Stefan Thomas, özel anahtarları 220 milyon dolar değerinde kaybetmekten iki başarısız şifre girişimi uzaktadır. bitcoin
Bitcoin dijital bir para birimidir (kripto para birimi olarak da adlandırılır)… Daha sonsuza dek. Bunun nedeni, Thomas'ın kendi özel anahtarlarını elinde tutmasıdır. Bitcoin cüzdan
Bitcoin cüzdanı, Bitcoin'lerin st olduğu bir yazılım programıdır ... Daha bir IronKey'de. "Dünyanın En Güvenli Flash Sürücüsü", bir dizi yerleşik koruma sayesinde sırlarından vazgeçmek yerine ölmeyi tercih ediyor. IronKey, ABD İç Güvenlik Bakanlığı tarafından finanse edildi. 2006 ve CipherTrace CEO'su Dave Jevans'ın kurucularından.
Jevans, Thomas'ın özel anahtarlarını kurtarmak için soruşturmaya yardım ediyor, Jevans ve ekibinin kripto anahtarlarını korumak için tasarladığı, saldırıya karşı oldukça dirençli olan IronKey tarafından zorlaştırılan bir girişim.
Salı günü Jevans, Facebook'un eski CISO'su Alex Stamos ile bir Twitter sohbetinde Thomas'ın durumu hakkında yorum yaptı.
Tam ileti dizisi burada bulundu https://twitter.com/alexstamos/status/1348999178702057476 ancak artık mevcut değil.
Aşağıda bir arşiv yazılmıştır.
Alex Stamos @alexstamos
6:24 · 12 Ocak 2021
Um, kilitli Bitcoin'de 220 milyon dolar için, 10 şifre tahmini yapmazsınız, ancak bunu profesyonellere götürerek 20 IronKey satın alırsınız ve bir yan kanal bulmak veya kapağını açmak için altı ay harcarsınız.
Bunu% 10 için gerçekleştireceğim. Beni ara.
“San Francisco'da yaşayan Alman doğumlu bir programcı olan Stefan Thomas'ın, bu hafta itibariyle yaklaşık 220 milyon dolar değerinde bir şifre bulmak için iki tahmini kaldı.
Parola, 7,002 Bitcoin tutan dijital bir cüzdanın özel anahtarlarını içeren ve IronKey olarak bilinen küçük bir sabit diskin kilidini açmasına izin verecek. Bitcoin'in fiyatı Pazartesi günü keskin bir şekilde düşerken, önceki tüm zamanların en yüksek seviyesi olan 50 $ 'ı geçtiği bir ay öncesine göre hala yüzde 20,000'den fazla arttı.
Sorun şu ki, Bay Thomas yıllar önce IronKey şifresini yazdığı kağıdı kaybetti, bu da kullanıcılara 10 tahminde bulunup içeriklerini sonsuza dek şifrelemesine izin veriyor. O zamandan beri en sık kullandığı sekiz şifre formülasyonunu denedi - boşuna.
"Yatağa uzanıp düşünürdüm," dedi Bay Thomas. "Sonra yeni bir stratejiyle bilgisayara giderdim ve işe yaramazdı ve yine çaresiz kalırdım."
Alex Stamos @alexstamos
@alexstamos'a yanıt verme
Bir SSBN'ye yüklenmiş bazı NSA yapımı kripto işlemcilerden değil, 50 dolarlık eski bir tüketici kitinden bahsediyoruz. Pratikte hiç kullanılmamış USENIX kağıtlarının son on yılına karşı sertleşmesi mümkün değil.
Dave Jevans @kafadergisi
Yanıt vermek @kafadergisi
IronKey'in kurucu ortağı ve CEO'suydum. Ürünlerin geliştirilmesi sırasında NSA ile çok sayıda görüşme yaptık. Kişi, biz şirketi Imation'a satmadan önce ilk nesil IronKey'i kullanıyorsa, bu çok zor olacaktır. / 1
Jex @ in3dye
NSA'nın size yardım etme amacı neydi?
