Металлический кошелек для криптовалюты

Обновлено: 17.09.2024

Криптовалютные кошельки – гораздо более безопасный вариант хранения активов, чем счета бирж. Также они удобны в вопросах управления средствами, так как обычно не взимают собственную комиссию. Пользователю необходимо платить при переводах только сетевую комиссию. Качественный кошелек требует создания сложного пароля, подключения двухфакторной аутентификации (2FA), и гарантирует, что никакое постороннее лицо не сможет получить доступ к активам пользователя.

Преимущества аппаратных кошельков

Аппаратный кошелек не является обязательным требованием для хранения криптовалюты – многие люди годами держат огромные суммы в программных кошельках. Однако в этом случае кража ключей – лишь вопрос времени. Аппаратные кошельки гарантируют намного более высокую степень безопасности по сравнению с приложениями или тем более облачными сервисами.

Устройство защищает от хакеров и вирусов, создавая преграду между закрытыми ключами пользователя и интернетом. Разумеется, предоставляют полный и безоговорочный контроль над закрытыми ключами.

Плюсы аппаратных кошельков:

Защита от вредоносных приложений и хакерских атак.
Максимальный контроль.
Возможность везде носить устройство с собой и быть уверенным в безопасности ключей.
Отсутствие необходимости полагаться на сторонние службы и приложения.

Основной недостаток таких кошельков, из-за чего ими пользуются не все – это стоимость. Также к минусам можно отнести необходимость подключения устройства всякий раз, когда нужно совершить транзакцию. Но высочайшая безопасность перевешивает эти недостатки.

14 лучших аппаратных кошельков на 2022 год

1 Ledger Nano X

Ledger Nano X

Цена: 10 699 рублей
Поддерживаемых криптовалют: 1800+
Совместимость с кошельками: Ledger Live, Electrum, MyCrypto, MyEtherWallet, XRP Toolkit, Electron Cash, Galleon, Tronwallet и пр.
Способ соединения: Bluetooth, USB-C
Вес: 34 г

Кошелек для холодного хранения с поддержкой интегрированной платформы Ledger Live. Ежегодно добавляет в список новые криптоактивы по запросу сообщества. Удобно, что можно подключаться по USB-кабелю к компьютеру и по Bluetooth к телефону. Последняя функция присутствует далеко не во всех криптокошельках. Управляя Ledger Live, пользователь сам решает, какие активы ему нужны, и устанавливает только соответствующее ПО.

2 Trezor Model T

Trezor Model T

Цена: 13 600 рублей
Поддерживаемых криптовалют: 1700+
Совместимость с кошельками: Trezor Suite, Electrum, Exodus, AdaLite, Yoroi, MyCrypto, MyEtherWallet, SimpleStaking и пр.
Способ соединения: коннектор USB-C для телефона или ПК
Вес: 22 г

Компактный аппаратный кошелек, надежно хранящий криптографические ключи, а также пароли; может быть использован также в качестве аппаратного токена U2F (универсальной двухфакторной аутентификации). Модель Trezor T имеет сенсорный дисплей, проста в использовании и настройке. Всего три шага подготовки, и можно пользоваться бумажником.

3 Trezor Model One

Trezor Model One

Относительно недорогой криптокошелек, упрощенная версия предыдущего варианта с урезанным функционалом. Подходит тем, что хочет без ущерба для безопасности обзавестись более дешевые и простым кошельком. К обеим моделям Trezor есть в продаже силиконовые чехлы, чтобы можно было персонализировать внешний вид устройства.

4 Ledger Nano S

Ledger Nano S

Цена: 5499 рублей
Поддерживаемых криптовалют: 1800+
Совместимость с кошельками: Ledger Live, Electrum, MyCrypto, MyEtherWallet, XRP Toolkit, Electron Cash, Galleon, Tronwallet и пр.
Способ соединения: USB-B
Вес: 16,2 г

Ledger Nano S тоже объединяется с приложением Ledger Live для обеспечения безопасности и контроля. Можно не только получать и переводить свои активы, но и инвестировать их для заработка пассивной прибыли. На одной устройство можно установить до трех разных видов программного обеспечения для хранения криптовалют.

5 Safepal S1

Safepal S1

Цена: 3600 рублей
Поддерживаемых криптовалют: 10 000+, а также NFT
Совместимость с кошельками: SafePal App
Способ соединения: сканирование QR-кода при помощи приложения
Вес: 28 г

SafePal – один из самых простых в применении холодных криптокошельков. Чтобы добиться высокой безопасности, он использует такие механизмы, как сид-фраза, двухфакторная аутентификация (2FA), PIN-код, пул для удаления ключей. Устройство оснащено большим экранам, с помощью которого удобно управлять активами и подключаться к приложению.

6 KeepKey

KeepKey

KeepKey – еще одно популярное автономное хранилище для открытых и закрытых ключей, а также резервной фразы. Работает в связке с платформой обмена валют ShapeShift. Программное обеспечение имеет открытый исходный код, размещенный на GitHub. Пользователь может установить PIN-код, чтобы защитить свои средства от несанкционированного доступа.

7 CoolWallet

CoolWallet Pro

Цена: 10 700 рублей
Поддерживаемых криптовалют: 60+, а также любые токены ERC-20, BEP-20, TRC-20
Совместимость с кошельками: CoolBitX
Способ соединения: Bluetooth
Вес: 6 г

Аппаратный кошелек с оригинальным внешним видом – он похож на пластиковую карту, имеет e-ink дисплей для отображения основных данных. Управляется путем подключения по Bluetooth к мобильному устройству. Заряжается с помощью специальной док-станции. За безопасность ключей отвечает чип CC EAL5 + S.E., аналогичная технология используется американскими военными.

8 Ellipal Titan

Ellipal Titan

Цена: 10 000 рублей
Поддерживаемых криптовалют: 10 000+
Совместимость с кошельками: собственный встроенный бумажник
Вес: 6 г

Ellipal Titan отличается от большинства других бумажников поддержкой так называемого «воздушного зазора» (air gap). Это означает, что он полностью изолирован от любых других сетей физически, электромагнитно и электрически. Он не подключается к другим устройствам по USB, Bluetooth, Wi-Fi или сотовой связи, а представляет собой самодостаточный прибор. Оснащен экраном 4’’ для управления активами. Обнаружив принудительное вторжение, Ellipal уничтожит всю информацию (поэтому на всякий случай стоит всегда делать резервную копию ключей).

9 Keystone Pro

Keystone Pro

Цена: 12 100 рублей
Поддерживаемых криптовалют: 9, плюс токены ERC-20 и TRC-20
Совместимость с кошельками: собственный встроенный бумажник
Вес: 115 г (без батареи)

Данный бумажник ранее был известен как Cobo Vault Pro. Массивный и очень надежный, он оснащен массой возможностей для безопасности, начиная от поддержки PSBT Bitcoin multisig и до датчика отпечатков пальцев. Устройство имеет съемные аккумуляторы. Это позволяет избежать коррозии, если прибор редко используется.

