स्टीफन थॉमस दो असफल पासवर्ड प्रयास हैं जो निजी कुंजी खोने से $ 220 मिलियन के लायक हैं Bitcoinबिटकॉइन एक डिजिटल मुद्रा है (जिसे क्रिप्टो-मुद्रा भी कहा जाता है) ... अधिक सदैव। ऐसा इसलिए है क्योंकि थॉमस के पास निजी चाबियां हैं बिटकॉइन वॉलेटएक बिटकॉइन वॉलेट एक सॉफ्टवेयर प्रोग्राम है जहां बिटकॉइन सेंट हैं ... अधिक एक आयरनके में। "द वर्ल्ड्स मोस्ट सिक्योर फ्लैश ड्राइव" इसके रहस्यों को छोड़ने के बजाय मर जाएगा, अंतर्निहित सुरक्षा की एक श्रृंखला के लिए धन्यवाद। आयरनके को यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी द्वारा वित्त पोषित किया गया था 2006 और सिफरट्रेस के सीईओ डेव जेवांस द्वारा सह-स्थापना की गई।
Jevans थॉमस की निजी चाबियों को पुनर्प्राप्त करने के लिए जांच में मदद कर रहा है, एक प्रयास जो अत्यधिक हमले-प्रतिरोधी IronKey द्वारा चुनौती दिया गया था कि Jevans और उनकी टीम ने क्रिप्टो कुंजी की रक्षा के लिए डिज़ाइन किया था।
मंगलवार को, Jevans ने फेसबुक पर पूर्व CISO एलेक्स स्टामोस के साथ एक ट्विटर वार्तालाप में थॉमस की स्थिति पर टिप्पणी की।
यहां पूरा धागा मिला https://twitter.com/alexstamos/status/1348999178702057476 लेकिन अब उपलब्ध नहीं है।
एक अभिलेख नीचे दिया गया है।
एलेक्स स्टामोस @alexstamos
6:24 AM · 12 जनवरी, 2021
उम, $ 220M के लिए लॉक-अप बिटकॉइन में, आप 10 पासवर्ड अनुमान नहीं लगाते हैं, लेकिन इसे 20 आयरनकेय खरीदने और एक साइड-चैनल या अनैपिंग खोजने में छह महीने खर्च करने के लिए पेशेवरों के पास ले जाते हैं।
मैं इसे 10% के लिए बना दूँगा। मुझे फ़ोन करो।
सैन फ्रांसिस्को में रहने वाले जर्मन मूल के एक प्रोग्रामर स्टीफन थॉमस के पास दो पासवर्ड हैं जो इस सप्ताह के लगभग 220 मिलियन डॉलर के मूल्य के पासवर्ड का पता लगाने के लिए बचे हैं।
पासवर्ड उसे एक छोटी हार्ड ड्राइव को अनलॉक करने देगा, जिसे आयरनके के रूप में जाना जाता है, जिसमें 7,002 बिटकॉइन रखने वाले डिजिटल वॉलेट की निजी कुंजी होती है। जबकि बिटकॉइन की कीमत में सोमवार को तेजी से गिरावट आई थी, यह अभी भी एक महीने पहले से 50 प्रतिशत से अधिक है, जब इसने अपने पिछले सभी समय में $ 20,000 के उच्च स्तर को पार कर लिया था।
समस्या यह है कि श्री थॉमस ने वर्षों पहले उस कागज को खो दिया था जहां उन्होंने अपने आयरनके के लिए पासवर्ड लिखा था, जो उपयोगकर्ताओं को 10 अनुमान लगाने से पहले ही जब्त कर लेता है और इसकी सामग्री को हमेशा के लिए एन्क्रिप्ट कर देता है। उन्होंने तब से अपने सबसे अधिक इस्तेमाल किए जाने वाले पासवर्ड योगों में से आठ का प्रयास किया है - कोई फायदा नहीं हुआ।
"मैं सिर्फ बिस्तर में लेट जाऊंगा और इसके बारे में सोचूंगा," श्री थॉमस ने कहा। "तब मैं कुछ नई रणनीति के साथ कंप्यूटर पर जाऊंगा, और यह काम नहीं करेगा, और मैं फिर से हताश हो जाऊंगा।"
एलेक्स स्टामोस @alexstamos
@Alexstamos को जवाब देना
हम कुछ SSA- निर्मित क्रिप्टो प्रोसेसर के बारे में SSBN पर स्थापित नहीं कर रहे हैं, लेकिन उपभोक्ता किट का एक पुराना $ 50 टुकड़ा है। ऐसा कोई तरीका नहीं है जो पिछले दस वर्षों के USENIX पत्रों के खिलाफ कठोर हो, जिनका उपयोग कभी भी अभ्यास में नहीं किया गया है।
डेव जीवंस @ दवेवजवान
को जवाब दे रहा है @alexstamos
मैं आयरनके के सह-संस्थापक और सीईओ था। उत्पादों के विकास के दौरान हमने एनएसए के साथ कई बातचीत की। यदि हम कंपनी को बेचने से पहले व्यक्ति आयरनके की पहली पीढ़ी का उपयोग कर रहा है, तो यह बहुत चुनौतीपूर्ण होगा। / १
Jex @ in3dye
आपकी सहायता करने में NSA का उद्देश्य क्या था?
