o0Julia0o Posted April 11, 2019 Share Posted April 11, 2019 hi, wenn 24 Wörter einfach per Zufall zusammenstellt: https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt Erhält man dann auch eine Wallet, wenn man diese Wörter in den Trezor eingibt zur Wiederherstellung? "Recovery seed Trezor Wiki/Glossary/Trezor/Common device terms/ Recovery seed In cryptocurrencies, a recovery seed, or shortly seed, is a list of words in a specific order which store all the information needed to recover a wallet. Keeping the recovery seed private and safe is key for long-term safety of the user's cryptocurrency funds. Synonyms: recovery sentence, recovery phrase, mnemonic." q: https://wiki.trezor.io/Recovery_seed lieben Dank! 1 1 Link to comment Share on other sites More sharing options...
Jokin Posted April 11, 2019 Share Posted April 11, 2019 vor 20 Minuten schrieb o0Julia0o: Erhält man dann auch eine Wallet, wenn man diese Wörter in den Trezor eingibt zur Wiederherstellung? Nein. Du kannst 23 eigene Wörter nehmen, das 24. Wort muss jedoch genau das eine Wort sein mit dem die 24 Wörter auch den Prüfsummencheck bestehen. 1 2 Link to comment Share on other sites More sharing options...
o0Julia0o Posted April 11, 2019 Author Share Posted April 11, 2019 Ohja, danke. Gibt es einen Generator, wo man z.B. die ersten 12 Wörter fest angeben kann & der Generator dann die letzten 12 Wörter ausgibt. Das wären dann aber immer unterschiedliche Wörter, oder? Also zumindest unwahrscheinlich, dass wenn man die 1. 12 Wörter hat, er die nächsten 12 Wörter so auswählt, dass es immer die gleichen sind. 1 Link to comment Share on other sites More sharing options...
boardfreak Posted April 11, 2019 Share Posted April 11, 2019 (edited) "... Das wären dann aber immer unterschiedliche Wörter, oder? Also zumindest unwahrscheinlich, dass wenn man die 1. 12 Wörter hat, er die nächsten 12 Wörter so auswählt, dass es immer die gleichen sind ..." - learning by doing zum warmwerden: 12x ne 6 hintereinander würfeln danach legen wir die latte ETWAS höher damit du nicht vorher stirbst und etwas klolektüre https://www.deepdotweb.com/2017/06/09/bitcoin-brain-wallets-hackers-heaven/ Edited April 11, 2019 by boardfreak 1 Link to comment Share on other sites More sharing options...
Jokin Posted April 11, 2019 Share Posted April 11, 2019 vor einer Stunde schrieb o0Julia0o: Ohja, danke. Gibt es einen Generator, wo man z.B. die ersten 12 Wörter fest angeben kann & der Generator dann die letzten 12 Wörter ausgibt. Ja, das geht: https://kzen-networks.github.io/mnemonic-recovery/src/index.html innerhalb von 2 Minuten mit Google gefunden - hättest Du sicher auch gekonnt .... Zur Erklärung der Seite: Gib als Seed zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo ein - das sind 24 Wörter, aber der Seed ist ungültig, da die Prüfsumme nicht stimmt - die steckt im letzten Wort. Du kannst nun jedes beliebige Wort durch ein Fragezeichen austauschen und das Tool ermittelt Dir das Wort, welches notwendig ist damit der Seed die richtige Prüfsumme im letzten Wort stehen hat: zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo ? zoo zoo zoo zoo zoo zoo zoo es werden Dir einige Wörter vorgeschlagen, die zu einem gültigen Seed führen, der hier wäre zum Beispiel gültig: zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo clever zoo zoo zoo zoo zoo zoo zoo Auf diese Weise kannst Du auch die ersten zwölf Wörter selber festlegen oder eben auch gleich 23 der 24 Wörter. Diese Art der Seed-Generierung ist eine der unsichersten Arten - aber jeder wie er mag 🙂 1 1 2 Link to comment Share on other sites More sharing options...
