Wallet hardware (Ledger, Trezor)

[Rübezahl]

On 12/5/2017 at 9:28 AM, Jensen said:

dev), aucune chance quelles disparaissent si besoin est / si la société qui fournit les ledgers disparait (si ça arrive, n'importe quel dev compétent peut écrire un outil de restauration en quelques heures et le mettre en ligne).

Justement, ces ledgers, c'est de l'open-source ? il y a une communauté open autour ?

 

Je me demande quand même quel est le vrai plus d'un ledger par rapport à une petite clé usb de bonne qualité, sur laquelle je copie tout simplement mes clés privées (depuis un ordi sous debian non-connecté à internet) ?

 

[Jensen]

7 hours ago, Vincent Andrès said:

Justement, ces ledgers, c'est de l'open-source ? il y a une communauté open autour ?

 

Je me demande quand même quel est le vrai plus d'un ledger par rapport à une petite clé usb de bonne qualité, sur laquelle je copie tout simplement mes clés privées (depuis un ordi sous debian non-connecté à internet) ?

 

Les logiciels PC sont open-sources. Le firmware du legder n'a qu'une partie publiée, mais on a certains documents de conceptions (dont l'architecture, qui est saine).

 

En terme de sécurité, c'est incomparable à une simple clé USB. Une clé USB, tu la branches sur un PC vérolé, le pirate copie son contenu, récupère ton mot de passe avec un keylogger, et il te reste des yeux pour pleurer.

Si tu ne la connecte que sur un PC non connecté à internet, comment tu fais des transactions? préparées depuis un PC connecté à internet sur une deuxième clé, copiées sur le PC isolé, signées avec la clé privée, retransférées sur le PC connecté et diffusées. Faisable, mais extrêmement peu pratique.

 

Face à ça:

- il est impossible d'extraire les clés privées d'un ledger. Donc tu peux le brancher sur le PC le plus vérolé du monde, personne n'aura tes clés

- il a un écran et des boutons. donc le PIN est entré directement sur l'appareil (pas de keylogger possible), et tu peux vérifier la transaction sur l'écran (pas de modification de la transaction en douce pour te voler des BTC lors d'une transaction, quand tu crois signer une transaction légitime).

- ça reste pratique à utiliser

- il existe un PIN d'urgence qui efface entièrement le ledger, comme protection contre un braquage dans la rue ou contre un homejacking

- il existe un PIN leurre qui ouvre un wallet secondaire, sur lequel on peut avoir déposer une petite somme par réalisme

- bonus, on peut l'utiliser comme 2e facteur d'authentification pour des trucs comme gmail

 

En terme de sécurité, le ledger nano S et son pote le trezor (même principe, autre boîte) sont donc l'équivalent d'un PC non connecté à internet, mais en restant pratique.

 

 

[Rübezahl]

Merci pour ta réponse.

 

J'ai une autre question, plus générale :

a-t-on raison de se sentir à l'abri si on utilise un ordi sous une distro comme debian ? ... où cela n'est-il pas justifié ?

 

On entend pas trop parler d'attaques sur les ordis sous linux. ça veut réellement dire qu'il y a moins d'attaques ? moins d'attaques qui réussissent ?

où c'est juste qu'on en cause pas trop ?

 

Sinon, pour ceux qui font joujou avec sha256 etc, vous utilisez quoi comme outils ?

(Je suis en train de regarder coté R.)

 

[h16]

La suite openssl donne tout ce qu'il faut sur linux pour les résumés SHA. Sur Windows, il y a des freeware qui s'installent en extension de l'explorateur et permettent de faire un résumé d'un fichier à la volée.

[Hugh]

Il y a une "ledger wallet" avec un prix plus abordable?

[h16]

Si la valeurs de tes cryptos est 10x le prix du wallet (soit 1000 $ ou plus), alors ne te pose pas la question. Si c'est moins, voire juste 200$, tu n'as besoin de rien d'autre qu'une feuille de papier stockée au coffre. Et si tu trades / échange, si la somme est petite, ne t'embête pas et stocke ça sur ton mobile (coinomi wallet peut faire l'affaire p .ex). Ledger, c'est bien quand ça commence à représenter de l'argent.

[Axpoulpe]

16 hours ago, h16 said:

Si la valeurs de tes cryptos est 10x le prix du wallet (soit 1000 $ ou plus), alors ne te pose pas la question. Si c'est moins, voire juste 200$, tu n'as besoin de rien d'autre qu'une feuille de papier stockée au coffre. Et si tu trades / échange, si la somme est petite, ne t'embête pas et stocke ça sur ton mobile (coinomi wallet peut faire l'affaire p .ex). Ledger, c'est bien quand ça commence à représenter de l'argent.