Dave Jevans @kafadergisi
Yanıt vermek @hayalhanemersin ve @kafadergisi
Arka kapı olmadığını belirledikten sonra, sınıflandırılmış kullanım için mümkün olduğunca güvenli hale getirmek istediler. Örneğin, sadece AES anahtarının yok edilmesini istemediler, donanıma uyguladığımız NAND flash wipe tekniklerini tavsiye ettiler.
Dave Jevans @kafadergisi
Yanıt vermek @kafadergisi
Parola sayacı ve şifrelenmiş AES anahtarları bir Atmel AT98 işlemcide saklanır. Çipin üzerinde rastgele bir koruma katmanı olduğundan, iç devreye erişimin yongayı öldürebileceği anlamına geldiği için, kapak açma zordur. https://dtsheet.com/doc/232348/atmel-at98sc008ct / 2
@Kafadergisi
Replying to @alexstamos
IronKey / Atmel güvenlik özellikleri arasında voltaj, frekans ve sıcaklık dedektörleri, yasadışı kod yürütme önleme, izinsiz müdahale izleme ve yan kanal saldırılarına ve araştırmaya karşı koruma bulunur. Çipler, kurcalama girişimlerini algılayabilir ve bu tür olaylarda hassas verileri yok edebilir / 3
Dave Jevans @kafadergisi
Yanıt vermek @kafadergisi
Fly Labs'e gittik ve kapaksız olduk ve geliştirme sırasında FIB'li IronKey güvenlik çiplerimize baktık. Saldırmak son derece zor olacak. Şifre sayacını kapatabilirseniz, bu en iyi bahsinizdir. Belki şifrelenmiş AES anahtarını çıkarın. İkisi de pek olası değil. / 4
Alex Stamos @alexstamos
Eminim harika bir iş çıkardınız (sanırım bir noktada iSEC sizin için bazı doğrulamalar yaptı), ancak tüketici donanımının on yıl sonra ve yönlendirilmiş araştırmada milyonlarca dolara karşı dayanmasını beklemek makul bir tehdit modeli değil.
Dave Jevans @kafadergisi
Yanıt vermek @kafadergisi
Herhangi birinin AT98SC akıllı kart ailesine sıfırlamadan güvenilir bir şekilde saldırıp saldıramayacağını bulmak harika olurdu. Güvenilir derken,% 1 oranında başarılı olmak yerine, yüksek başarı şansı olan bir cihaza saldırmaktan bahsediyorum.
Garrett SerackKovboy şapkası yüzü @fearthecowboy
@alexstamos'a yanıt verme
Birkaç ay önce, birisinin boktan bir kripto diskinde bitcoin olduğu bir durum yok muydu?
IIRC biri çıktı ve üzerinde bulunan donanım yazılımının savunmasız olana indirilebileceğini keşfetti ve devreye girdi ve kilidi açıldı.
Dave Jevans @kafadergisi
Yanıt vermek @kafadergisi ve @kafadergisi
Orijinal IronKey cihazlarında ürün yazılımını düşüremezsiniz. Donanım olarak kontrol edilir ve IronKey'de (şimdi Imation) bir HSM'de fiziksel anahtarlarla imzalanması gerekir. Bu, yazılım ürün yazılımı kontrolleri olan bir Trezor değildir. Özel donanımda yapılır. Çip Ar-Ge'sine 10 milyon dolardan fazla harcadık
Brent Mueller @ Patchemup1
Replying to @alexstamos and @ hacks4pancakes
Bahse girerim bu sayaç en azından 10'a sıfırlanabilir veya kill anahtarından çıkarılabilir. En azından bu kadar paranın satın alabileceği kaynak miktarı ile.
Dave Jevans @kafadergisi
Evet. Ancak, IronKey cihazlarını oluştururken kullandığımız anahtar yönetim yongasındaki koruyucu ağ, yan kanal saldırı önleme vb. Hakkındaki yorumlarıma bakın. Fiziksel ağı devre dışı bırakmak için bir şansınız var ve her cihaz için rastgele hale getirilir.
iver_Tam @RiverTamYDN
Kingston'a, IronKey'in aygıt yazılımını, kendisine sınırsız şifre çözme girişimleri sağlayan bir sürüme güncellemek için yeterli parayı ödeyebileceğini hissediyorum.
