Stefan Thomas是两次失败的密码尝试,从丢失私钥到价值220亿美元的 比特币
比特币是一种数字货币(也称为加密货币)…… 更多 永远。 这是因为Thomas拥有他的私钥 比特币钱包
比特币钱包是一个软件程序,其中的比特币是固定的。 更多 在IronKey中。 得益于一系列内置保护,“世界上最安全的闪存驱动器”宁愿死也不愿放弃其秘密。 IronKey由美国国土安全部资助 2006 由CipherTrace首席执行官Dave Jevans共同创立。
Jevans正在协助调查以恢复Thomas的私钥,这是Jevans及其团队旨在保护加密密钥的高度抗攻击性IronKey所带来的挑战。
周二,杰万斯在与Facebook前CISO亚历克斯·斯塔莫斯(Alex Stamos)的Twitter对话中评论了托马斯的情况。
完整的线程在这里找到 https://twitter.com/alexstamos/status/1348999178702057476 但不再可用。
档案已在下面转录。
亚历克斯·斯塔莫斯@alexstamos
6:24 AM·12年2021月XNUMX日
嗯,以220亿美元锁定的比特币,您不会做出10次密码猜测,而是带给专业人士购买20个IronKey,并花了六个月的时间寻找旁道或封盖。
我会让它发生10%。 打给我。
“住在旧金山的德国出生的程序员斯蒂芬·托马斯(Stefan Thomas)还剩下两个猜测来弄清楚一个密码,截至本周,该密码的价值约为220亿美元。
密码将使他能够解锁名为IronKey的小型硬盘驱动器,其中包含指向拥有7,002比特币的数字钱包的私钥。 尽管周一比特币的价格大幅下跌,但与一个月前的历史最高点50美元相比,它仍比一个月前上涨了20,000%以上。
问题是托马斯先生几年前丢了纸,在那里他写下了IronKey的密码,这使用户可以在猜测和永久加密其内容之前进行10次猜测。 此后,他尝试了八种最常用的密码格式-无济于事。
托马斯先生说:“我只是躺在床上考虑一下。” “然后我会采用一些新策略去电脑上,那将行不通,而我又绝望了。”
亚历克斯·斯塔莫斯@alexstamos
回复@alexstamos
我们不是在谈论在SSBN上安装某些NSA构建的加密处理器,而是旧的50美元的消费者工具包。 对于过去从未实际使用过的USENIX论文,这是绝对无法克服的。
戴夫·杰文斯(Dave Jevans) @davejevans
回复 @亚历克斯斯塔莫斯
我是IronKey的联合创始人兼首席执行官。 在产品开发过程中,我们与NSA进行了多次对话。 如果在我们将公司出售给Imation之前,此人正在使用第一代IronKey,这将是非常具有挑战性的。 / 1
杰克斯@ in3dye
NSA帮助您的目的是什么?
戴夫·杰文斯(Dave Jevans) @davejevans
回复 @ in3dye 和 @亚历克斯斯塔莫斯
一旦确定没有后门,他们便希望使其尽可能安全地用于分类使用。 例如,他们不仅希望销毁AES密钥,还为我们在硬件中实现的NAND闪存擦除技术提供了建议。
戴夫·杰文斯(Dave Jevans) @davejevans
回复 @亚历克斯斯塔莫斯
密码计数器和加密的AES密钥存储在Atmel AT98处理器上。 开盖具有挑战性,因为芯片上有一个随机保护层,这意味着访问内部电路很可能会杀死芯片。 https://dtsheet.com/doc/232348/atmel-at98sc008ct/2
戴夫·杰文斯@davejevans
回复@alexstamos
IronKey / Atmel的安全功能包括电压,频率和温度检测器,防止非法执行代码,篡改监控器以及防止侧通道攻击和探测的保护。 芯片可以检测篡改尝试并破坏此类事件的敏感数据/ 3
戴夫·杰文斯(Dave Jevans) @davejevans
回复 @亚历克斯斯塔莫斯
我们去了Fly Labs,打开了封盖,并在开发过程中查看了带有FIB的IronKey安全芯片。 攻击将非常困难。 如果您可以关闭密码计数器,那是最好的选择。 也许提取加密的AES密钥。 两者都不太可能。 / 4
亚历克斯·斯塔莫斯@alexstamos
我敢肯定,你们做得很好(我认为iSEC曾经为您做过一些验证),但是期望消费类硬件在十年后抵御数百万美元的定向研究后仍能承受,这并不是一个合理的威胁模型。
戴夫·杰文斯(Dave Jevans) @davejevans
回复 @亚历克斯斯塔莫斯
找出是否有人能够可靠地攻击AT98SC系列智能卡而无需对其进行重置,将是很不错的选择。 可靠的意思是攻击成功率很高的一台设备,而不是1%的时间成功。
Garrett Serack牛仔帽脸@fearthecowboy
回复@alexstamos
几个月前是否没有类似的案例,有人在一些废话加密磁盘上装有比特币?
IIRC某人出来后发现,其上的固件可能降级为易受攻击的固件,经过检查后他们才将其解锁。
戴夫·杰文斯(Dave Jevans) @davejevans
回复 @恐惧牛仔 和 @亚历克斯斯塔莫斯
您无法降级原始IronKey设备上的固件。 它已在硬件中检查,并且必须由IronKey(现为Imation)的HSM上的物理密钥签名。 这不是带有软件固件检查功能的Trezor。 这是在自定义硬件中完成的。 我们在芯片研发上花费了超过10万美元
布伦特·穆勒(Brent Mueller)@ Patchemup1
回复@alexstamos和@ hacks4pancakes
我敢打赌,至少10的计数器可以从终止开关重置或切断。 至少要有很多钱可以买到的资源。
戴夫·杰文斯(Dave Jevans) @davejevans
是。 但是请参阅我在构建IronKey设备时使用的密钥管理芯片上有关保护网,防止侧通道攻击等方面的评论。 您有机会禁用物理网格,并且每个设备都将其随机化。
iver_Tam @RiverTamYDN
我觉得他有能力支付给金士顿足够的钱来将IronKey的固件更新为一个版本,从而使他可以进行无限次解密尝试
戴夫·杰文斯(Dave Jevans) @davejevans
如果它是IronKey的原始版本,则无法更新持有加密的AES密钥和密码计数器的智能卡上的固件。 需要物理攻击,该芯片具有许多保护措施。
乔什@ JDG_1980
IronKey可能会被打开密码并用电子显微镜解密密码吗?
戴夫·杰文斯(Dave Jevans) @davejevans
在IronKey的开发过程中,我们确实对智能卡进行了包装,并使用了FIB。 该卡具有许多针对读取内存的物理保护措施,包括紫外线检测,随机硬件网格,侧通道攻击检测等。它们很容易重置。
丹·卡明斯基@dakami
如果有帮助,@ justmoon,Alex的报价绝对可靠。
戴夫·杰文斯(Dave Jevans) @davejevans
回复 @dakami, @漆 和2其他人
作为IronKey的联合创始人和前首席执行官,我将为您提供一切帮助。 您需要破解Atmel AT98(假设这是在Imation收购我们公司之前开发的IronKey)。
硬件钱包,IronKeys和牢不可破的安全性
硬件钱包公司需要提高其安全状况,并寻求对其加密的外部认证。 与硬件钱包不同,IronKeys最初发布十多年以来,仍然具有防篡改功能。 美国国家标准技术研究院(NIST)发布了联邦信息保护140系列,以协调密码模块的要求和标准,其中包括供美国联邦政府各部门和机构使用的硬件和软件组件。
- FIPS 140-2 1级最低,要求非常有限; 宽松地讲,所有组件都必须是“生产级”的,并且必须不存在各种严重的不安全因素。
- FIPS 140-2 2级增加了对物理篡改证据和基于角色的身份验证的要求。
- FIPS 140-2 3级增加了对物理防篡改的要求。
2011年,IronKey迄今为止是“世界上最安全的闪存驱动器”,因为它是唯一获得FIPS 140-2 3级防篡改认证的移动加密设备。 零硬件钱包供应商甚至还没有在FIPS 140-2 Level 1上对其软件进行认证。尽管某些Trezor钱包具有Super Micro,ST31和STM32的芯片组,并分别进行了EAL验证,但Trezor钱包本身并未通过认证。
对硬件钱包的影响
