@KimLandberg

Какой из способов создания оффлайн биткоин-кошелька самый безопасный?

В данный момент храню свои небольшие накополеня с обедов :D на бинансе. Глядя на то, что может произойти с другими сервисами, начал думать что нужно держать деньги и приватные ключи у себя под руками.
Но почитав в интернете, понял, что это не так просто. Кто сможет подсказать, какой САМЫЙ безопасный способ хранения своей крипты, оффлайн, аппаратно, без зависимости от каких-то инородных сервисов?
И какие есть в этом минусы?
Очень прошу развернутые ответы :3
  • Вопрос задан
  • 581 просмотр
Решения вопроса 2
Кошелек trustwallet на телефон или electrum на пк.
Ответ написан
Комментировать
@rPman
Это очень сложный вопрос и на него нельзя ответить коротко.

Как всегда нужно оговориться, о безопасности чего и в каких ситуациях идет речь (от каких сценарий атак нужно защищаться). Например долгосрочное хранение без использования и активная торговля кардинально отличаются в доступных инструментах и способах реализации этой безопасности.

Безопасность начинается не с выбора кошелька (само собой речь идет о не кастодиальных кошельках, причем желательно opensource, так как иначе доказать это невозможно, остальные даже не рассматриваются так как кошельками не являются, как бы они не назывались)

... она начинается (с постройки вариантов атак и способов защиты) с настройки безопасности окружения, которое даст защиту/контроль над информацией, с которой ты работаешь.

В первую очередь машина.
К оборудованию, на котором у тебя будут храниться деньги и с которого будет вестись управление ими (отправляться транзакции и генерироваться адреса) не должно быть доступа как минимум не надежных людей. Т.е. друзья/подруги, знакомые, любовники и прочее прочее как минимум не должны иметь неконтролируемый доступ. Чтобы установить дешевый кейлогер (который может собрать меньше сотни баксов средний программист-железячник) и подключить его в разрыв usb провода или прямо в клавиатуру, большого времени не надо (а уж просто вставить миниатюрный переходник usb-usb и через него переподключить клавиатуру требуется пара секунд)... а дел натворить такой кейлогер (как опция, с удаленным управлением) может много, от просто записывания всех нажатых кнопок для выявления паролей до ввода команд установки трояна на компьютер (его код можно ввести буквально в блокноте).
Не рекомендую беспроводные клавиатуры и мыши, возможно bluetooth более надежными выглядят но много ли из них позволяют сменить пинкод авторизации?

Во вторую очередь приложения:
Не пользуйся кошельком на рядовой машине, с низкими требованиями к безопасности, на которой ты скачиваешь из интернета случайные приложения/расширения к браузеру, играешь игры с торрентов, запускаешь кряки и прочее прочее.
В дешевом виде - можно загружаться со специально подготовленной флешки/внешнего диска (можно как linux так и windows настроить) где ничего кроме необходимых для работы приложений стоять не должно - браузер, расширения для работы, кошелек и все. Все должно быть установлено из доверенных источников и регулярно обновляться. Кстати стратегия обновлений подразумевает что обновления устанавливаются с небольшим лагом, так как есть практика (именно в криптоэкономике) когда свежевыпущенный релиз кошелька содержит критическую уязвимость, и если не приводивший к кражам но к потерям монет (помню было что то с lightning network).
Это диск не должен использоваться в обычное время, так как вирусы давно умеют заражать сторонние флешки даже с чужие ос через бутсектор и даже efi прошивки (да достаточно параметры загрузки ос заменить)

В более дорогом и параноидальном варианте лучше приобрести специальный компьютер (ноутбук или смартфон, с возможностью работы с монитором, этот вариант предпочтительнее и дешевле но клавиатура и мышка так же должны быть своими, я серьезно)

Теперь про кошелек
для bitcoin настоятельно рекомендую electrum, параноики могут остановиться на bitcoin-core, в режиме pruned он занимает считанные несколько гигабайт. А вообще есть неплохой мастер выбора кошелька

