बिटकॉइन में $220M को आयरनकी प्लेटोब्लॉकचैन डेटा इंटेलिजेंस पर हमेशा के लिए एन्क्रिप्ट किया जा सकता है। लंबवत खोज। ऐ.

बिटकॉइन में $ 220M को आयरनके पर हमेशा के लिए एन्क्रिप्ट किया जा सकता है

समय टिकट: 14 जनवरी, 2021 शाम 3:58 बजे

स्टीफन थॉमस दो असफल पासवर्ड प्रयास हैं जो निजी कुंजी खोने से $ 220 मिलियन के लायक हैं Bitcoin सदैव। ऐसा इसलिए है क्योंकि थॉमस के पास निजी चाबियां हैं बिटकॉइन वॉलेट एक आयरनके में। "द वर्ल्ड्स मोस्ट सिक्योर फ्लैश ड्राइव" इसके रहस्यों को छोड़ने के बजाय मर जाएगा, अंतर्निहित सुरक्षा की एक श्रृंखला के लिए धन्यवाद। आयरनके को यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी द्वारा वित्त पोषित किया गया था 2006 और सिफरट्रेस के सीईओ डेव जेवांस द्वारा सह-स्थापना की गई। 

Jevans थॉमस की निजी चाबियों को पुनर्प्राप्त करने के लिए जांच में मदद कर रहा है, एक प्रयास जो अत्यधिक हमले-प्रतिरोधी IronKey द्वारा चुनौती दिया गया था कि Jevans और उनकी टीम ने क्रिप्टो कुंजी की रक्षा के लिए डिज़ाइन किया था। 

मंगलवार को, Jevans ने फेसबुक पर पूर्व CISO एलेक्स स्टामोस के साथ एक ट्विटर वार्तालाप में थॉमस की स्थिति पर टिप्पणी की।  

यहां पूरा धागा मिला https://twitter.com/alexstamos/status/1348999178702057476 लेकिन अब उपलब्ध नहीं है।

एक अभिलेख नीचे दिया गया है।

एलेक्स स्टामोस @alexstamos

6:24 AM · 12 जनवरी, 2021

उम, $ 220M के लिए लॉक-अप बिटकॉइन में, आप 10 पासवर्ड अनुमान नहीं लगाते हैं, लेकिन इसे 20 आयरनकेय खरीदने और एक साइड-चैनल या अनैपिंग खोजने में छह महीने खर्च करने के लिए पेशेवरों के पास ले जाते हैं।

मैं इसे 10% के लिए बना दूँगा। मुझे फ़ोन करो।

सैन फ्रांसिस्को में रहने वाले जर्मन मूल के एक प्रोग्रामर स्टीफन थॉमस के पास दो पासवर्ड हैं जो इस सप्ताह के लगभग 220 मिलियन डॉलर के मूल्य के पासवर्ड का पता लगाने के लिए बचे हैं।

पासवर्ड उसे एक छोटी हार्ड ड्राइव को अनलॉक करने देगा, जिसे आयरनके के रूप में जाना जाता है, जिसमें 7,002 बिटकॉइन रखने वाले डिजिटल वॉलेट की निजी कुंजी होती है। जबकि बिटकॉइन की कीमत में सोमवार को तेजी से गिरावट आई थी, यह अभी भी एक महीने पहले से 50 प्रतिशत से अधिक है, जब इसने अपने पिछले सभी समय में $ 20,000 के उच्च स्तर को पार कर लिया था।

समस्या यह है कि श्री थॉमस ने वर्षों पहले उस कागज को खो दिया था जहां उन्होंने अपने आयरनके के लिए पासवर्ड लिखा था, जो उपयोगकर्ताओं को 10 अनुमान लगाने से पहले ही जब्त कर लेता है और इसकी सामग्री को हमेशा के लिए एन्क्रिप्ट कर देता है। उन्होंने तब से अपने सबसे अधिक इस्तेमाल किए जाने वाले पासवर्ड योगों में से आठ का प्रयास किया है - कोई फायदा नहीं हुआ।

"मैं सिर्फ बिस्तर में लेट जाऊंगा और इसके बारे में सोचूंगा," श्री थॉमस ने कहा। "तब मैं कुछ नई रणनीति के साथ कंप्यूटर पर जाऊंगा, और यह काम नहीं करेगा, और मैं फिर से हताश हो जाऊंगा।"