历史上,h硬件钱包从未如此安全。 在2018年,Ledger硬件钱包ERE 被15岁的研究人员折衷,Rashid Saleem,使用 非常少量的代码。 Saleem在Ledger Nano S上安装了后门,导致该设备生成预定的恢复密码。 攻击者可以将这些密码输入新的Ledger硬件钱包中,以恢复后门设备的私钥。 拉希德一年前还能够利用Trezor钱包漏洞。 https://ciphertrace.com/ledger-bitcoin-wallet-hacked/
2020年的账本数据泄露事件暴露了电子邮件地址和其他 超过270,000用户的PII,导致Ledger的许多客户成为网络钓鱼和勒索软件攻击的受害者,其中包括暴力威胁。 虽然骇客入侵并没有直接威胁到任何客户资金,但他们在行业中的声誉s 受到损害,导致许多人质疑硬件钱包安全性的未来。 也许这些硬件公司重新审视IronKey在加密安全方面的贡献是明智的。 本着去中心化的精神,用户有责任保护自己的私钥,以免因托马斯不幸的情况而无法获得数以亿计的美元,最终使他们无法承担责任。
资料来源:https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/
- 000
- 2020
- 7
- ACCESS
- 亚历克斯
- 所有类型
- 档案
- 围绕
- 认证
- 后门
- 最佳
- 投注
- 比特币
- 比特币钱包
- 违反
- 建筑物
- 购买
- 呼叫
- 造成
- CEO
- 证书
- 支票
- 芯片
- 碎屑
- CipherTrace
- 联合创始人
- 码
- 注释
- 公司
- 公司
- 消费者
- Contents
- 继续
- 谈话
- 对话
- 加密
- 货币
- 合作伙伴
- data
- 权力下放
- 摧毁
- 检测
- 研发支持
- 设备
- DID
- 数字
- 数字货币
- 数码钱包
- 美元
- 下降
- ELEVATE
- 邮箱地址
- 加密
- 事件
- 利用
- 面部彩妆
- 家庭
- 特征
- 联邦
- 联邦政府
- 数字
- 姓氏:
- Flash
- 缺陷
- 旧金山
- ,
- 受资助
- 资金
- 未来
- 政府
- 大
- 破解
- 硬件
- 硬件钱包
- 五金钱包
- 此处
- 高
- 举行
- 国土安全部
- HTTPS
- 数百
- 不法
- 包含
- 行业中的应用:
- 信息
- 调查
- 问题
- IT
- 工作
- 键
- 键
- 实验室
- 领导
- 莱杰
- Level
- 有限
- 看着
- 颠覆性技术
- 百万
- 联络号码
- 模型
- 周一
- 钱
- 个月
- 纳米
- 提供
- 其他名称
- 纸类
- 密码
- 密码
- 钓鱼
- 预防
- 车资
- 私立
- 私钥
- 热销产品
- 专业人士
- 曲目
- 保护
- 保护
- 保护
- 随机化
- 勒索
- 勒索软件攻击
- 阅读
- 恢复
- 恢复
- 岗位要求
- 研究
- 资源
- 圣
- 旧金山
- 保安
- 系列
- SIX
- 小
- 智能
- So
- 软件
- 出售
- 花
- 标准
- 州
- 策略
- 成功
- 成功
- Switch 开关
- 说
- 专业技术
- 威胁
- 次
- Trezor
- 联合的
- 美国
- 更新
- us
- 用户
- 厂商
- 脆弱
- 钱包
- 钱包
- 周
- 中
- 工作
- 价值
- 年
- 年
- 零
