Stefan Thomasは、秘密鍵を220億XNUMX万ドル相当に失うことから、XNUMX回失敗したパスワードの試みです。 ビットコインビットコインはデジタル通貨(暗号通貨とも呼ばれます)です… その他 永遠に。 これは、トーマスが自分の秘密鍵を持っているためです ビットコインウォレットビットコインウォレットは、ビットコインが安定しているソフトウェアプログラムです… その他 IronKeyで。 「世界で最も安全なフラッシュドライブ」は、一連の組み込みの保護機能のおかげで、その秘密を放棄するのではなく、死ぬことを望んでいます。 IronKeyは、米国国土安全保障省から資金提供を受けました。 2006 CipherTraceのCEOであるDaveJevansによって共同設立されました。
Jevansは、Thomasの秘密鍵を回復するための調査を支援しています。これは、Jevansと彼のチームが暗号鍵を保護するために設計した非常に攻撃に強いIronKeyによって困難にされた取り組みです。
火曜日に、JevansはFacebookの元CISOであるAlexStamosとのTwitterの会話でThomasの状況についてコメントしました。
完全なスレッドはここで見つかりました https://twitter.com/alexstamos/status/1348999178702057476 しかし、もう利用できません。
アーカイブは以下に転記されています。
アレックスステイモス@alexstamos
午前6時24分・12年2021月XNUMX日
ええと、ロックアップされたビットコインで220億10万ドルで、パスワードを20回推測するのではなく、専門家に渡してXNUMX個のIronKeyを購入し、XNUMXか月かけてサイドチャネルを見つけたりキャップを外したりします。
私はそれを10%実現させます。 電話してね。
「サンフランシスコに住むドイツ生まれのプログラマーであるステファン・トーマスは、今週の時点で約220億XNUMX万ドルの価値があるパスワードを見つけるためにXNUMXつの推測を残しています。
パスワードを使用すると、IronKeyと呼ばれる小さなハードドライブのロックを解除できます。このドライブには、7,002ビットコインを保持するデジタルウォレットの秘密鍵が含まれています。 ビットコインの価格は月曜日に急落しましたが、それでも、過去最高の約50万ドルを超えたわずか20,000か月前からXNUMX%以上上昇しています。
問題は、トーマス氏が何年も前に、IronKeyのパスワードを書き留めた紙を紛失したことです。これにより、ユーザーは10回推測してから、その内容を永久に取得して暗号化できます。 それ以来、彼は最も一般的に使用されているパスワードの定式化をXNUMXつ試しましたが、役に立ちませんでした。
「私はただベッドに横になってそれについて考えます」とトーマス氏は言いました。 「それから、私はいくつかの新しい戦略でコンピューターに行きました、そしてそれはうまくいきませんでした、そして私は再び必死になりました。」
アレックスステイモス@alexstamos
@alexstamosに返信する
SSBNにインストールされているNSA製の暗号化プロセッサについてではなく、50ドルの古い消費者向けキットについて説明しています。 実際に使用されたことがない過去XNUMX年間のUSENIXペーパーに対してそれを強化する方法はありません。
デイブジェバンズ @davejevans
に返信する @アレックススタモス
私はIronKeyの共同創設者兼CEOでした。 製品の開発中、NSAと何度も話し合いました。 会社をImationに売却する前に、その人が第1世代のIronKeyを使用している場合、それは非常に困難です。 / XNUMX
Jex @ in3dye
あなたを助けることにおけるNSAの目的は何でしたか?