डेव जीवंस @ दवेवजवान
को जवाब दे रहा है @ in3dye और @alexstamos
एक बार जब उन्होंने यह निर्धारित कर लिया कि पीछे के दरवाजे नहीं हैं, तो वे इसे वर्गीकृत उपयोग के लिए यथासंभव सुरक्षित बनाना चाहते थे। उदाहरण के लिए, वे केवल एईएस प्रमुख विनाश नहीं चाहते थे, उन्होंने नंद फ्लैश वाइप तकनीक पर सलाह दी जिसे हमने हार्डवेयर में लागू किया।
डेव जीवंस @ दवेवजवान
को जवाब दे रहा है @alexstamos
पासवर्ड काउंटर और एन्क्रिप्टेड एईएस कुंजी एक एटम एटी 98 प्रोसेसर पर संग्रहीत हैं। अनप्लगिंग चुनौतीपूर्ण है क्योंकि चिप पर एक यादृच्छिक सुरक्षा परत है जिसका अर्थ है कि आंतरिक सर्किट्री तक पहुंच चिप को मारने की संभावना है। https://dtsheet.com/doc/232348/atmel-at98sc008ct / 2
डेव जीवंस @davejevans
@Alexstamos को जवाब देना
IronKey / Atmel सुरक्षा सुविधाओं में वोल्टेज, आवृत्ति और तापमान डिटेक्टर, अवैध कोड निष्पादन रोकथाम, छेड़छाड़ की निगरानी और साइड चैनल हमलों और जांच के खिलाफ सुरक्षा शामिल है। चिप्स इस तरह की घटनाओं / 3 पर छेड़छाड़ के प्रयासों का पता लगा सकता है और संवेदनशील डेटा को नष्ट कर सकता है
डेव जीवंस @ दवेवजवान
को जवाब दे रहा है @alexstamos
हम फ्लाई लैब्स गए और अनकैप्ड किए और विकास के दौरान हमारे FIB के साथ हमारे IronKey सुरक्षा चिप्स को देखा। हमला करना बेहद कठिन होगा। यदि आप पासवर्ड काउंटर बंद कर सकते हैं, तो यह आपकी सबसे अच्छी शर्त है। हो सकता है एन्क्रिप्टेड एईएस कुंजी निकालें। दोनों अत्यधिक संभावना नहीं है। / ४
एलेक्स स्टामोस @alexstamos
मुझे यकीन है कि आप लोगों ने बहुत अच्छा काम किया है (मुझे लगता है कि iSEC ने आपके लिए एक बिंदु पर कुछ सत्यापन किया था), लेकिन यह एक उचित खतरा नहीं है कि उपभोक्ता हार्डवेयर को एक दशक के बाद और लाखों डॉलर के खिलाफ निर्देशित अनुसंधान में रखने की उम्मीद करें।
डेव जीवंस @ दवेवजवान
को जवाब दे रहा है @alexstamos
यह पता लगाने के लिए अच्छा होगा कि क्या कोई भी रीसेट किए बिना स्मार्ट कार्ड के AT98SC परिवार पर हमला करने में सक्षम है। विश्वसनीय से मेरा मतलब है कि एक डिवाइस पर हमला करना, एक उच्च सफलता के साथ, समय के 1% सफल होने के बजाय।
गैरेट सेराकॉबॉय हैट फेस @fearthecowboy
@Alexstamos को जवाब देना
क्या कुछ महीने पहले ऐसा मामला नहीं था, जहां किसी ने क्रिप्टो क्रिप्टो डिस्क के कुछ टुकड़े पर बिटकॉइन किया था?