10 D’CENT Biometric Wallet

D’CENT Biometric Wallet

Цена: 11 990 рублей
Поддерживаемых криптовалют: 2000+
Совместимость с кошельками: D'CENT Crypto Wallet
Способ соединения: Bluetooth
Вес: 36 г

Удобный кошелек, основная особенность которого заключается в биометрической аутентификации при помощи встроенного сканера отпечатка пальцев. Защита конфиденциальности обеспечивается современной архитектурой Multi-IC. D'CENT предоставляет возможность генерировать закрытый ключ прямо с устройства, не подключаясь к стороннему программному обеспечению.

11 Passport

Кошелек для биткоинов Passport

Цена: 29 990 рублей
Поддерживаемых криптовалют: только Bitcoin
Совместимость с кошельками: собственный встроенный бумажник
Вес: 138 г

Профессиональный аппаратный бумажник с высокой степенью безопасности. Не имеет USB или других соединений, что дает максимальную надежность. Работает от двух батареек AAA. Оснащен довольно большим черно-белым экраном и буквенно-цифровой клавиатурой, а также камерой для сканирования QR-кодов. Программное обеспечение основывается на открытом исходном коде.

12 Coinkite OpenDime

Coinkite OpenDime

Цена: 1900 рублей
Поддерживаемых криптовалют: только Bitcoin
Совместимость с кошельками: любые кошельки, которые могут импортировать закрытый ключ в формате WIF.
Вес: 5 г

Одноразовый биткоин-кошелек, который можно использовать, например, чтобы подарить кому-то криптовалюту. Вывод с устройства возможен только один раз, для этого потребуется его вскрыть. Тогда OpenDime сформирует файл private-key.txt и QR-код. В этот момент пути обратно уже нет. Созданный файл можно импортировать практически в любой биткоин-кошелек.

13 Tangem

Tangem Original

Цена: 1990 рублей
Поддерживаемых криптовалют: Bitcoin, Ethereum, популярные токены ERC-20
Совместимость с кошельками: Tangem App
Способ соединения: NFC
Вес: 1 г

Безопасный аппаратный бумажник в виде карты с поддержкой NFC. Через родное приложение можно проверять баланс, отправлять и получать монеты. Существуют версии кошелька конкретно для Bitcoin, а также других популярных валют. Карты работают на микрочипе EAL6+ SecurCore от Samsung Semiconductor.

14 Coinkite Coldcard

Coinkite Coldcard

Цена: 13 900 рублей
Поддерживаемых криптовалют: только Bitcoin
Совместимость с кошельками: Bitcoin Core, Electrum, Wasabi, BlueWallet и пр.
Способ соединения: -
Вес: 28 г

Бумажник с оригинальным внешним видом, который позволяет управлять биткоином, никогда не подключаясь к компьютеру. Оснащен цифровой клавиатурой и ярким OLED-экраном. Также есть слот для карт micro-SD, чтобы делать резервное копирование данных.

Заключение

Основные факторы выбора лучшего аппаратного кошелька в 2022 году – это, конечно, надежность и репутация производителя. Устройство должно быть не только безопасным, но и долговечным, ведь сломанный кошелек – настоящая трагедия. Также важна простота использования. Некоторые бумажники достаточно сложны в первичной настройке и требуют внимательного изучения документации, и хорошо, если она понятная и подробная. Наконец, почти для любого пользователя важна стоимость оборудования. У всех разные финансовые возможности, кто-то готов отдать больше, а кто-то меньше. Но если вы собираетесь инвестировать в криптовалюту большую сумму, то разумно все же выделить дополнительные средства на обеспечение надежности ее хранения.

Лучшие криптовалютные кошельки на случай апокалипсиса

Мы уже много раз писали про разные кошельки для хранения криптовалют. Сегодня копнём глубже и узнаем, какие кошельки будут в состоянии сохранить монеты даже в чрезвычайных ситуациях. Речь пойдёт о металлических физических кошельках.

Впрочем, если апокалипсис всё же случится, то резонно задаться другим вопросом – будут ли нужны деньги в таком мире. Но это уже другая тема.

Металлические кошельки – это надёжный способ для долговременного хранения биткоинов. Они представляют собой простые металлические пластины, содержащие сид-фразу – строку слов, с помощью которой можно восстановить криптовалюты. Как правило, металлические кошельки используются для создания резервной копии адресов только для хранения, которые никогда не использовались для платежей. Но они могут использоваться и для активных адресов Биткоина.

Большинство металлических кошельков имеют общие базовые свойства: они могут пережить пожар, потоп, экстремальное давление и другие суровые условия. Однако не все металлические кошельки одинаковы. Некоторые предоставляют лучшую защиту от постороннего вмешательства или отличаются большей простотой. С учётом этого вот десять лучших металлических кошельков на сегодняшнем рынке.

Пластина с гравировкой: Crypto Key Stack

Источник: Твиттер Crypto Key Stack

Сложно ошибиться при выборе гравируемых (или штампуемых) металлических пластин, так как у них нет компонентов, которые могут быть уничтожены или утеряны. Crypto Key Stack – один из лучших кошельков в этой категории. Технический директор CasaHODL Джеймсон Лопп протестировал продукт и обнаружил, что его гравировка хорошо читается даже после значительных повреждений. Crypto Key Stack также довольно доступный – всего за 45 долларов вы получите гравировальный резец и металлическую пластину.

Криптовалютные перфокарты: Blockplate и Steelwallet

Перфокарты позволяют использовать совсем иной подход к сохранению сид-фраз. Каждая буква представлена в виде перфорированного отверстия. На первый взгляд, система довольно сложна, однако здесь никак не спутаешь одно слово с другим. Тесты Лоппа показали, что Blockplate и Steelwallet вполне устойчивы к повреждениям. Обе компании за 65 долларов предлагают две пластины на 12 слов, где в общей сложности поместится 24 сид-слова.

Криптовалютный металлический прут: Coldbit Passphrase

Металлические прутья это ещё одна вариация кошельков с гравировками. Coldbit Passphrase – вполне доступный кошелёк данного типа. Один прут стоит примерно 20 долларов, а на него вполне поместятся 24-36 слов. За штамповальный набор от Coldbit придётся доплатить, но подойдёт любой инструмент для штамповки или гравировки. Как показали тесты Лоппа, Coldbit Passphrase очень устойчив к огню и давлению. Однако он отметил, что продукт уязвим перед коррозией.

Лучшая связка ключей: Crypto Keys

Crypto Keys предлагает гравируемый кошелёк с уникальным дизайном: каждая пластина напоминает ключ и может вместить по два слова. Поскольку такой дизайн позволяет эффективно использовать место, продукт кажется вполне доступным. Набор за 28 долларов включает 13 двусторонних ключей, где поместится 24 слова, плюс набор для штампования. Как и большинство других гравируемых металлических пластин, Crypto Keys отлично прошли тестирование.

Crypto Keys стоит искать здесь.

Кошелёк со вставными пластинами: Simbit

Некоторые металлические пластины не гравируемы. Вместо этого они реализованы в виде выдвижного механизма, на котором закрепляются металлические части с буквами и цифрами. Однако такой дизайн не очень хорошо выдерживает тесты. Испытания показали, что буквы выпадают из-за огня и давления. Продукт стоимостью в 110 долларов предлагает достаточно места для фразы-пароля из 24 слов.

Лучший капсульный кошелёк: Quadrat Register

Источник: Quadrat Register

Капсульные кошельки используют стопку пластин, хранящих своё содержимое в чётком порядке. Такой дизайн может быть очень выносливым. Лопп обнаружил, что Quadrat Register более устойчив, чем другие металлические кошельки. К сожалению, Quadrat Register достаточно дорогой – он стоит примерно 330 долларов, плюс ещё 155 долларов за защитную капсулу. Это устройство использует для хранения сид-слов сложную систему точечного кода — а это не особо удобно для пользователей.

Кошелёк с защитой от вскрытия: CypherWheel

Немногие аппаратные кошельки предлагают опции по защите от вскрытия, а те, которые предлагают, обычно используют простые печати и конверты. CypherWheel идёт дальше. Для защиты от вскрытия используется печать с номером безопасности, а само устройство можно закрыть на замок. Внутри CypherWheel использует вставные пластины. Продукт стоимостью в 200 долларов неплохо прошёл тесты Лоппа, хотя он несколько подвержен коррозии.

Заранее изготовленный кошелёк: Bitkee

Некоторые производители печатают детали кошелька непосредственно на своём продукте. Компания Bitkee продаёт по 40 долларов кастомизируемые металлические пластины с гравированными лазером приватными и публичными ключами, QR-кодами и логотипами на ваш выбор. Форма заявки Bitkee также поддерживает шифрованные приватные ключи, так что компания не сможет получить доступ к вашим средствам. Как и большинство металлических пластин, Bitkee обладает высокой устойчивостью к повреждениям.

Физическая Биткоин-монета: Denarium

Физические биткоины хоть и делаются из металла, но не из самого стойкого. Лопп показал, что как минимум один бренд во время тестов стал нечитаемым. Однако монеты Denarium – достойный выбор. Они не претендуют на долговечность, они предоставляют запасной вариант: каждая монета включает внутренний приватный ключ, который продублирован в QR-коде. Denarium также предлагает мультиподписи, не позволяющие компании получить доступ к вашим средствам. Цены стартуют примерно с 26 долларов.

DIY-кошелёк из нержавеющей стали

Можно также просто купить металлическую пластину и самостоятельно её гравировать. Bulletproof Bitcoin советует пользователям «купить на барахолке простую пластину из нержавеющей стали или титана и перфорировать её». Хотя у титана температура плавления немного выше, нержавеющая сталь марки 316L в несколько раз дешевле, так что это хороший бюджетный вариант.

Другие идеи для криптовалютных кошельков

Тестирование металлических кошельков обычно проводится в более экстремальных условиях, чем возможны при реалистичных сценариях. Лопп подвергал металлические кошельки температурам выше 1000 градусов Цельсия, высококоррозионной кислоте и прямому давлению. В реалистичных условиях металлические кошельки могут встретиться с температурой в 600 градусов при пожаре, влажностью и сыростью, а также, возможно, с повреждениями от обломков зданий.

Это значит, что будет не очень мудро фокусироваться на долговечности настолько, чтобы игнорировать угрозы безопасности. Большинство металлических кошельков не могут помешать другим людям получить доступ к вашей криптовалюте. Если потеряете свой кошелёк, следует сразу же перенести средства на новый адрес. Маленькие металлические кошельки потерять очень легко, поэтому неплохо будет иметь ещё одну резервную копию.

Наконец, важна совместимость. Обычно невозможно получить сид-фразу, если ваши средства хранятся на бирже. Вам понадобится вывести средства на программный или аппаратный кошелёк, сгенерировать сид-фразу и затем выгравировать её на металлическом кошельке.

Если вы намереваетесь долговременно хранить значительный запас биткоинов, то вложения в кошелёк, способный пережить апокалипсис, оправданы.

В нашем крипточате скрупулёзных ходлеров вы найдёте ещё много другой полезной информации. Также заглядывайте в Яндекс Дзен.

Аппаратные кошельки для криптовалют: обзор криптокошельков Ledger, Trezor, Safepal, Keepkey, CoolWallet и других

Аппаратный кошелек для криптовалют служит для «холодного» хранения цифровых активов на защищенном физическом устройстве, то есть без постоянного доступа к интернету. Все приватные ключи пользователя хранятся удаленно, в модуле безопасности (HSM), и не перемещаются на какие-либо сервера или вообще в сеть. По размерам устройство обычно не больше USB-флешки или банковской карты, и не занимает много места. Состоит из печатной платы, микроконтроллера, модуля безопасности. Аппаратные кошельки обеспечивают максимальный уровень защиты криптовалютных активов и операций с ними.

По соотношению надежности и удобства использования аппаратные бумажники лидируют среди других вариантов хранения криптовалют.

Безопасность обеспечивается следующими алгоритмами:

Аппаратным модулем безопасности, котором хранятся закрытые ключи;
PIN-кодом для доступа к управлению устройством;
паролем, открывающий доступ к балансу счета;
секретной фразой, позволяющая восстановить пароль в случае его утери.

Средства хранятся в режиме оффлайн до тех пор, пока аппаратный кошелек для криптовалюты не подключен к компьютеру. Но и тогда потребуется ввести пароль для управления балансом, отправки транзакций. Поэтому даже если устройство потерялось или его украли, новый владелец ничего не сможет с ним сделать.

Аппаратные кошельки Ledger

Компания Ledger открыта в 2014 году. Основатели — восемь специалистов в области криптографии и бизнеса. Сегодня количество сотрудников выросло до 300, а офисы расположены в нескольких странах мира.

Купить аппаратный кошелек ledger

Ledger Nano S

Ledger Nano S — один из самых популярных аппаратных кошельков на рынке в 2022 году. Стоимость — 5499 рублей. Поддерживает криптовалюты Bitcoin, Ripple, Эфир, Litecoin, Dogecoin, Komodo, и еще сотни востребованных монет.

Высокая надежность за счет хранения приватных ключей на самом устройстве в зашифрованной форме.
Фирменный интерфейс Ledger Live, облегчающий управление кошельком.
Широкий и регулярно пополняющийся список поддерживаемых валют.
Возможность подключения второй учетной записи со своим паролем и PIN-кодом.
Прочный и компактный корпус.

Проблемы с проведением микротранзакций. Придется или накапливать суммы побольше, или пользоваться сторонними сервисами.
Небольшой объём памяти. Можно установить только несколько блокчейн-сетей.

Ledger Nano S считается оптимальным вариантом для хранения биткоина или других известных валют. Разработчики постарались сделать этот аппаратный кошелек максимально простым и удобным в использовании, при этом без ущерба для безопасности.

Ledger Nano X

Ledger Nano X — холодный аппаратный кошелек, более усовершенствованный, чем предыдущий. В нем можно хранить одновременно больше монет, поддерживается Bluetooth. Стоимость — 13 396 рублей.

Поддерживает криптовалюты Bitcoin, Ethereum, Ripple, Stratis, Bitcoin Cash, прочие популярные монеты и токены.

Возможно сопряжение с мобильным устройством через Bluetooth.
Удобный дизайн.
Поддержка множества криптовалют.
Высокая безопасность.
Увеличенный объём памяти.

В целом можно сказать, что по безопасности хранения криптовалюты аппаратный кошелек Ledger Nano X не превосходит Ledger Nano S. Переплата идет за повышение комфорта использования, и стоит ли оно того — каждый решает сам.

Аппаратные криптовалютные кошельки Trezor

Сравнение кошельков Trezor

Кошельки под маркой Trez or отличаются гибкостью и совместимостью, когда необходимо перейти из автономного режима к обмену криптовалютами . Компания-производитель SatoshiLabs основана в Чехии в 2012 году после того, как у одного из создателей с программного кошелька хакеры украли 3000 BTC. Тогда он решил, что миру необходим более надежный способ хранения криптовалют.

Купить аппаратный кошелек Trezor

Trezor One — устройство, напоминающее гибрид флеш-карты и брелка, оснащенное небольшим ЖК-дисплеем. Поддерживает подключение к ПК или Android. Стоимость — 4570 рублей.

Кошелек позволяет хранить более 1000 наименований криптовалют, в числе которых все самые популярные — Bitcoin, Litecoin, Ethereum, NEM, Zcash, Dash.

Trezor One

Многоуровневая защита доступа.
Возможность подписывания транзакций в режиме оффлайн.
Совместимость с такими платформами, как MyEtherWallet, Myсelium и Electrum.
Стильный внешний вид, компактность.

Случаи проблем, связанных с уязвимостью.
Наличие множества подделок на рынке.

Покупать Trezor One можно только у официальных дилеров, чтобы не получить фальшивый кошелек. Визуально отличия тоже есть, в частности, голограмма на коробке: у подделок она все еще старая, в то время как оригинальные коробки уже дополнены новой версией.

Trezor Model T

Модель Trezor Model T выпущен в 2018 году. Это второе поколение аппаратных кошельков, выпущенных SatoshiLabs. Внешнее отличие заключается в увеличенном сенсорном экране. Добавлен слот для microSD карты. Стоимость — 16 300 рублей.

Устройство поддерживает свыше 1200 криптовалют - больше, чем предшественник.

Высокий уровень безопасности.
Удобный пользовательский интерфейс, цветной экран.
Компактность, легкость (85 г).
Наличие большого количества положительных отзывов, высокие рейтинги.

Высокая цена.
Долгая и платная доставка.
Вероятность попасть на подделку.

По техническим характеристикам Trezor Model T находится в числе лидеров среди всех аппаратных кошельков. Этим и объясняется завышенная цена; со временем она должна снизиться и стать более доступной.

Другие аппаратные кошельки для хранения криптовалют

Кроме флагманов от Ledger и Trezor, на рынке присутствуют менее раскрученные модели, которые не уступают по качеству:

Преимущества и недостатки аппаратных кошельков

Высокая безопасность хранения криптовалюты.
Компактность, возможность носить устройство с собой.
Наличие PIN-кода, биометрии или других способов защиты от несанкционированного доступа.
Возможность извлечь приватные ключи и seed-фразу.
Зачастую есть защита от влаги и повышенных температур.

Требуются затраты на покупку.
Неудобство с отправкой транзакций.

Мнения экспертов

Топовыми моделями аппаратных кошельков на сегодняшний день считаются Ledger Nano X, Ledger Nano S, Trezor Model T. У них оптимальное сочетание цены и качества. Однако если вы держите небольшое количество активов, аппаратный кошелек может не оправдывать инвестиций. Горячие кошельки значительно удобнее. Тем не менее, по мере роста объемов инвестиций, следует подумать о том, чтобы повысить безопасность хранения криптоактивов. Горячие кошельки, к сожалению, подвержены взломам.

Можно ли взломать аппаратный кошелек?

Хотя такие бумажники и хранят ключи автономно, все равно есть несколько рисков:

Фишинг. Маскируясь под техподдержку или сайты известных брендов, мошенники пытаются выведать приватные ключи у пользователей.
Подделки и внесение изменений в устройства. Такое изредка случается в процессе доставки. Всегда проверяйте, подлинное ли ваше устройство, прежде чем начинать его использовать. Инструкции по проверке подлинности обычно приведены на сайтах производителей.
Как это называют на западе, "The $5 Wrench Attack" - иными словами, физический захват устройства и принуждение к раскрытию ключей.

А вот потеря аппаратного криптокошелька - не столь опасный вариант. Вы сможете просто купить другое и, используя свою seed-фразу, восстановить доступ к средствам. Если даже кто-то найдет старый кошелек, то не сможет им воспользоваться из-за установленного на нем пароля или биометрической защиты.

Большинство из них требуют подключаться для этого к собственному либо стороннему приложению. Более безопасные варианты самодостаточны, оснащены экраном и кнопками, чтобы минимизировать соединения с внешней средой.

Это зависит от того, как именно вы используете криптовалюту. В двух основных случаях это рекомендуется: если хранится большой объем криптовалюты или если ее планируется хранить долго, никак не используя.

От 2000 до 30 000, в зависимости от бренда и функционала. Самые дорогие варианты - не всегда самые лучшие, нужно исходить из своих личных потребностей.

Для частого использования криптовалюты, конечно, они менее удобны, чем программные или онлайн-бумажники.

На официальном сайте производителя, если есть доставка в вашу страну. Или через реселлеров с небольшой наценкой, но зато быстрой доставкой.

Заключение

Аппаратные криптокошельки — надежный способ защитить свои криптовалютные сбережения. Надежным считается также бумажный кошелек, но в аппаратном безопасность сопряжена с комфортом использования. Представленный на рынке ассортимент позволяет выбрать модель в соответствии с предпочтениями и финансовыми возможностями. Остерегайтесь подделок - заказывайте только у проверенных поставщиков или напрямую у производителя.

Аппаратные кошельки для Bitcoin

Продолжаем разбираться с различными кошельками для криптовалют. В прошлый раз я немного покопался в программных кошельках, а сегодня расскажу немного об аппаратных. В начале небольшая напоминалка.

Под кошельками в криптовалютах понимают одновременно:

набор ключей для доступа к деньгам;
программы, которые управляют этими ключами и позволяют вам проводить транзакции в сети криптовалюты.

Будем говорить про кошелек именно как про средство управления, хранения и проведения транзакций. Без кошелька вы не можете получить, сохранить или потратить ваши биткоины или средства в другой криптовалюте. Кошелек — ваш персональный интерфейс к сети криптовалюты, похожий на банковский аккаунт для фиатной валюты.