o0Julia0o Posted April 11, 2019 Author Share Posted April 11, 2019 (edited) Genial - danke Dir Jokin! Warum ist das denn unsicher? Weil der Seitenbetreiber die Wörter mitscheiden könnte, nehme ich an. Aber man kann das Toll offline nutzen. Einfach die mnemonic-standalone.html von Github laden und offline ausführen. Dann hätte man das Problem ja nicht. vor einer Stunde schrieb boardfreak: und etwas klolektüre https://www.deepdotweb.com/2017/06/09/bitcoin-brain-wallets-hackers-heaven/ Ein Brain-Wallet ist doch das gleiche, von der Hackbarkeit wie ein Trezor-Wallet. Auch 24 Wörter. Verstehe den Sinn des Textes nicht. Warum ist ein Brain-Wallet (24 Wort-Phrase) unsicherer gegen Hacker als eine Hardware-Wallet welche man über eine 24-Wort-Phrase absichert? Edited April 11, 2019 by o0Julia0o 1 Link to comment Share on other sites More sharing options...
boardfreak Posted April 11, 2019 Share Posted April 11, 2019 "... Warum ..." - darum https://blog.zeit.de/mathe/allgemein/hoeness-mathe-steuern-steuerhinterziehung/ oder anders ausgedrückt: deine 12 wörter sind weniger zufällig als die 12 die die hardware ausspuckt 1 Link to comment Share on other sites More sharing options...
o0Julia0o Posted April 11, 2019 Author Share Posted April 11, 2019 Nur deswegen? Und wenn man nun solch einen Generator nutzt:https://rechneronline.de/zufallszahlen/ Um die Zahlen zu erstellen für die Zeile der Wortliste: https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt Und Dateienmässig ist das ja nicht mehr angreifbar dann mit dieser Github-Offline-Browserdatei. Oder übersehe ich da noch etwas? Link to comment Share on other sites More sharing options...
boardfreak Posted April 11, 2019 Share Posted April 11, 2019 "... Und wenn man ..." ... sich einfach die 24 ausgespuckten wörter in den kopp prügelt? 2 Link to comment Share on other sites More sharing options...
Tschaul Posted April 12, 2019 Share Posted April 12, 2019 Du kannst dir die Wörter auch per Würfel generieren und die Prüfsumme selbst berechnen, das ist imho die sicherste Art einen Schlüssel zu erzeugen. Hier steht drin wie man die Prüfsumme berechnet (https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki). Gemäß der Spec sollten die Wallets übrigens beim import einer falschen Prüfsumme nur warnen, es aber trotzdem erlauben. 2 2 Link to comment Share on other sites More sharing options...
o0Julia0o Posted April 12, 2019 Author Share Posted April 12, 2019 O.k., danke. Ist das die Berechnung? CS = ENT / 32 MS = (ENT + CS) / 11 | ENT | CS | ENT+CS | MS | +-------+----+--------+------+ | 128 | 4 | 132 | 12 | | 160 | 5 | 165 | 15 | | 192 | 6 | 198 | 18 | | 224 | 7 | 231 | 21 | | 256 | 8 | 264 | 24 | Also ich würfel mir per Zufallsgenerator die Zeilennummer der Wörter https://rechneronline.de/zufallszahlen/ Aus folgender Liste: https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt Aber nur 23 Wörter. Das letzte Wort muss ich mir also berechnen. Wie genau, verstehe ich aber nicht. Ist das für Normalos machbar? Oder braucht man dafür ein Mathestudium oder sowas? Link to comment Share on other sites More sharing options...
battlecore Posted April 12, 2019 Share Posted April 12, 2019 Das Problem ist das man sich selbst keine wirklich zufälligen Zahlen oder Wörter ausdenken kann. Die sind weit weniger zufällig als man meint. Zufallszahlen aus einem Generator sind ebenfalls nicht zufällig weil sie eben aus einem Generator sind der einen Algorithmus benutzt. Denn ein Computer kann nix zufällig, sondern immer nur genau berechnet. Die "zufälligen" Wörter einer Wallet sind aber zufällig genug in dieser großen Anzahl, also 24 Wörter. 1 Link to comment Share on other sites More sharing options...
o0Julia0o Posted April 12, 2019 Author Share Posted April 12, 2019 vor 4 Stunden schrieb battlecore: Zufallszahlen aus einem Generator sind ebenfalls nicht zufällig weil sie eben aus einem Generator sind der einen Algorithmus benutzt. Denn ein Computer kann nix zufällig, sondern immer nur genau berechnet. Wobei ja echter Zufall mittlerweile berechnet werden kann - ob das der Generator kann, ist die Frage. Aber dann schlag ich hier und da mal 7 oder 100 oder 1ne Zeile drauf oder ziehe sie ab & nehme dieses Wort dann. Die Hauptfrag ist, ob das Offline-Tool -> https://kzen-networks.github.io/mnemonic-recovery/src/index.html irgendwohin Daten schreibt, welche dann von mir, sobal dich onlinge gehe mit dem PC wieder ausgelesen werden können. Link to comment Share on other sites More sharing options...
battlecore Posted April 12, 2019 Share Posted April 12, 2019 vor 4 Stunden schrieb o0Julia0o: Wobei ja echter Zufall mittlerweile berechnet werden kann - ob das der Generator kann, ist die Frage. Aber dann schlag ich hier und da mal 7 oder 100 oder 1ne Zeile drauf oder ziehe sie ab & nehme dieses Wort dann. Die Hauptfrag ist, ob das Offline-Tool -> https://kzen-networks.github.io/mnemonic-recovery/src/index.html irgendwohin Daten schreibt, welche dann von mir, sobal dich onlinge gehe mit dem PC wieder ausgelesen werden können. Wenn du die html-Seite runterlädst kannst du genau sehen was alles an Dateien zu der Seite gehört. Auch alle javascript-dateien, falls die scripts nicht sowieso im Quellcode direct drinstehen zwischen <script> und <script\> Da siehst du ob irgendwas irgendwo hingeschickt wird, also externe internet-Adressen oder externe Scripts. Link to comment Share on other sites More sharing options...
o0Julia0o Posted April 12, 2019 Author Share Posted April 12, 2019 Jo, könnte aber auch lokal gespeichert werden. Und ein anderes Tool vom Angreifer - z.B. wenn man auf der Seite war, hat man es schon sich eingefangen, greift dann auf diesen Speicherort zu. Ich verstehe von Programmieren auch etwas weniger als 0,0 - von daher könnte ich das zumindest nicht sehen im Code. Ich wüßte nichtmal wie ich ihn öffne. F11, wenn die Datei geöffnet ist im Firefox-Browser? Vielleicht kann ja auch hier ein Programmierer Entwarnung geben für die Datei. Danke! Link to comment Share on other sites More sharing options...
Jokin Posted April 12, 2019 Share Posted April 12, 2019 vor einer Stunde schrieb o0Julia0o: Vielleicht kann ja auch hier ein Programmierer Entwarnung geben für die Datei. Danke! Das ist reines Javascript, da wird nix auf die Festplatte geschrieben. Lade die Webseite während Du online bist. Trenne Deine Internetverbindung zur Sicherheit Erledige Deine Arbeit mit der Seite. Schließe am Ende den Browser. Wenn Du paranoid bist, starte den Computer neu Und dann verbinde den Computer wieder mit dem Internet. 1 3 Link to comment Share on other sites More sharing options...
o0Julia0o Posted April 13, 2019 Author Share Posted April 13, 2019 (edited) Danke, dann werde ich das mal so machen, miit der Offline-Datei direkt von Github. Wobei Java-Script doch auch auf Festplatte etwas schreiben könnte, wenn man es so programmieren würde mit Java-Script. Ich kann halt den Code nicht verstehen(nichtmal finden). Und dann könnte der Angreifer mit einem zweiten Virus auf die Datei zugreifen, welche per Java-Script auf die Festplatte geschrieben wurde. Edited April 13, 2019 by o0Julia0o Link to comment Share on other sites More sharing options...
Jokin Posted April 13, 2019 Share Posted April 13, 2019 vor einer Stunde schrieb o0Julia0o: Wobei Java-Script doch auch auf Festplatte etwas schreiben könnte, wenn man es so programmieren würde mit Java-Script. Ich kenne keine Möglichkeit. 1 Link to comment Share on other sites More sharing options...
o0Julia0o Posted April 13, 2019 Author Share Posted April 13, 2019 (edited) Gut, danke Dir! Aber Cookies kann Java-Script schreiben. In solch ein Cookie könnten doch dann die Wörter ganz einfach gespeichert werden. Sind ja nicht viele Daten und wäre möglich: https://wiki.selfhtml.org/wiki/JavaScript/Tutorials/cookies Edited April 13, 2019 by o0Julia0o Link to comment Share on other sites More sharing options...
