新しいウォレットを作成するときに、パスワードまたはバックアップ情報が共有されていないことを確認するにはどうすればよいですか？

Question

新しいウォレットを作成するときに、パスワードまたはバックアップ情報が共有されていないことを確認するにはどうすればよいですか？

- 7
- 746 2019-02-21
いくつかのサービスでは、新しいtezosウォレット/アカウント/キー(tz1...)を作成できます.たとえば、ガレオンウォレットについて考えてみます.パスワードを入力すると、新しいウォレットが作成されます:

次に、バックアップを作成し、必要に応じてアカウントへのアクセスを回復するために使用される12語のセットを選択する必要があります.私の質問は、上記の個人情報が誰とも共有されていないことをどうやって知るのですか?これはどういうわけかプログラムのソースコードに見られると思います.しかし、一部はオープンソースではありません.たとえば、 kukai は、ウォレットを作成するWebサービスです.このようなウォレットの作成が安全であることをどうやって知ることができますか?確かに、これらのサービスとブロックチェーンの間には、ある種の「公式」通信が必要です.そのようなセキュリティを保証するプロトコルはありますか、それともこれらのウォレット作成サービスとブロックチェーンの相互作用からレイヤーが完全に切り離されていますか?

Several services offer to create a new tezos wallet/account/key (tz1...). For example, consider Galleon Wallet. By entering a password, it produces a new wallet:

You then need to choose a set of 12 words, which are used to make a backup and to recover access to the account in case it is needed. My question is, how do I know the private information above is not being shared with anyone? I imagine this can somehow be seen in the source code of the program. But some are not open source. For instance, kukai is a web service that creates wallets. How can we know such creation of wallets is secure? Surely there must be some sort of "official" communication between these services and the blockchain. Is there some protocol that ensures such security, or is that a layer altogether detached from the interaction of these wallet creation services with the blockchain?

security wallets

2 回答

投票

lefessan · Answer 1 · 2019-02-21

6

2019-02-21

キーがサーバー上で生成されている場合、それを知る方法はありません.

キーがブラウザでローカルに生成されている場合は、ネットワークを監視して、ウォレットがサーバーに送信する内容を確認することができます.ただし、キーを送信する前にランダムな時間を待つ、通信を暗号化する、キーを生成するときにランダム性を制限して後で推測できるようにするなど、キーを取得する他の方法が見つかる可能性があります.

信頼できる唯一の方法は、元帳やトレゾールなどの外部デバイスを使用することだと思います.キーを生成してデバイス内にキーを設定するため、ウォレットがキーにアクセスすることはなく、デバイスを使用するのは署名操作.

こんにちは.元帳を入手し、それを使用してウォレットを作成しようとしていますが、そのためにはすべてソフトウェアが必要なようです(たとえば、[こちら](https://medium.com/cryptium/how-to-store-your-tezos-xtz-in-your-ledger-nano-s-and-delegate-with-magnum-wallet-3871dc4bd3b7)).たぶん私は鍵と財布を混同しています.ここでのあなたの言い回しは私を困惑させます:「元帳やトレゾールなどの外部デバイスは、キーを生成し、デバイス内でキーを押します.そのため、ウォレットはキーにアクセスせず、デバイスを使用して操作に署名するだけです.」ソフトウェア経由でのみウォレットを作成できる場合、ハードウェアはどのように安全ですか?取得しないでください.

Hi there. I got my Ledger and I'm trying to create a wallet with it, but it seems all requires software to do so (e.g. see [here](https://medium.com/cryptium/how-to-store-your-tezos-xtz-in-your-ledger-nano-s-and-delegate-with-magnum-wallet-3871dc4bd3b7)). Maybe I'm confusing a key with a wallet. Your phrase here puzzles me: "an external device, such as a Ledger or Trezor, it will generate the key and key it inside the device, so that the wallet will never access the key, only use the device to sign operations.". How is the hardware safer if I can only create wallets via software? Don't get it.
- 0
- 2019-03-17
- luchonacho

cousinit · Answer 2 · 2019-02-21

5

2019-02-21

実行することを選択したウォレットソフトウェアには、自分自身を適切に保護するために十分に認識しておく必要のあるリスクが伴います.

