Bitcoin automatisch vererben durch Totmann-Schaltung

[bobby_x]

Hallo zusammen.

Hier ist ein Service, der eine Totmann-Schaltung anbietet: https://crypto-legacy.info

Die Verwendung ist kostenfrei und anonym.

[Gast]

vor 2 Stunden schrieb bobby_x:

Hallo zusammen.

Hier ist ein Service, der eine Totmann-Schaltung anbietet: https://crypto-legacy.info

Die Verwendung ist kostenfrei und anonym.

Und wenn der Dienstbetreiber stirbt/aufgibt oder was auch immer?

[..::. o.Z.o.n.e .::..]

Ich empfehle immer noch SecureSafe der DSwiss AG in Zürich. Vor allem würde ich nie einem Anbieter, wie dem oben genannten, trauen der kein Impressum hat. Never Ever! ;o))

[bobby_x]

vor 27 Minuten schrieb alica:

Und wenn der Dienstbetreiber stirbt/aufgibt oder was auch immer?

Redundanz ist hier eine Lösung. Es gibt sicher mehr als ein Anbieter nach diesem Prinzip. Sehr unwahrscheinlich, dass beide genau gleichzeitig aufgeben.

[..::. o.Z.o.n.e .::..]

vor 11 Minuten schrieb bobby_x:

Redundanz ist hier eine Lösung. Es gibt sicher mehr als ein Anbieter nach diesem Prinzip. Sehr unwahrscheinlich, dass beide genau gleichzeitig aufgeben.

Hast Du den Anbieter validiert? Vertraust Du ihm? Wenn ja, warum vertraust Du ihm? Hattest Du persönlichen Kontakt? Wie kommt es das Du ihn empfiehlst?

Fragen über Fragen. ;o))

[bobby_x]

vor 20 Minuten schrieb ..::. o.Z.o.n.e .::..:

Hast Du den Anbieter validiert? Vertraust Du ihm? Wenn ja, warum vertraust Du ihm? Hattest Du persönlichen Kontakt? Wie kommt es das Du ihn empfiehlst?

Fragen über Fragen. ;o))

Es ist so konzipiert, dass Vertrauen nicht notwendig ist. Die Seite ist von mir. Du sollst dort nicht deine Passwörter ablegen. Dein Crypto Key wird auf mindestens zwei Parteien verteilt (z.B. mit Multi-signature wallet). Muss man bei SecureSafe etwa dem Anbieter voll vertrauen? 

[Cricktor]

Bei https://crypto-legacy.info wäre ich auch skeptisch, vor allem: womit finanziert sich der "Service"? Nur aus Spenden, wie in der Docu der Anschein erweckt wird?

Niemals würde ich da auch nur Irgendwas unverschlüsselt hinterlegen.

Zu Services und Totmann-Mechanismen: ich bin skeptisch, wenn da "unsichere" Systeme wie Webseiten, Email usw. involviert sind. Da kann ungeplant allerhand schief gehen (z.B. ein Zertifikatswechsel macht Zicken, was dazu führt, daß Email nicht oder schlecht transportiert wird; ihr denkt, sowas passiert nicht? Träumt weiter...). Man kann auch zum ungünstigen Zeitpunkt für Wochen ins Krankenhaus kommen z.B., es gibt kaum etwas, was nicht passieren könnte.

Das Thema habe ich in meiner eigenen persönlichen Situation seit 2020 verstärkt auf'm Schirm, bin allerdings etwas träge mit der Risikoanalyse und der Ausarbeitung eines möglichst sicheren Schemas für mich und meine Lieben. Noch bin ich überzeugt, daß man das mit guter Planung, Dokumentation und Analyse auch ohne Automatismen sicher und zuverlässig hinbekommt. Die Hoffnung stirbt zuletzt...

@bobby_x Sind die Models mit Poser gerendert?

Bearbeitet 3. Februar 2022 von Cricktor

[bobby_x]

vor 9 Minuten schrieb Cricktor:

Bei https://crypto-legacy.info wäre ich auch skeptisch, vor allem: womit finanziert sich der "Service"? Nur aus Spenden, wie in der Docu der Anschein erweckt wird?

