Private-Key
使用專用手機作為“硬體錢包”
將專用的 Android 手機用作“硬體錢包”有什麼不安全的地方嗎?
專用電話意味著:
- 沒有間隙的干淨 ROM,例如 GrapheneOS、沒有 root 的 Lineage OS 等
- 啟用全電話加密
- 除了 Mycelium、Breadwallet、GreenBits、Samurai 等錢包應用程序外,沒有安裝其他應用程序。
我意識到大多數 Android 手機(還沒有)像 trezor 或 ledger 設備這樣的安全元素,並且系統應用程序可能具有無限的權限,但是在這種情況下需要注意的主要問題或特定攻擊媒介是什麼?設置與專用硬體錢包相比?
我的理解是,如果攻擊者沒有密碼或密碼,那麼對 trezor 或分類帳的物理訪問是無用的,並且這些設備的建構方式使得私鑰的硬體提取變得不可能或在經濟上不可行。
具有完整手機加密功能的 Android 設備是否可以實現同等級別的安全性?
此外,在軟體 Android 錢包中設置密碼是否意味著私鑰實際上將被加密,還是僅用於打開 UI 的密碼?
關於哪些錢包應用程序以某種方式保護密鑰的任何數據,如果沒有 PIN 碼/指紋就無法提取它們?
資源
- <https://forum.xda-developers.com/t/guide-tweaks-android-security-hardening.1954513/>
- <https://www.reddit.com/r/GrapheneOS/comments/bddq5u/os_security_ios_vs_grapheneos_vs_stock_android/>
- <https://www.reddit.com/r/privacytoolsIO/comments/6kyteo/aside_from_copperheados_what_is_the_best_android/>
具有完整手機加密功能的 Android 設備是否可以實現同等級別的安全性?
簡短的回答:不。這並不意味著 Android 設備不好,儲存比特幣的方式不太安全。但它確實比硬體錢包有更多的攻擊向量。
您可以為您的手機添加任何加密,但最終如果該設備可以連接到網際網路,則存在載入某些惡意軟體的風險。硬體錢包不存在此類攻擊的風險,安全元素與網際網路保持隔離。
例如,如果螢幕擷取惡意軟體被載入到 Android 設備上,並且它會擷取您的種子片語的螢幕抓取,那麼加密方法根本無關緊要。這種攻擊在硬體錢包上是不可能的。