他の誰かが書いたコードを実行しているのがウェブ、デスクトップ、モバイルのいずれのアプリであっても、リスクを軽減する最善の方法は、オープンソースで検証済みのソフトウェアを使用していることを確認することです.評判の良い開発者から来たコミュニティ.
次に、実行しているコードが実際に開発者からのものであり、他の場所から誤ってダウンロードしていないことを確認するための手順を実行する必要があります.これは主に、URLを再確認し、できれば既知の適切なサイトへのブックマークを作成することで、フィッシングリンクを回避することを意味します.
コンピューターをマルウェアから保護します.システムが感染している場合は、実行しているソフトウェアは関係ありません.

最後に、身を守る最善の方法は、ハードウェアウォレットデバイスを使用することです.このようにして、キーがハードウェアデバイスから離れることはありません.これは、コンピューターがマルウェアに感染していないことが確実でない場合に特に重要です.各ステップですべての入力検証を再確認するように注意している限り、ハードウェアウォレットはあなたを保護し続けます.

うーん、でもソフトウェアを使ってウォレットを作成しているのなら、手遅れかもしれません.その場合、ハードウェアから新しいものを作成してから、すべての資金をそのウォレットに送金する方がよいでしょうか?

Mmm, but if you already created a wallet using software, it might be too late. In that case, would it be better to create a new one from hardware and then transfer all funds to that wallet?
- 0
- 2019-02-21
- luchonacho
全体として、ソフトウェアウォレットの深刻な欠陥のようです.正直なところ、誰もそれらを使用するべきではなく、おそらく公式のブロックチェーン財団によって承認または提案されるべきではありません.

Overall, seems to be a deep flaw of software wallets. Honestly, no one should use them, and should probably not been endorser or suggested by the official blockchain foundation.
- 0
- 2019-02-21
- luchonacho
ソフトウェアウォレットはどの暗号エコシステムでも非常に重要な役割を果たしますが、人々はリスクについて学ぶ必要があります.セキュリティが心配な場合、特にシステムをマルウェアから保護することに自信がない場合は、ハードウェアウォレットデバイスを入手して、重要な資金をそこに移すことをお勧めします.

Software wallets play a very important role in any crypto ecosystem, but people need to learn about the risks. If you are concerned about security and especially if you aren't confident about keeping your system safe from malware, the best recommendation is to get a hardware wallet device and transfer your important funds into it.
- 0
- 2019-02-21
- cousinit
実際、Galleonは[しません](https://github.com/Cryptonomic/Deployments/wiki/Galleon:-FAQ)ソースコードを公開しています！

Actually, Galleon [does not](https://github.com/Cryptonomic/Deployments/wiki/Galleon:-FAQ) publish the source code!
- 0
- 2019-02-21
- luchonacho
暗号通貨の信頼性は、一般的なユーザーが主にやり取りするウォレットのセキュリティに大きく依存します.Tezos Foundationのような組織にとっては、単にいくつかをリストして「私たちはそれらを推奨しない」と述べるのではなく、既存のウォレットが可能な限り安全であることを確認することが主な関心事であるはずです.実際には、それが彼らがしていることです.良くない.

The credibility of a cryptocurrency depends heavily on the security of wallets, as that is what common users interact mostly with. It should be of primary concern for organisations like the Tezos foundation to make sure existing wallets are as safe as possible, rather than merely listing some and stating "we don't endorse them". In practice, that's what they are doing. Not good.
- 0
- 2019-02-21
- luchonacho
最も一般的な攻撃は、人々が間違ったソフトウェアを実行するように導くフィッシングリンクです.Galleonは、評判の良い製品としてコミュニティによって精査されていますが、フィッシングやバックエンドのハイジャックからの保護を保証するものではありません.私が説明したように、ハードウェアデバイスを使用することで保護を大幅に向上させることができます.価値の高い金額の場合、それは本当に必須です.暗号の世界では、ユーザーは個人的な責任を負うことが期待されています.ソフトウェアウォレットは多くのユースケースで必要ですが、リスクが伴います.

The most common attack are phishing links which lead people to running the wrong software. Galleon has been vetted by community as a reputable product, yet that does not guarantee you protection from phishing and backend hijacking. As I have explained you can significantly improve your protection by using a hardware device. For large value amounts it really is a must, in the crypto world users are expected to take personal responsibility. Software wallets are needed for many use cases, but they come with risks.
- 1
- 2019-02-21
- cousinit