Niemals würde ich da auch nur Irgendwas unverschlüsselt hinterlegen.

Zu Services und Totmann-Mechanismen: ich bin skeptisch, wenn da "unsichere" Systeme wie Webseiten, Email usw. involviert sind. Da kann ungeplant allerhand schief gehen (z.B. ein Zertifikatswechsel macht Zicken, was dazu führt, daß Email nicht oder schlecht transportiert wird; ihr denkt, sowas passiert nicht? Träumt weiter...). Man kann auch zum ungünstigen Zeitpunkt für Wochen ins Krankenhaus kommen z.B., es gibt kaum etwas, was nicht passieren könnte.

Das Thema habe ich in meiner eigenen persönlichen Situation seit 2020 verstärkt auf'm Schirm, bin allerdings etwas träge mit der Risikoanalyse und der Ausarbeitung eines möglichst sicheren Schemas für mich und meine Lieben. Noch bin ich überzeugt, daß man das mit guter Planung, Dokumentation und Analyse auch ohne Automatismen sicher und zuverlässig hinbekommt. Die Hoffnung stirbt zuletzt...

Ja, ist Spenden-finanziert. Es sollen dort keine Daten hinterlegt werden, die den Zugriff auf die Wallet direkt ermöglichen. Hier ist die Doku: https://crypto-legacy.info/docs

Die Models sind mit Daz3D gerendert.

Bearbeitet 3. Februar 2022 von bobby_x

[Cricktor]

Beeindruckende Coin-Bewegungen auf der Bitcoin-Spenden-Adresse 3JUCr4UE9A7BELo661z729DehC4jgkqnVk ...

Da haben potentielle Spender aber recht dicke Spendierhosen an. Es sei dir gegönnt.

[bobby_x]

vor 6 Minuten schrieb Cricktor:

Beeindruckende Coin-Bewegungen auf der Bitcoin-Spenden-Adresse 3JUCr4UE9A7BELo661z729DehC4jgkqnVk ...

Da haben potentielle Spender aber recht dicke Spendierhosen an. Es sei dir gegönnt.

Eben. Also braucht ihr keine Angst zu haben, dass die Seite morgen weg ist.

[Fantasy]

vor 27 Minuten schrieb bobby_x:

vor 50 Minuten schrieb ..::. o.Z.o.n.e .::..:

Hast Du den Anbieter validiert? Vertraust Du ihm? Wenn ja, warum vertraust Du ihm? Hattest Du persönlichen Kontakt? Wie kommt es das Du ihn empfiehlst?

Fragen über Fragen. ;o))

Es ist so konzipiert, dass Vertrauen nicht notwendig ist. Die Seite ist von mir. Du sollst dort nicht deine Passwörter ablegen. Dein Crypto Key wird auf mindestens zwei Parteien verteilt (z.B. mit Multi-signature wallet). Muss man bei SecureSafe etwa dem Anbieter voll vertrauen? 

OK, Punkt für dich. Auch SecureSafe wirbt damit, dass sie keinen Zugriff auf die Sachen hätten und auch keine Passwörter zurücksetzen können.

 

Dann die nächste Frage, warum sollen wir zu dir gehen und nicht zu SecureSafe? Was machst du anders, was ist dein Alleinstellungsmerkmal? Du musst ja zugeben, dass ein Unternehmen mit Sitz in der Schweiz schon eher vertrauenswürdiger ist (ja ich weiß, wir müssen nicht vertrauen) als eine Seite ohne solche Angaben?

[..::. o.Z.o.n.e .::..]

vor 12 Minuten schrieb bobby_x:

Eben. Also braucht ihr keine Angst zu haben, dass die Seite morgen weg ist.

Danke für Deine Erklärungen. Warum hast Du nicht erwähnt das es Deine Seite ist?

Wirst Du die Seite weiter entwickeln? 2FA über OTP und PGP für die mails wär toll.

Wärst Du bereit Dein Werkzeug für Leute offenzulegen damit sie es auf ihrem Raspi selbst nutzen können?

Vielleicht würde das Vertrauen schaffen. ;o))

Danke.

[bobby_x]

vor 2 Minuten schrieb Fantasy:

OK, Punkt für dich. Auch SecureSafe wirbt damit, dass sie keinen Zugriff auf die Sachen hätten und auch keine Passwörter zurücksetzen können.

 

Dann die nächste Frage, warum sollen wir zu dir gehen und nicht zu SecureSafe? Was machst du anders, was ist dein Alleinstellungsmerkmal? Du musst ja zugeben, dass ein Unternehmen mit Sitz in der Schweiz schon eher vertrauenswürdiger ist (ja ich weiß, wir müssen nicht vertrauen) als eine Seite ohne solche Angaben?

Ich bin auch in der Schweiz 

Jeder Anbieter hat bestimmte Vor- und Nachteile und Alleinstellungsmerkmale. crypto-legacy ist kostenfrei und anonym. Beides ist bei SecureSafe nicht gegeben. Das einzige, was ich über meine Kunden weiss, ist ihre e-Mail Addresse. Der Mechanismus zum Vererben ist recht einfach. Wenn der Kunde den Eingang seiner "health check" e-Mails über längeren Zeitraum nicht bestätigt, schlägt der Vererbungs-Mechanismus zu. Ich vermute, bei SecureSafe muss urkundlich bewiesen werden, dass jemand gestorben ist.

[koiram]

vor 3 Minuten schrieb bobby_x:

Der Mechanismus zum Vererben ist recht einfach. Wenn der Kunde den Eingang seiner "health check" e-Mails über längeren Zeitraum nicht bestätigt, schlägt der Vererbungs-Mechanismus zu.

Könnte man den Erben auch theoretisch eine völlig frei zu wählende Nachricht schicken wie z.B. "Seed liegt unter der Fußmatte" oder so?

Und wird die so verschlüsselt, dass der Betreiber (also du) die theoretisch lesen könntest, oder nicht?

Bearbeitet 3. Februar 2022 von koiram

[bobby_x]

vor 6 Minuten schrieb koiram:

Könnte man den Erben auch theoretisch eine völlig frei zu wählende Nachricht schicken wie z.B. "Seed liegt unter der Fußmatte" oder so?

Und wird die so verschlüsselt, dass der Betreiber (also du) die theoretisch lesen könntest, oder nicht?

Ja, es ist möglich, die Nachricht "Seed liegt unter der Fußmatte" an die Erben zu versenden. Derzeit werden die Daten in einer Datenbank abgelegt. Ich habe die Möglichkeit, an diese Daten zu gelangen - ansonsten könnte man die Daten später auch nicht per eMail verschicken.

Es ist möglich, eine passwortgeschützte zip-Datei als Anhang zu versenden. Als Seitenbetreiber könnte ich die Datei wegen des Passwortschutzes nicht öffnen. Die Erben erhalten die zip-Datei nach deinem Tod. In der Zip-Datei könnte dann ein Text stehen wie "Seed ist under der Fussmatte"

Bearbeitet 3. Februar 2022 von bobby_x

[..::. o.Z.o.n.e .::..]

vor 9 Minuten schrieb bobby_x:

Beides ist bei SecureSafe nicht gegeben.

Das stimmt nicht. Es gibt keine Notwendigkeit irgend welche Daten außer den emails anzugeben. — Es gibt sogar einen kostenlosen Account. ;o))

vor 10 Minuten schrieb bobby_x:

Ich vermute, bei SecureSafe muss urkundlich bewiesen werden, dass jemand gestorben ist.

Diese Vermutung ist falsch. Du erstellst einen Recovery-Code ala FRTG-3FH6-36JH-44AS-25DL. Diesen Code gibst Du weiter an wen auch immer, oder hinterlegst ihn bei einem Notar. Wenn dieser Code eingegeben wird, dann wird versucht dich über 90 Tage hinweg zu kontaktieren. Reagierst Du innerhalb dieser Zeit nicht wird der Account freigegeben. ;o))

[bobby_x]

vor 13 Minuten schrieb ..::. o.Z.o.n.e .::..:

Danke für Deine Erklärungen. Warum hast Du nicht erwähnt das es Deine Seite ist?

Wirst Du die Seite weiter entwickeln? 2FA über OTP und PGP für die mails wär toll.

Wärst Du bereit Dein Werkzeug für Leute offenzulegen damit sie es auf ihrem Raspi selbst nutzen können?

Vielleicht würde das Vertrauen schaffen. ;o))

Danke.

Danke für dein Vorschlag / Feedback. Ja, es wird noch weiter entwickelt.

Ich hatte bislang nicht vor, das Projekt open source zu machen, oder z.B. es als Docker image anzubieten. Ich werde es mir überlegen - den Raspi zu Hause mit Totmannschaltung finde ich gut.

[..::. o.Z.o.n.e .::..]

vor 1 Minute schrieb bobby_x:

Danke für dein Vorschlag / Feedback. Ja, es wird noch weiter entwickelt.

Ich hatte bislang nicht vor, das Projekt open source zu machen, oder z.B. es als Docker image anzubieten. Ich werde es mir überlegen - den Raspi zu Hause mit Totmannschaltung finde ich gut.

Danke dafür das Du es in Erwägung ziehst.

Ich denke Du würdest damit viel mehr Menschen erreichen und glücklich machen.

Vor allem wenn dieses Project gepflegt wird und auch andere partizipieren können.

Und es soll Dein Schaden nicht sein. ;o))

[HansWurst80]

vor 16 Minuten schrieb bobby_x:

Ja, es ist möglich, die Nachricht "Seed liegt unter der Fußmatte" an die Erben zu versenden. Derzeit werden die Daten in einer Datenbank abgelegt. Ich habe die Möglichkeit, an diese Daten zu gelangen - ansonsten könnte man die Daten später auch nicht per eMail verschicken.

Es ist möglich, eine passwortgeschützte zip-Datei als Anhang zu versenden. Als Seitenbetreiber könnte ich die Datei wegen des Passwortschutzes nicht öffnen. Die Erben erhalten die zip-Datei nach deinem Tod. In der Zip-Datei könnte dann ein Text stehen wie "Seed ist under der Fussmatte"

Also ich habe keine Ahnung vom Programmieren, aber wenn ich sehe, wie ein Bekannter passwortgeschützte ZIP-Dateien mit einem Editor in 5 Minuten öffnet, habe ich da so meine Zweifel, was die Sicherheit angeht. Wie stelle ich mir das vor?

[..::. o.Z.o.n.e .::..]

vor 20 Minuten schrieb HansWurst80:

Also ich habe keine Ahnung vom Programmieren, aber wenn ich sehe, wie ein Bekannter passwortgeschützte ZIP-Dateien mit einem Editor in 5 Minuten öffnet, habe ich da so meine Zweifel, was die Sicherheit angeht. Wie stelle ich mir das vor?

Meine klare Empfehlung ist es, die Datei lieber mit einem eigenen GnuPG-Schlüssel zu verschlüsseln und nicht mit irgend welchen internen Optionen. ;o))

*edit: btw. hashcat is a badass —> klick!

PS. Da die meisten Menschen sehr schlechte und viel zu kurze Passwörter benutzen kann z.B. hashcat helfen ein 7-Zip Archive zu knacken.

PPS. Im Netz gibt es irgenwo einen blog, der schön beschreibt wie sogar Apples FileVault per brutforce zu bezwingen ist. ; P

Bearbeitet 3. Februar 2022 von ..::. o.Z.o.n.e .::..
Typo … + edit and PS, PPS

[..::. o.Z.o.n.e .::..]

vor 38 Minuten schrieb bobby_x:

Danke für dein Vorschlag / Feedback. Ja, es wird noch weiter entwickelt.

Ich hatte bislang nicht vor, das Projekt open source zu machen, oder z.B. es als Docker image anzubieten. Ich werde es mir überlegen - den Raspi zu Hause mit Totmannschaltung finde ich gut.

Da fällt mir eine weitere Option ein, denn Dezentralität ist doch ein Thema.

Warum nicht den Service z.B. über IPFS oder ZeroNet anbieten?

Kein zentraler Server der ausfallen kann.

Keine gesperrte Domain.

Nur eine Idee. ;o))

[..::. o.Z.o.n.e .::..]

@bobby_x

FYI ... Beim klicken auf den Link in der email, um zu bestätigen das ich noch lebe, kommt ein Server Error 500! ; P

 

{"statusCode":500,"message":"Internal server error"}

 

[bobby_x]

vor 1 Stunde schrieb ..::. o.Z.o.n.e .::..:

@bobby_x

FYI ... Beim klicken auf den Link in der email, um zu bestätigen das ich noch lebe, kommt ein Server Error 500! ; P

 

{"statusCode":500,"message":"Internal server error"}

 

Danke für's Melden. Das Problem ist jetzt behoben. 

[bobby_x]

Hallo zusammen.

Vielen Dank für die Rückmeldung zu crypto-legacy. 

Die Hauptkritikpunkte waren:
-mangelnde Transparenz
-Gefahr von Datenverlust 
-Kein Vertrauen in Zip-Verschlüsselung
-Gefahr von social engineering

Um diese Kritikpunkte zu lösen, wurde folgendes umgesetzt:
-die Quellcode der Website (das Frontend) ist nun open source.
Jeder mit Programmierkenntnissen kann sich vergewissern, dass die Website das tut, was behauptet wird.
-Daten können wahlweise im interplanetary file system oder einem google cloud storage abgelegt werden.
Dies ermöglicht eine Datenredundanz in zwei unabhängige Systeme. ipfs ist auch dann noch erreichbar, 
wenn die website selbst down ist.
-alle Daten werden lokal im browser mit der Standard Web Cryptography API verschlüsselt. Es werden nur verschlüsselte
Daten hochgeladen. Das Passwort zur Verschlüsselung wird nirgends gespeichert (nachprüfbar im Quellcode).
-Um social engineering zu unterbinden, werden die email Adressen der Erben nicht mehr hinterlegt.
Der Dead man switch wird durch die Erben mittels eines access codes ausgelöst.

Die Website eignet nun sowohl zum Vererben privater Daten als auch zum Speichern / Verwalten privater Daten.
Die Seite ist hier: https://my-legacy.rocks zu erreichen und ist in der Test- / beta-phase.

 

@..::. o.Z.o.n.e .::..: Danke für deine hilfreichen Vorschläge. Das Hosten der Website selbst im ipfs wäre möglich, der Server
kann dort jedoch nicht betrieben werden, da im ipfs nur Daten abgelegt, aber keine Anwendungen betrieben werden können. 
Der Servercode ist derzeit nicht open source. Es dürfte auch schwierig sein, den server selbst zum
laufen zu bekommen, aufgrund der Abhängigkeiten (gmail api, userfront account, pinata account, google cloud storage, datenbank).

Bearbeitet 10. März 2022 von bobby_x

[..::. o.Z.o.n.e .::..]

Am 10.3.2022 um 12:30 schrieb bobby_x:

Das Hosten der Website selbst im ipfs wäre möglich, der Server
kann dort jedoch nicht betrieben werden, da im ipfs nur Daten abgelegt, aber keine Anwendungen betrieben werden können. 
Der Servercode ist derzeit nicht open source. Es dürfte auch schwierig sein, den server selbst zum
laufen zu bekommen, aufgrund der Abhängigkeiten (gmail api, userfront account, pinata account, google cloud storage, datenbank).

Danke für Deine Mühe und Zeit. – Falls Du irgend wann doch auf die Idee kommen solltest alles Open Source zu veröffentlichen wäre es grandios.

Vielleicht hast Du auch die Muße, dein Projekt als Umbrel-App zu gestalten und zu veröffentlichen. Dann könnte jeder, der will, sein Erbe selbst verwalten.

 

@bobby_x Danke für alles! ;o))