Home Foren Trezor Wallet Kann Trezor die Echtheit der Hardware mit seiner Software überprüfen?

Ansicht von 2 Antwort-Themen
  • Autor
    Beiträge
    • #180298
      root_s2yse8vt
      Administrator
      Up
      0
      Down
      ::

      Der Bootloader von Trezor prüft die Echtheit der Firmware. Das ist ein Teil von zwei.

      Kann er auch die Echtheit der Hardware überprüfen?

      Ich glaube, wenn die Hardware geändert wird, kann ein Unterschied auf der Softwareseite gemessen und erkannt werden.

      Stimmt das? Kann Trezor das erkennen?

      Hauptsächlich geht es mir um den RNG-Generator. Kann der RNG-Generator sogar von der Hardware her modifiziert werden? Und dann immer einen Seed generieren, der zu einem späteren Zeitpunkt vom Hacker geleert werden kann?

      Wohlgemerkt, ich vertraue auf den Herstellungsprozess der trezor, ich war nur aus Neugierde interessiert. Mein trezor war ordnungsgemäß versiegelt.

      Viele Fragen, aber ich denke, sie sind wichtig.

      Ich danke Ihnen!

    • #180299
      User
      Gast
      Up
      0
      Down
      ::

      there’s a (very geeky) way around this:

      using the command-line `trezorctl` tool, you can both (a) see the entropy that is sent from your PC, and (b) tell Trezor to display the entropy it’s using internally.

      You can combine these two pieces of data in a script and generate a seed on your PC. Then you can verify that it’s the same seed that Trezor gave you. If it is, and if it generates the right addresses (as verified with iancoleman website), then you’re sure that the entropy sent from your PC is being used.

      So even if the entropy from the built-in RNG was bad, the attacker doesn’t know the PC part and so still can’t get at your seed.

      Do this process several times in a row to be sure, then wipe one last time and set up a new seed for real.

      To answer the original question: there is no hardware authenticity check. Trezors are built from off-the-shelf parts, so “authentic hardware” means very little when anyone can throw together the same parts in the same way.

      With regard to a subverted RNG in particular, a cleverly designed evil RNG basically can’t be detected by any software check.

    • #180300
      User
      Gast
      Up
      0
      Down
      ::

      Imo checking the authenticity of the hardware from the firmware side would be hard, if someone develops a replica lookalike Trezor, they would most likely be able to replace any checks in the firmware (or develop a custom firmware).

      If you ordered directly from the Trezor shop and the holographic seal was fine, you are probably good to go (do further research if you have any doubts).

      For the RNG generator, it appears that they take a random number from the Trezor device, as well as from your connected computer to derive the seed. (source: [https://wiki.trezor.io/Recovery_seed](https://wiki.trezor.io/Recovery_seed) )

Ansicht von 2 Antwort-Themen
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.