एलेक्स स्टामोस @alexstamos

@Alexstamos को जवाब देना

हम कुछ SSA- निर्मित क्रिप्टो प्रोसेसर के बारे में SSBN पर स्थापित नहीं कर रहे हैं, लेकिन उपभोक्ता किट का एक पुराना $ 50 टुकड़ा है। ऐसा कोई तरीका नहीं है जो पिछले दस वर्षों के USENIX पत्रों के खिलाफ कठोर हो, जिनका उपयोग कभी भी अभ्यास में नहीं किया गया है।

डेव जीवंस @ दवेवजवान

को जवाब दे रहा है  @alexstamos

मैं आयरनके के सह-संस्थापक और सीईओ था। उत्पादों के विकास के दौरान हमने एनएसए के साथ कई बातचीत की। यदि हम कंपनी को बेचने से पहले व्यक्ति आयरनके की पहली पीढ़ी का उपयोग कर रहा है, तो यह बहुत चुनौतीपूर्ण होगा। / १

Jex @ in3dye

आपकी सहायता करने में NSA का उद्देश्य क्या था?

डेव जीवंस @ दवेवजवान

को जवाब दे रहा है  @ in3dye और  @alexstamos

 

एक बार जब उन्होंने यह निर्धारित कर लिया कि पीछे के दरवाजे नहीं हैं, तो वे इसे वर्गीकृत उपयोग के लिए यथासंभव सुरक्षित बनाना चाहते थे। उदाहरण के लिए, वे केवल एईएस प्रमुख विनाश नहीं चाहते थे, उन्होंने नंद फ्लैश वाइप तकनीक पर सलाह दी जिसे हमने हार्डवेयर में लागू किया।

डेव जीवंस @ दवेवजवान

को जवाब दे रहा है  @alexstamos

 

पासवर्ड काउंटर और एन्क्रिप्टेड एईएस कुंजी एक एटम एटी 98 प्रोसेसर पर संग्रहीत हैं। अनप्लगिंग चुनौतीपूर्ण है क्योंकि चिप पर एक यादृच्छिक सुरक्षा परत है जिसका अर्थ है कि आंतरिक सर्किट्री तक पहुंच चिप को मारने की संभावना है। https://dtsheet.com/doc/232348/atmel-at98sc008ct / 2

डेव जीवंस @davejevans

@Alexstamos को जवाब देना

IronKey / Atmel सुरक्षा सुविधाओं में वोल्टेज, आवृत्ति और तापमान डिटेक्टर, अवैध कोड निष्पादन रोकथाम, छेड़छाड़ की निगरानी और साइड चैनल हमलों और जांच के खिलाफ सुरक्षा शामिल है। चिप्स इस तरह की घटनाओं / 3 पर छेड़छाड़ के प्रयासों का पता लगा सकता है और संवेदनशील डेटा को नष्ट कर सकता है

डेव जीवंस @ दवेवजवान

को जवाब दे रहा है  @alexstamos

 

हम फ्लाई लैब्स गए और अनकैप्ड किए और विकास के दौरान हमारे FIB के साथ हमारे IronKey सुरक्षा चिप्स को देखा। हमला करना बेहद कठिन होगा। यदि आप पासवर्ड काउंटर बंद कर सकते हैं, तो यह आपकी सबसे अच्छी शर्त है। हो सकता है एन्क्रिप्टेड एईएस कुंजी निकालें। दोनों अत्यधिक संभावना नहीं है। / ४

एलेक्स स्टामोस @alexstamos

मुझे यकीन है कि आप लोगों ने बहुत अच्छा काम किया है (मुझे लगता है कि iSEC ने आपके लिए एक बिंदु पर कुछ सत्यापन किया था), लेकिन यह एक उचित खतरा नहीं है कि उपभोक्ता हार्डवेयर को एक दशक के बाद और लाखों डॉलर के खिलाफ निर्देशित अनुसंधान में रखने की उम्मीद करें।

डेव जीवंस @ दवेवजवान

को जवाब दे रहा है  @alexstamos

 

यह पता लगाने के लिए अच्छा होगा कि क्या कोई भी रीसेट किए बिना स्मार्ट कार्ड के AT98SC परिवार पर हमला करने में सक्षम है। विश्वसनीय से मेरा मतलब है कि एक डिवाइस पर हमला करना, एक उच्च सफलता के साथ, समय के 1% सफल होने के बजाय।

गैरेट सेराकॉबॉय हैट फेस @fearthecowboy

@Alexstamos को जवाब देना

क्या कुछ महीने पहले ऐसा मामला नहीं था, जहां किसी ने क्रिप्टो क्रिप्टो डिस्क के कुछ टुकड़े पर बिटकॉइन किया था?

IIRC किसी ने बाहर आकर पाया कि उस पर जो फर्मवेयर था वह कमजोर होने वाले व्यक्ति के लिए डाउनग्रेड किया जा सकता था, और थ्रू चला गया और उन्होंने इसे अनलॉक कर दिया।

डेव जीवंस @ दवेवजवान

को जवाब दे रहा है  @fearthecowboy और  @alexstamos

 

आप फ़र्मवेयर को IronKey के मूल उपकरणों पर डाउनग्रेड नहीं कर सकते। इसे हार्डवेयर में जांचा जाता है और आयरनके (अब इमोशन) पर HSM पर भौतिक कुंजी द्वारा हस्ताक्षरित होना चाहिए। यह सॉफ्टवेयर फर्मवेयर जांच के साथ एक ट्रेजर नहीं है। यह कस्टम हार्डवेयर में किया जाता है। हमने चिप आर एंड डी में $ 10M से अधिक खर्च किया

ब्रेंट मुलर @ Patchemup1

@Alexstamos और @ hacks4pancakes को जवाब देना

मैं शर्त लगा रहा हूं कि काउंटर को बहुत कम से कम 10 तक रीसेट किया जा सकता है या किल स्विच से अलग किया जा सकता है। कम से कम संसाधनों की मात्रा के साथ जो ज्यादा पैसा खरीद सकते थे।

डेव जीवंस @ दवेवजवान

 

हाँ। लेकिन आयरनकेय उपकरणों के निर्माण में उपयोग किए जाने वाले प्रमुख प्रबंधन चिप पर सुरक्षात्मक जाल, साइड चैनल हमले की रोकथाम, आदि पर मेरी टिप्पणी देखें। आपके पास भौतिक जाल को अक्षम करने का एक मौका है, और यह प्रति उपकरण यादृच्छिक है।

वर_तम @RiverTamYDN

मुझे लगता है कि वह किंग्स्टन को पर्याप्त पैसा देने के लिए आयरनकेय के फर्मवेयर को एक संस्करण में अपडेट कर सकता है जो उसे असीमित डिक्रिप्ट प्रयास देता है

डेव जीवंस @ दवेवजवान

 

यदि यह आयरनके का मूल संस्करण है, तो स्मार्ट कार्ड पर फर्मवेयर को अपडेट करने का कोई तरीका नहीं है जो एन्क्रिप्टेड एईएस कुंजी और पासवर्ड काउंटर रखता है। शारीरिक हमले की जरूरत है, जिसके खिलाफ चिप में कई सुरक्षा हैं।

जोश @ JDG_1980

किसी भी मौके पर IronKey को डिकोड किया जा सकता है और पासवर्ड को इलेक्ट्रॉन माइक्रोस्कोप से डिक्रिप्ट किया जाता है?

डेव जीवंस @ दवेवजवान

 

आयरनके में विकास के दौरान हमने स्मार्ट कार्ड को डिकैप किया और FIB के साथ खेला। कार्ड में मेमोरी को पढ़ने के खिलाफ कई शारीरिक सुरक्षा हैं, जिसमें यूवी डिटेक्शन, रैंडमाइज्ड हार्डवेयर मेश, साइड चैनल अटैक डिटेक्शन आदि शामिल हैं।

दान कामिंस्की @ दाकामी

यदि यह मददगार है, तो @justmoon, एलेक्स की पेशकश बिल्कुल विश्वसनीय है।

 डेव जीवंस @ दवेवजवान

को जवाब दे रहा है  @ दकामी, @ लाकर  और 2 अन्य

 

आयरनकेय के सह-संस्थापक और पूर्व सीईओ के रूप में मैं आपको वह मदद दूंगा जो मैं कर सकता हूं। आपको Atmel AT98 को क्रैक करने की आवश्यकता है (यह मानते हुए कि यह आयरनके है जो हमने इमेशन से पहले हमारी कंपनी को खरीदा था)।

