sunset Posted July 5, 2019 Share Posted July 5, 2019 Mal eine etwas provokante Frage an die Nutzer von Trezor und Ledger: wie könnt ihr euch sicher sein, dass niemals Schindluder mit euren private keys betrieben wird? Meines Wissens liegen die private keys auf dem jeweiligen Gerät ohne das ich Zugriff auf diese habe. Ich habe den Seed aus dem die keys generiert werden und aus dem ich die keys auch wieder herstellen könnte. Den Seed kann ich selbst nochmal verschlüsseln, tarnen oder sonst irgendwas. Damit ist das System soweit sicher. Aber was ist wenn durch einen Angriff oder vom jeweiligen Hersteller selbst eine malware aufgespielt wird, die meine private keys abzieht? Ist das eine theoretische Möglichkeit? Oder ist das zu paranoid gedacht? Ich freu mich über eure Beiträge und (wenn nötig) Aufklärung. vielen Dank. Link to comment Share on other sites More sharing options...
Jokin Posted July 6, 2019 Share Posted July 6, 2019 vor 9 Stunden schrieb sunset: Ist das eine theoretische Möglichkeit? Ja, diese Möglichkeit besteht durchaus. https://support.ledger.com/hc/en-us/articles/360002731113-Update-device-firmware Ein Angreifer könnte dem Ledger-User ein Firmwareupdate unterjubeln, welches dafür sorgt, dass der Seed an eine eMail-Adresse gesendet wird. Die Firmware ist vermutlich nicht Open Source. Man muss also dem Unternehmen entsprechendes Vertrauen entgegen bringen. Ebenso kann es sein, dass die Seeds aus einem bestimmten Pool generiert werden, der bereits im Gerät vorprogrammiert ist - überprüfen kann das niemand. Getreu dem Motto "Nur Dummköpfe rauben Banken aus, Profis gründen eine Bank." ... sorry, liebe Hardwarewallet-Nutzer, aber auch Ihr solltet Euer Vermögen streuen. Uder auch einfach die Generierung des Seeds in die eigene Hand nehmen. 2 Link to comment Share on other sites More sharing options...
sunset Posted July 6, 2019 Author Share Posted July 6, 2019 Vielen Dank für deinen Beitrag. Wenn es einem Angreifer, oder vielmehr dem Wallet-Anbieter, theoretisch möglich ist solche Manipulationen vorzunehmen, weshalb sind Hardwarewallets derzeit so beliebt und werden häufig als sicherste Aufbewahrungsmethode genannt? (Vorausgesetzt man schützt seinen Seed entsprechend gut) Da erscheint es mir doch viel sinnvoller seine private keys in eigener Kontrolle zu halten und diese durch entsprechende Maßnahmen zu sichern. Ohne jetzt den walletanbietern etwas zu unterstellen - die Vergangenheit hat doch aber oft genug gezeigt das scheinbar seriöse Big-Player im BTC-Geschäft sich an fremden (bzw. überlassenen) Bitcoin bedienen bzw. Hackern zum opfer gefallen sind. Vor diesem Hintergrund halte ich es für nicht angemessen einem solchen System der Aufbewahrung uneingeschränkt zu vertrauen. Oder habe ich etwas nicht bedacht und schätze das mögliche Risiko falsch ein? Link to comment Share on other sites More sharing options...
fox42 Posted July 6, 2019 Share Posted July 6, 2019 vor 20 Minuten schrieb sunset: Vielen Dank für deinen Beitrag. Wenn es einem Angreifer, oder vielmehr dem Wallet-Anbieter, theoretisch möglich ist solche Manipulationen vorzunehmen, weshalb sind Hardwarewallets derzeit so beliebt und werden häufig als sicherste Aufbewahrungsmethode genannt? (Vorausgesetzt man schützt seinen Seed entsprechend gut) Da erscheint es mir doch viel sinnvoller seine private keys in eigener Kontrolle zu halten und diese durch entsprechende Maßnahmen zu sichern. Ohne jetzt den walletanbietern etwas zu unterstellen - die Vergangenheit hat doch aber oft genug gezeigt das scheinbar seriöse Big-Player im BTC-Geschäft sich an fremden (bzw. überlassenen) Bitcoin bedienen bzw. Hackern zum opfer gefallen sind. Vor diesem Hintergrund halte ich es für nicht angemessen einem solchen System der Aufbewahrung uneingeschränkt zu vertrauen. Oder habe ich etwas nicht bedacht und schätze das mögliche Risiko falsch ein? Mal so als Gegenfrage: Wie generierst du deine Private Keys? Aber klar: Mir wäre es lieb, wenn auch bei zB Ledger mal jemand (und damit meine ich viele) reinschauen würde und die genauen Prozesse nachvollziehen würde. Bei den paar Generatoren, die ich bisher verwendet habe, habe ich versucht, im Code nach einem Wörterbuch oder einer Sendefunktion zu schauen. Das ist aber aufwändig, kann nicht jeder und auch ich übersehe das wahrscheinlich das meiste.. Link to comment Share on other sites More sharing options...
wwurst Posted July 6, 2019 Share Posted July 6, 2019 Wie Profis das machen, die wirklich VIEL zu verlieren hätten, kann man zB in Ben Mezrich's Buch "Bitcoin Billionaires" nachlesen. Die Winklevoss-Zwillinge (die etwa 1% aller existierenden BTC besitzen sollen) haben ihre Keys von Hand ausgewürfelt, danach in Drittel (shards) geteilt und redundant in Bankschließfächer im ganzen Land verteilt. Und die benutzte Hardware, inc. Drucker, mit dem Vorschlaghammer plattgemacht. Man muß halt seine persönliche Balance zwischen Aufwand und zu schützendem Gut finden. Meine liegt etwas tiefer... 😉 Link to comment Share on other sites More sharing options...
fox42 Posted July 6, 2019 Share Posted July 6, 2019 Selber coden und auf einem Einweg-Raspberry ausführen wäre evtl eine Variante: https://www.freecodecamp.org/news/how-to-generate-your-very-own-bitcoin-private-key-7ad0f4936e6c/ Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now