Итак, аппаратные кошельки. Начнем с определения. Аппаратные кошельки — это физические устройства, созданные с целью безопасного хранения криптовалюты. Некоторые программные и online-кошельки поддерживают хранение средств на аппаратных кошельках.

Прежде чем приступать к сравнению конкретных моделей аппаратных кошельков, давайте посмотрим, что умеет большинство таких кошельков, и подробнее остановимся на особенностях каждого из них.

Сферический аппаратный кошелек

Итак, любой аппаратный кошелек (из рассматриваемых):

Генерирует и хранит внутри устройства неизвлекаемый закрытый ключ кошелька.
Все операции, необходимые для проведения транзакции, производятся внутри устройства. Из устройства выдается лишь результат – электронная подпись транзакции.
Имеет экран для отображения различный информации.
Имеет одну или несколько физических кнопок для взаимодействия с устройством.
При переводе средств с кошелька отображает на экране информацию о транзакции.
Требует ручного подтверждения операций с помощью физической кнопки на устройстве.
Позволяет создать резервную копию ключей на случай если устройство сломается или будет утеряно.
Требует установки дополнительного ПО от производителя аппаратного кошелька.
Поддерживается на всех современных версиях Windows, Linux, MacOS.
Поддерживается на Android.
Не позволяет устанавливать какое-то дополнительное ПО внутрь самого кошелька.
Для работы требуется знание специального PIN-кода (или даже нескольких PIN-кодов).
Стоит денег, в отличии от большинства остальных кошельков.
Поддерживают не все возможные криптовалюты, а только наиболее популярные.

Основные отличия

Чуть подробнее остановимся на угрозах, от которых вас защищает использование аппаратных кошельков, в отличии от других видов кошельков.

От Online-кошельков

Так как в случае online-кошельков ваши закрытые ключи хранятся на удаленных серверах, то вы неизбежно подвергаете себя рискам утери средств в следующих ситуациях:

Компьютер был взломан, что привело к краже пароля от online-кошелька.
Сервер, на котором был развернут online-кошелек, был взломан и средства всех пользователей кошелька были украдены.
Компания-создатель web-кошелька обанкротилась.
ФБР конфисковала серверы, а в итоге и средства пользователей.
Владельцы компании разработчика online-кошелька похитили средства пользователей и скрылись.
Программная ошибка в коде online-кошелька привела к потере средств.
Злоумышленник украл мобильный телефон, на котором была открыта сессия по работе с онлайн кошельком, что привело к потере средств.

От программных кошельков на компьютере

Взлом или заражение компьютера вирусом приведет к краже закрытого ключа вашего кошелька.
Компьютер обладает в 1000 раз большей поверхностью атаки, по сравнению с аппаратным кошельком.

От мобильных кошельков на смартфоне

Такие кошельки для смартфонов можно разделить на 2 группы:

Интерфейсы к online-кошелькам. В этом случае они подвержены все тем же рискам, которым подвержены online-кошельки (см. выше).
Полноценные мобильные приложения. В этом случае ситуация очень похожа на программные кошельки на компьютере. Повсеместное распространение смартфонов и планшетов привело к бурному развитию вирусов для этих устройств. А значит ваши средства уже не в безопасности.

От USB-флешки

Очевидно, что флешки никогда не создавались как средство безопасности, но не все это понимают.

Прочитать или скопировать закрытые ключи с флешки может любое ПО.
Вредоносное ПО может подменить адреса получателя в транзакции.
Кража или утеря такой флешки может привести к полной потере средств.

От зашифрованного кошелька

Даже если вы будете использовать сложный пароль для шифрования кошелька, вы не сможете защитить закрытые ключи от компрометации. Вирусное ПО просто будет пытаться получить ваш пароль, а уже используя пароль, получить доступ к кошельку. Или же просто будет ждать, пока вы сами не введете пароль и не разблокируете доступ к закрытым ключам. Не говоря уже о возможности просто скопировать файл кошелька и затем перебирать кодовую фразу по словарям.

От хранения ключей на бумаге

На самом деле правильное хранение закрытого ключа на бумажке является достаточно безопасным. Вот только очень неудобным. Плюс для работы с таким кошельком, вам все равно придется ввести свой закрытый ключ в один из вышеописанных кошельков. И после этого спать спокойно уже не получится.

Риски и потенциальные уязвимости аппаратных кошельков

На сегодняшний момент не было ни одного подтвержденного случая кражи криптовалюты с аппаратного кошелька. Несмотря на то, что появились они не так давно, они уже отлично зарекомендовали себя.

Однако, стоит понимать, что аппаратные кошельки не являются серебряной пулей по защите ваших средств в криптовалюте. Есть несколько рисков безопасности, которым подвержены все или некоторые кошельки. Эти риски необходимо учитывать, когда вы будете принимать решение, какой аппаратный кошелек приобрести и сколько криптовалюты можно на нем хранить.

Подмена адреса получателя в транзакции. Аппаратный кошелек не защитит вас от посылки вашей криптовалюты по поддельнному адресу. Например, вредоносное ПО на вашем компьютере может мониторить транзакции с большим количеством криптовалюты, а затем подменять адрес получателя на адрес кошелька, который принадлежит злоумышленнику. Если ставки высоки, то вам необходимо использовать многофакторное подтверждение адреса получателя – например, по телефону.
Плохой ДСЧ. Аппаратные кошельки полагаются на безопасность ДСЧ, который находится внутри устройства и используется при безопасной генерации вашего закрытого ключа. К сожалению, проверка ключа на случайность не самая простая задача. Уязвимый ДСЧ может создавать такие ключи кошелька, которые могут быть воссозданы атакующим, генерируя псевдослучайное число, которые похоже на случайное.
Ошибки реализации. Безопасность всех компьютерных систем, как программных, так и аппаратных базируется на качестве их реализации. Аппаратные кошельки не являются исключением. Ошибки в программном обеспечении, прошивке или на аппаратном уровне могут позволить атакующему получить доступ к внутренним структурам аппаратного кошелька, а затем и к вашим секретам. Даже если устройство изначально было спроектировано верно, доказать безопасность реализации в конкретном устройстве очень сложно.
Скомпрометированный процесс производства. Даже идеальная программная и аппаратная реализация уязвима к намеренному или ненамеренному внедрению в процесс производства. Различные закладки могут быть внедрены в устройство как случайно, так и под давлением различных спецслужб.
Скомпрометированный процесс доставки. Еще проще внедриться в процесс доставки и удалить или модифицировать часть защиты устройства таким образом, что это будет незаметно для пользователя. Известно, что различные государственные программы включают в себя, в том числе перехват и модификацию различных аппаратных средств с целью внедрения бекдоров.

Суммируем

Несмотря на то, что аппаратные кошельки не защитят вас от всех возможных угроз, выбор аппаратного кошелька от доверенного, технически компетентного производителя с хорошей репутацией, позволит вам защититься от гораздо большего количества угроз, чем при использовании программных кошельков.

