Hardware-Integrität prüfen

Alle Ledger-Geräte durchlaufen während des Onboardings sowie nachfolgend jedes Mal, wenn sie sich mit My Ledger in Ledger Live verbinden, eine Echtheitsprüfung. Echte Ledger-Geräte verfügen über einen geheimen Schlüssel, der bei der Herstellung festgelegt wird. Nur ein echtes Ledger-Gerät kann seinen Schlüssel verwenden, um den kryptografischen Nachweis zu erbringen, der für die Verbindung mit dem sicheren Server von Ledger erforderlich ist.

Fortgeschrittene Benutzer können die Hardware-Integrität des Ledger-Geräts außerdem überprüfen, um sicherzustellen, dass es nicht manipuliert wurde. Dieser Artikel enthält ausführliche technische Informationen zur Sicherheit Ihres Geräts. 

Wichtiger Hinweis

  • Bitte beachten Sie, dass das Öffnen Ihres Ledger-Geräts zum Erlöschen der Garantie führt.
  • Nach dem Öffnen kann Ihr Ledger-Gerät nicht mehr erstattet oder umgetauscht werden.
Ledger Nano X Ledger Nano S Ledger Nano S Plus

Microcontroller (MCU)

Das Secure Element prüft beim Hochfahren den gesamten Flash-Speicher des Mikrocontrollers, wie in diesem Blogbeitrag beschrieben. Werden Änderungen erkannt, dann wird beim Hochfahren eine Warnung angezeigt. Zur zusätzlichen Überprüfung können Sie das Gerät öffnen und sich vergewissern, dass kein weiterer Chip hinzugefügt wurde (vgl. nachstehende Abbildungen) und dass es sich bei der MCU um eine STM32WB55 (Revisionen 1–3) bzw. eine STM32WB35 (Revision 4) handelt.

Hardware-Überarbeitungen

Revision 4

  • Grüne PCB

revision_4_front.jpg

Vorderseite des PCB

revision_4_back.jpg

Rückseite des PCB

Revision 3

  • Schwarzes PCB

revision_3_front.jpg

Vorderseite des PCB

revision_3_back.jpg

Rückseite des PCB

Revision 2

  • Schwarzes PCB

LedgerNanoX_PCB_rev1.jpg

Vorderseite des PCB

LedgerNanoX_PCBrev1_2.jpg

Rückseite des PCB

Revision 2

  • Schwarzes PCB

LedgerNanoX_PCB_rev1.jpg

Vorderseite des PCB

LedgerNanoX_PCBrev1_2.jpg

Rückseite des PCB

Bescheinigung des Secure Element

Das Secure Element selbst wird im Werk mit einer Bescheinigung personalisiert, die belegt, dass es von Ledger hergestellt wurde. Sie können dies überprüfen, indem Sie folgende Befehle ausführen

pip install --no-cache-dir ledgerblue
python -m ledgerblue.checkGenuineRemote --targetId 0x33000004

Der Quellcode ist hier verfügbar.

Überprüfung der Anwendung

Beim Öffnen einer Anwendung wird die Warnung Non Genuine angezeigt, wenn die App nicht von Ledger signiert wurde. Eine geänderte Benutzeroberfläche (wie unter https://github.com/LedgerHQ/nanos-ui zu finden) wird beim Booten ebenfalls eine Warnmeldung anzeigen.

Root of Trust

Die Root of Trust (Vertrauensgrundlage) für den aktuellen Batch ist der folgende öffentliche Schlüssel secp256k1:

0490f5c9d15a0134bb019d2afd0bf2971497384597
06e7ac5be4abc350a1f818057224fce12ec9a65de18ec34
d6e8c24db927835ea1692b14c32e9836a75dad609

- wie hier geprüft Genuine.py

War dieser Beitrag hilfreich?