Sichere Aufbewahrung mit Electrum?!

[naruto]

Hi,

ich überlege gerade, wie ich Sicherheit mit Komfort und "Ausfallsicherheit" kombinieren kann. Eure Meinung zu dem Konzept würde mich sehr interessieren.

Das Setup besteht aus:

• Electrum als Desktop Wallet
• USB Stick
• Verschlüsselung

Ich nehme nun einen stinknormalen USB Stick und erstelle darauf einen verschlüsselten Container. Die Verschlüsselung ist mit einer Passphrase geschützt. In diesem Container speichere ich nun das Electrum Wallet. Auf dem Rechner dürfen dann jetzt doch keine sensiblen Daten zurück bleiben?!

So entsteht eine Art von Crypto Stick. Der Vorteil dabei ist, dass ich den verschlüsselten Container auf mehrere Sticks kopieren kann und diese Sticks an unterschiedlichen Orten deponieren kann, was die Ausfallsicherheit erhöht. Verschlüsseln kann ich den Stick mit einer Passphrase, die auch noch sicherer als der Ledger PIN ist.

Der Stick ist also so wie der Ledger und Electrum ist wie die Ledger Apps. 

 

Funktioniert das so, oder habe ich einen Denkfehler gemacht? 

[MixMax]

vor 28 Minuten schrieb naruto:

Hi,

ich überlege gerade, wie ich Sicherheit mit Komfort und "Ausfallsicherheit" kombinieren kann. Eure Meinung zu dem Konzept würde mich sehr interessieren.

Das Setup besteht aus:

• Electrum als Desktop Wallet
• USB Stick
• Verschlüsselung

Ich nehme nun einen stinknormalen USB Stick und erstelle darauf einen verschlüsselten Container. Die Verschlüsselung ist mit einer Passphrase geschützt. In diesem Container speichere ich nun das Electrum Wallet. Auf dem Rechner dürfen dann jetzt doch keine sensiblen Daten zurück bleiben?!

So entsteht eine Art von Crypto Stick. Der Vorteil dabei ist, dass ich den verschlüsselten Container auf mehrere Sticks kopieren kann und diese Sticks an unterschiedlichen Orten deponieren kann, was die Ausfallsicherheit erhöht. Verschlüsseln kann ich den Stick mit einer Passphrase, die auch noch sicherer als der Ledger PIN ist.

Der Stick ist also so wie der Ledger und Electrum ist wie die Ledger Apps. 

 

Funktioniert das so, oder habe ich einen Denkfehler gemacht? 

Ja funktioniert. Hast du das Passwort für die Verschlüsselung im Kopf, oder irgendwo gespeichert? Kommt jetzt halt darauf an wie sicher dieses Passwort ist.

[naruto]

vor 40 Minuten schrieb MixMax:

Ja funktioniert. Hast du das Passwort für die Verschlüsselung im Kopf, oder irgendwo gespeichert? Kommt jetzt halt darauf an wie sicher dieses Passwort ist.

Du musst ja nicht zwingend ein kompliziertes Passwort nehmen. Eine Passphrase, die du dir merken kannst, reicht ja auch aus z.B.: Somerkeichmirdie25stelligePassphrase

[fox42]

vor 28 Minuten schrieb naruto:

Du musst ja nicht zwingend ein kompliziertes Passwort nehmen. Eine Passphrase, die du dir merken kannst, reicht ja auch aus z.B.: Somerkeichmirdie25stelligePassphrase

Tipp war mal, einfach einen Satz zu nehmen, inkl Satzzeichen. Wörter an sich sind ja nicht optimal. Aber in kombination..

JedenSonntagUm11:30BackeIchEinenKuchen,WeilDaDieElternZuBesuchKommen!

[Anevay]

vor 1 Stunde schrieb naruto:

Funktioniert das so, oder habe ich einen Denkfehler gemacht? 

Ja, funktioniert.

Aber wozu?

Die Wallet-Datei nützt einem Angreifer ohne das Paßwort nix. 

Und wenn du dir ohnehin ein Paßwort merken mußt kannst du dir auch gleich das Walletpaßwort merken und entsprechend kompliziert wählen.

 

 

[naruto]

vor 3 Minuten schrieb Anevay:

Ja, funktioniert.

Aber wozu?

Die Wallet-Datei nützt einem Angreifer ohne das Paßwort nix. 

Und wenn du dir ohnehin ein Paßwort merken mußt kannst du dir auch gleich das Walletpaßwort merken und entsprechend kompliziert wählen.

 

 

Dann würde es deine Ansicht nach auch reichen, wenn ich die Wallet Datei (mit sicherem Passwort geschützt) auf einen unverschlüsselten USB Stick packe?

[wwurst]

vor 2 Stunden schrieb naruto:

Funktioniert das so, oder habe ich einen Denkfehler gemacht? 

Funktioniert als Backup schon.

Wie andere schon geschrieben haben, die Verschlüsselung des Sticks könntest du dir sparen, wenn du stattdessen ein sicheres Wallet-PW wählst.

Im einfachsten Fall...

Aber mancher will ja auch mehrere Wallets mit verschiedenen (oder gar keinen) Passwörtern sichern. Oder zusätzlich noch andere vertrauliche Daten, zB die Datenbank des Passwort-Managers. Oder will die verschlüsselte Partition auf dem Stick verstecken (hidden Volume) damit der völlig "harmlos" aussieht.

vor 2 Stunden schrieb naruto:

Auf dem Rechner dürfen dann jetzt doch keine sensiblen Daten zurück bleiben?!

Das nun wieder erst, wenn du zuverlässig alle Ausgangsdaten und temporären Dateien gelöscht, alle Papierkörbe geleert und dann den freien Platz deiner Platte mit Nullen überschrieben hast. Auslagerungs/swap-Dateien nicht vergessen, und zum Schluß den Rechner ein paar Minuten stromlos machen damit auch das RAM zuverlässig gelöscht ist.

Also: um deinen PC sicher&sauber zu machen und zu halten brauchst du mehr als nur ein Backup.

Bearbeitet 30. Dezember 2020 von wwurst

[naruto]

vor 16 Minuten schrieb wwurst:

Das nun wieder erst, wenn du zuverlässig alle Ausgangsdaten und temporären Dateien gelöscht, alle Papierkörbe geleert und dann den freien Platz deiner Platte mit Nullen überschrieben hast. Auslagerungs/swap-Dateien nicht vergessen, und zum Schluß den Rechner ein paar Minuten stromlos machen damit auch das RAM zuverlässig gelöscht ist.

Also: um deinen PC sicher&sauber zu machen und zu halten brauchst du mehr als nur ein Backup.

Da ich mein Online Banking auch nicht in einer extra dafür eingerichteten virtuellen Maschine mache, scheine ich mit einem gewissen Risiko leben zu können.  80% Sicherheit reicht mir, wenn ich für die letzten 20% ein Vielfaches an Aufwand mehr bringen muss.

Bearbeitet 30. Dezember 2020 von naruto

[Philbert]

vor 2 Stunden schrieb naruto:

Der Stick ist also so wie der Ledger und Electrum ist wie die Ledger Apps. 

Meiner Meinung nach nicht. Im Moment wo du den Zugriff auf deine Wallet im USB Stick ermöglichst ist es vorbei mit der Sicherheit. Wenn dein Rechner kompromitiert ist und du Coins verschicken willst, hast du die normale Unsicherheit einer Software-Wallet. 

Mit dem Ledger kann dir egal sein wieviele Trojaner sich auf deinem Rechner tummeln. 

[naruto]

vor 10 Minuten schrieb Philbert:

Meiner Meinung nach nicht. Im Moment wo du den Zugriff auf deine Wallet im USB Stick ermöglichst ist es vorbei mit der Sicherheit. Wenn dein Rechner kompromitiert ist und du Coins verschicken willst, hast du die normale Unsicherheit einer Software-Wallet. 

Mit dem Ledger kann dir egal sein wieviele Trojaner sich auf deinem Rechner tummeln. 

Ein sehr guter Punkt! 

Danke für den Hinweis!

[Morama]

Hast du die Möglichkeit einen Zweitrechner nur für Crypto aufzusetzen? Also cleane Installation, keine sonstige Nutzung, keine unnötigen Programme. Ein alter Laptop oder so... dann ist deine Idee schonmal nicht verkehrt und sicherer als das was viele machen, nämlich ihren normalen verseuchten PC zu nutzen oder schlimmer Onlinewallets und Exchanges als Custody Service

[battlecore]

vor einer Stunde schrieb Philbert:

Meiner Meinung nach nicht. Im Moment wo du den Zugriff auf deine Wallet im USB Stick ermöglichst ist es vorbei mit der Sicherheit. Wenn dein Rechner kompromitiert ist und du Coins verschicken willst, hast du die normale Unsicherheit einer Software-Wallet. 

Mit dem Ledger kann dir egal sein wieviele Trojaner sich auf deinem Rechner tummeln. 

Oder man nimmt Linux, wie die meisten im Krysptobereich.

 

vor 4 Stunden schrieb naruto:

Hi,

ich überlege gerade, wie ich Sicherheit mit Komfort und "Ausfallsicherheit" kombinieren kann. Eure Meinung zu dem Konzept würde mich sehr interessieren.

Das Setup besteht aus:

• Electrum als Desktop Wallet
• USB Stick
• Verschlüsselung

Ich nehme nun einen stinknormalen USB Stick und erstelle darauf einen verschlüsselten Container. Die Verschlüsselung ist mit einer Passphrase geschützt. In diesem Container speichere ich nun das Electrum Wallet. Auf dem Rechner dürfen dann jetzt doch keine sensiblen Daten zurück bleiben?!

So entsteht eine Art von Crypto Stick. Der Vorteil dabei ist, dass ich den verschlüsselten Container auf mehrere Sticks kopieren kann und diese Sticks an unterschiedlichen Orten deponieren kann, was die Ausfallsicherheit erhöht. Verschlüsseln kann ich den Stick mit einer Passphrase, die auch noch sicherer als der Ledger PIN ist.

Der Stick ist also so wie der Ledger und Electrum ist wie die Ledger Apps. 

 

Funktioniert das so, oder habe ich einen Denkfehler gemacht? 

Das funktioniert so. Vorsichtshalber mal auf anderen Computern ausprobieren. Aber die meisten Wallets hinterlassen auf dem Rechner dann eine Konfigurationsdatei. Also nicht so ganz optimal.

Ich würde es bei weitem nicht so kompliziert machen.

Altes Notebook besorgen, Leasingrückläufer z.b., bei Harlander gibts die wahsinnig günstig, auch in verschiedenen Qualitäten (was die Gebrauchsspuren angeht), ab 150 Euro. Linux drauf, damit ist selbst ein altes Notebook schnell. Ne einfache kleine SSD für 40 Euro rein und dann ists noch schneller.

Wallet draufmachen. Fertig.

Aus Gründen der steuerlichen Einfachheit hab ich für jedes Quartal einen Benutzernamen angelegt und da eine Wallet reingemacht. Qas ich in diesem Quartal kaufe kommt da dann rein.

Seeds, Privatekeys, QR-Codes vom 2FA der Börsen, Passwörter, hab ich alles auf zwei USB-Sticks in PDF-Dokumenten gespeichert und denn noch doppelt ausgedruckt und einlaminiert.

Man kann es eben auch einfach machen.

[ratzfatz]

vor einer Stunde schrieb battlecore:

Oder man nimmt Linux, wie die meisten im Krysptobereich.

 

Das funktioniert so. Vorsichtshalber mal auf anderen Computern ausprobieren. Aber die meisten Wallets hinterlassen auf dem Rechner dann eine Konfigurationsdatei. Also nicht so ganz optimal.

Ich würde es bei weitem nicht so kompliziert machen.

Altes Notebook besorgen, Leasingrückläufer z.b., bei Harlander gibts die wahsinnig günstig, auch in verschiedenen Qualitäten (was die Gebrauchsspuren angeht), ab 150 Euro. Linux drauf, damit ist selbst ein altes Notebook schnell. Ne einfache kleine SSD für 40 Euro rein und dann ists noch schneller.