デイブジェバンズ @davejevans
に返信する @ in3dye & @アレックススタモス
彼らはバックドアがないと判断した後、分類された使用のために可能な限り安全にしたいと考えました。 たとえば、AESキーの破棄だけでなく、ハードウェアに実装したNANDフラッシュワイプ技術についてアドバイスしました。
デイブジェバンズ @davejevans
に返信する @アレックススタモス
パスワードカウンターと暗号化されたAESキーは、AtmelAT98プロセッサーに保存されます。 チップ上にランダム化された保護層があるため、内部回路へのアクセスによってチップが停止する可能性があるため、キャッピングを解除することは困難です。 https://dtsheet.com/doc/232348/atmel-at98sc008ct / 2
デイブ・ジェバンス @davejevans
@alexstamosに返信する
IronKey / Atmelのセキュリティ機能には、電圧、周波数、温度の検出器、不正なコード実行の防止、改ざんモニター、サイドチャネル攻撃やプロービングに対する保護が含まれます。 チップは改ざんの試みを検出し、そのようなイベントの機密データを破壊することができます/ 3
デイブジェバンズ @davejevans
に返信する @アレックススタモス
Fly Labsに行き、キャップを外して、開発中にFIBを備えたIronKeyセキュリティチップを調べました。 攻撃するのは非常に難しいでしょう。 パスワードカウンターをオフにできるのであれば、それが最善の策です。 暗号化されたAESキーを抽出するかもしれません。 両方とも可能性は非常に低いです。 / 4
アレックスステイモス@alexstamos
皆さんは素晴らしい仕事をしたと思いますが(iSECはある時点でいくつかの検証を行ったと思います)、消費者向けハードウェアがXNUMX年後、数百万ドルの直接調査に反対することを期待するのは合理的な脅威モデルではありません。
デイブジェバンズ @davejevans
に返信する @アレックススタモス
AT98SCファミリのスマートカードをリセットせずに確実に攻撃できる人がいるかどうかを確認するのはすばらしいことです。 信頼できるとは、1%の確率で成功するのではなく、成功の可能性が高いXNUMXつのデバイスを攻撃することを意味します。
ギャレットセラックカウボーイハットフェイス@fearthecowboy
@alexstamosに返信する
数ヶ月前に、誰かががらくた暗号ディスクの一部にビットコインを持っていた、これに似たケースはありませんでしたか?
IIRCの誰かが出てきて、そこにあったファームウェアが脆弱なファームウェアにダウングレードされる可能性があることを発見し、通過してロックを解除しました。
デイブジェバンズ @davejevans
に返信する @fearthecowboy & @アレックススタモス
元のIronKeyデバイスのファームウェアをダウングレードすることはできません。 ハードウェアでチェックインされ、IronKey(現在はImation)のHSMの物理キーで署名する必要があります。 これは、ソフトウェアファームウェアチェックを備えたTrezorではありません。 それはカスタムハードウェアで行われます。 チップの研究開発に10万ドル以上を費やしました
ブレントミューラー@ Patchemup1
@alexstamosと@ hacks4pancakesに返信する
少なくとも10までのカウンターは、キルスイッチからリセットまたは切断できると思います。 少なくとも、多くのお金で買える資源の量では。
デイブジェバンズ @davejevans
はい。 ただし、IronKeyデバイスの構築に使用したキー管理チップの保護メッシュ、サイドチャネル攻撃防止などに関する私のコメントを参照してください。 物理メッシュを無効にするチャンスはXNUMX回あり、デバイスごとにランダム化されます。
しゅんしゅん
彼はキングストンに、IronKeyのファームウェアを無制限の復号化試行を可能にするバージョンに更新するのに十分なお金を払う余裕があるように感じます
デイブジェバンズ @davejevans
IronKeyの元のバージョンである場合、暗号化されたAESキーとパスワードカウンターを保持するスマートカードのファームウェアを更新する方法はありません。 物理的な攻撃が必要であり、チップには多くの保護があります。
Josh @ JDG_1980
IronKeyのキャップを外し、電子顕微鏡でパスワードを解読できる可能性はありますか?
デイブジェバンズ @davejevans
IronKeyでの開発中に、スマートカードのキャップを外し、FIBで遊んだ。 このカードには、UV検出、ランダム化されたハードウェアメッシュ、サイドチャネル攻撃の検出など、読み取りメモリに対する多くの物理的保護があります。これらは簡単にリセットされます。
ダン・カミンスキー@dakami
それが役に立ったら、@ justmoon、アレックスの申し出は絶対に信頼できます。
デイブジェバンズ @davejevans
に返信する @dakami、 @ラッカー その他2
IronKeyの共同創設者兼元CEOとして、私ができることをお伝えします。 Atmel AT98をクラックする必要があります(これは、Imationが当社を買収する前に開発したIronKeyであると想定しています)。
ハードウェアウォレット、IronKeys、およびUnbreakable Security
ハードウェアウォレット企業は、セキュリティ体制を強化し、暗号化の外部認証を求める必要があります。 ハードウェアウォレットとは異なり、IronKeysは最初のリリースから140年以上も改ざん防止機能を備えています。 米国国立標準技術研究所(NIST)は、連邦情報保護XNUMXシリーズを発行して、米国連邦政府の部門および機関が使用するハードウェアコンポーネントとソフトウェアコンポーネントの両方を含む暗号化モジュールの要件と標準を調整します。
- FIPS 140-2レベル1は最低であり、非常に限られた要件を課します。 大まかに言えば、すべてのコンポーネントは「実稼働グレード」である必要があり、さまざまな悪質な種類の不安がない必要があります。
- FIPS 140-2レベル2は、物理的な改ざんの証拠と役割ベースの認証の要件を追加します。
- FIPS 140-2レベル3は、物理的な耐タンパー性の要件を追加します。
2011年、IronKeyは、FIPS 140-2レベル3、改ざん防止の認定を受けた唯一のモバイル暗号化デバイスであったため、圧倒的に「世界で最も安全なフラッシュドライブ」でした。 ゼロハードウェアウォレットベンダーは、FIPS 140-2レベル1でさえソフトウェアをまだ認定していません。一部のTrezorウォレットには、個別にEAL検証済みのSuper Micro、ST31、およびSTM32のチップセットがありますが、Trezorウォレット自体は認定されていません。
ハードウェアウォレットへの影響
歴史的に、hハードウェアウォレットはこれまで非常に安全ではありませんでした。 2018年、Ledgerハードウェアウォレットw特長 15歳の研究者によって危うくされた、Rashid Saleem、使用 非常に少量のコード。 Saleemは、Ledger Nano Sにバックドアをインストールしました。これにより、デバイスは事前に決定されたリカバリパスワードを生成しました。 攻撃者は、これらのパスワードを新しい元帳ハードウェアウォレットに入力して、バックドアデバイスの秘密鍵を回復する可能性があります。 Rashidは、XNUMX年前にTrezorウォレットの欠陥を悪用することもできました。 https://ciphertrace.com/ledger-bitcoin-wallet-hacked/
2020年の元帳データ侵害により、メールアドレスやその他の情報が公開されました 270,000人を超えるユーザーのPIIにより、Ledgerの顧客の多くは、暴力の脅威を含むフィッシングやランサムウェア攻撃の犠牲になりました。 ハッキングは顧客の資金を直接脅かすことはありませんでしたが、業界内での評判はs 侵害され、多くの人がハードウェアウォレットのセキュリティの将来に疑問を投げかけています。 おそらく、これらのハードウェア企業は、暗号セキュリティへのIronKeyの貢献を再検討するのが賢明でしょう。 分散化の精神では、ユーザーが秘密鍵を保護する責任はユーザーにあり、数億ドルにアクセスできないというトーマスの不幸な状況に陥ることはありません。
ソース:https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/
- 000
- 2020
- 7
- アクセス
- アレックス
- すべて
- Archive
- 周りに
- 認証
- 裏口
- BEST
- 賭け
- Bitcoin
- ビットコイン財布
- 違反
- 建物
- 購入
- コール
- 生じました
- 最高経営責任者(CEO)
- 認証
- 小切手
- チップ
- チップ
- CipherTrace
- 共同創設者
- コード
- 注釈
- 企業
- 会社
- consumer
- 中身
- 続ける
- 会話
- 会話
- クリプト
- 通貨
- Customers
- データ
- 地方分権化
- 破壊する
- 検出
- 開発
- Devices
- DID
- デジタル
- デジタル通貨
- デジタルウォレット
- ドル
- 落とした
- エレベート
- 暗号化
- イベント
- 悪用する
- 顔
- 家族
- 特徴
- 連邦政府の
- 連邦政府
- フィギュア
- 名
- フラッシュ
- 欠陥
- フランシスコ
- フル
- 積立
- 資金
- 未来
- 政府・公共機関
- 素晴らしい
- ハック
- Hardware
- ハードウェアの財布
- ハードウェア財布
- こちら
- ハイ
- セキュリティ
- HTTPS
- 何百
- 違法
- 含めて
- 産業を変えます
- 情報
- 調査
- 問題
- IT
- ジョブ
- キー
- キー
- ラボ
- 主要な
- 元帳
- レベル
- 限定的
- 見
- 管理
- 百万
- モバイル
- 月曜日
- お金
- ヶ月
- ドワーフ
- 提供
- その他
- 紙素材
- パスワード
- パスワード
- 支払う
- フィッシング詐欺
- 防止
- ブランド
- プライベート
- 秘密鍵
- 製品
- 専門家
- 演奏曲目
- 守る
- 保護
- 保護
- ランダム化
- ランサムウェア
- ランサムウェア攻撃
- リーディング
- 回復する
- 回復
- 要件
- 研究
- リソース
- サン
- サンフランシスコ
- セキュリティ
- シリーズ
- SIX
- 小さい
- スマート
- So
- ソフトウェア
- 売ら
- 過ごす
- 規格
- 米国
- 戦略
- 成功
- 成功した
- スイッチ
- 会話
- テクノロジー
- 脅威
- 時間
- セーフティー
- さえずり
- ユナイテッド
- 米国
- アップデイト
- us
- users
- ベンダー
- 脆弱な
- 財布
- 財布
- 週間
- 以内
- 仕事
- 価値
- 年
- 年
- ゼロ