Dave Jevans @kafadergisi
Bu, IronKey'in orijinal bir versiyonuysa, şifreli AES anahtarı ve şifre sayacını tutan akıllı karttaki ürün yazılımını güncellemenin bir yolu yoktur. Çipin birçok korumaya sahip olduğu fiziksel saldırıya ihtiyaç duyar.
@Hayalhanemersin
IronKey'in şifresinin bir elektron mikroskobu ile çözülebilmesi ve şifresinin çözülmesi ihtimali var mı?
Dave Jevans @kafadergisi
IronKey'de geliştirme sırasında akıllı kartın kapağını kapattık ve bir FIB ile oynadık. Kart, UV algılama, rastgele donanım ağı, yan kanal saldırı algılama vb. Dahil olmak üzere okuma belleğine karşı birçok fiziksel korumaya sahiptir. Kolayca sıfırlanırlar.
Dan Kaminsky @dakami
Eğer yardımcı olursa @justmoon, Alex'in teklifi kesinlikle inandırıcı.
Dave Jevans @kafadergisi
Yanıt vermek @dakami, @siyah ve 2 diğerleri
IronKey'in kurucu ortağı ve eski CEO'su olarak elimden geleni yapacağım. Atmel AT98'i kırmanız gerekir (bunun Imation şirketimizi satın almadan önce geliştirdiğimiz IronKey olduğunu varsayarak).
Donanım Cüzdanları, IronKey'ler ve Kırılmaz Güvenlik
Donanım cüzdanı şirketlerinin güvenlik duruşlarını yükseltmeleri ve şifrelemeleri için harici bir sertifika almaları gerekir. Donanım cüzdanlarından farklı olarak, IronKeys, ilk piyasaya sürülmelerinden sonra on yıldan fazla bir süre boyunca kurcalamaya karşı korumalı olmaya devam ediyor. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Birleşik Devletler federal hükümetinin departmanları ve kurumları tarafından kullanılmak üzere hem donanım hem de yazılım bileşenlerini içeren kriptografik modüller için gereksinimleri ve standartları koordine etmek için Federal Bilgi Koruma 140 Serisini yayınlar.
- FIPS 140-2 Seviye 1 en düşük seviyededir, çok sınırlı gereksinimler getirir; gevşek bir şekilde, tüm bileşenler “üretim seviyesinde” olmalı ve çeşitli korkunç türden güvensizlikler bulunmamalıdır.
- FIPS 140-2 Düzey 2, fiziksel kurcalama kanıtı ve rol tabanlı kimlik doğrulama için gereksinimler ekler.
- FIPS 140-2 Düzey 3, fiziksel kurcalamaya karşı dayanıklılık gereksinimleri ekler.
2011 yılında, IronKey açık ara "Dünyanın En Güvenli Flash Sürücüsü" oldu çünkü FIPS 140-2 Seviye 3, kurcalamaya karşı dirençli sertifikalı tek mobil şifreleme cihazıydı. Sıfır donanım cüzdanı satıcıları, yazılımlarını FIPS 140-2 Seviye 1'de bile onaylamadılar. Bazı Trezor cüzdanları, ayrı olarak EAL onaylı Super Micro, ST31 ve STM32'den yonga setlerine sahipken, Trezor cüzdanının kendisi sertifikalı değildir.