 

Idem, j'ai un Ledger et j'ai laissé la seed dans deux endroits de confiance, mais dans un portefeuille mobile je ne garde jamais plus que je ne garderais sur moi en cash. Et j'évite les hot-wallets sur ordi, de même que laisser de l'argent sur les exchanges (je n'ai d'ailleurs jamais touché à un exchange); 

[Rübezahl]

Antonopoulos dit qu'il laisse son pognon 15' sur un exchange. Pas plus.

(ama il a tout à fait raison).

[h16]

Il y a 3 heures, Rübezahl a dit :

Antonopoulos dit qu'il laisse son pognon 15' sur un exchange. Pas plus.

(ama il a tout à fait raison).

Antonopoulos est un petit rigolo.

15' sur un exchange, tu fais rien du tout (ou tu te fais bananer).

[Axpoulpe]

1 hour ago, h16 said:

Antonopoulos est un petit rigolo.

15' sur un exchange, tu fais rien du tout (ou tu te fais bananer).

 

Je pense qu'il voulait dire qu'on ne doit pas laisser ses cryptos-monnaies à quelqu'un d'autre plus que nécéssaire. Ne recourant pas aux exchanges j'ignore si 15 minutes ne suffisent pas pour faire un trade,  mais il voulait surtout insister sur le fait que c'est très dommage de créer un pot de miel qui risque d'attirer les ours alors qu'un des charmes principaux de BTC c'est précisément de contrôler ses fonds tout en évitant les emmerdements d'une pile de cash ou de lingots d'or sous son matelas. 

[h16]

Il y a 2 heures, Axpoulpe a dit :

 

Je pense qu'il voulait dire qu'on ne doit pas laisser ses cryptos-monnaies à quelqu'un d'autre plus que nécéssaire. Ne recourant pas aux exchanges j'ignore si 15 minutes ne suffisent pas pour faire un trade,  mais il voulait surtout insister sur le fait que c'est très dommage de créer un pot de miel qui risque d'attirer les ours alors qu'un des charmes principaux de BTC c'est précisément de contrôler ses fonds tout en évitant les emmerdements d'une pile de cash ou de lingots d'or sous son matelas. 

Oui, je pense aussi. Mais bon, 15', c'est trop court de toute façon. Un exchange requiert 6 confirmations pour le dépôt (déjà, ça fait une heure), le temps de créer, puis passer l'ordre et le voir exécuté, 15' reste trop court. Si on retire, on doit ajouter 6 conf à nouveau. Faire l'aller-retour en moins de 2h est virtuellement impossible (sauf à avoir des accords OTC avec l'exchange, pour les whales je présume).

[Rübezahl]

J'ai écrit 15', c'est peut-être moi qui m'a gourru.

C'est dans une de ses (bonnes) video, mais je ne saurais plus forcément la retrouver.

Andreas voulait principalement dire de ne pas faire de stockage long-terme sur des plateformes, voilà.

 

Il a peut-être aussi dit, 15' une fois l'affaire expédiée.

 

[Rocou]

Il y a 20 heures, Axpoulpe a dit :

 

je n'ai d'ailleurs jamais touché à un exchange

 

Tu achètes où dans ce cas? 

[Rübezahl]

Il y a les réunions tupperware pour les zurbains.

[Axpoulpe]

1 hour ago, Rocou said:

 

Tu achètes où dans ce cas? 

 

En direct à des gens qui en possèdent et qui ont été plus malins que moi pour en acheter plus tôt. Et pour passer sur d'autres monnaies je fait tout par Shapeshift, puisque jusqu'ici on peut le faire anonymement (ça ne va pas durer, hélas).  Tout le monde ne peut pas faire comme ça, mais comme j'ai ce luxe je peut me permettre d'éviter les exchanges, surtout que je n'ai jamais converti de crypto en fiat, si je dois le faire j'essaierai aussi de faire en direct (local bitcoin, ou plus simplement dépenser mes cryptos, mais je le vois plutôt comme de l'épargne de moyen-terme ou même de secours si je dois fuir la france en slip au cas où les choses tournent mal). 

[Rübezahl]

Bisq est anonyme.

[Rocou]

Il y a 1 heure, Rübezahl a dit :

Bisq est anonyme.

Bisq est imbitable 

[Rübezahl]

Pas facile, c'est vrai.

[Rocou]

il y a 15 minutes, Rübezahl a dit :

Pour le coup, je pense que le F2F n'est pas trop compliqué.

Le logiciel est certainement améliorable sur bien des points, mais faut pas oublier non plus qu'il n'y a pas d'inscription compliquée, pas de flicage etc.

 

 

Oui mais as-tu réussi à l'utiliser?

 

EDIT: Je vois qu'il y a maintenant des videos tuto sur youtube