हार्डवेयर वॉलेट, IronKeys, और अटूट सुरक्षा

हार्डवेयर वॉलेट कंपनियों को अपनी सुरक्षा मुद्रा बढ़ाने और अपने एन्क्रिप्शन के बाहरी प्रमाणीकरण की आवश्यकता होती है। हार्डवेयर पर्स के विपरीत, आयरनकेय्स अपनी प्रारंभिक रिलीज के बाद एक दशक से भी अधिक समय तक छेड़छाड़ करते हैं। नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड एंड टेक्नोलॉजी (NIST) क्रिप्टोग्राफिक मॉड्यूल के लिए आवश्यकताओं और मानकों के समन्वय के लिए संघीय सूचना सुरक्षा 140 श्रृंखला जारी करता है जिसमें संयुक्त राज्य अमेरिका की संघीय सरकार के विभागों और एजेंसियों द्वारा उपयोग के लिए हार्डवेयर और सॉफ्टवेयर दोनों घटक शामिल हैं।  

  • FIPS 140-2 स्तर 1 सबसे कम, बहुत सीमित आवश्यकताओं को लगाता है; शिथिल रूप से, सभी घटकों को "उत्पादन-ग्रेड" होना चाहिए और विभिन्न प्रकार की असुरक्षा की भावनाएं अनुपस्थित होनी चाहिए। 
  • FIPS 140-2 स्तर 2 भौतिक छेड़छाड़-सबूत और भूमिका-आधारित प्रमाणीकरण के लिए आवश्यकताएं जोड़ता है। 
  • FIPS 140-2 स्तर 3 शारीरिक छेड़छाड़-प्रतिरोध के लिए आवश्यकताओं को जोड़ता है। 

2011 में, आयरनके अब तक "वर्ल्ड्स मोस्ट सिक्योर फ्लैश ड्राइव" था, क्योंकि यह एकमात्र मोबाइल एन्क्रिप्शन डिवाइस था, जिसमें सर्टिफिकेट 140-2 लेवल 3, टैम्पर-रेजिस्टेंस होना चाहिए। शून्य हार्डवेयर वॉलेट विक्रेताओं ने अपने सॉफ़्टवेयर को यहां तक ​​कि 140-2 स्तर 1 पर प्रमाणित किया है। जबकि कुछ ट्रेज़र वॉलेट में सुपर माइक्रो, एसटी 31 और एसटीएम 32 से चिपसेट हैं, जो अलग-अलग ईएएल मान्य हैं, ट्रेज़ोर वॉलेट स्वयं प्रमाणित नहीं हैं। 

हार्डवेयर वॉलेट के लिए निहितार्थ 

ऐतिहासिक रूप से, एचardware वॉलेट कभी भी बहुत सुरक्षित नहीं रहे हैं। 2018 में, लेजर हार्डवेयर wallets wपहले एक 15 वर्षीय शोधकर्ता द्वारा समझौता, रशीद सलीम, का उपयोग कर बहुत कम मात्रा में कोड। सलीम ने एक लेजर नैनो एस पर एक बैकडोर स्थापित किया, जिससे डिवाइस पूर्व-निर्धारित पुनर्प्राप्ति पासवर्ड उत्पन्न करता है। एक हमलावर उन पासवर्डों को एक नए लेजर हार्डवेयर वॉलेट में दर्ज कर सकता है जो पिछले दरवाजे की निजी कुंजी को पुनर्प्राप्त करने के लिए है। रशीद भी एक साल पहले ट्रेजोर ​​वॉलेट की खराबी का फायदा उठाने में सक्षम था। https://ciphertrace.com/ledger-bitcoin-wallet-hacked/ 

2020 के लेजर डेटा ब्रीच ने ईमेल पते और अन्य को उजागर किया 270,000 से अधिक उपयोगकर्ताओं का पीआईआई, जिसके परिणामस्वरूप लेज़र के कई ग्राहक फ़िशिंग और रैनसमवेयर हमलों के शिकार हुए, जिनमें हिंसा के खतरे शामिल थे। हालांकि हैक ने सीधे तौर पर किसी भी ग्राहक कोष को धमकी नहीं दी, उद्योग जगत के भीतर उनकी प्रतिष्ठाs समझौता किया गया है, जिससे हार्डवेयर वॉलेट सुरक्षा के भविष्य पर सवाल उठ सकते हैं। शायद ये हार्डवेयर कंपनियां क्रिप्टो सिक्योरिटी के लिए आयरनके के योगदान पर पुनर्विचार करने के लिए बुद्धिमान होंगी। विकेंद्रीकरण की भावना में, उपयोगकर्ता अपनी निजी चाबियों को सुरक्षित करने के लिए उपयोगकर्ता पर रहता है ताकि वे सैकड़ों मिलियन डॉलर के दुर्गम के साथ थॉमस की दुर्भाग्यपूर्ण स्थिति में समाप्त न हों। 

स्रोत: https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/

समय टिकट:

से अधिक सिफरट्रेस