Jump to content
o0Julia0o

Recovery Seed - einfach irgendwelche Wörter ergeben auch eine Wallet?

Empfohlene Beiträge

hi,

 

wenn 24 Wörter einfach per Zufall zusammenstellt: https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt

Erhält man dann auch eine Wallet, wenn man diese Wörter in den Trezor eingibt zur Wiederherstellung?

"Recovery seed

In cryptocurrencies, a recovery seed, or shortly seed, is a list of words in a specific order which store all the information needed to recover a wallet. Keeping the recovery seed private and safe is key for long-term safety of the user's cryptocurrency funds. Synonyms: recovery sentence, recovery phrase, mnemonic."

q: https://wiki.trezor.io/Recovery_seed

lieben Dank!

  • Sad 1
  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 20 Minuten schrieb o0Julia0o:

Erhält man dann auch eine Wallet, wenn man diese Wörter in den Trezor eingibt zur Wiederherstellung?

Nein.

Du kannst 23 eigene Wörter nehmen, das 24. Wort muss jedoch genau das eine Wort sein mit dem die 24 Wörter auch den Prüfsummencheck bestehen.

  • Confused 1
  • Like 2

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ohja, danke. Gibt es einen Generator, wo man z.B. die ersten 12 Wörter fest angeben kann & der Generator dann die letzten 12 Wörter ausgibt.

 

Das wären dann aber immer unterschiedliche Wörter, oder? Also zumindest unwahrscheinlich, dass wenn man die 1. 12 Wörter hat, er die nächsten 12 Wörter so auswählt, dass es immer die gleichen sind.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

"... Das wären dann aber immer unterschiedliche Wörter, oder? Also zumindest unwahrscheinlich, dass wenn man die 1. 12 Wörter hat, er die nächsten 12 Wörter so auswählt, dass es immer die gleichen sind ..." - learning by doing ;) zum warmwerden: 12x ne 6 hintereinander würfeln ;) danach legen wir die latte ETWAS höher damit du nicht vorher stirbst ;)

und etwas klolektüre ;)  https://www.deepdotweb.com/2017/06/09/bitcoin-brain-wallets-hackers-heaven/

bearbeitet von boardfreak

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor einer Stunde schrieb o0Julia0o:

Ohja, danke. Gibt es einen Generator, wo man z.B. die ersten 12 Wörter fest angeben kann & der Generator dann die letzten 12 Wörter ausgibt.

 

Ja, das geht:

https://kzen-networks.github.io/mnemonic-recovery/src/index.html

innerhalb von 2 Minuten mit Google gefunden - hättest Du sicher auch gekonnt ....

Zur Erklärung der Seite:

Gib als Seed 

zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo

ein - das sind 24 Wörter, aber der Seed ist ungültig, da die Prüfsumme nicht stimmt - die steckt im letzten Wort.

Du kannst nun jedes beliebige Wort durch ein Fragezeichen austauschen und das Tool ermittelt Dir das Wort, welches notwendig ist damit der Seed die richtige Prüfsumme im letzten Wort stehen hat:

zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo ? zoo zoo zoo zoo zoo zoo zoo

es werden Dir einige Wörter vorgeschlagen, die zu einem gültigen Seed führen, der hier wäre zum Beispiel gültig:

zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo zoo clever zoo zoo zoo zoo zoo zoo zoo

Auf diese Weise kannst Du auch die ersten zwölf Wörter selber festlegen oder eben auch gleich 23 der 24 Wörter.

Diese Art der Seed-Generierung ist eine der unsichersten Arten - aber jeder wie er mag 🙂

  • Haha 1
  • Thanks 1
  • Like 2

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Genial - danke Dir Jokin! Warum ist das denn unsicher? Weil der Seitenbetreiber die Wörter mitscheiden könnte, nehme ich an. Aber man kann das Toll offline nutzen. Einfach die mnemonic-standalone.html von Github laden und offline ausführen. Dann hätte man das Problem ja nicht.

 

vor einer Stunde schrieb boardfreak:


Ein Brain-Wallet ist doch das gleiche, von der Hackbarkeit wie ein Trezor-Wallet. Auch 24 Wörter. Verstehe den Sinn des Textes nicht. Warum ist ein Brain-Wallet (24 Wort-Phrase) unsicherer gegen Hacker als eine Hardware-Wallet welche man über eine 24-Wort-Phrase absichert?

bearbeitet von o0Julia0o

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nur deswegen? Und wenn man nun solch einen Generator nutzt:https://rechneronline.de/zufallszahlen/

Um die Zahlen zu erstellen für die Zeile der Wortliste: https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt

 

Und Dateienmässig ist das ja nicht mehr angreifbar dann mit dieser Github-Offline-Browserdatei. Oder übersehe ich da noch etwas?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

"... Und wenn man ..." ... sich einfach die 24 ausgespuckten wörter in den kopp prügelt? ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du kannst dir die Wörter auch per Würfel generieren und die Prüfsumme selbst berechnen, das ist imho die sicherste Art einen Schlüssel zu erzeugen.

Hier steht drin wie man die Prüfsumme berechnet (https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki). Gemäß der Spec sollten die Wallets übrigens beim import einer falschen Prüfsumme nur warnen, es aber trotzdem erlauben.

  • Thanks 1
  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
O.k., danke. Ist das die Berechnung?

CS = ENT / 32
MS = (ENT + CS) / 11

|  ENT  | CS | ENT+CS |  MS  |
+-------+----+--------+------+
|  128  |  4 |   132  |  12  |
|  160  |  5 |   165  |  15  |
|  192  |  6 |   198  |  18  |
|  224  |  7 |   231  |  21  |
|  256  |  8 |   264  |  24  |

Also ich würfel mir per Zufallsgenerator die Zeilennummer der Wörter https://rechneronline.de/zufallszahlen/

Aus folgender Liste: https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt

Aber nur 23 Wörter. Das letzte Wort muss ich mir also berechnen. Wie genau, verstehe ich aber nicht. Ist das für Normalos machbar? Oder braucht man dafür ein Mathestudium oder sowas?

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das Problem ist das man sich selbst keine wirklich zufälligen Zahlen oder Wörter ausdenken kann. Die sind weit weniger zufällig als man meint.

Zufallszahlen aus einem Generator sind ebenfalls nicht zufällig weil sie eben aus einem Generator sind der einen Algorithmus benutzt. Denn ein Computer kann nix zufällig, sondern immer nur genau berechnet.

Die "zufälligen" Wörter einer Wallet sind aber zufällig genug in dieser großen Anzahl, also 24 Wörter.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 4 Stunden schrieb battlecore:

Zufallszahlen aus einem Generator sind ebenfalls nicht zufällig weil sie eben aus einem Generator sind der einen Algorithmus benutzt. Denn ein Computer kann nix zufällig, sondern immer nur genau berechnet.

Wobei ja echter Zufall mittlerweile berechnet werden kann - ob das der Generator kann, ist die Frage. Aber dann schlag ich hier und da mal 7 oder 100 oder 1ne Zeile drauf oder ziehe sie ab & nehme dieses Wort dann.

 

Die Hauptfrag ist, ob das Offline-Tool -> https://kzen-networks.github.io/mnemonic-recovery/src/index.html irgendwohin Daten schreibt, welche dann von mir, sobal dich onlinge gehe mit dem PC wieder ausgelesen werden können.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 4 Stunden schrieb o0Julia0o:

Wobei ja echter Zufall mittlerweile berechnet werden kann - ob das der Generator kann, ist die Frage. Aber dann schlag ich hier und da mal 7 oder 100 oder 1ne Zeile drauf oder ziehe sie ab & nehme dieses Wort dann.

 

Die Hauptfrag ist, ob das Offline-Tool -> https://kzen-networks.github.io/mnemonic-recovery/src/index.html irgendwohin Daten schreibt, welche dann von mir, sobal dich onlinge gehe mit dem PC wieder ausgelesen werden können.

Wenn du die html-Seite runterlädst kannst du genau sehen was alles an Dateien zu der Seite gehört. Auch alle javascript-dateien, falls die scripts nicht sowieso im Quellcode direct drinstehen zwischen <script> und <script\>

Da siehst du ob irgendwas irgendwo hingeschickt wird, also externe internet-Adressen oder externe Scripts.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Jo, könnte aber auch lokal gespeichert werden. Und ein anderes Tool vom Angreifer - z.B. wenn man auf der Seite war, hat man es schon sich eingefangen, greift dann auf diesen Speicherort zu. Ich verstehe von Programmieren auch etwas weniger als 0,0 - von daher könnte ich das zumindest nicht sehen im Code. Ich wüßte nichtmal wie ich ihn öffne. F11, wenn die Datei geöffnet ist im Firefox-Browser? Vielleicht kann ja auch hier ein Programmierer Entwarnung geben für die Datei. Danke!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor einer Stunde schrieb o0Julia0o:

Vielleicht kann ja auch hier ein Programmierer Entwarnung geben für die Datei. Danke!

Das ist reines Javascript, da wird nix auf die Festplatte geschrieben.

Lade die Webseite während Du online bist.

Trenne Deine Internetverbindung zur Sicherheit

Erledige Deine Arbeit mit der Seite.

Schließe am Ende den Browser.

Wenn Du paranoid bist, starte den Computer neu

Und dann verbinde den Computer wieder mit dem Internet.

 

  • Thanks 1
  • Like 2

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke, dann werde ich das mal so machen, miit der Offline-Datei direkt von Github. Wobei Java-Script doch auch auf Festplatte etwas schreiben könnte, wenn man es so programmieren würde mit Java-Script. Ich kann halt den Code nicht verstehen(nichtmal finden). Und dann könnte der Angreifer mit einem zweiten Virus auf die Datei zugreifen, welche per Java-Script auf die Festplatte geschrieben wurde.

bearbeitet von o0Julia0o

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor einer Stunde schrieb o0Julia0o:

Wobei Java-Script doch auch auf Festplatte etwas schreiben könnte, wenn man es so programmieren würde mit Java-Script.

Ich kenne keine Möglichkeit.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

In dem Skript werden keine Cookies geschrieben, die wären von anderen Domains aus eh nicht auslesbar.

Und klar, wenn man selber schon Schadsoftware auf dem PC hat, sollte es sich verbieten mit Seeds zu hantieren, oder?!?

Mach es doch ganz kurz:

... wenn Du keine Ahnung hast, lass die Finger von Bitcoins.

... wenn Du mit Bitcoins hantieren willst, eigne Dir das notwendige Wissen an.

... nimm eine Risikoabschätzung vor um herauszufinden wieviel Infos du brauchst

bearbeitet von Jokin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Gibt es nicht eine Bibliothek von einigen tausend Wörtern, die zugelassen sind? Theoretisch kann man zwar jedes Wort verwenden, aber ich glaube, die Wallets unterstützen nur einige.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 12.4.2019 um 23:29 schrieb Jokin:

Wenn Du paranoid bist,

du kannst natürlich auch noch eine live-Distribution nehmen. Das ist Linux auf einer CD ober auf einem USB-Stick. Mit dieser CD startet du deinen, nicht mit dem Internet verbundenen Rechner. Deine Festplatte wird, wenn überhaupt nur lesend eingbunden, im Zweifelsfall kannst du sie auch ausstecken. Dann öffnest du dir deine zuvor auf einem USB-Stick gespeicherte html-Seite.

Wenn du mit allem fertig bist, nimmst du die CD raus und startest danach wieder wie gewöhnlich deinen Rechner mit deinem Betriebssystem. Dein Wlan-Kabel kannst du jetzt auch wieder reinstecken.

So mache ich das zumindest, wenn ich mir Paperwallets mache.

Das hat den Vorteil, dass du das ganze auf einem Rechner machst, der nie mit dem Internet verbunden war und nie sein wird. Der einzige beschreibbare Speicher ist dein RAM, und der wird, wenn du den Rechner vom Stromnetz trennst, gelöscht. D.h. selbst wenn dein (live-)Betriebssystem kompromittiert wäre (z.B. key-logger, Trojaner, ...) können keine Daten deinen Rechner verlassen.

bearbeitet von Nick Simkop

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

 

Zitat

Dein Wlan-Kabel kannst du jetzt auch wieder reinstecken.

Ich weiß, es ist bestimmt nur ein Schreibfehler, aber für die Mitlesenden:

Selbstverständlich hat heute ein Notebook WLAN, Bluetooth usw. Hier liegen die Gefahren, wenn man es mal paranoid sieht.

In soweit ist Dein WLAN-Kabel ein guter Aufhänger um den Lesern auf weitere Kanäle aufmerksam zu machen. Muss alles sicher deaktiviert werden. 

Axiom

 

bearbeitet von Axiom0815

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich denke, er hat es bewußt so als Hinweis geschrieben. Also um darauf Aufmerksam zu machen, dass man auch alle Zugänge wirklich sperr für den Zeitpunkt - am besten hardwaremässig(Router aus z.B.).

bearbeitet von o0Julia0o

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.


×
×
  • Neu erstellen...

Wichtige Information

Wir speichern Cookies auf Ihrem Gerät, um diese Seite besser zu machen. Sie können Ihre Cookie-Einstellungen anpassen, ansonsten gehen wir davon aus, dass Sie damit einverstanden sind. In unseren Datenschutzerklärungen finden sie weitere Informationen.