分类
Uncategorized

Trezor+Coldcard的multisig审计方案是否可行?

我的计划是在coldcard和trezor之间建立一个多西格。我想审计和验证,我确实拥有这些钱包的2个键,使用一个树莓皮零(没有wifi/蓝牙的定义)在一个非常旧的HDMI电视没有互联网,并使用一个虚拟键盘和简单的鼠标皮零。
以下是我想减轻的可能风险:
钱包可能有一个恶意的随机数发生器。
钱包可以为不是我的钥匙生成地址
为了消除trezor生成一个我不拥有的私钥的风险,我将把它的密钥放在raspberry pi zero上,看看它生成的主pubkey是否与trezor中显示的相同。这证明我拥有这把钥匙,但它可能是别人已经拥有的一个木桶。没问题,这就是我为什么要做多重西格。
在coldcard上,我将使用骰子生成一个种子,然后在raspberry pi上验证那些骰子卷是否确实生成了coldcard显示的私钥。这证明我拥有一个没有人拥有的私钥,因为它是用骰子生成的。
现在我有了两个私钥,其中至少有一个我是唯一的所有者,我可以在Electrum上创建一个multisig钱包或者BlueWallet。我将对软件钱包生成的前10个地址进行注释,并验证它们在coldcard和trezor上是否匹配。如果这3个地址显示的是相同的10组地址,我可以认为这些地址对于接收比特币是安全的。
然后我会在一个地址上收到一些比特币,擦除两个钱包,用私钥恢复它们,然后试着花掉这个比特币,只是为了确保我真的拥有这些比特币。
我可能会遇到什么问题?我忘了什么重要的事吗?
PS:我知道,如果trezor有一个恶意的随机数生成器,它创建了一个私钥,不仅是我自己的,这是一个隐私泄露,但不是一个问题。只有当我从这个地址消费,泄露区块链上的公钥时,这才是隐私泄露。
我还计划只使用Coldcard上的PBST空气间隙事务,以及一台受信任的计算机来广播。
多重签名
硬件钱包
特雷佐
冷纸板
分享
改进这个问题
跟随
4月12日10:13编辑
普拉扬克
370411金徽章66银徽章1818铜徽章
4月12日1:36问
加托尼托
1122枚青铜徽章
我根据我的假设编辑了一件事。如果不正确,可以回滚普拉扬克4月12日10:14
添加评论
1个答案

他的钱包可能有一个恶意的随机数发生器。
恶意有几种方式。通常,当随机数生成器以某种方式可预测时,它们被认为是恶意的,因此,如果您使用它们,其他人可以猜测您的“随机数”。
但这似乎不是你的计划所能保护你的。
你用你的程序验证的是,你的硬件钱包没有给你一个不同的种子(当你做初始设置或要求导出它时),从一个它用来生成私钥和相关地址,它使用当你与他接收或发送资金。从这个意义上说,种子(在高清钱包中派生出私钥和公钥)将不是你的,而只属于你的硬件钱包:你可以使用设备接收和发送种子,但是如果你将种子导入其他地方,就没有相关的资金,因为它与Trezor使用的不同。
然而,我从来没有听说过这样的问题在任何硬件钱包。
钱包可以为不是我的钥匙生成地址
这对我来说没有意义,公共地址是从私钥派生出来的,所以钱包需要有私钥才能生成地址。。。我不明白你的意思。
此外,您无法验证您是否是种子或私钥的唯一所有者,您所能做的最多就是确保不会泄漏,但如果有人设法复制、预测或随机生成它,您将无法注意到,直到钱消失。
所以,综合考虑,我认为你可以避免验证你的钱包给你的种子,因为这实际上没有增加任何安全性,你已经使用多西格地址与2个硬件钱包评估为Trezor和Coldwallet,这已经被严格审查,你可以看到这里的例子。
PS:我知道,如果trezor有一个恶意的随机数生成器,它创建了一个私钥,不仅是我自己的,这是一个隐私泄露,但不是一个问题。只有当我从这个地址消费,泄露区块链上的公钥时,这才是隐私泄露。
我不知道Trezor rng有什么问题(你对此有什么参考吗?),但是如果你的私钥泄露了,你几乎会失去你的资金,没有必要等你花,正如前面所说的,公钥和地址来自私钥,所以如果你有这个你不需要任何其他东西
分享

是的,但在冷卡我会产生我的种子用骰子,所以我可以确定它是我的。我将在树莓中验证骰子确实产生了那个种子——加托尼托4月20日20:52
私钥怎么不能是你的?如果钱包可以生成地址,它必须有自己的私钥。。。在我看来,你有一些误解,你能提供你试图阻止的威胁的任何链接吗leevancleef 4月20日21:19
我认为这个问题假设硬件钱包中运行的固件可以主动尝试显示与私钥相关的地址不同的地址sanket1729 4月20日21:23
所以,如果你有两个钱包,为同一个种子生成不同的地址,你怎么知道哪一个是正确的?如果你不信任自己的钱包,又看不懂密码,那么就很难就哪个地址是正确的达成共识leevancleef 4月20日21:50
因为硬件钱包在它自己的显示器上显示地址是为了避免外部软件上的地址篡改,但是你至少需要信任你的硬件固件,而且要做到这一点,你会得到源代码和它的标志leevancleef 4月20日21:50
再显示2条评论

时光素材-香车美女  (1364)blockchainBTC比特币区块链www.qkl91.com

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注