Jokin Posted April 13, 2019 Share Posted April 13, 2019 (edited) In dem Skript werden keine Cookies geschrieben, die wären von anderen Domains aus eh nicht auslesbar. Und klar, wenn man selber schon Schadsoftware auf dem PC hat, sollte es sich verbieten mit Seeds zu hantieren, oder?!? Mach es doch ganz kurz: ... wenn Du keine Ahnung hast, lass die Finger von Bitcoins. ... wenn Du mit Bitcoins hantieren willst, eigne Dir das notwendige Wissen an. ... nimm eine Risikoabschätzung vor um herauszufinden wieviel Infos du brauchst Edited April 13, 2019 by Jokin 1 Link to comment Share on other sites More sharing options...
Christoph Bergmann Posted April 16, 2019 Share Posted April 16, 2019 Gibt es nicht eine Bibliothek von einigen tausend Wörtern, die zugelassen sind? Theoretisch kann man zwar jedes Wort verwenden, aber ich glaube, die Wallets unterstützen nur einige. Link to comment Share on other sites More sharing options...
Jokin Posted April 16, 2019 Share Posted April 16, 2019 vor einer Stunde schrieb Christoph Bergmann: Gibt es nicht eine Bibliothek von einigen tausend Wörtern, die zugelassen sind? Theoretisch kann man zwar jedes Wort verwenden, aber ich glaube, die Wallets unterstützen nur einige. Ja: https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md Link to comment Share on other sites More sharing options...
Nick Simkop Posted April 16, 2019 Share Posted April 16, 2019 (edited) Am 12.4.2019 um 23:29 schrieb Jokin: Wenn Du paranoid bist, du kannst natürlich auch noch eine live-Distribution nehmen. Das ist Linux auf einer CD ober auf einem USB-Stick. Mit dieser CD startet du deinen, nicht mit dem Internet verbundenen Rechner. Deine Festplatte wird, wenn überhaupt nur lesend eingbunden, im Zweifelsfall kannst du sie auch ausstecken. Dann öffnest du dir deine zuvor auf einem USB-Stick gespeicherte html-Seite. Wenn du mit allem fertig bist, nimmst du die CD raus und startest danach wieder wie gewöhnlich deinen Rechner mit deinem Betriebssystem. Dein Wlan-Kabel kannst du jetzt auch wieder reinstecken. So mache ich das zumindest, wenn ich mir Paperwallets mache. Das hat den Vorteil, dass du das ganze auf einem Rechner machst, der nie mit dem Internet verbunden war und nie sein wird. Der einzige beschreibbare Speicher ist dein RAM, und der wird, wenn du den Rechner vom Stromnetz trennst, gelöscht. D.h. selbst wenn dein (live-)Betriebssystem kompromittiert wäre (z.B. key-logger, Trojaner, ...) können keine Daten deinen Rechner verlassen. Edited April 16, 2019 by Nick Simkop 2 Link to comment Share on other sites More sharing options...
Axiom0815 Posted April 16, 2019 Share Posted April 16, 2019 (edited) Zitat Dein Wlan-Kabel kannst du jetzt auch wieder reinstecken. Ich weiß, es ist bestimmt nur ein Schreibfehler, aber für die Mitlesenden: Selbstverständlich hat heute ein Notebook WLAN, Bluetooth usw. Hier liegen die Gefahren, wenn man es mal paranoid sieht. In soweit ist Dein WLAN-Kabel ein guter Aufhänger um den Lesern auf weitere Kanäle aufmerksam zu machen. Muss alles sicher deaktiviert werden. Axiom Edited April 16, 2019 by Axiom0815 1 Link to comment Share on other sites More sharing options...
o0Julia0o Posted April 17, 2019 Author Share Posted April 17, 2019 (edited) Ich denke, er hat es bewußt so als Hinweis geschrieben. Also um darauf Aufmerksam zu machen, dass man auch alle Zugänge wirklich sperr für den Zeitpunkt - am besten hardwaremässig(Router aus z.B.). Edited April 17, 2019 by o0Julia0o Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now