Vergleich von unsignierten und signierten Codes zur Ableitung des privaten Schlüssels
- Dieses Thema hat 2 Antworten und 2 Teilnehmer, und wurde zuletzt aktualisiert vor 2 Jahren, 5 Monaten von
.
-
Beiträge
-
-
Die App erzeugt einen unsignierten QR-Code. Ellipal Titan gibt den signierten QR-Code an die App zurück, damit diese die Transaktion durchführen kann. Kann die App theoretisch die beiden vergleichen und den privaten Schlüssel ableiten?
Ich frage mich nur, was im schlimmsten Fall passiert, wenn die Ellipal-App versehentlich oder absichtlich kompromittiert wird.
-
Das kann es nicht. Der private Schlüssel verlässt nie das Titan-Gerät, sondern signiert nur die Transaktion mit dem QR-Code, wie Sie erwähnt haben.
Es gibt keine Möglichkeit, durch Reverse Engineering den privaten Schlüssel zu ermitteln. Darüber hinaus stellt Ellipal den QR-Code-Teil des Programms als Open Source zur Verfügung, so dass dies theoretisch überprüft werden könnte, wenn Sie ein Programmierer wären usw.
Wenn Sie den Titan mit einem guten Passwort versehen, könnten Sie sogar Ihr Telefon mit der App und das Titan-Gerät verlieren und wären immer noch sicher (solange Sie Ihre Mnemonics woanders gespeichert haben, um sie wiederherzustellen)
-
Ich fände es toll, wenn sie den Code zum Beispiel auf GitHub veröffentlichen würden, wie es crypto.com mit seiner Desktop-App macht.
Ich vermute, dass es ein Sicherheitsrisiko ist, aber die Einbeziehung eines Hashes der Originaldatei würde dieses Risiko eliminieren. Natürlich würde die Last auf die Benutzer fallen, die vielleicht nicht einmal wissen, was der Hash ist
-
- Du musst angemeldet sein, um auf dieses Thema antworten zu können.
