TREZOR one 是一个硬件软件都遵循类GPL协议书的开源新项目,而开源能够产生的益处是显然的:公布编码可以让所有人核查在其中的系统漏洞生产商几乎没法在计划方案中留有侧门有益于在社群中营销推广,相互配合别的新项目结构加固总体的安全系数殊不知TREZOR所采用的MCU尽管有着巨大的开发设计社群营销,却并并不是一款主推安全性运用的CPU,这也为其提供了一些异议:ST的这一款芯片的芯片安全防护沒有通过权威部门验证,很有可能达不上金融业等级防破译级别。开源计划方案促使有对于的攻击更易于被执行。
假如攻击者把握一个对于此芯片的0day系统漏洞,相互配合别的对策可使对于指定总体目标的攻击通过率进一步提高。但人们必须了解到的是,这类攻击可以取得成功执行的挺大一个前提条件是可以物理学触碰。不论是以前公布的对于TREZOR公匙计算全过程的边频带攻击,绕开芯片维护而载入助记词的memory dump攻击,或是“棉袜抽屉攻击”(大家常常把记着登陆密码的小本本藏在棉袜抽屉里),这种攻击方式都必须物理学触碰到你的TREZOR硬件配置钱夹或助记词