Идеальным решением для долгосрочного хранения может стать решение на базе открытого программного обеспечения, которое использует аппаратную платформу общего пользования (например, raspberry pi), а также использование доверенного источника энтропии (такого, как обычный кубик).

Впрочем, производители аппаратных кошельков знают про эти риски и потенциальные уязвимости и пытаются предложить различные решения. Я решил сделать небольшой обзор самых популярных и интересных аппаратных кошельков, чтобы вы сами могли сделать выводы о их безопасности.

Trezor

Устройство было представлено в 2014 году.

Итак, что нам может предложить Trezor:

Что приятно, производитель дает вам весьма разумные рекомендации по безопасному хранению этой парольной фразы.

Цена вопроса — $99

Основной недостаток – поддерживает меньше криптовалют, чем ledger.

Ledger Nano S

Поддерживает Ark, Bitcoin, Bitcoin Cash, Dash, Dogecoin, Ethereum, Ethereum Classic, Komodo, Litecoin, PoSW, Ripple, Stratis, Zcash, и все ERC20 токены.
Поддерживает U2F, GPG и SSH.
Использует внутри себя 2 микроконтроллера: ST31H320 (защищенный) + STM32F042.

Цена вопроса — 58.00 €

Основной недостаток – качество изготовление самого устройства. Левая кнопка иногда воспринимает одинарное нажатие как двойное.

KEEPKEY

Поддерживает Bitcoin, Litecoin, Dogecoin, Namecoin, Testnet, Ethereum, и Dash.
Основная фишка — 3.12″ OLED дисплей с разрешением 256×64.
Внутри используется STM32F205RGT6.
Это единственный аппаратный кошелек, из рассматриваемых, который позволяет использовать свою прошивку. Из соображений безопасности при использовании сторонней прошивки устройство отображает предупреждение при включении.
Соответствует FIPS PUB 140-2 и FIPS PUB 180-2.
Также, как и Trezor поставляется в специальной упаковке, которую нельзя открыть незаметно.

Цена вопроса — $129.00. Больше чем у конкурентов, но зато экран и правда хорош.

BITLOX

Если предыдущие кошельки были больше похожи на классические токены или устройства класса TrustScreen, то этот подражает смарт-картам.

Поддерживает Bitcoin и с недавнего времени Ethereum.
Содержит внутри себя аккумулятор, который заряжается по Micro USB.
Взаимодействует по Bluetooth LE.
Всего 4 мм в толщину.
Дисплей eink — 2".
Поддерживает несколько PIN-кодов: для подключения устройства, для работы с кошельками, для проведения транзакции.
Датчик случайных чисел был сертифицирован в NIST.
Также имеет специальный PIN, ввод которого приведет к полной очистке устройства.
Имеет сервисы для работы через TOR (BITLOX2twvzwbzpk.onion) или I2P (BITLOX.i2p).

Цена вопроса — $98.00.

digitalbitbox

Еще одно интересное устройство. Хотя оно и не имеет экрана для отображения информации о транзакции, я решил включить его в свой мини-обзор. Уж очень нестандартная идея.

Поддерживает Bitcoin (BTC) и Ethereum (ETH, ETC, and ERC20 tokens). Разработчики уверяют, что работают над расширением этого списка.
Поддерживает U2F.
Вы в любой момент можете извлечь или сделать резервную копию microSD карты.
Поддерживает работу с Tor и Tails OS.
Закрытые ключи хранятся на безопасном чипе, который защищен от физического извлечения данных.
Простой дизайн не вызывает дополнительного внимания.
Верификация платежей и двухфакторная аутентификация на мобильном приложении.
Не требует отображения или ввод слов на экране для восстановления доступа к кошельку. Вы просто вставляете microSD с резервной копией.
Все взаимодействие по протоколу USB зашифровано с помощью AES-256-CBC.
Одна кнопка для работы с устройством.

Взлом

Нельзя не упомянуть и историю со взломом аппаратных кошельков. Josh Datko и Chris Quartier на конференции DEF CON выступили с презентацией, на которой они поделились своими инструментами и методами, которые позволяют взломать некоторые аппаратные кошельки для криптовалюты.

Демонстрировалось применение этих техник к микроконтроллеру STM32F205, который использовался в устройствах от Trezor и Keepkey.

Презентация основывалась на исследовании, выполненном Jochen Hoenicke в 2015 году, в результате которого с помощью осциллографа стоимостью $70 был скомпрометирован закрытый ключ в устройстве от Trezor. Уязвимость была закрыта производителем. Это, однако не исключает возможность появления новых подобных атак как на указанные устройства, так и на устройства других производителей.

Подведем итоги

Аппаратные кошельки не защитят ваши средства от всех возможных угроз, но их правильное использование в большинстве случае защитит ваши средства в криптовалюте, если, конечно, они у вас есть :) По крайней мере они во много раз надежнее, чем программные кошельки. На рынке уже представлено много моделей, так что есть из чего выбрать, в том числе и по цене. Хотя с доставкой в Россию еще придется немного повозиться.

Программные кошельки для Bitcoin и безопасность

Поговорим немного про кошельки в криптовалютах. Под “криптовалютой”, я, в первую очередь, буду иметь ввиду Bitcoin. В других криптовалютах дело обстоит похожим образом и если вас интересуют детали, то можете покопаться самостоятельно.

Ниже будет неглубокий обзор кошельков криптовалют и их безопасности. Чем больше я погружался в эту тему при написании статьи, тем больше удивлялся тому, что в мире происходит так мало взломов и увода средств у пользователей того же Bitcoin. Но обо всем по порядку.

Что такое кошелек в криптовалютах

Разберемся немного с терминологией. Под кошельками в криптовалютах понимают одновременно:

набор ключей для доступа к деньгам;
программы, которые управляют этими ключами и позволяют вам проводить транзакции в сети криптовалюты.

На самом деле безопасность хранения ваших средств в криптовалюте очень сильно зависит от того кошелька, который вы используете. А безопасность самого кошелька во многом основана на безопасности операций с закрытыми ключами.

Все кошельки подразделяются на “горячие” и “холодные”. «Горячим» называют криптовалютный кошелек, средства с которого можно потратить в любое время. «Холодный» кошелек действует совершенно противоположным образом. Он не предназначен для регулярного отправления криптовалюты, но тем не менее, средства на него можно получить в любое время. Самым простым “холодным” кошельком является лист бумаги, на котором записан закрытый ключ от вашего кошелька.

“Горячий” кошелек Bitcoin — это приложение, веб-сайт или устройство, которое управляет вашими закрытыми ключами. Самые популярные — это, конечно, приложения, как мобильные, так и десктопные, а также веб-сайты. Давайте чуть подробнее остановимся на каждом из этих видов и посмотрим, какие угрозы таит использование того или другого кошелька.

Требования к кошелькам

Вот эти требования, а также уровни соответствия этим требованиям.

