Ledger Labs hat heute eine neue Firmware-Version (1.4.1) für ihre Hardware-Wallets veröffentlicht.
Neben Verbesserungen in der Nutzer-Erfahrung wurde auch weitere Sicherheitsverbesserung eingepflegt. Das Highlight für die meisten wird jedoch sein: Mehr Apps auf eurem Ledger Nano S!
Ein Update lohnt sich also für alle, die nötigen Schritte dazu findet ihr momentan bei Ledger selbst.
Folgendes hat sich im Umgang mit eurem Ledger im Detail geändert:
- Euer Ledger Nano S hat nun genug Speicherplatz für bis zu 18 Apps, je nachdem für welche Währung ihr Brieftaschen installiert.
- Der Sperrbildschirm wird aktiviert sich nun nach einem „3-sekündigen Klick“, wenn ihr beide Tasten drückt, unabhängig davon wo ihr euch gerade befindet (Übersicht oder in einer App).
- Um sicher zu stellen, dass die Sicherheitskopie erfolgreich erstellt wurde, werden die 24 Sicherheitswörter demnächst abgefragt.
- Besserer Caching, welches euren Ledger allgemein flotter arbeiten lässt.
Was passierte hinter den Kulissen…
Das Betriebssystem des Ledger Nano S wurde weiterentwickelt. Einige der Änderungen:
- Die Apps sind nun in 3 Segmente aufgeteilt (Code, Daten, Installationsparameter). Es werden zwei verschiedene Hashes berechnet (Code + Daten und Code + Daten + Daten + installParams). Dies ermöglicht es dem Benutzer, die geladenen Daten auch für Anwendungen mit geheimen Daten zu überprüfen.
- U2F-Tunnel wird nun für APDUs im Dashboard und auch im SDK unterstützt. Damit wird es möglich sein, alle Kommunikationsprotokolle über eine einzige Schnittstelle zu unterstützen und die Optionen „Browser Support“ zu vermeiden. U2F Tunnel ist sehr komfortabel, um mit einer Web-Anwendung (wie MyCrypto / MyEtherWallet) zu kommunizieren.
- Das SDK bietet nun ein weiteres Primitiv für den sicheren Vergleich von Pointern (memcmp).
Die Unterstützung für Kryptographie wurde weiter ausgebaut. Diese folgenden Elliptischen Kurven werden nun zusätzlich unterstützt:
- SEC-Kurven (SECP384R1, SECP521R1),
- Brainpool-Kurven (P256R1, P320T1, P320R1, P384T1, P384R1, P512T1, P512R1)
- ANSSI-Kurven (FRP256V1),
- Edwards-Kurven (Ed448), und
- Goldilocks’s-Kurve (Curve448).
Die Firmware 1.4 enthält einige weitere Sicherheitsverbesserungen. Zum Beispiel hat sich die Richtlinie zum Laden von 3rd Party Apps leicht verändert. Die Verwaltung der benutzerdefinierten Certification Authority (CA) ist jetzt nur noch im Wiederherstellungsmodus verfügbar. Ziel ist es weniger attraktiv zu machen Malware-Anwendungen an unerfahrene Anwender zu bewerben.
Zwei Nutzer haben ebenfalls Lücken bei Ledger eingereicht und eine Belohnung erhalten, diese waren nicht signifikant.
Das Bounty-Programm von Ledger wird es weiter geben und sie halten ihre Nutzer weiterhin dazu an, die Sicherheit ihrer Produkte in Frage zu stellen. Solltet ihr eine Sicherheitslücke finden, winkt euch eine Belohnung in Bitcoin.
Nachtrag:
Bezüglich der Schwere des gefunden Fehlers herrscht Uneinigkeit zwischen dem Nutzer, welcher ihn gefunden hat (Saleem Rashid – twitter) und Ledger selbst, die dazugehörige Diskussion dazu findet sich im Sub-Reddit des Herstellers.