Wallet draufmachen. Fertig.

Aus Gründen der steuerlichen Einfachheit hab ich für jedes Quartal einen Benutzernamen angelegt und da eine Wallet reingemacht. Qas ich in diesem Quartal kaufe kommt da dann rein.

Seeds, Privatekeys, QR-Codes vom 2FA der Börsen, Passwörter, hab ich alles auf zwei USB-Sticks in PDF-Dokumenten gespeichert und denn noch doppelt ausgedruckt und einlaminiert.

Man kann es eben auch einfach machen.

Gibt doch auch so live CD von Linux, (knoppix gibt's das noch?) dann hätte man immer ein neues sauberes temporäres System, auch auf dem HausPC. 

[wwurst]

vor 7 Stunden schrieb ratzfatz:

Gibt doch auch so live CD von Linux, (knoppix gibt's das noch?)

Dafür nimmt man heute gerne Tails (tails.boum.org). Das kann auf seinem Boot-Stick auch gleich noch einen verschlüsselten, dauerhaften Speicherbereich anlegen (da käme zB auch eine aktuelle Electrum.Appimage, wallets, Passwörter etc. hin), und hat u.a. auch TOR schon einsatzfertig an Bord.

Hinterlässt keinerlei Spuren auf dem damit gebooteten Rechner - das halte ich zZ für die beste Lösung "unterhalb" eines eigenen Crypto/Banking Notebooks. Wird ständig weiter entwickelt und das System lässt sich updaten ohne den verschlüsselten Datenbereich zu verlieren.

Wenn man seinen Tails-Stick komplett klont hat man gleich ein Backup von System und Daten, das sofort einsatzfähig ist. Sollte man auch nicht ganz unterschätzen - wenn ich "nur" meine wallets auf Sticks (o.ä.) gesichert habe, und mein PC raucht ab, dann ist erstmal Ersatz- und Installationsarbeit gefragt bevor ich mit meinem Backup wieder arbeiten kann. Tails bootet man schnell auf dem von Oma geliehenen Laptop und macht den eiligen Trade.

[battlecore]

Ja sowas kann man auch nehmen. 

Da ich schon lange nur Notebooks nutze hab ich noch zwei alte die ich früher benutzt hab, da hab ich auch schon alles eingerichtet.

Wenn mein Notebook abraucht nehm ich ein erstmal ein altes. Und das Rig hab ich ja auch noch.

Computernotstand dürfte eigentlich bei den wenigsten Leuten herrschen. So ziemlich alle die ich kenne haben noch einen alten Computer der irgendwo steht.

[naruto]

vor 2 Stunden schrieb wwurst:

Dafür nimmt man heute gerne Tails (tails.boum.org). Das kann auf seinem Boot-Stick auch gleich noch einen verschlüsselten, dauerhaften Speicherbereich anlegen (da käme zB auch eine aktuelle Electrum.Appimage, wallets, Passwörter etc. hin), und hat u.a. auch TOR schon einsatzfertig an Bord.

Hinterlässt keinerlei Spuren auf dem damit gebooteten Rechner - das halte ich zZ für die beste Lösung "unterhalb" eines eigenen Crypto/Banking Notebooks. Wird ständig weiter entwickelt und das System lässt sich updaten ohne den verschlüsselten Datenbereich zu verlieren.

Wenn man seinen Tails-Stick komplett klont hat man gleich ein Backup von System und Daten, das sofort einsatzfähig ist. Sollte man auch nicht ganz unterschätzen - wenn ich "nur" meine wallets auf Sticks (o.ä.) gesichert habe, und mein PC raucht ab, dann ist erstmal Ersatz- und Installationsarbeit gefragt bevor ich mit meinem Backup wieder arbeiten kann. Tails bootet man schnell auf dem von Oma geliehenen Laptop und macht den eiligen Trade.