Контроль за вашими деньгами

Полный контроль. Никто не сможет заморозить ваш счет или потерять ваши деньги. Однако вы должны помнить о том, что ответственность за безопасность и резервное копирование вашего закрытого ключа полностью лежит на вас.
Совместный контроль. Кошелек требует, чтобы каждая транзакция была авторизована как вами, так и третьей стороной. Обычно, вы можете восстановить полный контроль над вашими средствами, используя первоначальную резервную копию или предварительно подписанную транзакцию, отправленную по электронной почте.
Хостинг-контроль. Кошелек дает вам доступ к вашим средствам. Однако он хранит зашифрованную копию вашего закрытого ключа. А значит ваши средства могут быть похищены, если вы не будете использовать надежный пароль или если сервис будет скомпрометирован.
Деньги под контролем третьей стороны. Это означает, что вы должны доверять этому сервису, и надеяться, что он не потеряет ваши средства в результате инцидента на своей стороне. На данный момент, большинство онлайн-кошельков не страхуют депозиты подобно банку, и многие сервисы в прошлом имели проблемы с безопасностью.

Так вот, не знаю, как вам, а мне совсем не нравится последние два уровня контроля. История про надежный пароль звучит вообще очень плохо. И дело тут даже не в том, что у пользователей большие проблемы с созданием, вводом и запоминанием по-настоящему надёжных паролей, а в том, что key-логгеры никуда не делись.

А уж если быть совсем реалистами, то вряд ли эти предупреждения кто-то читает. А если и читает, то далеко не каждый понимает, насколько здесь много проблем с безопасностью.

Проверка транзакций

Полная. Кошелек является полноценном узлом (full node), который проверяет действительность и проводит операции в сети. При проверке платежей доверие к третьему лицу не требуется. Полноценные узлы обеспечивают наивысший уровень безопасности и важны для защиты сети. Однако им требуется больше дискового пространства (свыше 145 ГБ), пропускной способности и больше времени для первоначальной синхронизации.
Упрощенная или децентрализованная. Кошелек использует случайный сервер из списка серверов. Это значит, что вы должны доверять этим серверам при проверке платежей. Это не так безопасно, как использование кошелька, который является полноценным узлом.
Централизованная. Кошелек по умолчанию полагается на централизованный сервер. А значит, Вы должны на 100% доверять этой третьей стороне в вопросах сокрытия или подделки платежей.

Альтернативные решения имеют явные проблемы с безопасностью. Список серверов, в случае децентрализованной проверки, надо хорошо защищать. А то как бы очередной вирус не оставил в этом списке только один зараженный сервер.

А уж про стопроцентное доверие третьей стороне даже говорить не хочется.

Кстати, сторонники криптовалют любят в этом случае обращать внимание на то, что банковская система устроена похожим образом. Это конечно так. Вот только банки регулируются многочисленными стандартами, а уж если возникла новая проблема/уязвимость, то ваши средства защитит страховка. Поэтому криптовалютным сервисам еще есть куда расти.

Прозрачность

Полная прозрачность. Исходные коды кошелька открыты, а процедура сборки зафиксирована. Любой разработчик в мире может провести аудит кода и убедиться, что исполняемый код не скрывает никаких секретов.
Базовая прозрачность. Разработчики опубликовали исходные коды кошелька. Любой разработчик в мире может провести аудит кода. Однако, вы должны доверять разработчикам, когда устанавливаете или обновляете ПО вашего кошелька.
Удаленное приложение. Кошелек загружается с удаленного сервиса. Значит, когда вы используете кошелек, вы должны доверять разработчикам в вопросах кражи или потери ваших средств в результате инцидента. Использование расширения для браузера или мобильного приложения может снизить эти риски.

Больше всего мне нравится фраза “Любой разработчик в мире может провести аудит кода”. Ага, как же. Во-первых, разработчик должен неплохо знать конкретный язык программирования, на котором написан конкретный кошелек. А это сразу отсекает большой кусок от “любой разработчик в мире”.

Во-вторых, далеко не любой разработчик является одновременно специалистом по информационной безопасности или имеет опыт написания безопасного кода. Приведу банальный пример:

Откройте статьи от разработчиков PVS-studio и вспомните о том, какие ошибки порой совершают разработчики. Причем даже те разработчики, которые хорошо разбираются в вопросах безопасности (например, Скучная статья про проверку OpenSSL).

Поэтому полноценный аудит всего кода кошелька может сделать весьма ограниченное количество разработчиков. Большая часть которых и так имеет кучу интересных задач, помимо этого аудита. Даже если кто-то из них и заинтересуется этой задачей, то выполнена она будет только для определенного коммита в git. А значит, оценить безопасность кода в конкретный момент времени весьма непросто.

Что подразумевают ребята с сайта Bitcoin под фиксированной процедурой сборки точно понять не удалось. Со сборкой есть свои проблемы. Например, как понять, что полученная вами сборка или обновление собраны именно из правильных исходных кодов. Давайте будем реалистами – собирать кошелек из исходных кодов будут единицы. Лучшее, что вы можете сделать, это проверить хэш от свежескачанного инсталлятора с хэшем, который указан на официальном сайте. И надеется, что сайт не был скомпрометирован и там лежит именно корректный хэш, а также доверять разработчикам и сборщикам кошелька, а также администраторам сайта.

Чтобы уж совсем добить вопрос про исходные коды, я решил сам заглянуть в исходники Bitcoin Core, который по всем показателям, которые уже были описаны и тем, которые описаны дальше, занимает лидирующие позиции. Примеры кода и выводы, которые я сделал, бегло просмотрев исходники, смотрите ниже.

Бонус про прозрачность

Так вот, на техническом сайте, на главной странице в новостях, вы найдете предупреждение:

Коммерческий сайт такие глупости не пишет =) Вам же не надо переживать по таким глупым поводам.

Безопасность среды

Двухфакторная аутентификация. Кошелек можно загружать в небезопасной среде. Однако, сервис требует двухфакторной аутентификации. Значит, для кражи ваших средств необходим доступ к нескольким устройствам или аккаунтам.
Безопасная среда. Кошелек работает на мобильном устройстве, где приложения, как правило, изолированы. Это обеспечивает хорошую защиту от вредоносных программ, хотя мобильные устройства имеют больше шансов потеряться или быть украденными. Шифрование мобильного устройства и резервное копирование кошелька может уменьшить этот риск.
Уязвимая среда. Кошелек может быть загружен на компьютеры, которые потенциально уязвимы для вредоносных программ. Если вы увеличите безопасность вашего компьютера, используя сложный пароль, переведете большую часть своих средств в оффлайновое хранилище или активируете двухфакторную авторизацию, то ваши биткоины будет сложнее украсть.

Давайте тут тоже остановимся чуть подробнее.

Использование надежной двухфакторной аутентификации действительно может помочь решить многие проблемы с информационной безопасностью.

Ключевое слово тут “надежной”. А еще и правильно реализованной. А с этим не всегда все хорошо получается. Например, blockchain.info предложит вам старые добрые SMS в качестве второго фактора. Никому же не интересны те же рекомендации NIST в Special Publication 800-63B:

[Out of band verification] using SMS is deprecated, and will no longer be allowed in future releases of this guidance.

