Janbtc Geschrieben 26. Februar 2021 Teilen Geschrieben 26. Februar 2021 (bearbeitet) Hallo Forum, was haltet Ihr von einem Onlinewürfel um einen SEED zu erstellen? https://www.wuerfelonline.de/ https://online-wuerfel.de/ Seht Ihr da irgendwelche Sicherheitsrisiken? MfG Janbtc Bearbeitet 26. Februar 2021 von Janbtc Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Philbert Geschrieben 26. Februar 2021 Teilen Geschrieben 26. Februar 2021 (bearbeitet) vor 7 Minuten schrieb Janbtc: Seht Ihr da irgendwelche Sicherheitsrisiken? Und wie soll das damit gehen? Davon ganz abgesehen: Wenn man zu Paranoia neigt und den Seed nicht von seinem Ledger vorschlagen lassen möchte, dann ist ein Online-Tool keinesfalls eine Option. Bearbeitet 26. Februar 2021 von Philbert Es gibt hier Anleitungen wie man das ziemlich sicher machen kann. Einfach mal die Suchfunktion benutzen. 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Janbtc Geschrieben 26. Februar 2021 Autor Teilen Geschrieben 26. Februar 2021 (bearbeitet) Was hat das mit "Ledger" zu tun? Ich habe keine Würfel, damit kann ich auch andere Diceware Passwörter erstellen. Bearbeitet 26. Februar 2021 von Janbtc Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Philbert Geschrieben 26. Februar 2021 Teilen Geschrieben 26. Februar 2021 vor 21 Minuten schrieb Janbtc: Was hat das mit "Ledger" zu tun? Ich habe keine Würfel, damit kann auch andere Diceware Passwörter erstellen. Ja, das stimmt natürlich. Die Problematik bleibt aber die selbe. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Janbtc Geschrieben 26. Februar 2021 Autor Teilen Geschrieben 26. Februar 2021 (bearbeitet) Die Website, ist das Ergebnis nicht so wie ein "reales" Würfelset? Bearbeitet 26. Februar 2021 von Janbtc Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Philbert Geschrieben 26. Februar 2021 Teilen Geschrieben 26. Februar 2021 vor 8 Minuten schrieb Janbtc: Die Website, das Ergebnis nicht so wie ein "reales" Würfelset? Erstmal ist das gar nicht so ganz einfach im Computerbereich überhaupt einen echten Zufall zu erzeugen. Es geht meistens um den "Startwert". Kannst ja mal hier lesen: https://de.wikipedia.org/wiki/Pseudozufall Im Falle von einfachen Würfelseiten ist das vermutlich nicht weiter besorgniserregend. Aber Seiten die dir deinen Seed komplett "zufällig" erwürfeln würde ich keinesfalls nehmen. Das können kleine Pools sein, woraus die Ergebnisse stammen. Und die werden u.U. abgefischt. Gab grade hier einen Betrag über Betrug durch eine Online-Paperwallet Seite. Der andere Punkt ist aber das "online" ... alles was auf deinem Rechner passiert kann online u.U. ausspioniert werden. Dein Rechner ist per se nicht sicher, egal welches Betriebssystem. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Cricktor Geschrieben 26. Februar 2021 Teilen Geschrieben 26. Februar 2021 Ich sehe es so: jeder "online" generierte/gewürfelte Seed ist nicht sicher, da du keine Kontrolle über die Herkunft des Zufalls hast und ob die Quelle nicht doch so schlecht pseudo-zufällig ist, daß ein späteres "Erraten" des privaten Schlüssels nicht unmöglich ist. Punkt. Kauf' dir Würfel oder generiere dir selbst ausreichend große zufällige Seeds mit nachweislich sicherer Software, die möglichst nicht im Zusammenhang mit Cryptowährung steht. Die gesamte Toolchain sollte sicher sein und offline funktionieren, es sei denn, dir ist der mögliche Verlust der hinterlegten Cryptos egal. 2 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Philbert Geschrieben 26. Februar 2021 Teilen Geschrieben 26. Februar 2021 vor 35 Minuten schrieb Cricktor: Kauf' dir Würfel oder generiere dir selbst ausreichend große zufällige Seeds mit nachweislich sicherer Software, die möglichst nicht im Zusammenhang mit Cryptowährung steht. Genau. Man könnte einfach Excel nehmen. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Janbtc Geschrieben 27. Februar 2021 Autor Teilen Geschrieben 27. Februar 2021 Warum sollten die Onlinewürfel unsicher sein? Die, meine Dicewarelist kennt das Onlineportal nicht. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
MixMax Geschrieben 27. Februar 2021 Teilen Geschrieben 27. Februar 2021 (bearbeitet) vor 1 Stunde schrieb Janbtc: Warum sollten die Onlinewürfel unsicher sein? Sie sind unsicher. Und bei einem Preis von 0,25€ für 5 Würfel, diskutiere ich da auch nicht lang rum. Da ist selbst der Aufwand für meine Antwort hier zu hoch. https://www.amazon.de/Holzwürfel-Familienfeier-Kinderspielzeug-Exquisites-Spielzeug/dp/B08HJWFYH2/ref=sr_1_18?__mk_de_DE=ÅMÅŽÕÑ&dchild=1&keywords=Würfel&qid=1614438184&sr=8-18 Wenn du Online-Würfel für sicher hältst, dann nehm sie doch einfach. Du kannst den Seed dann aber auch gleich in der Wallet genierieren lassen, dass ist wahrscheinlich sogar noch sicherer. Bearbeitet 27. Februar 2021 von MixMax Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
