首页

行情

快讯

名人库

专栏

搜索

首先我们介绍了对硬件钱包三元组的解读,这导致了生成一个互动式冷钱包:无信任且易于使用以确保安全性。让我们继续探讨硬件钱包的常见攻击,看看TRUSSY是如何适应加密货币经济的。

注意:如果你的钱包是在线连接的,你就会经常受到威胁。如果您的计算机受到攻击,攻击者将可以直接访问USB连接硬件钱包。  Trussy是一个互动冷钱包,只能通过二维码进行通信,因此我们要解决设备的物理访问问题。

供应链的攻击

关于硬件钱包的第一个问题是你的产品来源。您如何验证直到您从邮递员(或您选择的FedEx、DHL等)那里收到您的设备之前,没有人对您的设备进行过修补?

针对这个问题有两种主流解决方案: 安全芯片验证和设备上的贴纸。

这两种方法都不能100%保证您拥有一个真正的硬件。

原则上,当使用安全芯片时,只有制造商知道安全处理器的确切功能。在验证过程中,它会计算特定哈希与加密质询相结合,,以确保内存内容符合预期。虽然这种方法看起来很安全,但是它创建了一个封闭的黑箱解决方案,在这个解决方案中,您没有能力验证您所拥有的内容。当我们要为加密货币经济创造一个合适的设备时,使用一个不可信的设计是必要的。

在开源解决方案上使用贴纸(就像Trezor所做的那样)可以作为一种解决方案来验证您设备自制造以来就没有被碰过。碰巧的是,这些贴纸通常很容易移除。在某些情况下,这就像使用吹风机一样简单。

另一方面,TRUSSY使用的贴纸是模制在冷凝胶内的USB插头。这个方法允许我们使用一个开源的Trezor为基础的认证与最先进的篡改明显的贴纸解决方案。任何试图在供应链攻击期间修补您的设备的尝试都是可视的。

邪恶的女仆攻击

邪恶的女仆指的是当你不在的时候,一个未经授权的人可以访问你的设备。可以是任何一个有能力把手放在你钱包上的人。从不受信任的人到机场安检,你的设备应该是安全的,没有任何特别的行动。供应链攻击的不同之处在于,恶意方的可能性更小,没有无限制的设备和时间。最简单的方法包括在设备上安装bug,或者将其替换为外观相同的bug。

你可以采取一些行动来识别你的设备,从签名到记住你离开设备的特定角度和位置。钱包通常有一个可以拆卸和重新连接的附件,同时也可以修补里面的组件。TRUSSY的冷凝胶使得在将你的秘密托付给它之前,检查你的设备的渗透尝试变得很简单。

由于在使用安全设备之前必须进行视觉检查,所以您可能仍然会产生怀疑(您应该总是这样)。我们还建议您在不同的密钥之间分散资金。生成也可以由您自己处理,以获得对资产的最大控制。TRUSSY可以用来计算您签署的交易,而无需存储您的密码。

Wrench Attack(扳手攻击)
当攻击者强迫你交出你所有的密码时,一个安全的设备应该有能力保护你。

在大多数情况下,使用BIP-39密码更多的是一个隐藏特性,而不是一个主要功能。虽然建议在日常资产处理中也使用它,但它可能是针对想要伤害你的人的最佳防御。使用你的助记符和一个错误的密码,你可以误导攻击者,让他们以为你已经获得了你的存款,而你的密码仍然安全地掌握在你手中。在目前的解决方案中,这种貌似合理的可否认特性被低估了,而在住宅安全中使用密码报警代码是一种常见的做法。

所有存储的数据都是AES加密的,因此即使丢失了设备,您的助记符也是安全的。此外,为了确保立即采取行动,TRUSSY允许您在紧急情况下使用假PIN从设备中删除加密数据。

我们强烈建议您获取关于不同攻击的信息,并保持您的知识是最新的。不管一个设备提供了多么复杂的解决方案,如果没有合适的背景,也非常脆弱!

0/300

相关新闻

全部 综合技术人物创投百科观点游戏