TANGEM wallet - HackMD

# TANGEM wallet NFC alapú hardware wallet Jelen ismertető és leírás a Tangem Classichoz készült, a Tangem 2.0 újdonságait nem tartalmazza. --- ### Mi az NFC? Aki fizetett már PayPass „érintős” bankkártyával vagy telefonnal valamelyik szupermarketben – na az az NFC (meg még egy csomó más is használja, de most maradjunk a pénzügyeknél). Az én olvasatomban ez egy air-gapped eszköz, mert a privát kulcsot birtokló eszköz sosem online, nincs internetcsatlakozása vagy ilyesmi, nem lehet rá programot telepíteni, se vírust, se keyloggert. Olyan értelemben persze nem „offline”, hogy rádióhulllámokkal kommunikál a telóval (tehát nem is egészen passzív) és mondjuk nem optikai módon teszi ezt, mint a QR kód. De szerintem ha egy wallet rosszindulatú, akkor az QR-ban is szivárogtathat. A lényeg, hogy a erre nem lehet rátölteni semmit, firmware-t sem kell frissítgetni rajta. A hardver részéről csak annyit tudok, amit a neten találni és a gyártó közzétett, ez tulajdonképpen egy ugyanolyan kártya, mint a bankkártya (pár részlet azért lesz még később). ## A cégről A weboldaluk szerint nem ma kezdte a cég, a Linkedin profilokon látszólag valódi emberek vannak. Remélem, tudnak róla, hogy egy wallet oldalon linkelik őket. Megtaláltam a céget valami német nyelvű cégnyilvántartásban, ahol ugyanazok az adatok vannak (5 éves cég, svájci székhely, 2,4 millió frank tőke, mamangement tagok ugyanazok mint a weboldalon, stb) >**Q**: When did the first cards appear on the market? >**A**: In 2017-2021 Tangem mostly worked on the B2B market (for example, we supply cards for the popular XRPL wallets XUMM). Tangem moved to the B2C market under its brand at the end of 2021, and that's when Tangem Wallet appeared. >(Forrás: [Discord](https://discord.com/channels/1097839677387583589/1100384338660556810/1102573474188361748)) A összes közösségi médiában hozzák a kötelezőt: Website: https://tangem.com/en/ Telegram: https://t.me/tangem Telegram-chat: https://t.me/tangem_chat Twitter: https://twitter.com/Tangem Instagram: https://www.instagram.com/tangemcards/ Facebook: https://www.facebook.com/TangemCards YouTube: https://youtube.com/@tangem3890 LinkedIn: https://www.linkedin.com/company/tangem/ (forrás: a [Discord](https://discord.gg/MEGzdnnS) szerverük [#🔗official-links csatornája](https://discord.com/channels/1097839677387583589/1097855631014244443/1098544107560894544), itt bármilyen kérdésre max 24 órán belül választ kaptam) ## Egy kis marketing ![](https://hackmd.io/_uploads/HyNCXbsKh.jpg) ![](https://hackmd.io/_uploads/rJTCmboF3.jpg) ![](https://hackmd.io/_uploads/SkQJN-sKh.jpg) ## Miből áll a wallet? Na szóval ez egy bankkártya méretű eszköz, de a működő wallet két részből áll: 1. az NFC-s kártyából 2. és egy telefonból (nyilván csak NFC képes telóval lehet használni, de szerintem ez ma már nem komoly elvárás. Ja és az NFC legyen bekapcsolva...) >You can use any mobile device with an Android operating system higher than 5.0 or iOS 13 and higher that has full NFC support, except iPhone 6/6s and iPhone SE (1st generation). Please note that the iPhone 7/7 Plus and some Android models do not have full NFC support, which does not allow you to transfer the required amount of information during activation. In this case, making a backup of a private key on your phone is not available. But you can use any other phone (iPhone 8 and up or Android 5.0+ with full NFC support) to create a backup and then continue using your device. On devices with custom firmware installed (not modified by the manufacturer), correct operation of the app is not guaranteed. ([Forrás: Discord](https://discord.com/channels/1097839677387583589/1100384338660556810/1102570439663964171)) Minden műveletre a telót kell használni, mert igazából az a wallet, de a tranzakciók aláírásához a kártyát oda kell tartani a telóhoz. **A két eszköz csak együtt képes tranzakció indítására.** Porálló, vízálló (IP68), Rabid Mining meg is fürdette a kártyát: https://www.youtube.com/watch?v=94JBbfawAZg, olyan videó is van, ahol áthajtanak a kártyán. Bár ezt nem ajánlom senkinek, hogy tesztelgesse, erre bizonyára nem vonatkozik a 25 cseregari. :::info Semmilyen elem, akkumulátor, kábel, csatlakozás, ujjlenyomatolvasó vagy kijelző nem jár és nem is szükséges az eszközhöz. Csak 2 vagy 3 db kártyát vesz és kap a megrendelő. ::: ## Hardver és szoftver A gyártó azt ígéri, hogy csak a kártya rendelkezik a privát kulcs felett. Mivel ezt megfelelő tudás és eszközök hiányában nem tudom ellenőrizni, egyelőre elhiszem. Amúgy a kártyában egy speciális ARM processzor van Cortex-M0 alapokon, 10+ éves kommersz céleszköz, nem a Tangem saját titkos fegyvere. További infók a kártyáról: - https://developers.tangem.com/about-tangem-card - https://developer.arm.com/Processors/SecurCore%20SC000 Három fontos infó hozzáértők számára -- Random number generator >The key is generated on the card using a hardware random number generator during card activation. The entropy for the random number is taken from the chip’s physical sensors. It means no one can ever know your private key. The hardware random number generator is a component of the Samsung chip. You can read the safety assessment document at this link https://www.commoncriteriaportal.org/files/epfiles/anssi-cible-cc-2018_12en.pdf The Tangem card doesn't have a private key initially. The key is generated when the wallet is created, and the card is attached to the mobile device. Moreover, public and private keys will be regenerated if you reset the card to factory settings and recreate the wallet. (forrás: [💬general-chat csatornája]( https://discord.com/channels/1097839677387583589/1097856117192794112/1116483122310160474)) -- How backup cards are created? >When a backup is created, a secure communication channel is established between the cards using the Diffie-Hellman key exchange protocol, after which the keys are transferred from one card to the other. This mechanism is fully protected against Man-in-the-Middle attacks since the first step is that the cards authenticate each other with a two-way attestation, and the encryption is done with a 256-bit key. The strength of the encryption is maximum, and the application will not be able to decrypt the keys under any circumstances. >(forrás: Discord szerverük [💬general-chat csatornája](https://discord.com/channels/1097839677387583589/1097856117192794112/1116483575777329182)) -- There are hackers out there who can extract informations on credit cards via NFC. What stopping them from doing the same to Tangem HW? > Tangem Wallet is not an NFC tag that can be read. The wallet's chip receives NFC requests and responds, such as receiving a transaction and returning its digital signature. It never transmits the private key itself. (forrás: Discord szerverük [💬general-chat csatornája](https://discord.com/channels/1097839677387583589/1097856117192794112/1116795196638777414)) -- EAL minősítési rendszer > Certified hardware. The highest level of security among consumer devices – EAL 6+. Chip is protected from invasive and non-invasive attacks. It means If you lose one of your cards, nobody can hack it and extract your assets if he does not know the access code. :::info A kártya (vagy a processzor?) EAL6+ minősítéssel rendelkezik. De mi az? Az EAL minősítések EAL1-től EAL7-ig tartanak. Kb "megbízhatósági értékelés szintnek" lehetne fordítani. Az értékelés és a tanúsítás során egy csomó szokásos vagy kevésbé szokásos támadási lehetőséget értékelnek, mint például, de nem kizárólag: - Távoli kód végrehajtása (Remote Code Execution): Lehetővé teszi a támadó számára, hogy átvegye a számítógépet vagy a szervert tetszőleges rosszindulatú szoftver (malware) futtatásával. - Jogosultság szerzés (Privilege escalation): A többletjogok tiltott hozzáférésének megszerzése. - Tiszta szöveges kommunikáció (Clear text communication): Az adatokat titkosítás nélkül továbbítják-e. - Korlátlan fájlfeltöltés (Unrestricted file upload): A fájlfeltöltési mechanizmus nincs elég jól védve, ezért a támadó tetszőleges kiterjesztésű fájlt tölthet fel - Napló hamisítása (Log injection): lehetővé teszi a támadó számára, hogy hamisítsa a naplóbejegyzéseket, vagy rosszindulatú tartalmat injektáljon a naplókba. - Alkalmazáslogikai hiba (Application logic flaw): Logikai hiba akkor fordul elő, ha az alkalmazás nem a várt módon viselkedik. - XSS (Cross Site Scripting): Az XSS lehetővé teszi a támadók számára, hogy szkripteket hajtsanak végre az áldozat böngészőjében, amelyek eltéríthetik a felhasználói munkameneteket, vagy átirányíthatják a felhasználót rosszindulatú webhelyekre. - szolgáltatásmegtagadás (DoS): A rendszer elárasztása lekérdezésekkel az erőforrások kimerítése és a szolgáltatás elérhetetlenné tétele érdekében. - Man-in-the-middle támadások: A kommunikáció lehallgatása adatok kiszűrése és ellopása céljából. - Rosszindulatú programok (Malwares): beleértve a kémprogramokat, zsarolóprogramokat, vírusokat és férgeket. Ez csak tájékoztató lista, hogy mégis miről van szó. Bővebben pl. itt olvashatsz róla: https://www.cclab.com/news/when-does-eal-4-truly-matter vagy egy nagyon feketöves példa egy konkrét chipre vonatkozóan https://www.commoncriteriaportal.org/files/epfiles/0782b_pdf.pdf ::: Van fejlesztőknek szánt dokumentáció, ha magad szeretnél valami walletprogamot írni a kártyához. **Az applikációk kódja kint van githubon, nyilvános.** Láthatóan van fejlesztői aktivitás is. - https://developers.tangem.com/ - https://github.com/tangem :::info Az ARM a világ egyik legnagyobb SoC (system-on-a-chip) platformja, a szóban forgó processzor egy 10 éves, 32 bites modell, amit kifejezetten mindenféle security, identity, payment és kriptográfiai feladatokra készítettek, hardveresen támogatja a 3DES-t, AES-t és PKI-t. *(picit pongyolán fogalmazva, de lényeg stimmel)* ::: ### Kártya audit Azt írják a weblapon ([illetve a Discordon is](https://discord.com/channels/1097839677387583589/1097856117192794112/1116483122310160474)), hogy a kártyát Kudelski auditálta, akikről ugyan én még sosem hallottam de ez semmit sem jelent :) Úgy tűnik, hogy az valóban egy ilyen tevékenységű, létező, tőzsdén jegyzett cég. És úgy tűnik, hogy ők maguk is tudnak róla, hogy ők ilyet tettek: https://www.kudelski-iot.com/industries/crypto-wallet-security (legalábbis a wallet logó ott figyel) illetve https://research.kudelskisecurity.com/2018/08/06/audit-of-tangems-smartcard-wallet-code/ >[name=anon] "Kudelskiék" mint a tangem auditora azért meglep. Ez vajon az a Kudelski, amihez előfizetéses tv kapcsán a feltört nagravision rendszer köthető? A nagravision2 (chipkártyás) rendszer az utolsó bitig fel van törve, évekig lehetet több száz műholdas tv-t nézni (köztük a digi-t) előfizetés (és chipkártya nélkül). Van olyan magyar kábelszolgáltató, ahol még mindig működik a törés, mert ezt a rendszert (is) használja. A lényege, hogy a nagra2-es kártyákból minden szükséges kulcsot ki lehetett/lehet olvasni, ezt a részét törték fel, majd tisztán szoftveresen emulálják/emulálták. > Úgy tűnik, hogy ez ugyan az a cég: https://nagra.com/ > Tegnap beszéltem egy órán keresztül egy magyar sráccal aki a philips/siemensnél dolgozik mint It security architect, jelentsen is ez bármit :). Egy másik telefonon is visszaállítottuk a walletet és a két folyamatból az jött ki számára hogy igen jó a wallet!!! DE mindenki azt csinál amit akar, ez a mondás! >[name=wacher] Igen, valóban azok a Kudelskiék, de az említett nagravision2 rendszert már több mint 10 éve ki is vezette a TV-piac (például az [említett Digi több mint 13 éve megtette ezt](https://dtvnews.hu/hirek/digitv-nagravision-2-v-gnapjai)). Ha egy szolgáltató még mindig ezt használja, az inkább őt minősíti, mint az egy évtizeddel ezelőtt feltört rendszert. Az 3-as számú utód tudtommal még mindig bírja (hivatalosan nincs számozás, de ez senkit sem zavar a neten). ## Gyakorlati tudnivalók - A kártya megrendelhető a Tangem webshopjában, itt: https://tangem.com/pricing/?promocode=PDXNJW (promókóddal neked -10%, köszike!) - Kártya megjön, örül, kicsomagol - Telóra appikáció letölt * A telefonhoz az [[iOS]](https://apps.apple.com/ru/app/tangem/id1354868448?l=en) és [[Android]](https://play.google.com/store/apps/details?id=com.tangem.wallet&hl=en&gl=US) áruházakban van applikáció (itt a [[raw apk]](https://github.com/tangem/tangem-binaries/raw/master/app-release.apk) is), amelynek 4,7 - 4,8 értékelése van. Amazon.com-on 5 db 1-2 csillagos értékelése van a 76-ból, de azok a vevők a leírás alapján inkább süsük vagy olyat kérnek számon, amit a gyártó nem is ígért. * Az iOS store-ban valaki megkérdezte, hogy ha az applikáció eltűnik a store-ból akkor mi van. Azt a választ kapta, hogy az app nem függ semmilyen céges szolgáltatástól és amíg a telódon ott az app, addig működik is. Akkor is, ha valami miatt a store-ból egyébként leszednék. Minden értékelésre válaszolnak. :::info A használat során néha a telóhoz kell érinteni a kártyát. - **iPhone** esetén az NFC olvasó minden(?) modellnél a telefon tetején van. A kártyát ne a telefon mögöt húzkodjuk, mert az nem nagyon fog működni. A telefon tetejével "érintsük" meg a kártya közepét, ez a mozdulat mindig egyből működik. (Mondjuk az animáció is pontosan ezt mutatja, de hát ki figyel ilyen apróságra?) - **Android** ??? ::: - A képernyőn megjelenő utasításokat követve, néhány perc alatt használatra kész a wallet. Bár Cryptodad (is) csinált róla [step-by-step videót](https://www.youtube.com/watch?v=Pxv-nYbtHe4), de tényleg 3-4 perc alatt a macskám is tudná aktiválni a kártyát, ha picikét tudna angolul, semmi extra tudás nem kell hozzá. Aki használt már bármilyen walletet, annak menni fog. Sőt kicsit "csalódás" is az eredmény, mert annyira egyszerű az egész, nincs semmi nézegetni, simogatni, nyomkodni való rajta. Nem is világít vagy csipog. Csak van és kész. :::warning A wallet érdekessége és egyik legfontosabb tulajdonsága, hogy nincs seed phrase: nincs 12-24 angol szó. A privát kulcs a kártyában van. Ha van kártya, van hozzáférés. Ha nincs kártya nincs hozzáférés. **Not your card, not your crypto.** ::: Nem arra a cetlire kell vigyázni, amire a seed phrase-re felírtuk, hanem erre a kártyára. A kártya egyébként jelszóval védett, de erről később. A kártyákat 2 darabos vagy 3 darabos csomagban lehet venni (jelenleg) 45 USD illetve 56 USD áron. Az egyik kártya „elsődleges” kártya lesz, a többi „backup”, de szerintem az aktiválást követő normál használat során teljesen egyenrangúak. ### Init - Az applikáció indítása után kövessük az utasításokat. - Szkenneljük be az egyik kártyát (jegyezzük meg melyiket). - Adjunk hozzá a többi kártyát backup kártyának. - Ha bemutattuk az összes kártyánkat, akkor egy "Access code"-ot kell megadni, ez lehet betűszámakármi, ez egy jelszó. - Ezután kell véglegesíteni a kártyákat, minden kártyát újra be kell szkennelni a telón, de ezúttal kb 15 mp kell egy-egy kártyához. Gondolom most inicailizálja, programozza fel, stb. a kártyákat. Nem t'om. - Lehet használni arc- vagy ujjlenyomat felismerést, akkor nem fog kelleni az access code (legalábbis nem a normál használathoz). ### Egy vagy több kártyát elveszítettünk vagy ellopták - Amíg legalább 1 kártyánk és 1 telefonunk van, addig hozzáférünk a kriptókhoz, de ha csak egyetlen kártyánk maradt, mihamarabb venni kell újat és transzferálni a kriptókat. - Ha a kártyát ellopják és másik telón akarják felhasználni, akkor az access code-ra lenne szükségük a tolvajoknak. :::warning De csak akkor van access code, ha van backupod. Backup kártya nélkül nincs access code sem! ::: >[name=wacher]Egy meglévő kártya újrahasznosítható egy új wallethez, ezt a "reset to the factory settings" művelettel lehet elvégezni (még nem próbáltam). ### Telefont cseréltem - Az új telefonon szkenneljük be a kártyát, adjuk meg access code-ot ### Egyszerre több eszközön szeretném használni - Ha egyszerre két (vagy több) telefonon szeretnénk használni, akkor a második telefonon szkenneljük be a kártyát, és adjuk meg az access code-ot. Többször kell szkennelni, access code-ot beírni, egyszerűen kövessük az telón megjelenő utasításokat. ### Acces code és backup kérdések A kártya aktiválásakor megadott access code később megváltoztatható, de két kártya kell az access code törléshez, ha elfelejtetted volna. >...to be able to reset your password in the app when needed. **Backup kártyákat csak egyszer, az aktiváláskor lehet csinálni, később nem!** Legaláb 2 kártya használata javasolt, mert >*A third party will only be able to access your wallet if your cards are not linked (you have not backed them up). In this case, access code protection is not available: it appears only when you link two or three cards to one wallet. >That's why we recommend that you make backups before funding your wallet. Then your funds will be protected by the access code.* >>A lényeg, hogy csak akkor védi a kártyákat access code, ha van legalább egy backup kártyád. Ha csak egy (fő)kártyát használsz walletenként, akkor nem! > >*Moreover, the card is protected against brute-force attacks. After the sixth incorrect attempt to enter the code, the delay time for the next attempt is increased by 1 second. The maximum delay time is 45 seconds. The delay is only reset after the access code has been successfully entered.* További Q&A az access code témában [a Help Center-ben található](https://tangem.com/en/help_center/search/?query=access+code). ### Reset, újrafelhasználás Lehet kártyát resetelni, újra felhasználni, de előtte alaposan győződj meg arról, hogy minden tokent és coint elutaltál más, elérhető helyre, mert a reset után ez a wallett, ez az address megsemmisül! https://tangem.com/en/blog/post/how-to-reset-tangem-wallet/. ## Egyéb :point_right: Támogatott coinok, chainek: >Tangem Wallet supports 30 networks (you can store over 6,000 cryptocurrencies): Bitcoin, Ethereum, BNB Smart Chain, BNB Beacon Chain, Ripple, Solana, Cosmos, Cardano, Avalanche C-Chain, Dogecoin, Polygon, Litecoin, Bitcoin Cash, Stellar, Fantom Opera, Tezos, RSK, TRON, Ethereum Classic, Arbitrum, Gnosis, Ethereum Fair, Ethereum PoW, Dash, Polkadot, Kusama, Optimistic, Kaspa, Ton, Kava EVM, and Ravencoin. A pontos tokenlista az applikációban megnézhető. Indításkor kéri a kártyát vagy rendelést, azon a képernyőn három jobbra lapozás (vagy egy kis türelem után) a Thousands of Currencies című lapon alul van egy kereső. :point_right: DeFi-vel is használható, ha a DeFi támogatja a WalletConnect 2.0-át. :point_right: A delegált stakeléseket (pl. ADA, COSMOS) sajnos még nem támogatja (elvileg fogja). :point_right: A Rabby wallet-tel összeköthető, így a Rabby teljes funkciókészlete rendelkezésre áll, aláíráshoz azonban a Tangem kell. :point_right: A wallet a szokásos buy/swap funkciókat is kínálja, az ilyenkor szokásos vaskosabb spread-del lehet közvetlenül is kriptót vásárolni. >[name=wacher] BTC esetében SegWit és legacy címeken is fogad. :point_right: NFT-ket közvetlenül az app nem kezel, de WalletConnect-tel OpenSea-hez kapcsolódva igen. (Discord-on is kérdezték-válaszolták, de ki is próbáltam.) :point_right: Az applikáció több walletet (több kártyapakkot) is tud egyszerre tárolni. Mivel a kártyák egyenrangúak, az inicializálás előtt semmi sem köti őket össze, szerintem pl. ha rendelsz 2x3 darabot, akkor az használható - 2 db wallethez 3-3 kártyával vagy - 3 db wallethez 2-2-2 kártyával (ez mindössze 33$ / wallet ráfordítás) vagy - elvileg 6 db wallet 1-1-1-1-1-1 kártyával is készíhtető lenne, de - nyilván elvesztésből eredő kockázat itt a legnagyobb, ráadásul - itt nincs access code védelem, lásd fentebb. :point_right: a kártya dögös fekete dizájnnal érkezik, ami egyúttal elég feltűnő is. Állítólag lesz semleges dizájn is, addig aki szeretne egy solidabb kártyár ragassza le valami mikiegeres matricával :) Én egy kevés cellux segítségével összeragasztottam egy IKEA Family kártyával és máris nem olyan feltűnő. (Az előlapra ragasztottam, a profik a hátlapot is elfedhetik, de az nem olyan szembetűnő, legalábbis nincs ráírva, hogy "multicurrency hardware wallet".) :::warning :point_up: A dYdX-szel **nem** kompatibilis a wallet. A wallet gyártója aztmondja, hogy >Kindly be informed that DYDX is not supported by Tangem Wallet due to non-standard signature algorithms for authorization in the service. Kérdeztem, a dYdX-et is: >Tangem is not compatible because it does not sign ECDSA deterministically. See this article for a technical explanation https://blog.gridplus.io/lattice-signature-determinism-and-snarks-1a11fdeda29e A cikk alapján úgy tűnik, ez (egyelőre) minden smart card alapú walletet érint nem csak a Tangemet. És nem csak a dydx-et, hanem minden ZK/SNARK projektet. >The smart card operating system, however, does not have the cryptography necessary to adopt RFC6979 and thus cannot produce deterministic signatures on its own. To support ZK apps, we therefore need to perform signing operations in the Lattice1’s firmware Bár a dydx support kézséges és van lehetőség így is hozzájutni a bent lévő pénzhez, ez még folyamatban van, tandíj eddig: kb 50$ ::: ## Vásárlási infók - Választható fizetési módok: PayPal, kripto, utalás, ApplePay (gondolom Google Pay is). - Vasárnap délután rendeltem, csütörtök délben hozta a futár. - Az én csomagom Szlovákiából indult, így a webshopban kifizetett vételárra se VÁM, se ÁFA nem jött rá plusz költségként (csak a bringás utár kapott egy 500-ast). **update 2023-06-11**: jelenleg csak a Hong Kong-i raktárból van kiszállítás, a többi kifogyott a készletből. - Újabban "sealed" dobozban küldik, néha megsérül. Tudnivalók a kártya ellenőrzéséhez: - [How To Tell If Your Tangem Wallet Is Original?](https://tangem.com/en/blog/post/verify-tangem-wallet-authenticity/)