Der Tails-Konzept gefällt mir sehr gut! Vor allem die Einbindung der sensiblen Daten (wallet, Verbindungseinstellungen oder auch Email-Einstellungen) in den persistent storage sind wunderbar gelöst. 

Electrum ist schon vorinstalliert, allerdings nicht in der aktuellen Version. Deswegen verwende ich das aktuelle AppImage

[ratzfatz]

vor 3 Stunden schrieb wwurst:

Dafür nimmt man heute gerne Tails (tails.boum.org). Das kann auf seinem Boot-Stick auch gleich noch einen verschlüsselten, dauerhaften Speicherbereich anlegen (da käme zB auch eine aktuelle Electrum.Appimage, wallets, Passwörter etc. hin), und hat u.a. auch TOR schon einsatzfertig an Bord.

Hinterlässt keinerlei Spuren auf dem damit gebooteten Rechner - das halte ich zZ für die beste Lösung "unterhalb" eines eigenen Crypto/Banking Notebooks. Wird ständig weiter entwickelt und das System lässt sich updaten ohne den verschlüsselten Datenbereich zu verlieren.

Wenn man seinen Tails-Stick komplett klont hat man gleich ein Backup von System und Daten, das sofort einsatzfähig ist. Sollte man auch nicht ganz unterschätzen - wenn ich "nur" meine wallets auf Sticks (o.ä.) gesichert habe, und mein PC raucht ab, dann ist erstmal Ersatz- und Installationsarbeit gefragt bevor ich mit meinem Backup wieder arbeiten kann. Tails bootet man schnell auf dem von Oma geliehenen Laptop und macht den eiligen Trade.

Scheinbar ist, wie du ja auch anmerkst, die von @battlecore vorgeschlagene Lösung die sicherste. Am besten wäre es beides zu kombinieren. Laptop mit Tails booten. 

Auf der Seite steht auch folgendes:

...  Dennoch kann Tails Sie nicht immer schützen, falls Sie es von einem Computer aus installieren, der Viren hat oder falls Sie es auf einem Computer mit schädlicher Hardware, wie Keylogger, verwenden.

 

Bearbeitet 31. Dezember 2020 von ratzfatz

[wwurst]

vor 2 Stunden schrieb ratzfatz:

Am besten wäre es beides zu kombinieren

Man muß es nicht übertreiben - wenn der Laptop exklusiv für Crypto, auch online, dient (und natürlich die Platte sicher verschlüsselt ist), dann bietet booten von einem Stick keine zusätzliche Sicherheit mehr - ist nur mehr Gewurschtel. Schadet aber auch nichts.

Wenn der Laptop sogar völlig offline bleibt und nur fertig signierte tx produziert, dann braucht er auch nicht mal ein ständig aktualisiertes OS, nur aktuelle wallet-software. Und auch der versendende PC muß nicht besonders sicher sein - der kriegt ja keine private keys zu sehen.

Auf einem exklusiven Laptop könnte man aber dann doch noch einen Schritt weiter gehen und mit Qubes OS ein "reasonably secure"  System installieren. Damit hätte man dann zZ das für Privatleute wohl sicherste und anonymste System, selbst online. Und die Crypto-VM kann, vom Hypervisor isoliert,  darauf auch laufen - ohne Netzwerkzugang. Qubes OS hat auch eine Backup-Funktion, mit der sich komplette VMs auf Stick sichern bzw. auf einen weiteren Rechner klonen lassen. Ist aber insgesamt in der Bedienung "anders als andere Kinder" - braucht also einiges an Einarbeitung.

vor 2 Stunden schrieb ratzfatz:

oder falls Sie es auf einem Computer mit schädlicher Hardware, wie Keylogger

Wenn dich mal die Geheimdienste o.ä. ins Visier genommen haben, dann ist mit "privater" Technik aus dem Internet sowieso und immer nichts mehr zu wollen.

Für Qubes kannst du sogar Notebooks kaufen, bei denen das Firmen-BIOS durch Open Source Freeware ersetzt wurde, und die bei nachträglichen Hardware-Veränderungen Alarm schlagen. Sollte man ggf. aber auch besorgen, bevor die Schlapphüte einen auf der Liste haben 😉

Absolute Sicherheit gibt's nirgends und von niemandem...

[Cftral]

vor 4 Stunden schrieb wwurst:

Man muß es nicht übertreiben - wenn der Laptop exklusiv für Crypto, auch online, dient (und natürlich die Platte sicher verschlüsselt ist), dann bietet booten von einem Stick keine zusätzliche Sicherheit mehr - ist nur mehr Gewurschtel. Schadet aber auch nichts.

Dem Stimme ich zu, vorausgesetzt die Partition ist mit einem guten Passwort vollverschlüsselt. Dann bietet es sogar unter Umständen mehr Sicherheit, da ein Angreifer selbst bei physischen Zugriff das System nicht manipulieren kann ohne das es auffällt (dafür müsste er ja das Passwort kennen). 

[fjvbit]

vor 21 Stunden schrieb Morama:

Hast du die Möglichkeit einen Zweitrechner nur für Crypto aufzusetzen? Also cleane Installation, keine sonstige Nutzung, keine unnötigen Programme. Ein alter Laptop oder so... dann ist deine Idee schonmal nicht verkehrt und sicherer als das was viele machen, nämlich ihren normalen verseuchten PC zu nutzen oder schlimmer Onlinewallets und Exchanges als Custody Service

So mache ich es auch. Ich habe ein kleines Laptop. Nur bei der Installation mit dem Internet verbunden, danach nie wieder. Dort kann ich alles offline machen, wie Seeds würfeln usw.

Neue Laptops gibt es schon für unter 300 Euro, wenn man nichts gebrauchtes zur Hand hat. Da lohnt macher Aufwand nicht und ist sehr sicher...

Bearbeitet 31. Dezember 2020 von fjvbit

[battlecore]

Man kann es ja auch übertreiben und dabei mehr Sicherheitslücken einbauen als nötig.

Daher sollte man es echt auf die Weise machen auf die es am einfachsten ist. Ein separates Notebook.

Die Adressen kann man sich auch in ein PDF machen das man auf dem Rechner hat den man ansonsten benutzt. So hat man die zur Hand.

[naruto]

Habe einen alten Laptop zur Hand und bin am schauen, welche Linux Distro da drauf kommt.

 

Allerdings ist der Tails-USB Stick, mit dem verschlüsselten Speicherbereich weniger aufwändig, als ein komplett verschlüsseltes Linux System aufzusetzen. Auch in der Bedienung macht das kaum einen Unterschied.

Neben dem PDF Dokument kann ich dann ja auf dem Alltagsrechner noch ein watching-only online wallet laufen haben

[Cftral]

vor 13 Minuten schrieb naruto:

Habe einen alten Laptop zur Hand und bin am schauen, welche Linux Distro da drauf kommt.

 

Allerdings ist der Tails-USB Stick, mit dem verschlüsselten Speicherbereich weniger aufwändig, als ein komplett verschlüsseltes Linux System aufzusetzen. Auch in der Bedienung macht das kaum einen Unterschied.

Neben dem PDF Dokument kann ich dann ja auf dem Alltagsrechner noch ein watching-only online wallet laufen haben

Bei einer normalen Ubuntu Installation muss man während des Installationsprozesses nur einen Kreuz beim Punkt "System verschlüsseln" machen und dann die gewünschte Passphrase eingeben. Mehr ist das nicht. Ich denke nicht, dass das aufwendiger ist als ein Tails USB-Stick mit verschlüsselten Speicherbereich anzulegen.

[naruto]

vor einer Stunde schrieb Cftral:

Bei einer normalen Ubuntu Installation muss man während des Installationsprozesses nur einen Kreuz beim Punkt "System verschlüsseln" machen und dann die gewünschte Passphrase eingeben. Mehr ist das nicht. Ich denke nicht, dass das aufwendiger ist als ein Tails USB-Stick mit verschlüsselten Speicherbereich anzulegen.

Cool! Habe es gerade ausprobiert. Es ging sehr smooth. Früher musste ich die LVM-Verschlüsselung noch übers Terminal anlegen