wwurst Geschrieben 27. Februar 2021 Teilen Geschrieben 27. Februar 2021 Die Holzwürfelchen sind natürlich auch "gezinkt", bei dem Preis kommt garantiert eine Zahl öfter vor als die anderen. Der große, entscheidende Unterschied: bei Online-Würfeln weiß der Anbieter genau, wie sie gezinkt sind, und könnte das ausnützen. Von den Holzwürfelchen weiß keiner die Details, und solange du sie nicht mehrfach benutzt ist das praktisch so gut wie ein one-time-pad - prinzipiell nicht leichter knackbar als durch komplettes Durchprobieren des Schlüsselraums. 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
FiverrPajeet Geschrieben 27. Februar 2021 Teilen Geschrieben 27. Februar 2021 vor 6 Stunden schrieb Janbtc: Warum sollten die Onlinewürfel unsicher sein? Die, meine Dicewarelist kennt das Onlineportal nicht. Komm schon, es ist keine Raketenwissenschaft NIEMALS ONLINE WAS IRGENDWIE MIT DEINEM SEED ZUSAMMENHÄNGT 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Janbtc Geschrieben 27. Februar 2021 Autor Teilen Geschrieben 27. Februar 2021 (bearbeitet) Hallo, was haltet Ihr von Rolldice? https://github.com/sstrickl/rolldice rolldice 5xd6 4 1 1 3 6 Rolldice funktoniert offline. Zitat Komm schon, es ist keine Raketenwissenschaf Richtig, es ist Wahrscheinlichkeitsrechnung und Statistik. Bearbeitet 27. Februar 2021 von Janbtc 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
MixMax Geschrieben 27. Februar 2021 Teilen Geschrieben 27. Februar 2021 (bearbeitet) vor 16 Minuten schrieb Janbtc: Hallo, was haltet Ihr von Rolldice? https://github.com/sstrickl/rolldice Rolldice funktoniert offline. Ich werde mal eben ne Webseite erstellen mit Wahrscheinlichkeitsrechnung und Statistik sehr zuverlässig gleich verteilte Würfelzahlen berechnet. Ist dann 100% sicher, die kannst du dann für deinen Seed nehmen! Verlass dich auf mein Wort, und vertrau mir! Ich ganrantiere dir das ich damit gut abkassieren werden du da echt gut und sicher deinen Seed Würfeln kannst! Bearbeitet 27. Februar 2021 von MixMax Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Janbtc Geschrieben 28. Februar 2021 Autor Teilen Geschrieben 28. Februar 2021 (bearbeitet) Hallo MixMax, dein Posting hilft nicht weiter. Dafür ist deine Signatur meist sehr viel größer als deine Beiträge. Du wirst politisch aktiv sein. Zitat Ich werde mal eben ne Webseite erstellen mit Wahrscheinlichkeitsrechnung und Statistik sehr zuverlässig gleich verteilte Würfelzahlen berechnet. Wann machst Du deine Ankündigung wahr, oder nur Ankündigung und keine Realisierung? Wer kann zu der Sicherheit von https://github.com/sstrickl/rolldice etwas Fundiertes beitragen? Bearbeitet 28. Februar 2021 von Janbtc Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Cricktor Geschrieben 1. März 2021 Teilen Geschrieben 1. März 2021 Am 27.2.2021 um 14:18 schrieb Janbtc: Warum sollten die Onlinewürfel unsicher sein? Die, meine Dicewarelist kennt das Onlineportal nicht. Wieviele Diceware-Listen gibt es? Ich würde sagen, eine ziemlich überschaubare und sehr endliche Anzahl. Du wirst dir wohl kaum eine eigene Diceware-Liste gebastelt haben. Die online verfügbaren könnte ein Bösewicht ALLE zum Finden eines passenden privaten Schlüssels nutzen. Aus den Logfiles eines Onlinewürfel-Anbieters (natürlich "kostenlos") könnte ein dortiger Bösewicht Rückschlüsse ziehen, wieviele Würfelzüge du abgerufen hast und daraus eine vermutete Nutzung ableiten. Auch wenn du mehr Würfelzüge nimmst, als du bräuchtest, ergibt sich dadurch trotzdem ein ziemlich überschaubarer Suchraum, um einen Seed zu erraten oder durchzuprobieren. Indem du "Online" zulässt, gibst du einen nicht unerheblichen Anteil an Sicherheit für deinen Seed unnötig auf. Wozu? Oben skizzierter Angriff auf deinen Seed ist zunächst einmal nur fiktiv, soll dir aber zeigen, daß ein solcher Angriff keinesfalls unmöglich ist und eine durchaus nennenswerte Chance auf Erfolg hätte. Das Erraten eines "normal" generierten Seeds und damit der privaten Schlüssel ist auch nicht unmöglich, aber der Suchraum ist so extrem groß und die Wahrscheinlichkeit auf Erfolg praktisch sehr sehr nahe bei Null. Der fiktive Angriff ließe sich geschätzt in Tagen, Wochen oder vielleicht auch ein paar Monaten mit heutiger Hardware durchführen (geschätzt wohlgemerkt, ich hab' keine Lust, das nachzurechnen). Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden