Wie sichere ich mein Seed?

[Axiom0815]

Krypto-Währung ist zur Zeit sehr angesagt.
Das heißt, dass inzwischen viele auch mit im Boot sind, die von Kryptografie noch nie was gehört haben.

Mit den heutigen Wallet ist das auch überhaupt kein Problem. Bei einer HD-Wallet genügt der Seed als Backup völlig.

Hier beginnt dann das Problem. Immer wieder lese ich Strategien, die zu mindest ich, nicht so optimal finde.
Aber ich will hier jetzt nichts werten. Man sollte sich nur klar machen, dass eine SD-Card oder Stick kein sicheres Speichermedium ist. Auch keine CD, DVD oder BD. (Dann bitte eine MD nutzen.)

 

Da also Kryptografie bei manchen ein Buch mit sieben Sigeln ist, hier eine kurze  Anleitung zum verschlüsseln z.B. eines Seeds.
(Ja Profis, wer das kann, weis bessere Wege. Bedenkt aber, dass man eventuell im Ernstfall auch kein Zugriff auf seinen privaten Key von GPG hat.)

Also der Klassiger, der auch allgemein als sicher anerkannt ist, ist GPG. Was oft kritisiert wird, ist die Bedienung. Hierfür schreibe ich jetzt eine kurze Anleitung (Kochrezept).
Ich gehe davon aus, dass GPG schon installiert ist. Gibt es quasi für jedes System.

1. Wir haben ein Seed. Diesen schreiben wir in eine Textdatei Seed.txt
2. Wir starten die Commando-Box, Shell, Eingabeaufforderung... Bei Windows ist dies eine schwarze Box.
3. Der Befehl lautet

   C:\>gpg -a -c --cipher-algo AES256 --digest-algo SHA512 "<Lfw.><Pfad>\Seed.TXT"

   Man wird nach dem Passwort gefragt, welches man eingibt. Dies solle sicher sein!
4. Das Ergebnis ist eines Datei Seed.TXT.asc

   -----BEGIN PGP MESSAGE-----
   
   jA0ECQMCAJKfKckArb2u0rQBG8d2rs9ziBN6umPpD5bREPj/piGX90HVk1TBlAK1
   6jMIyydmC7UWl06NXqdLn7FMgj8f9cUOnrfJqOywgCkZGvZiN+eKaAbVq7/rpWan
   SHi5S+C5A9LggR9mPAcOAkCLx8JiH6q7lCXyHkHNce2fIVqIGn6jTdPTpNy1U00e
   LKoTphoadlPX5OR4idK3SfO3gVB6XOJRy8UDMLQgvLxedHHEDX+kfdbd5djm94yi
   Vt4hGZs=
   =pxrA
   -----END PGP MESSAGE-----

5. Diese speichern wir bzw. drucken sie aus und legen sie sicher weg. Papier ist ein Medium, welches im Normalfall lange hält. Licht, Wasser, Feuer usw. sind zu vermeiden.
6. Optional können wir auch ein QR-Code ausdrucken. Das spart Arbeit beim wieder einlesen und macht das Medium Papier akzeptabel.
7. Entschlüsseln kann es wieder mit folgenden Befehl werden:

   C:\>gpg -d -o "<Lfw.><Pfad>\Seed.TXT" "<Lfw.><Pfad>\Seed.TXT.asc"

   Die Datei Seed.TXT enthält wieder den Seed.

Anbei noch ein QR-Code als Beispiel. Wer den Seed knackt bekommt ein Keks. Wirklich ganz leichtes Passwort. (zum üben)

Ich möchte noch mal darauf hinweisen, dass eine Paperwallet im Tresor, oder eben Edelstahl-Wallet ebenfalls ein guter Weg ist. Hier war jetzt mal das Beispiel Verschlüsselung Thema.
Bitte vorher mehrmals üben und verstehen, bevor ihr es anwendet.
Gerne könnt Ihr euch auch weiter mit GPG beschäftigen. Ich kann dies nur empfehlen.

Axiom

 

 

Bearbeitet 1. März 2018 von Axiom0815

[c0in]

Magst du das nicht hier posten? Habe es deswegen gemacht das wir dort alles was zur Sicherheit gehört versammeln können. Und das trägt eindeutig dazu bei.

[zagota]

vor 1 Stunde schrieb Axiom0815:

1.  

   
   C:\>gpg -a -c --cipher-algo AES256 --digest-algo SHA512 "<Lfw.><Pfad>\Seed.TXT"

   Man wird nach dem Passwort gefragt, welches man eingibt. Dies solle sicher sein!

Noch ein Hinweis. Nach dem Verschlüsseln bleibt die unverschlüsselte Datei erhalten, die sollten natürlich gelöscht werden. So ist es auf jeden Fall bei der gpg Version von Linux.

[pauli]

Hallo,

Da du dich mit GPG auskennst, ein Off topic Frage.

Ich habe für eine E-mail Adresse die Verschlüsselung eingerichtet, hauptsächlich wegen BTC etc. Funkioniert auch einwandfrei. Was mich wundert, auch Mails von einigen anderen Absendern z.B. DHL kommen jetzt verschlüsselt an, woher weiß DHL das? Prüfen die Absender ob der Empfänger einen öffentlichen Schlüssel hat?

Dank von Pauli

 

[Axiom0815]

vor 1 Stunde schrieb pauli:

Hallo,

Da du dich mit GPG auskennst, ein Off topic Frage.

Ich habe für eine E-mail Adresse die Verschlüsselung eingerichtet, hauptsächlich wegen BTC etc. Funkioniert auch einwandfrei. Was mich wundert, auch Mails von einigen anderen Absendern z.B. DHL kommen jetzt verschlüsselt an, woher weiß DHL das? Prüfen die Absender ob der Empfänger einen öffentlichen Schlüssel hat?

Dank von Pauli

 

Wenn Du Dein öffentlichen Schlüssel auf einen Key-Server hochgeladen hast, steht dieser jeden zur Verfügung. 
Und wenn man ihm nutzt, ist das doch okay. Genau dass will man ja erreichen. Email nur für den Empfänger zu lesen. Bye, Bye, alle Mitleser.

GPG ist ein starkes Programm was seit Jahren weiter entwickelt wird. ich kann nur dazu aufrufen, GPG in großen Umfang zu nutzen und natürlich Werner, den Urvater von GnuPG mit einer Spende zu unterstützen.

Axiom

[Jokin]

Oder Seed ausdrucken, Zettel durchschneiden und beide Haelften an unterschiedlichen Orten aufbewahren.

Dasselbe geht auch mit Dateien - Seed einfach halbieren und in zwei Textdateien speichern. Das eine ist eine Word-Datei, das andere eine Bild-Datei und fertig.

Mit minimal mehr Aufwand schreibt man den Seed eben in die EXIF-Daten eines Bildes von dem man weiss, dass man es immer wieder findet ...

... alle Orte sind sicher wo niemand sucht. Somit ist auch ein Laternenpfahl vollkommen sicher, einfach den Seed in umgekehrter Reihenfolge an die Laterne schreiben - da kommt doch keine Sau drauf, dass man die Reihenfolge der Woerter umdrehen muss. groesstes Risiko ist dann, dass die Laterne vielleicht mal ausgetauscht wird oder jemand mal die Woerter abwischt oder uebermalt.

[Musseum]

Oder am absolut Sichersten: Sich den Seed einfach merken

Mach ich auch, und das obwohl er dennoch kryptisch aussieht. Aber mit ner bestimmten Technik zur Seedgenerierung geht das ohne Probleme.

[Axiom0815]

vor 2 Stunden schrieb Jokin:

den Seed in umgekehrter Reihenfolge an die Laterne schreiben - da kommt doch keine Sau drauf, dass man die Reihenfolge der Woerter umdrehen muss

Verdammt, woher kennst Du meinen Trick? Los raus mit der Sprache. 

Es kommt natürlich immer darauf an, welchen Wert die Wallet speichert. Sind es 20 oder 20.000 Euro. 
 

Bearbeitet 1. März 2018 von Axiom0815

[segeln]

vor 20 Stunden schrieb Axiom0815:

1.  
2.  
3.  
4.  

Ich möchte noch mal darauf hinweisen, dass eine Paperwallet im Tresor, oder eben Edelstahl-Wallet ebenfalls ein guter Weg ist. Hier war jetzt mal das Beispiel Verschlüsselung Thema.
 

 

 

Lustig,dass ich etwa 2Tage vor Deinem Post mir eine Edelstahlversion von cryptosteel gekauft hatte.Diese wird auch von Ledger und Trezor empfohlen.

Wie Du um meine bescheidenen IT-Kenntnisse weißt,wäre Dein Vorgehen für mich zu kompliziert.Aber schön,der community hier Hinweise zu geben.

Danke ,Axiom

[Alkaid]

Den Seed mit PGP zu verschlüsseln ist bestimmt ok. Ich verwende PGP selbst liebend gern und bin ein großer Fan davon.

Dass aber Sticks oder Festplatten generell unsicher sein sollen würde ich nicht unbedingt sagen. Ich habe meine Wallets auf mehreren Sticks gesichert. Manche Sticks habe ich außerhalb meines Hauses aufbewahrt.Die sind natürlich verschlüsselt. Als Verschlüsselungssoftware verwende ich Veracrypt und Luks. Auch in Veracryptcontainern auf diversen Linuxrechnern habe ich Wallets gesichert. Es ist halt darauf zu achten dass  ein sehr starkes Passwort bestehend aus mindestens 25 Zeichen aus Groß- und Kleinbuschtaben, Sonderzeichen und Zahlen verwendet wird.

[c0in]

Wenn man einen hat

 

[Alkaid]

Selbstverständlich kann man auch auf Linux mit GPG Texte und Dateien verschlüsseln. Für Windows hats Axiom ja schon erklärt. Damit ich auch noch meinen Senf dazugeben kann schreibe ich bei dieser Gelegenheit gleich eine Anleitung für Linux, falls es wer brauchen kann der sich mit GPG noch nicht so befasst hat. Man kann damit, wie schon gesagt Texte und Dateien sicher verschlüsseln oder aber auch via Mailverkehr kommunizieren. GPG ist ein sehr umfangreiches Thema das wirklich Spass macht.

 

 

1.) Schlüssel erzeugen:

gpg --gen-key

 

Die nachfolgenden Schritte zur Erzeugung des Schlüssels die im Terminal angezeigt werden sind selbsterklärend.

 

 

2.) Alle Schlüssel im Terminal auflisten um zu einen Überblick auf sämtliche gespeicherten PGP Schlüssel zu erhalten:

gpg --list-keys

 

Um die geheimen Schlüssel auch auf anderen PCs verwenden zu können muss man die natürlich Exportierren und dann auf dem anderen Computer wieder importieren.

 

3.)Geheime Schlüssel exportieren:

gpg --export-secret-keys -a -o Dateiname.asc (erstellt eine Datei im Homeverzeichnis)

 

Auf dem anderen Computer kann man die Schlüssel dann wieder importieren

 

4.)Geheime Schlüssel importieren.

gpg --import Dateiname.asc

 

Jetzt kommt der eigentlich interessante Teil um seine Seeds sicher zu verschlüsseln:

Ver/Entschlüsseln:

 

 

5.)Verschlüsseln:

gpg -e -a

 

 

Name des Schlüssels oder eMail angeben

 

 

Enter Taste betätigen

 

 

Nachricht schreiben

Wenn Nachricht geschrieben ist: Strg + d drücken

Jetzt wird die verschlüsselte Nachricht im Terminal angezeigt. Diese verschlüsselte Nachricht ist zu kopieren und meinetwegen mit einem Editor (gedit bei Linux) zu sichern und abzuspeichern. Wichtig ist dass DIE GESAMTE NACHRICHT kopiert und abgespeichert wird.

-----BEGIN PGP MESSAGE-----

jA0ECQMCAJKfKckArb2u0rQBG8d2rs9ziBN6umPpD5bREPj/piGX90HVk1TBlAK1
6jMIyydmC7UWl06NXqdLn7FMgj8f9cUOnrfJqOywgCkZGvZiN+eKaAbVq7/rpWan
SHi5S+C5A9LggR9mPAcOAkCLx8JiH6q7lCXyHkHNce2fIVqIGn6jTdPTpNy1U00e
LKoTphoadlPX5OR4idK3SfO3gVB6XOJRy8UDMLQgvLxedHHEDX+kfdbd5djm94yi
Vt4hGZs=
=pxrA
-----END PGP MESSAGE-----

Wirklich ALLES vom ersten bis zum letzten Strich. Sonst gehts nicht.

 

 

 

 

6.)Entschlüsseln:

 

gpg -d

Verschlüsselte Nachricht ins Terminal kopieren und Passwort für den Schlüssel eingeben.

 

 

 

 

Dann Strg + d drücken und die entschlüsselte Nachricht erscheint.

 

 

 

Ergänzung: Wenn man keinen Text ver- und entschlüsseln will sondern eine Datei mit dem Editor wie gedit gespeichert hat und will diese verschlüsseln geht das noch einfacher:

 

Verschlüsseln:

gpg -e -a und dann NICHT die Entertaste drücken sondern die Datei einfach ins
Terminal ziehen und erst dann enter drücken

 

Entschlüsseln:

gpg -d und wiederum nicht die Entertaste drücken sondern verschlüsselte Datei/Dokument ins Terminal ziehen, dann Entertaste drücken und dann Passwort eingeben. Entschlüsselter Text erscheint dann im Terminal.

 

Verschlüsselt man eine Datei bleibt die unverschlüsselte Datei unberührt stehen. Diese sollte man nach erfolgreichem Verschlüsseln schreddern mit dem Befehl:

 

shred -vzn 10 und dann die Datei ins Terminal ziehen und Enter drücken.

 

10 steht in diesem Fall für die Anzahl wie oft die Datei überschrieben wird. In diesem Fall 11 mal. Es wird immer so oft überschrieben wie angegeben plus 1. 10 mal ist völlig ausreichend aber es ginge auch 300mal…

 

Folgendes ist nur noch zusätzlich im Falle dass wer erhöhtes Sicherheitsbedürfnis hat:

Wer mit PGP seine Kommunikation verschlüsseln und ein Optimum an Sicherheit erreichen will kann seinen Key noch modifizieren und verbessern indem er seine bevorzugten Algorithmen im public key festlegt. Macht der Verschlüsselungspartner dasselbe wird erhöhte Sicherheit erreicht.

 

gpg --edit-key Schlüssel-ID oder Name

Daraufhin erscheint im Terminal: gpg>

Nächster Befehl: gpg> showpref

In der Terminalausgabe dürfte das in etwa so aussehen:

[unbekannt Meine ID emailadresse@gmail.com]
     Verschlü.: AES256, AES192, AES, CAST5, 3DES
     Digest: SHA1, SHA256, RIPEMD160
     Komprimierung: ZLIB, BZIP2, ZIP, nicht komprimiert
     Eigenschaften: MDC, Keyserver no-modify 

gpg>

Nächster Befehl:

gpg> setpref TWOFISH AES256 AES SHA512 SHA256 BZIP2 ZLIB

Das einfach mit j bestätigen und Passwort eingeben

Im Terminal erscheint nochmal gpg>

Der letzte Befehl lautet also:

gpg> safe

Fertig

 

 

 

 

 

 

 

Bearbeitet 2. März 2018 von Alkaid

[Christoph Bergmann]

Ist es nicht problematisch, den Schlüssel mit PGP / GPG zu verschlüsseln, da man da den private key immer als Datei speichern muss (bzw. drei Seiten abschreiben muss). Reicht nicht auch ein AES mit genügend bits und einem guten Passwort?

[zagota]

vor 58 Minuten schrieb Christoph Bergmann:

Ist es nicht problematisch, den Schlüssel mit PGP / GPG zu verschlüsseln, da man da den private key immer als Datei speichern muss (bzw. drei Seiten abschreiben muss). Reicht nicht auch ein AES mit genügend bits und einem guten Passwort?

Wenn du es wie Aixom0815 beschreibt machst, brauchst den kein Privatekey. Die Option -c steht für  "Daten symmetrisch verschlüsseln". Du wirst beim Verschlüsseln nach einem Passwort gefragt.

Wenn du PGP eingerichtet hast, kannst du es natürlich auch mit deinem Publickey verschlüsseln,
gpg --output seed.txt.gpg --encrypt --recipient deinemail@adresse.org seed.txt
 

Bearbeitet 5. März 2018 von zagota

[Christoph Bergmann]

Ah, ok, das habe ich überlesen. Super, dass PGP das auch kann.

[Olsche]

Man kann auch schlagzahlen nehmen und den seed in ein Stück edelstahlblech kloppen. 

[Jokin]

vor 1 Stunde schrieb Olsche:

Man kann auch schlagzahlen nehmen und den seed in ein Stück edelstahlblech kloppen. 

unverschluesselt?

[battlecore]

Solang man es im Tresor zuhause aufbewahrt ist das egal. Wenn es daraus geklaut wird sieht man es ja, weil kaputt. Dann kann man reagieren und schnell noch den Seed meinetwegen von Stick oder anderen Datenträgern nehmen um die Coins zu sichern und dann in eine neue Wallet zu transferieren die dann ja wieder einen neuen Seed hat. Man sichert seinen Seed ja nicht nur auf einem einzigen Medium.

Vermutlich weiss derzeit noch nicht jeder Vollhonk der wo einbricht was er mit einem Zettel oder Blechstück voller Ziffern machen soll. Wird sich natürlich auch mal ändern. Die durchreisenden Banden sind da vielleicht schon besser informiert.

Obwohl man mit Schlagzahlen ja einen beliebig langen Text hämmern kann. Also auch verschlüsselt. Dauert dann halt nur ein bissel

[Olsche]

Das Blech dann in drei Teile teilen und an verschiedenen Orten aufbewahren. 

Vielleicht.... 

[Gast]

Bin ja relativ neu hier und da langsam doch eine größere Menge Geld im Spiel ist mal eine dumme Frage. 
solange ich meinen Seed weiß komme ich immer an meine BTC ? 

[MixMax]

Ja!

Andere aber auch. Also denke immer an diese zwei Dinge!

- Sichern vor Fremdzugriff

- Sichern vor Verlusst

Bearbeitet 13. März 2020 von MixMax

[Gast]

vor 27 Minuten schrieb MixMax:

Ja!

Andere aber auch. Also denke immer an diese zwei Dinge!

- Sichern vor Fremdzugriff

- Sichern vor Verlusst

Danke für die kurze und schnelle Antwort ! 
 

das die 24 Wörter alles sind was man braucht fällt mir immer noch schwer zu glauben 😅

[Gast]

Haltet ihr bankschließfach für sinnvoll? 

[MixMax]

vor 49 Minuten schrieb Longbrearh:

Haltet ihr bankschließfach für sinnvoll? 

Um Gottes Willen, NEIN!

 

Kleiner Nachtrag, also es gibt Ausnahmen. Wenn man z.B. den Key aufteilen würde, also die Hälfte in der einen Bank und die andere Hälfte in einer ganz anderem Bank.

Oder, so was änliches halt, könnte ich mir vorstllen.

Bearbeitet 13. März 2020 von MixMax

[Fantasy]

vor 26 Minuten schrieb MixMax:

Oder, so was änliches halt, könnte ich mir vorstllen.

Hm, extra und nur wegen der anderen Hälfte ein weiteres Schließfach zu eröffnen, wäre auf Dauer richtig kostspielig.

@Jokin gibt doch recht gute Tipps für sowas. Ich meine mich zu erinnern, den Seed niemals im Original aufzubewahren, sondern zumindest einen kleinen "Fehler" absichtlich zu machen.

Z.B. die letzten zwei Wörter verdrehen o.ä. Irgendjemand muss aber (z.B. für den Todesfall) eingeweiht werden, sonst sind die Coins für immer weg.