Donanım Cüzdanları için Çıkarımlar
Tarihsel olarak, hardware cüzdanları hiç bu kadar güvenli olmamıştı. 2018 yılında, Ledger donanım cüzdanlarıÖzellikler 15 yaşındaki bir araştırmacı tarafından tehlikeye atıldı, Rashid Saleem, kullanma çok az miktarda kod. Saleem, bir Ledger Nano S'ye, cihazın önceden belirlenmiş kurtarma şifreleri oluşturmasına neden olan bir arka kapı kurdu. Bir saldırgan, arka kapılı aygıtın özel anahtarlarını kurtarmak için bu parolaları yeni bir Ledger donanım cüzdanına girebilir. Rashid ayrıca bir yıl önce bir Trezor cüzdan kusurundan yararlanmayı başardı. https://ciphertrace.com/ledger-bitcoin-wallet-hacked/
2020'deki Ledger veri ihlali, e-posta adreslerini ve diğer 270,000'den fazla kullanıcının PII'si, Ledger müşterilerinin çoğunun şiddet tehditleri içeren kimlik avı ve fidye yazılımı saldırılarının kurbanı olmasına neden oldu. Hack, herhangi bir müşteri fonunu doğrudan tehdit etmese de, sektördeki itibarıs tehlikeye atıldı ve birçok kişinin donanım cüzdan güvenliğinin geleceğini sorgulamasına neden oldu. Belki de bu donanım şirketleri, IronKey'in kripto güvenliğine yaptığı katkıları yeniden gözden geçirmeleri akıllıca olacaktır. Ademi merkeziyetçilik ruhu çerçevesinde, kullanıcının yüz milyonlarca doları erişilemez olan Thomas'ın talihsiz durumuna düşmemeleri için özel anahtarlarını güvence altına alma sorumluluğu kalır.
Kaynak: https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/
- 000
- 2020
- 7
- erişim
- alex
- Türkiye
- Arşiv
- etrafında
- Doğrulama
- arka kapı
- İYİ
- Bahis
- Bitcoin
- Bitcoin Cüzdan
- ihlal
- bina
- satın almak
- çağrı
- neden
- ceo
- belgeleme
- Çekler
- yonga
- cips
- CipherTrace
- Kurucu
- kod
- yorumlar
- Şirketler
- şirket
- tüketici
- içindekiler
- devam etmek
- konuşma
- konuşmaları
- kripto
- Para birimi
- Müşteriler
- veri
- Yerelleşme
- yıkmak
- Bulma
- gelişme
- Cihaz
- DID
- dijital
- dijital para
- dijital cüzdan
- dolar
- düştü
- YÜKSELTMEK
- E-posta
- şifreleme
- olaylar
- sömürmek
- Yüz
- aile
- Özellikler
- Federal
- Federal hükümet
- şekil
- Ad
- flaş
- kusur
- Francisco
- tam
- finanse
- para
- gelecek
- Hükümet
- harika
- kesmek
- donanım
- Donanım Cüzdanı
- Donanım Cüzdanları
- okuyun
- Yüksek
- ambar
- Anayurt Güvenliği
- HTTPS
- Yüzlerce
- Yasadışı
- Dahil olmak üzere
- sanayi
- bilgi
- soruşturma
- sorunlar
- IT
- İş
- anahtar
- anahtarlar
- Labs
- önemli
- Defteri kebir
- seviye
- Sınırlı
- baktı
- yönetim
- milyon
- Telefon
- model
- Pazartesi
- para
- ay
- nano
- teklif
- Diğer
- kâğıt
- Şifre
- şifreleri
- Kimlik avı
- Önleme
- fiyat
- özel
- Özel Anahtarlar
- Ürünler
- profesyoneller
- Programı
- korumak
- koruma
- Koruyucu
- Rastgele
- fidye
- Fidye Yazılımı Saldırıları
- Okuma
- Kurtarmak
- kurtarma
- Yer Alan Kurallar
- araştırma
- Kaynaklar
- San
- San Francisco
- güvenlik
- Dizi
- ALTINCI
- küçük
- akıllı
- So
- Yazılım
- satılan
- geçirmek
- standartlar
- Devletler
- Stratejileri
- başarı
- başarılı
- anahtar
- konuşma
- Teknoloji
- tehditler
- zaman
- kiralık kasa
- Birleşik
- USA
- Güncelleme
- us
- kullanıcılar
- satıcıları
- Savunmasız
- Cüzdan
- Cüzdan
- hafta
- içinde
- İş
- değer
- yıl
- yıl
- sıfır