IIRC किसी ने बाहर आकर पाया कि उस पर जो फर्मवेयर था वह कमजोर होने वाले व्यक्ति के लिए डाउनग्रेड किया जा सकता था, और थ्रू चला गया और उन्होंने इसे अनलॉक कर दिया।
डेव जीवंस @ दवेवजवान
को जवाब दे रहा है @fearthecowboy और @alexstamos
आप फ़र्मवेयर को IronKey के मूल उपकरणों पर डाउनग्रेड नहीं कर सकते। इसे हार्डवेयर में जांचा जाता है और आयरनके (अब इमोशन) पर HSM पर भौतिक कुंजी द्वारा हस्ताक्षरित होना चाहिए। यह सॉफ्टवेयर फर्मवेयर जांच के साथ एक ट्रेजर नहीं है। यह कस्टम हार्डवेयर में किया जाता है। हमने चिप आर एंड डी में $ 10M से अधिक खर्च किया
ब्रेंट मुलर @ Patchemup1
@Alexstamos और @ hacks4pancakes को जवाब देना
मैं शर्त लगा रहा हूं कि काउंटर को बहुत कम से कम 10 तक रीसेट किया जा सकता है या किल स्विच से अलग किया जा सकता है। कम से कम संसाधनों की मात्रा के साथ जो ज्यादा पैसा खरीद सकते थे।
डेव जीवंस @ दवेवजवान
हाँ। लेकिन आयरनकेय उपकरणों के निर्माण में उपयोग किए जाने वाले प्रमुख प्रबंधन चिप पर सुरक्षात्मक जाल, साइड चैनल हमले की रोकथाम, आदि पर मेरी टिप्पणी देखें। आपके पास भौतिक जाल को अक्षम करने का एक मौका है, और यह प्रति उपकरण यादृच्छिक है।
वर_तम @RiverTamYDN
मुझे लगता है कि वह किंग्स्टन को पर्याप्त पैसा देने के लिए आयरनकेय के फर्मवेयर को एक संस्करण में अपडेट कर सकता है जो उसे असीमित डिक्रिप्ट प्रयास देता है
डेव जीवंस @ दवेवजवान
यदि यह आयरनके का मूल संस्करण है, तो स्मार्ट कार्ड पर फर्मवेयर को अपडेट करने का कोई तरीका नहीं है जो एन्क्रिप्टेड एईएस कुंजी और पासवर्ड काउंटर रखता है। शारीरिक हमले की जरूरत है, जिसके खिलाफ चिप में कई सुरक्षा हैं।
जोश @ JDG_1980
किसी भी मौके पर IronKey को डिकोड किया जा सकता है और पासवर्ड को इलेक्ट्रॉन माइक्रोस्कोप से डिक्रिप्ट किया जाता है?
डेव जीवंस @ दवेवजवान
आयरनके में विकास के दौरान हमने स्मार्ट कार्ड को डिकैप किया और FIB के साथ खेला। कार्ड में मेमोरी को पढ़ने के खिलाफ कई शारीरिक सुरक्षा हैं, जिसमें यूवी डिटेक्शन, रैंडमाइज्ड हार्डवेयर मेश, साइड चैनल अटैक डिटेक्शन आदि शामिल हैं।
दान कामिंस्की @ दाकामी
यदि यह मददगार है, तो @justmoon, एलेक्स की पेशकश बिल्कुल विश्वसनीय है।
डेव जीवंस @ दवेवजवान
को जवाब दे रहा है @ दकामी, @ लाकर और 2 अन्य
आयरनकेय के सह-संस्थापक और पूर्व सीईओ के रूप में मैं आपको वह मदद दूंगा जो मैं कर सकता हूं। आपको Atmel AT98 को क्रैक करने की आवश्यकता है (यह मानते हुए कि यह आयरनके है जो हमने इमेशन से पहले हमारी कंपनी को खरीदा था)।
हार्डवेयर वॉलेट, IronKeys, और अटूट सुरक्षा
हार्डवेयर वॉलेट कंपनियों को अपनी सुरक्षा मुद्रा बढ़ाने और अपने एन्क्रिप्शन के बाहरी प्रमाणीकरण की आवश्यकता होती है। हार्डवेयर पर्स के विपरीत, आयरनकेय्स अपनी प्रारंभिक रिलीज के बाद एक दशक से भी अधिक समय तक छेड़छाड़ करते हैं। नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड एंड टेक्नोलॉजी (NIST) क्रिप्टोग्राफिक मॉड्यूल के लिए आवश्यकताओं और मानकों के समन्वय के लिए संघीय सूचना सुरक्षा 140 श्रृंखला जारी करता है जिसमें संयुक्त राज्य अमेरिका की संघीय सरकार के विभागों और एजेंसियों द्वारा उपयोग के लिए हार्डवेयर और सॉफ्टवेयर दोनों घटक शामिल हैं।
- FIPS 140-2 स्तर 1 सबसे कम, बहुत सीमित आवश्यकताओं को लगाता है; शिथिल रूप से, सभी घटकों को "उत्पादन-ग्रेड" होना चाहिए और विभिन्न प्रकार की असुरक्षा की भावनाएं अनुपस्थित होनी चाहिए।
- FIPS 140-2 स्तर 2 भौतिक छेड़छाड़-सबूत और भूमिका-आधारित प्रमाणीकरण के लिए आवश्यकताएं जोड़ता है।
- FIPS 140-2 स्तर 3 शारीरिक छेड़छाड़-प्रतिरोध के लिए आवश्यकताओं को जोड़ता है।
2011 में, आयरनके अब तक "वर्ल्ड्स मोस्ट सिक्योर फ्लैश ड्राइव" था, क्योंकि यह एकमात्र मोबाइल एन्क्रिप्शन डिवाइस था, जिसमें सर्टिफिकेट 140-2 लेवल 3, टैम्पर-रेजिस्टेंस होना चाहिए। शून्य हार्डवेयर वॉलेट विक्रेताओं ने अपने सॉफ़्टवेयर को यहां तक कि 140-2 स्तर 1 पर प्रमाणित किया है। जबकि कुछ ट्रेज़र वॉलेट में सुपर माइक्रो, एसटी 31 और एसटीएम 32 से चिपसेट हैं, जो अलग-अलग ईएएल मान्य हैं, ट्रेज़ोर वॉलेट स्वयं प्रमाणित नहीं हैं।
हार्डवेयर वॉलेट के लिए निहितार्थ
ऐतिहासिक रूप से, एचardware वॉलेट कभी भी बहुत सुरक्षित नहीं रहे हैं। 2018 में, लेजर हार्डवेयर wallets wपहले एक 15 वर्षीय शोधकर्ता द्वारा समझौता, रशीद सलीम, का उपयोग कर बहुत कम मात्रा में कोड। सलीम ने एक लेजर नैनो एस पर एक बैकडोर स्थापित किया, जिससे डिवाइस पूर्व-निर्धारित पुनर्प्राप्ति पासवर्ड उत्पन्न करता है। एक हमलावर उन पासवर्डों को एक नए लेजर हार्डवेयर वॉलेट में दर्ज कर सकता है जो पिछले दरवाजे की निजी कुंजी को पुनर्प्राप्त करने के लिए है। रशीद भी एक साल पहले ट्रेजोर वॉलेट की खराबी का फायदा उठाने में सक्षम था। https://ciphertrace.com/ledger-bitcoin-wallet-hacked/
