SEED Onlinewürfel Sicherheit Diceware

[Janbtc]

Hallo Forum,

was haltet Ihr von einem Onlinewürfel um einen SEED zu erstellen?

https://www.wuerfelonline.de/

https://online-wuerfel.de/

Seht Ihr da irgendwelche Sicherheitsrisiken?

 

MfG

Janbtc

 

 

 

 

Edited February 26, 2021 by Janbtc

[Philbert]

vor 7 Minuten schrieb Janbtc:

Seht Ihr da irgendwelche Sicherheitsrisiken?

Und wie soll das damit gehen?
Davon ganz abgesehen: Wenn man zu Paranoia neigt und den Seed nicht von seinem Ledger vorschlagen lassen möchte, dann ist ein Online-Tool keinesfalls eine Option.

Edited February 26, 2021 by Philbert
Es gibt hier Anleitungen wie man das ziemlich sicher machen kann. Einfach mal die Suchfunktion benutzen.

[Janbtc]

Was hat das mit "Ledger" zu tun?

Ich habe keine Würfel, damit kann ich auch andere Diceware Passwörter erstellen.

Edited February 26, 2021 by Janbtc

[Philbert]

vor 21 Minuten schrieb Janbtc:

Was hat das mit "Ledger" zu tun?

Ich habe keine Würfel, damit kann auch andere Diceware Passwörter erstellen.

Ja, das stimmt natürlich. Die Problematik bleibt aber die selbe.

[Janbtc]

Die Website, ist das Ergebnis nicht so wie ein "reales" Würfelset?

Edited February 26, 2021 by Janbtc

[Philbert]

vor 8 Minuten schrieb Janbtc:

Die Website, das Ergebnis nicht so wie ein "reales" Würfelset?

Erstmal ist das gar nicht so ganz einfach im Computerbereich überhaupt einen echten Zufall zu erzeugen. Es geht meistens um den "Startwert".
Kannst ja mal hier lesen: https://de.wikipedia.org/wiki/Pseudozufall

Im Falle von einfachen Würfelseiten ist das vermutlich nicht weiter besorgniserregend. Aber Seiten die dir deinen Seed komplett "zufällig" erwürfeln würde ich keinesfalls nehmen. Das können kleine Pools sein, woraus die Ergebnisse stammen. Und die werden u.U. abgefischt. Gab grade hier einen Betrag über Betrug durch eine Online-Paperwallet Seite.
Der andere Punkt ist aber das "online" ... alles was auf deinem Rechner passiert kann online u.U. ausspioniert werden. Dein Rechner ist per se nicht sicher, egal welches Betriebssystem. 

[Cricktor]

Ich sehe es so: jeder "online" generierte/gewürfelte Seed ist nicht sicher, da du keine Kontrolle über die Herkunft des Zufalls hast und ob die Quelle nicht doch so schlecht pseudo-zufällig ist, daß ein späteres "Erraten" des privaten Schlüssels nicht unmöglich ist. Punkt.

Kauf' dir Würfel oder generiere dir selbst ausreichend große zufällige Seeds mit nachweislich sicherer Software, die möglichst nicht im Zusammenhang mit Cryptowährung steht. Die gesamte Toolchain sollte sicher sein und offline funktionieren, es sei denn, dir ist der mögliche Verlust der hinterlegten Cryptos egal.

[Philbert]

vor 35 Minuten schrieb Cricktor:

Kauf' dir Würfel oder generiere dir selbst ausreichend große zufällige Seeds mit nachweislich sicherer Software, die möglichst nicht im Zusammenhang mit Cryptowährung steht.

Genau. Man könnte einfach Excel nehmen.

[Janbtc]

Warum sollten die Onlinewürfel unsicher sein?

Die, meine Dicewarelist kennt das Onlineportal nicht.

[MixMax]

vor 1 Stunde schrieb Janbtc:

Warum sollten die Onlinewürfel unsicher sein?

Sie sind unsicher.

Und bei einem Preis von 0,25€ für 5 Würfel, diskutiere ich da auch nicht lang rum. Da ist selbst der Aufwand für meine Antwort hier zu hoch.

https://www.amazon.de/Holzwürfel-Familienfeier-Kinderspielzeug-Exquisites-Spielzeug/dp/B08HJWFYH2/ref=sr_1_18?__mk_de_DE=ÅMÅŽÕÑ&dchild=1&keywords=Würfel&qid=1614438184&sr=8-18

 

Wenn du Online-Würfel für sicher hältst, dann nehm sie doch einfach. Du kannst den Seed dann aber auch gleich in der Wallet genierieren lassen, dass ist wahrscheinlich sogar noch sicherer.

 

Edited February 27, 2021 by MixMax

[wwurst]

Die Holzwürfelchen sind natürlich auch "gezinkt", bei dem Preis kommt garantiert eine Zahl öfter vor als die anderen.

Der große, entscheidende Unterschied: bei Online-Würfeln weiß der Anbieter genau, wie sie gezinkt sind, und könnte das ausnützen.

Von den Holzwürfelchen weiß keiner die Details, und solange du sie nicht mehrfach benutzt ist das praktisch so gut wie ein one-time-pad - prinzipiell nicht leichter knackbar als durch komplettes Durchprobieren des Schlüsselraums.

[FiverrPajeet]

vor 6 Stunden schrieb Janbtc:

Warum sollten die Onlinewürfel unsicher sein?

Die, meine Dicewarelist kennt das Onlineportal nicht.

Komm schon, es ist keine Raketenwissenschaft

 

NIEMALS ONLINE WAS IRGENDWIE MIT DEINEM SEED ZUSAMMENHÄNGT

 

 

 

[Janbtc]

Hallo, was haltet Ihr von Rolldice?

https://github.com/sstrickl/rolldice

rolldice 5xd6
4 1 1 3 6 

Rolldice funktoniert offline.

 

Zitat

Komm schon, es ist keine Raketenwissenschaf

Richtig, es ist Wahrscheinlichkeitsrechnung und Statistik.

Edited February 27, 2021 by Janbtc

[MixMax]

vor 16 Minuten schrieb Janbtc:

Hallo, was haltet Ihr von Rolldice?

https://github.com/sstrickl/rolldice

Rolldice funktoniert offline.

Ich werde mal eben ne Webseite erstellen mit Wahrscheinlichkeitsrechnung und Statistik sehr zuverlässig gleich verteilte Würfelzahlen berechnet.

Ist dann 100% sicher, die kannst du dann für deinen Seed nehmen! Verlass dich auf mein Wort, und vertrau mir!

Ich ganrantiere dir das ich damit gut abkassieren werden du da echt gut und sicher deinen Seed Würfeln kannst!

 

Edited February 27, 2021 by MixMax

[Janbtc]

Hallo MixMax, dein Posting hilft nicht weiter.

Dafür ist deine Signatur meist sehr viel größer als deine Beiträge.

Du wirst politisch aktiv sein.

 

Zitat

Ich werde mal eben ne Webseite erstellen mit Wahrscheinlichkeitsrechnung und Statistik sehr zuverlässig gleich verteilte Würfelzahlen berechnet.

Wann machst Du deine Ankündigung wahr, oder nur Ankündigung und keine Realisierung?

 

Wer kann zu der Sicherheit von  https://github.com/sstrickl/rolldice etwas Fundiertes beitragen?

Edited February 28, 2021 by Janbtc

[Cricktor]

Am 27.2.2021 um 14:18 schrieb Janbtc:

Warum sollten die Onlinewürfel unsicher sein?

Die, meine Dicewarelist kennt das Onlineportal nicht.

Wieviele Diceware-Listen gibt es? Ich würde sagen, eine ziemlich überschaubare und sehr endliche Anzahl. Du wirst dir wohl kaum eine eigene Diceware-Liste gebastelt haben. Die online verfügbaren könnte ein Bösewicht ALLE zum Finden eines passenden privaten Schlüssels nutzen. Aus den Logfiles eines Onlinewürfel-Anbieters (natürlich "kostenlos") könnte ein dortiger Bösewicht Rückschlüsse ziehen, wieviele Würfelzüge du abgerufen hast und daraus eine vermutete Nutzung ableiten. Auch wenn du mehr Würfelzüge nimmst, als du bräuchtest, ergibt sich dadurch trotzdem ein ziemlich überschaubarer Suchraum, um einen Seed zu erraten oder durchzuprobieren.

Indem du "Online" zulässt, gibst du einen nicht unerheblichen Anteil an Sicherheit für deinen Seed unnötig auf. Wozu?

Oben skizzierter Angriff auf deinen Seed ist zunächst einmal nur fiktiv, soll dir aber zeigen, daß ein solcher Angriff keinesfalls unmöglich ist und eine durchaus nennenswerte Chance auf Erfolg hätte. Das Erraten eines "normal" generierten Seeds und damit der privaten Schlüssel ist auch nicht unmöglich, aber der Suchraum ist so extrem groß und die Wahrscheinlichkeit auf Erfolg praktisch sehr sehr nahe bei Null. Der fiktive Angriff ließe sich geschätzt in Tagen, Wochen oder vielleicht auch ein paar Monaten mit heutiger Hardware durchführen (geschätzt wohlgemerkt, ich hab' keine Lust, das nachzurechnen).