Arghlh Geschrieben 11. August 2023 Teilen Geschrieben 11. August 2023 Es gibt eine recht schwere Lücke im Libitcoin Explorer was die Generierung der Schlüssel angeht. https://milksad.info/disclosure.html https://www.blocktrainer.de/schlechter-zufall-mit-libbitcoin-explorer-wallets-sind-unsicher/ Da es sich bei Libitcoin anscheinend um eine Library/Tool handelt, welches von diversen Wallets genutzt wird wüsste ich gerne, ob dieses Tool auch von Ledger zur Schlüsselerzeugung genutzt wird. Weiss da zufällig jemand mehr? 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Jokin Geschrieben 11. August 2023 Teilen Geschrieben 11. August 2023 Wenn ich das richtig verstanden habe, dann erzeugt die Library bei denselben Timestamps dieselben Seeds. Und weil es lediglich einen kleinen Zeitraum betrifft, gibt es weniger als 200 Mio. Seeds, die betroffen sind und relevante Guthaben sind bereits abgeräumt worden. Das Milk-Sad-Projekt hat wohl 2.600 betroffene Seeds identifiziert. Als Wallet ist wohl die Trustwallet betroffen, aber das müssten dann auch mehr Seeds sein und nicht nur 2.600. Ledger ist sicher nicht betroffen, der Ledger kennt keine Systemzeit und hat wohl einen Chip, der die Zufallszahl erzeugt. Auch sonst ist wohl keine Wallet betroffen, denn spätestens durch das Milk-Sad-Projekt werden auch kleinere noch verbliebene Guthaben weg transferiert. Grundsätzlich lehrt uns dieser Fall: Traue keinem von Tools erzeugten Seed! (ok, Ledger und Trezor bilden wohl eine wesentliche Ausnahme) Entweder selber die Entropy erzeugen oder den erzeugten Seed selbst modifizieren. (das 24. Prüfsummen-Wort kann man einem Tool herausfinden) Gern auch die Passphrase als 25. Wort anfügen. 2 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Tschubaka Geschrieben 11. August 2023 Teilen Geschrieben 11. August 2023 Und ich sach noch die ganze Zeit das reicht nicht mit nem PRNG. 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Cricktor Geschrieben 11. August 2023 Teilen Geschrieben 11. August 2023 (bearbeitet) Mit /dev/urandom wär' das nicht passiert. 😇 Das ist schon ganz schön fahrlässig, nur die Systemzeit als einzigen Seed für den PRNG zu verwenden. Das sollte man eigentlich wissen, daß einem das gaanz schnell auf die Füße fällt oder eben erst später, dann aber auch schnell, wenn es rauskommt, weil vorher keiner hingeguckt hat. Bearbeitet 11. August 2023 von Cricktor 1 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
..::. o.Z.o.n.e .::.. Geschrieben 11. August 2023 Teilen Geschrieben 11. August 2023 vor 3 Minuten schrieb Cricktor: Mit /dev/urandom wär' das nicht passiert. 😇 Danke. – Dazu möchte ich gerne diesen link für alle beisteuern. – ( link ). ;o)) Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Tschubaka Geschrieben 11. August 2023 Teilen Geschrieben 11. August 2023 Mein löchriges Gedächtnis hat das etwa so in der hintersten Schublade: Dev/urandom nutzt die Systemzeit plus Mausbewegungen des Nurzes die eine bestimmte Zeit aufgezeichnet werden und macht daraus eine individuelle Entropie. Wenn 10 Nutzer eine Standardinstallation nutzen und ihre Mausbewegungen beim Start sehr ähnlich waren, z.b. die Einführung durchklicken, einmal Firefox starten, Ordner öffnen ... sind die Bewegungen nahezu gleich. Dann bleibt die Systemzeit als grösster Einfluss auf die Entropie. Ist jetzt natürlich hochtheoretisch. Aber es wird eben ein deutlicher Teil der Entropie dem menschlichen Faktor überlassen. Und der ist allgemeiner Auffassung nach ein schlechter Zufall. Ich weiss aber auch nicht was tatsächlich besser ist. Mittlerweile würfel ich die Seeds ja und zähle die 1en entsprechend ihrer Stelle zusammen, ...1... ...1... ...0... ...1... ...0... 1024, 512, -----, 128, ----usw. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
..::. o.Z.o.n.e .::.. Geschrieben 11. August 2023 Teilen Geschrieben 11. August 2023 vor 2 Minuten schrieb Tschubaka: ... des Nurzes ... Genau so fühlt sich vielleicht jeder einmal – fantastisch. Danke. ;o)) /SCNR Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Tschubaka Geschrieben 11. August 2023 Teilen Geschrieben 11. August 2023 Ach verflixt 🤣 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
..::. o.Z.o.n.e .::.. Geschrieben 11. August 2023 Teilen Geschrieben 11. August 2023 vor 33 Minuten schrieb Tschubaka: Ach verflixt 🤣 Pawel ist auch nicht ohne. – Vor allem in live und in bunt – und mit dem (V)Vodka den er dann an alle ausschenkt. ;o)) Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden