاریخی، hکیف پول های ardware هرگز بسیار امن نبوده اند. در سال 2018، کیف پول های سخت افزاری لجر wویژگی های توسط یک محقق 15 ساله به خطر افتاده است، رشید سلیم، با استفاده از مقدار بسیار کمی کد سلیم یک درب پشتی بر روی Ledger Nano S نصب کرد که باعث شد دستگاه رمزهای عبور بازیابی از پیش تعیین شده را تولید کند. یک مهاجم می‌تواند آن رمزهای عبور را در کیف پول سخت‌افزاری جدید لجر وارد کند تا کلیدهای خصوصی دستگاه درب پشتی را بازیابی کند. رشید همچنین یک سال قبل توانست از نقص کیف پول Trezor استفاده کند. https://ciphertrace.com/ledger-bitcoin-wallet-hacked/ 

نقض داده های لجر در سال 2020 نشانی های ایمیل و موارد دیگر را افشا کرد PII با بیش از 270,000 کاربر، که در نتیجه بسیاری از مشتریان لجر قربانی حملات فیشینگ و باج‌افزاری می‌شوند که شامل تهدید خشونت می‌شود. در حالی که هک مستقیماً وجوه مشتری را تهدید نکرد، شهرت آنها در صنعت در هکتار استs به خطر افتاده است و باعث شده بسیاری از آینده امنیت کیف پول سخت افزاری را زیر سوال ببرند. شاید این شرکت‌های سخت‌افزاری عاقلانه باشند که مشارکت‌های IronKey در امنیت کریپتو را بررسی کنند. با روحیه غیرمتمرکز، مسئولیت حفظ کلیدهای خصوصی بر عهده کاربر است تا در وضعیت ناگوار توماس با صدها میلیون دلار غیرقابل دسترس قرار نگیرند. 

منبع: https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/

تمبر زمان:

بیشتر از رمزگذاری