На безопасности компьютеров и мобильных устройств останавливаться подробно не будем. Достаточно почитать любой из отчетов Лаборатории Касперского или других серьезных игроков на рынке безопасности, чтобы самостоятельно сделать выводы.

Следующие два пункта не связаны напрямую с безопасностью хранения ваших средств. Поэтому подробно останавливаться на них я не буду, но приведу их тут для полноты картины.

Конфиденциальность

Улучшенная. Кошелек затрудняет слежку за вашими балансами и платежами при помощи ротации используемых адресов. Вам следует использовать новый биткойн-адрес каждый раз, когда вы запрашиваете оплату. Кошелек при получении или отправке платежей не передает информацию о них другим узлам сети. Кошелек позволяет вам настроить и использовать Tor в качестве прокси для того, чтобы не позволить злоумышленникам или интернет-провайдерам связать ваши платежи с вашим IP-адресом.
Базовая. Кошелек затрудняет слежку за вашими балансами и платежами при помощи ротации используемых адресов. Вам следует использовать новый биткойн-адрес каждый раз, когда вы запрашиваете оплату. Кошелек использует центральные серверы, которые способны связать вместе ваши платежи и запомнить ваш IP-адрес. Кошелек позволяет вам настроить и использовать Tor в качестве прокси для того, чтобы не позволить злоумышленникам или интернет-провайдерам связать ваши платежи с вашим IP-адресом.
Слабая. Кошелек позволяет кому угодно следить за вашим балансом и платежами, потому что повторно использует те же адреса. Раскрывает ограниченную информацию другим участникам. Другие узлы сети могут запомнить ваш IP-адрес и впоследствии связать все платежи, которые вы получали или отправляли. Tor не поддерживается.

Комиссия

Полный контроль над комиссией. Кошелек позволит вам изменить комиссию после отправки средств с использование RBF или CPFP. Этот кошелек также дает рекомендации по комиссии в зависимости от текущего состояния сети для проведения транзакции вовремя и без переплат.
Динамические комиссии. Кошелек дает рекомендации по комиссии в зависимости от текущего состояния сети, которые вы можете переопределить. Это значит, что кошелек поможет вам в выборе подходящей комиссии для проведения транзакции вовремя без переплаты, но в то же время дает полный контроль для установки комиссии, если вы захотите.
Статические комиссии. Кошелек не дает никаких предложений по комиссии, учитывая текущее состояние сети. Это означает, что ваши транзакции могут занимать большее количество времени, если выбрана слишком низкая комиссия, либо вы можете заплатить слишком высокую комиссию.

Подведем итоги

Все предъявляемые требования звучат очень разумно. Более того, этот список можно было бы еще расширить, чтобы повысить уровень безопасности.

В лучшем случае, вы можете выбрать Bitcoin Core или Bitcoin Knots, для которых будет такая картина:

Или будете использовать Electrum, для которого такая картина:

Использование зеленого создает ложное впечатление полного удовлетворения требованиям. Полное соответствие —жирный зеленый цвет. Такое оформление было явно выбрано умышленно, а значит, создатели портала решили слегка поманипулировать обычным пользователем. Не хорошо это.

На этом можно было бы уже и закончить. Думаю, все уже представили насколько безопасно хранятся закрытые ключи в кошельках криптовалют. Но мы же на Хабре.

Работа с закрытыми ключами на примере Bitcoin Core

Пойдем чуть дальше и посмотрим, как происходит хранение и работа с закрытыми ключами на примере программных клиентов. Как мы уже выяснили, вредоносное ПО может получить доступ к закрытым ключам вашего кошелька. Вопрос в том, насколько легко или тяжело это сделать на самом деле.

Первым делом посмотрим, как это делает Bitcoin Core. Этот процесс неплохо описан в wiki самого Bitcoin. Как вы видели на скрине выше, этот клиент отмечен как один из самых продвинутых и удовлетворяющих большинству требований.

Закрытые ключи вашего кошелька хранятся вместе с другой информацией, в файле wallet.dat в формате “bitkeys”. Этот файл может быть зашифрован, а может и не быть =) По умолчанию, конечно, ничего не шифруется. Вы же грамотный пользователь и сами найдете нужную кнопку. Шифруется только информация о закрытых ключах с помощью алгоритма AES-256-CBC. При этом в качестве ключа шифрования используется так называемый мастер ключ – случайное число. При это сам мастер ключ шифруется на ключе, полученном из кодовой фразы с помощью SHA-512 и функции OpenSSL — EVP_BytesToKey. Количество раундов шифрования определяется скоростью компьютера, на которой происходит первоначальное шифрование.

После того ваш кошелек используется клиентом в обычном режиме. Это состояние называется “locked”. Если в какой-то момент, вам необходимо получить доступ к закрытым ключам кошелька, то вам необходимо ввести кодовую фразу в GUI клиента или воспользоваться командой walletpassphrase в RPC. В этом случае произойдет расшифрование закрытых ключей, и кошелек перейдет в состояние “unlocked”. В первом случае он будет находится в этом состоянии ровно столько, сколько необходимо для осуществления той или иной операции. Во втором случае, время через которое кошелек вернется в состояние locked определяется вторым параметром в RPC запросе!

Код выглядит так:

Это выглядит очень мило. Обычный пользователь кошелька вряд ли запустит у себя сервер, если только не промахнется файлом. А вот злоумышленник…

С GUI и хранением той же passphrase в памяти тоже все не очень просто. Ребята реализовали специальный класс для хранения подобных данных – SecureString. Реализовали в общем-то неплохо, грабли с использованием memset успешно обошли. Но вот держат его в памяти дольше, чем следовало бы.

Например, так делает наш GUI (слегка подправил для наглядности, любопытным смотреть askpassphrasedialog.cpp:154):

В начале сделаем accept(), а только потом наш oldpass выйдет из области видимости и произойдет очистка. Понятно, что более безопасный код получится не такой красивый, как менее безопасный. Но мы же тут вроде с деньгами работаем?

На мой взгляд, это отлично подтверждает мое опасение на тему открытости исходников кошелька. Открытость исходных кодов не равно безопасность.

Постараюсь предвидеть первые комментарии и сразу ответить на них:

Да, вы можете составить некоторый набор правил пользования криптокошельком, которые позволят значительно повысить уровень безопасности ваших средств. Удобство использования при этом конечно сильно пострадает.
Да, есть клиенты, которые значительно безопаснее остальных. Проблема в том, что остальные также существуют и рекомендуются официальным сайтом.

Я ничего не имею против криптовалют или технологии блокчейн. Наоборот, я всеми руками ЗА (это мое личное мнение, которое не в коей мере не является официальной позицией компании, в блоге которой размещена статья). Но раз уж мы начинаем работать с новой технологией, то надо делать это технически грамотно и не забывать об информационной безопасности.

Читайте также: