Zum Inhalt springen

Recovery Seed - einfach irgendwelche Wörter ergeben auch eine Wallet?

o0Julia0o
 Teilen

Empfohlene Beiträge

o0Julia0o

o0Julia0o

Geschrieben
Geschrieben

hi,

 

wenn 24 Wörter einfach per Zufall zusammenstellt: https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt

Erhält man dann auch eine Wallet, wenn man diese Wörter in den Trezor eingibt zur Wiederherstellung?

"Recovery seed

In cryptocurrencies, a recovery seed, or shortly seed, is a list of words in a specific order which store all the information needed to recover a wallet. Keeping the recovery seed private and safe is key for long-term safety of the user's cryptocurrency funds. Synonyms: recovery sentence, recovery phrase, mnemonic."

q: https://wiki.trezor.io/Recovery_seed

lieben Dank!

  • Sad 1
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Jokin

Jokin

Geschrieben
Geschrieben
vor 20 Minuten schrieb o0Julia0o:

Erhält man dann auch eine Wallet, wenn man diese Wörter in den Trezor eingibt zur Wiederherstellung?

Nein.

Du kannst 23 eigene Wörter nehmen, das 24. Wort muss jedoch genau das eine Wort sein mit dem die 24 Wörter auch den Prüfsummencheck bestehen.

  • Confused 1
  • Like 2
Link zu diesem Kommentar
Auf anderen Seiten teilen
o0Julia0o

o0Julia0o

Geschrieben
  • Autor
Geschrieben

Ohja, danke. Gibt es einen Generator, wo man z.B. die ersten 12 Wörter fest angeben kann & der Generator dann die letzten 12 Wörter ausgibt.

 

Das wären dann aber immer unterschiedliche Wörter, oder? Also zumindest unwahrscheinlich, dass wenn man die 1. 12 Wörter hat, er die nächsten 12 Wörter so auswählt, dass es immer die gleichen sind.

  • Confused 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
boardfreak

boardfreak

Geschrieben
Geschrieben (bearbeitet)

"... Das wären dann aber immer unterschiedliche Wörter, oder? Also zumindest unwahrscheinlich, dass wenn man die 1. 12 Wörter hat, er die nächsten 12 Wörter so auswählt, dass es immer die gleichen sind ..." - learning by doing ;) zum warmwerden: 12x ne 6 hintereinander würfeln ;) danach legen wir die latte ETWAS höher damit du nicht vorher stirbst ;)

und etwas klolektüre ;)  https://www.deepdotweb.com/2017/06/09/bitcoin-brain-wallets-hackers-heaven/

Bearbeitet von boardfreak
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Jokin

Jokin

Geschrieben
Geschrieben
vor einer Stunde schrieb o0Julia0o:

Ohja, danke. Gibt es einen Generator, wo man z.B. die ersten 12 Wörter fest angeben kann & der Generator dann die letzten 12 Wörter ausgibt.

 

Ja, das geht:

https://kzen-networks.github.io/mnemonic-recovery/src/index.html

innerhalb von 2 Minuten mit Google gefunden - hättest Du sicher auch gekonnt ....

Zur Erklärung der Seite:

Gib als Seed 

zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo

ein - das sind 24 Wörter, aber der Seed ist ungültig, da die Prüfsumme nicht stimmt - die steckt im letzten Wort.

Du kannst nun jedes beliebige Wort durch ein Fragezeichen austauschen und das Tool ermittelt Dir das Wort, welches notwendig ist damit der Seed die richtige Prüfsumme im letzten Wort stehen hat:

zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo ? zoo zoo zoo zoo zoo zoo zoo

es werden Dir einige Wörter vorgeschlagen, die zu einem gültigen Seed führen, der hier wäre zum Beispiel gültig:

zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo clever zoo zoo zoo zoo zoo zoo zoo

Auf diese Weise kannst Du auch die ersten zwölf Wörter selber festlegen oder eben auch gleich 23 der 24 Wörter.

Diese Art der Seed-Generierung ist eine der unsichersten Arten - aber jeder wie er mag 🙂

  • Haha 1
  • Thanks 1
  • Like 2
Link zu diesem Kommentar
Auf anderen Seiten teilen
o0Julia0o

o0Julia0o

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Genial - danke Dir Jokin! Warum ist das denn unsicher? Weil der Seitenbetreiber die Wörter mitscheiden könnte, nehme ich an. Aber man kann das Toll offline nutzen. Einfach die mnemonic-standalone.html von Github laden und offline ausführen. Dann hätte man das Problem ja nicht.

 

vor einer Stunde schrieb boardfreak:

und etwas klolektüre ;)  https://www.deepdotweb.com/2017/06/09/bitcoin-brain-wallets-hackers-heaven/


Ein Brain-Wallet ist doch das gleiche, von der Hackbarkeit wie ein Trezor-Wallet. Auch 24 Wörter. Verstehe den Sinn des Textes nicht. Warum ist ein Brain-Wallet (24 Wort-Phrase) unsicherer gegen Hacker als eine Hardware-Wallet welche man über eine 24-Wort-Phrase absichert?

Bearbeitet von o0Julia0o
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
o0Julia0o

o0Julia0o

Geschrieben
  • Autor
Geschrieben

Nur deswegen? Und wenn man nun solch einen Generator nutzt:https://rechneronline.de/zufallszahlen/

Um die Zahlen zu erstellen für die Zeile der Wortliste: https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt

 

Und Dateienmässig ist das ja nicht mehr angreifbar dann mit dieser Github-Offline-Browserdatei. Oder übersehe ich da noch etwas?

Link zu diesem Kommentar
Auf anderen Seiten teilen
Tschaul

Tschaul

Geschrieben
Geschrieben

Du kannst dir die Wörter auch per Würfel generieren und die Prüfsumme selbst berechnen, das ist imho die sicherste Art einen Schlüssel zu erzeugen.

Hier steht drin wie man die Prüfsumme berechnet (https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki). Gemäß der Spec sollten die Wallets übrigens beim import einer falschen Prüfsumme nur warnen, es aber trotzdem erlauben.

  • Thanks 2
  • Like 2
Link zu diesem Kommentar
Auf anderen Seiten teilen
o0Julia0o

o0Julia0o

Geschrieben
  • Autor
Geschrieben 
O.k., danke. Ist das die Berechnung?

CS = ENT / 32
MS = (ENT + CS) / 11

|  ENT  | CS | ENT+CS |  MS  |
+-------+----+--------+------+
|  128  |  4 |   132  |  12  |
|  160  |  5 |   165  |  15  |
|  192  |  6 |   198  |  18  |
|  224  |  7 |   231  |  21  |
|  256  |  8 |   264  |  24  |

Also ich würfel mir per Zufallsgenerator die Zeilennummer der Wörter https://rechneronline.de/zufallszahlen/

Aus folgender Liste: https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt

Aber nur 23 Wörter. Das letzte Wort muss ich mir also berechnen. Wie genau, verstehe ich aber nicht. Ist das für Normalos machbar? Oder braucht man dafür ein Mathestudium oder sowas?

 

Link zu diesem Kommentar
Auf anderen Seiten teilen
battlecore

battlecore

Geschrieben
Geschrieben

Das Problem ist das man sich selbst keine wirklich zufälligen Zahlen oder Wörter ausdenken kann. Die sind weit weniger zufällig als man meint.

Zufallszahlen aus einem Generator sind ebenfalls nicht zufällig weil sie eben aus einem Generator sind der einen Algorithmus benutzt. Denn ein Computer kann nix zufällig, sondern immer nur genau berechnet.

Die "zufälligen" Wörter einer Wallet sind aber zufällig genug in dieser großen Anzahl, also 24 Wörter.

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
o0Julia0o

o0Julia0o

Geschrieben
  • Autor
Geschrieben
vor 4 Stunden schrieb battlecore:

Zufallszahlen aus einem Generator sind ebenfalls nicht zufällig weil sie eben aus einem Generator sind der einen Algorithmus benutzt. Denn ein Computer kann nix zufällig, sondern immer nur genau berechnet.

Wobei ja echter Zufall mittlerweile berechnet werden kann - ob das der Generator kann, ist die Frage. Aber dann schlag ich hier und da mal 7 oder 100 oder 1ne Zeile drauf oder ziehe sie ab & nehme dieses Wort dann.

 

Die Hauptfrag ist, ob das Offline-Tool -> https://kzen-networks.github.io/mnemonic-recovery/src/index.html irgendwohin Daten schreibt, welche dann von mir, sobal dich onlinge gehe mit dem PC wieder ausgelesen werden können.

Link zu diesem Kommentar
Auf anderen Seiten teilen
battlecore

battlecore

Geschrieben
Geschrieben
vor 4 Stunden schrieb o0Julia0o:

Wobei ja echter Zufall mittlerweile berechnet werden kann - ob das der Generator kann, ist die Frage. Aber dann schlag ich hier und da mal 7 oder 100 oder 1ne Zeile drauf oder ziehe sie ab & nehme dieses Wort dann.

 

Die Hauptfrag ist, ob das Offline-Tool -> https://kzen-networks.github.io/mnemonic-recovery/src/index.html irgendwohin Daten schreibt, welche dann von mir, sobal dich onlinge gehe mit dem PC wieder ausgelesen werden können.

Wenn du die html-Seite runterlädst kannst du genau sehen was alles an Dateien zu der Seite gehört. Auch alle javascript-dateien, falls die scripts nicht sowieso im Quellcode direct drinstehen zwischen <script> und <script\>

Da siehst du ob irgendwas irgendwo hingeschickt wird, also externe internet-Adressen oder externe Scripts.

Link zu diesem Kommentar
Auf anderen Seiten teilen
o0Julia0o

o0Julia0o

Geschrieben
  • Autor
Geschrieben

Jo, könnte aber auch lokal gespeichert werden. Und ein anderes Tool vom Angreifer - z.B. wenn man auf der Seite war, hat man es schon sich eingefangen, greift dann auf diesen Speicherort zu. Ich verstehe von Programmieren auch etwas weniger als 0,0 - von daher könnte ich das zumindest nicht sehen im Code. Ich wüßte nichtmal wie ich ihn öffne. F11, wenn die Datei geöffnet ist im Firefox-Browser? Vielleicht kann ja auch hier ein Programmierer Entwarnung geben für die Datei. Danke!

Link zu diesem Kommentar
Auf anderen Seiten teilen
Jokin

Jokin

Geschrieben
Geschrieben
vor einer Stunde schrieb o0Julia0o:

Vielleicht kann ja auch hier ein Programmierer Entwarnung geben für die Datei. Danke!

Das ist reines Javascript, da wird nix auf die Festplatte geschrieben.

Lade die Webseite während Du online bist.

Trenne Deine Internetverbindung zur Sicherheit

Erledige Deine Arbeit mit der Seite.

Schließe am Ende den Browser.

Wenn Du paranoid bist, starte den Computer neu

Und dann verbinde den Computer wieder mit dem Internet.

 

  • Thanks 1
  • Like 3
Link zu diesem Kommentar
Auf anderen Seiten teilen
o0Julia0o

o0Julia0o

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Danke, dann werde ich das mal so machen, miit der Offline-Datei direkt von Github. Wobei Java-Script doch auch auf Festplatte etwas schreiben könnte, wenn man es so programmieren würde mit Java-Script. Ich kann halt den Code nicht verstehen(nichtmal finden). Und dann könnte der Angreifer mit einem zweiten Virus auf die Datei zugreifen, welche per Java-Script auf die Festplatte geschrieben wurde.

Bearbeitet von o0Julia0o
Link zu diesem Kommentar
Auf anderen Seiten teilen
Jokin

Jokin

Geschrieben
Geschrieben (bearbeitet)

In dem Skript werden keine Cookies geschrieben, die wären von anderen Domains aus eh nicht auslesbar.

Und klar, wenn man selber schon Schadsoftware auf dem PC hat, sollte es sich verbieten mit Seeds zu hantieren, oder?!?

Mach es doch ganz kurz:

... wenn Du keine Ahnung hast, lass die Finger von Bitcoins.

... wenn Du mit Bitcoins hantieren willst, eigne Dir das notwendige Wissen an.

... nimm eine Risikoabschätzung vor um herauszufinden wieviel Infos du brauchst

Bearbeitet von Jokin
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Nick Simkop

Nick Simkop

Geschrieben
Geschrieben (bearbeitet)
Am 12.4.2019 um 23:29 schrieb Jokin:

Wenn Du paranoid bist,

du kannst natürlich auch noch eine live-Distribution nehmen. Das ist Linux auf einer CD ober auf einem USB-Stick. Mit dieser CD startet du deinen, nicht mit dem Internet verbundenen Rechner. Deine Festplatte wird, wenn überhaupt nur lesend eingbunden, im Zweifelsfall kannst du sie auch ausstecken. Dann öffnest du dir deine zuvor auf einem USB-Stick gespeicherte html-Seite.

Wenn du mit allem fertig bist, nimmst du die CD raus und startest danach wieder wie gewöhnlich deinen Rechner mit deinem Betriebssystem. Dein Wlan-Kabel kannst du jetzt auch wieder reinstecken.

So mache ich das zumindest, wenn ich mir Paperwallets mache.

Das hat den Vorteil, dass du das ganze auf einem Rechner machst, der nie mit dem Internet verbunden war und nie sein wird. Der einzige beschreibbare Speicher ist dein RAM, und der wird, wenn du den Rechner vom Stromnetz trennst, gelöscht. D.h. selbst wenn dein (live-)Betriebssystem kompromittiert wäre (z.B. key-logger, Trojaner, ...) können keine Daten deinen Rechner verlassen.

Bearbeitet von Nick Simkop
  • Like 2
Link zu diesem Kommentar
Auf anderen Seiten teilen
Axiom0815

Axiom0815

Geschrieben
Geschrieben (bearbeitet)

 

Zitat

Dein Wlan-Kabel kannst du jetzt auch wieder reinstecken.

Ich weiß, es ist bestimmt nur ein Schreibfehler, aber für die Mitlesenden:

Selbstverständlich hat heute ein Notebook WLAN, Bluetooth usw. Hier liegen die Gefahren, wenn man es mal paranoid sieht.

In soweit ist Dein WLAN-Kabel ein guter Aufhänger um den Lesern auf weitere Kanäle aufmerksam zu machen. Muss alles sicher deaktiviert werden. 

Axiom

 

Bearbeitet von Axiom0815
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
o0Julia0o

o0Julia0o

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Ich denke, er hat es bewußt so als Hinweis geschrieben. Also um darauf Aufmerksam zu machen, dass man auch alle Zugänge wirklich sperr für den Zeitpunkt - am besten hardwaremässig(Router aus z.B.).

Bearbeitet von o0Julia0o
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.