2020 के लेजर डेटा ब्रीच ने ईमेल पते और अन्य को उजागर किया 270,000 से अधिक उपयोगकर्ताओं का पीआईआई, जिसके परिणामस्वरूप लेज़र के कई ग्राहक फ़िशिंग और रैनसमवेयर हमलों के शिकार हुए, जिनमें हिंसा के खतरे शामिल थे। हालांकि हैक ने सीधे तौर पर किसी भी ग्राहक कोष को धमकी नहीं दी, उद्योग जगत के भीतर उनकी प्रतिष्ठाs समझौता किया गया है, जिससे हार्डवेयर वॉलेट सुरक्षा के भविष्य पर सवाल उठ सकते हैं। शायद ये हार्डवेयर कंपनियां क्रिप्टो सिक्योरिटी के लिए आयरनके के योगदान पर पुनर्विचार करने के लिए बुद्धिमान होंगी। विकेंद्रीकरण की भावना में, उपयोगकर्ता अपनी निजी चाबियों को सुरक्षित करने के लिए उपयोगकर्ता पर रहता है ताकि वे सैकड़ों मिलियन डॉलर के दुर्गम के साथ थॉमस की दुर्भाग्यपूर्ण स्थिति में समाप्त न हों।
स्रोत: https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/
- 000
- 2020
- 7
- पहुँच
- एलेक्स
- सब
- पुरालेख
- चारों ओर
- प्रमाणीकरण
- पिछले दरवाजे
- BEST
- शर्त
- Bitcoin
- Bitcoin वॉलेट
- भंग
- इमारत
- खरीदने के लिए
- कॉल
- के कारण होता
- मुख्य कार्यपालक अधिकारी
- प्रमाणीकरण
- जाँचता
- टुकड़ा
- चिप्स
- CipherTrace
- सह-संस्थापक
- कोड
- टिप्पणियाँ
- कंपनियों
- कंपनी
- उपभोक्ता
- अंतर्वस्तु
- जारी रखने के
- कन्वर्सेशन (Conversation)
- बातचीत
- क्रिप्टो
- मुद्रा
- ग्राहक
- तिथि
- विकेन्द्रीकरण
- को नष्ट
- खोज
- विकास
- डिवाइस
- डीआईडी
- डिजिटल
- डिजिटल मुद्रा
- डिजिटल वॉलेट
- डॉलर
- गिरा
- ऊपर उठाना
- ईमेल
- एन्क्रिप्शन
- घटनाओं
- शोषण करना
- चेहरा
- फेसबुक
- परिवार
- विशेषताएं
- संघीय
- संघीय सरकार
- आकृति
- प्रथम
- फ़्लैश
- दोष
- फ्रांसिस्को
- पूर्ण
- वित्त पोषित
- धन
- भविष्य
- सरकार
- महान
- हैक
- हार्डवेयर
- हार्डवेयर वॉलेट
- हार्डवेयर की जेब
- यहाँ उत्पन्न करें
- हाई
- पकड़
- होमलैंड सुरक्षा
- HTTPS
- सैकड़ों
- अवैध
- सहित
- उद्योग
- करें-
- जांच
- मुद्दों
- IT
- काम
- कुंजी
- Instagram पर
- लैब्स
- प्रमुख
- खाता
- स्तर
- सीमित
- देखा
- प्रबंध
- दस लाख
- मोबाइल
- आदर्श
- सोमवार
- धन
- महीने
- नैनो
- प्रस्ताव
- अन्य
- काग़ज़
- पासवर्ड
- पासवर्ड
- वेतन
- फ़िशिंग
- निवारण
- मूल्य
- निजी
- निजी कुंजी
- उत्पाद
- पेशेवरों
- कार्यक्रम
- रक्षा करना
- सुरक्षा
- रक्षात्मक
- यादृच्छिक
- Ransomware
- रैंसमवेयर अटैक
- पढ़ना
- की वसूली
- वसूली
- आवश्यकताएँ
- अनुसंधान
- उपयुक्त संसाधन चुनें
- सेन
- सैन फ्रांसिस्को
- सुरक्षा
- कई
- छह
- छोटा
- स्मार्ट
- So
- सॉफ्टवेयर
- बेचा
- बिताना
- मानकों
- राज्य
- स्ट्रेटेजी
- सफलता
- सफल
- स्विच
- में बात कर
- टेक्नोलॉजी
- धमकी
- पहर
- सुरक्षित जमा
- यूनाइटेड
- संयुक्त राज्य अमेरिका
- अपडेट
- us
- उपयोगकर्ताओं
- विक्रेताओं
- चपेट में
- बटुआ
- जेब
- सप्ताह
- अंदर
- काम
- लायक
- वर्ष
- साल
- शून्य