Seed фразу для генерации нужно генерировать только случайной (никаких удобно запоминающихся фраз и красивых стишков, все эти вещи контролируются и деньги воруются, читал про это, много людей на этом прогорело). Хранить фразу в нескольких местах одновременно легкодоступных (чтобы в момент большого П, представь например пожар или землятрясение, его можно было восстановить) и непонятных для злоумышленника. Это самый сложный момент для большинства и именно на неверном понимании проблемы люди теряют и будут терять свои деньги в будущем. Я видел людей, которые хранили свою сид фразу в текстовом файле на десктопе, я знаю что люди записывают сид на бумажке и складывают в ящик стола/сейф, к которому имеет кто то доступ кроме них. Записать сид фразу в файл в облачном хранилище без шифрования своим паролем и алгоритмом тоже не рекомендую. Использовать облачные клавиатуры на android устройствах для ввода seed фразы тоже нельзя (был пример когда какой то кошелек это не учел и какой то разработчик, имеющий доступ к дампам гугловской клавиатуры, украл монеты). Помним, что windows логирует все нажатые клавиши и отправляет их на сервер. Помним что если вы пользуетесь проприетарным софтом - это уже повод задуматься, кто еще стоит у вас 'за спиной'. Мало того, если пользуетесь открытым софтом но загружаете готовые бинарники - то ситуация точно такая же, да может с меньшими шансами на получить проблему, но не ненулевая и эта проблема не решаема, с философской точки зрения обнулить шансы невозможно.

Отличной рекомендацией является использование приложения типа keepass, которое позволяет хранить пароли и не только в зашифрованном файле локально, шифрование может производиться с помощью специального ключевого файла и пароля, при этом хранить их можно раздельно и дублировать на разные облачные хранилища.

Вообще надежное окружение это большая проблема. Было время, когда веб сайт на соседней вкладке мог следить за твоим буфером клавиатуры, соответственно один из вариантов атаки - поиск адресов и подмена их на адреса злоумышленника (генерация похожих адресов), сейчас это не так но как один из видов атаки никуда не делся.
Так же распространен фишинг - подмена сайтов сервисов на похожие имена, подмена адресов в кошельке (злоумышленники рассылают случайным людям переводы с адресами, похожие на те что уже использовались) и т.п.

Еще момент про аппаратные кошельки.
Если кошелек для своей работы требует компьютер (для ввода пароля, для контроля транзакции) - то это плацебо.
Для работы такого кошелька нужно рабочее окружение, если оно не надежно то они не защитят от кражи, а если у вас есть надежное окружение вам не нужен кошелек.
Если кошелек имеет экран, отображающий действия в транзакции в понятном виде и позволяющий ее отклонить то он имеет смысл как инструмент повышения надежности окружения (т.е. его можно использовать на не очень надежной машине, если внимательно следить за подтверждаемыми транзакциями)
Если кошелек не имеет возможности сделать резервную копию seed фразы - он сам становится точкой отказа, т.е. вы можете потерять все деньги при его поломке/краже.
Т.е. аппаратный кошелек в простом виде - это больше проблема чем решение, исключение, если это будет что тот типа ноутбука/смартфона, о чем выше я и написал

p.s. сложно? а кто сказал что биткоин это просто? криптовалюты это когда ты и только ты становишься ответственным за свои деньги. тут не получится позвонить в банк и полицию и сказать - меня обокрали, точнее позвонить получится но не больше.
Некоторые считают такие риски достаточным основанием чтобы не лезть в криптоэкономику в принципе
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
mayton2019
@mayton2019
Bigdata Engineer
У меня возникал аналогичный вопрос но не в части кошельков а в сервисах двухфакторной автентификации для мобил. Вот потеряю допустим телефон. Какова процедура восстановления? Это головняк. Даже чтоб восстанавливать что-то их бэкапа - надо себя идентифицировать или предьявлять мастер-пароли которые очень длинные.

К слову я ничего не придумал. Немного замкнутый круг получается. Самый простой и надеждый способ - все таки использовать мнемонические фразы из стандартного bip39. Эти фразы выжечь у себя татуировкой на руке или блин заказать себе жетон на шею с гравировкой. Или как Киану Ривзу прошить в мозг под гипнозом. Вобщем нужно такое хранилище чтоб.... ну короче лучше сейфа и бумагами я пока ничего не придумал. Звучит смешно но бумага оказывается надежнее чем жесткие диски сидюки и кассеты стриммера.

Археологи подтвердят.
Ответ написан
Комментировать
@humoured
Вы всё на свете найдёте в коробке с карандашами
Самый безопасный способ, но не самый удобный, — вручную сгенерировать пару priv/pub ключей, приватный ключ записать на бумажку и спрятать в укромном месте а потом забыть где.
Библиотек для генерации пар ключей полно, поищите на GitHub.
Все остальные способы так или иначе могут быть небезопасны: телефон можно потерять, приложение может соскамиться, да и мало ли что.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы