Zum Inhalt springen

BitBox 2.0 Hardwarewallet


Empfohlene Beiträge

schönen abend,

 

dacht ich eröffne  mal nen thread zur BitBox 2.0. hab hier bis jetzt nur selten was zu gelesen, es fallen immer nur die marken trezor, ledger... mit nicht immer gutem urteil. 

ein testbericht: https://www.hardware-wallets.de/bitbox02-testbericht/

 

Es gibt zwei Varianten, eine BTC-only version und eine Multi-Coin-Version.

Ich hab nur die BTC-only version, kann deswegen zur funktionalität mit verschiedenen währungen nichts sagen.

 

die BTC-only version gefällt mir sehr gut. finde mechanische handhabung gut, ebenso die walletsoftware.

beim einrichten der wallet muss man eine sicherheitskopie des seeds auf einer sd karte (mitgeliefert) erstellen. damit könnte man seine wallet bei verlust/zerstörung wieder herstellen. man kann sich seinen seed natürlich trotzdem notieren und die sd karte wegwerfen/formatieren. bzw. seine wallet mit einem selbst-gewählten seed einrichten.

nach dem was ich so gelesen habe scheint bei der konzeptionellen entwicklung viel wert auf sicherheit gelegt worden zu sein, und ich denke die BitBox 2.0 ist insbesondere angesichts der datenleck news bei ledger eine gute alternative  als cold-storage für BTC-hodler.

 

wie gehts euch so? haben hier viele erfahrung mit der BitBox 2.0? was gibts denn negatives dazu? kann jemand was zur multi-coin-version sagen?

was würde bei ledger vs bitbox (bei btc aufbewahrung) für den ledger sprechen?

 

  • Thanks 3
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 46 Minuten schrieb Crusader:

Hmm, was soll die Adresse in deiner Signatur?

Willst du hier auch betteln?

 

Ich denke die hat er nur angelegt, weil er sehen wollte, ob ihn einer fragt, ob er Betteln will.

DU hast gewonnen 🙈

Bearbeitet von o0dy
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor einer Stunde schrieb mahatma:

schönen abend,

 

dacht ich eröffne  mal nen thread zur BitBox 2.0. hab hier bis jetzt nur selten was zu gelesen, es fallen immer nur die marken trezor, ledger... mit nicht immer gutem urteil. 

ein testbericht: https://www.hardware-wallets.de/bitbox02-testbericht/

 

Es gibt zwei Varianten, eine BTC-only version und eine Multi-Coin-Version.

Ich hab nur die BTC-only version, kann deswegen zur funktionalität mit verschiedenen währungen nichts sagen.

 

die BTC-only version gefällt mir sehr gut. finde mechanische handhabung gut, ebenso die walletsoftware.

beim einrichten der wallet muss man eine sicherheitskopie des seeds auf einer sd karte (mitgeliefert) erstellen. damit könnte man seine wallet bei verlust/zerstörung wieder herstellen. man kann sich seinen seed natürlich trotzdem notieren und die sd karte wegwerfen/formatieren. bzw. seine wallet mit einem selbst-gewählten seed einrichten.

nach dem was ich so gelesen habe scheint bei der konzeptionellen entwicklung viel wert auf sicherheit gelegt worden zu sein, und ich denke die BitBox 2.0 ist insbesondere angesichts der datenleck news bei ledger eine gute alternative  als cold-storage für BTC-hodler.

 

wie gehts euch so? haben hier viele erfahrung mit der BitBox 2.0? was gibts denn negatives dazu? kann jemand was zur multi-coin-version sagen?

was würde bei ledger vs bitbox (bei btc aufbewahrung) für den ledger sprechen?

 

Habe schon einiges von der gelesen/gesehen. Finde es ein gutes Konzept. Schweizer Produkt, Opensource. 

https://shiftcrypto.ch/

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich habe eine Frage zu der Bitbox Software.

Wenn ein Update verfügbar ist wird der Download Link angezeigt und ich kann die neue Version downloaden. Muss ich die neue Version über die alte Version installieren?

Ich finde das schlecht gemacht und oder habe ich da einen Denkfehler?

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Stunden schrieb Solomo:

Ich habe eine Frage zu der Bitbox Software.

Wenn ein Update verfügbar ist wird der Download Link angezeigt und ich kann die neue Version downloaden. Muss ich die neue Version über die alte Version installieren?

Ich finde das schlecht gemacht und oder habe ich da einen Denkfehler?

 

Hmm, ja, also ich mache es jedenfalls so. Neue Version downloaden, SHA256 checksumme überprüfen, und "drüberinstallieren"...

Spricht was grundsätzlich gegen diese Vorgehensweise? So kann man zumindest sicher sein dass man keiner fake-version/falschem link o.ä. aufsitzt...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das sollte eigentlich die Software selber machen. Beim installieren hat das Programm den Installationspfad nicht erkannt und ich hatte nicht genau hingeschaut. So kenne ich das noch aus den frühen 2000er. Das hat Ledger besser gelöst. Das gefällt mir überhaupt nicht.

Bearbeitet von Gast
Link zu diesem Kommentar
Auf anderen Seiten teilen

ah ok, und dann haste praktisch zwei Installationen mit unterschiedlicher Version? Stimmt, das ist nicht schön, sollte spätestens das Installationsprogramm erkennen, dass da bereits ne Version installiert ist die upgedated werden will...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Interessantes Gerät und nach Lektüre beim Hersteller, besonders zu möglichen Angriffsvektoren und implementierten Gegenmaßnahmen, klingt das ziemlich gut und durchdacht. Den möglichen Side-channel-leak über den Stromverbrauch des OLED-Displays könnte der Hersteller sehr wahrscheinlich durch ein Firmware-Update in den Griff bekommen, wobei mir das jetzt nicht das Gerät vermiest. Immerhin wird das offen kommuniziert, was ich bemerkenswert finde und mir sind kaum Nebelkerzen durch Marketing-BS aufgefallen.

Wie geschmeidig sich diese Wallet in der Praxis nutzen lässt, übersehe ich noch nicht. Daß jetzt nicht ein ganzes Füllhorn and Crypto-Coins und -Tokens unterstützt wird, finde ich für mich persönlich kein No-Go.

vor 13 Stunden schrieb Crusader:

Die Frage ist natürlich wer macht sich die Mühe ein eigenes Kompilat zu installieren?

Allein die dokumentierte Möglichkeit, es kontrollieren zu können, hebt diese Wallet von anderen ab, die dir das nicht ermöglichen. Du musst ja nicht dein eigenes Kompilat installieren: es geht darum, daß du in der Lage währest, die App und Firmware vom Hersteller grundsätzlich über deren Hashs zu verifizieren. Im Software-Repo kannst du den Code einsehen und wenn du Lust hast, auch analysieren. Aus dem öffentlichen Repo kannst du die Soft- und Firmware nachbauen und verifizieren, daß sie identisch ist zu dem, was der Hersteller dir zum Download anbietet.
Wenn du zu faul oder zu unwissend dazu bist, überspitzt gesagt, ist das doch kein Maßstab für andere. Wenn einem Nutzer es wichtig ist, diese Überprüfung auf sich zu nehmen, dann kann er es bei dieser Wallet machen und wenn ich mir z.B. diese Wallet anschaffen würde, dann würde ich die Überprüfung auch probieren wollen. Einfach weil es geht, weil ich es hoffentlich hinbekomme und weil ich dadurch eine sicherheitsrelevante Bestätigung für die verwendeten Software-Komponenten der Hardware-Wallet hätte. Man müsste sich ja auch nicht die Mühe selbst machen, andere dokumentieren es vielleicht für dich, wozu der Hersteller ausdrücklich ermuntert, daß sie die Soft- und Firmware erfolgreich haben überprüfen können. Machst du es nicht selbst, musst du natürlich darauf vertrauen, daß die anderen bestätigenden User nicht alle Fake-User vom Hersteller sind.

Bearbeitet von Cricktor
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor einer Stunde schrieb Cricktor:

Den möglichen Side-channel-leak über den Stromverbrauch des OLED-Displays könnte der Hersteller sehr wahrscheinlich durch ein Firmware-Update in den Griff bekommen, wobei mir das jetzt nicht das Gerät vermiest. Immerhin wird das offen kommuniziert, was ich bemerkenswert finde und mir sind kaum Nebelkerzen durch Marketing-BS aufgefallen.

hmm, meinst du der Effekt wäre über die Firmware beeinflussbar?? Na, so oder so, daaas ist echt mal ein ausgefallenes Angriffszenario, müsste sich der Angreifer erstens bei Benutzung mit aufwendigem technischen Gerät in direkter Umgebung befinden, zweitens wurde meines Wissens nur gezeigt, dass unterschiedliche Darstellung im Display sich durch Messung des Stromverbrauchs nachweisen lässt, aber wurde so bereits erfolgreich ein eingegebenes Passwort abgefangen? Und wie siehts da bei Trezor/Ledger etc aus? Wurde der Side-channel-Leak vom Display da untersucht?

 

vor einer Stunde schrieb Cricktor:

Wie geschmeidig sich diese Wallet in der Praxis nutzen lässt, übersehe ich noch nicht. Daß jetzt nicht ein ganzes Füllhorn and Crypto-Coins und -Tokens unterstützt wird, finde ich für mich persönlich kein No-Go.

Mir läuft sie rein. Wenn man sich man an die Handhabung der kapazitiven Sensoren gewöhnt hat... Läuft.

Bin aber auch ein spartanischer Benutzer, man empfängt halt ab und an ne Transaktion, ab und an geht eine raus. Wies da mit komplexeren Ansprüchen aussieht weis ich nicht, vielleicht gibts ja andere User die da mehr Erfahrung haben.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Schau' dir mal die Berichte von Christian Reitter an:
https://blog.inhq.net/posts/oled-side-channel-status-summary/
https://blog.inhq.net/posts/oled-side-channel-part2/
Die Spektrogramme (Wasserfall-Plots) sind fast eher mit einer etwas besseren "Soundkarte" als Analog-Digital-Wandler gemacht, der genaue Messaufbau erschließt sich mir allerdings nicht wirklich. C.R. schreibt selbst, daß er den Wallet-Herstellern bewusst aufzeigen wollte, daß man auch mit sparsamem Meßequipment durchaus weit kommt. Am Ende hättest du mit einem "manipulierten" Rechner (Evil-Maid-Attack), durchaus eine Chance, z.B. die Geräte-PIN zu ermitteln. Wie man die Umgebung hinbekommt, daß der Wallet-Besitzer keinen Argwohn schöpft ist sicherlich lösbar. Es geht um das Prinzip, daß hier ein Seitenkanal-Angriff sehr wohl möglich ist und fast alle Hardware-Wallet-Hersteller betroffen wären.

Bei den Bildern vom Trezor kann man dann auch sehen, wie eine Gegenmaßnahme nur durch Ändernung der Displayanzeige möglich ist (Mitigation A beim zweiten Link). Man sorgt dafür, daß die Anzahl dunkler und heller Pixel in jeder Bildschirmzeile gleich ist, unabhängig davon, welche Zeichen des "Geheimnisses" auf dem Bildschirm gerade angezeigt werden.

Machen wir uns nix vor: haben Gauner gut recherchiert und du hast ordentliche Werte in der Wallet, dann genügt eine Entführung und der 10-Euro-Baumarkt-Maulschlüssel-Angriff, so ab Größe 24.

Aber jetzt wieder back to topic für die BitBox 2.0

Bearbeitet von Cricktor
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 8 Stunden schrieb Cricktor:

Schau' dir mal die Berichte von Christian Reitter an:
https://blog.inhq.net/posts/oled-side-channel-status-summary/
https://blog.inhq.net/posts/oled-side-channel-part2/
Die Spektrogramme (Wasserfall-Plots) sind fast eher mit einer etwas besseren "Soundkarte" als Analog-Digital-Wandler gemacht, der genaue Messaufbau erschließt sich mir allerdings nicht wirklich. C.R. schreibt selbst, daß er den Wallet-Herstellern bewusst aufzeigen wollte, daß man auch mit sparsamem Meßequipment durchaus weit kommt. Am Ende hättest du mit einem "manipulierten" Rechner (Evil-Maid-Attack), durchaus eine Chance, z.B. die Geräte-PIN zu ermitteln. Wie man die Umgebung hinbekommt, daß der Wallet-Besitzer keinen Argwohn schöpft ist sicherlich lösbar. Es geht um das Prinzip, daß hier ein Seitenkanal-Angriff sehr wohl möglich ist und fast alle Hardware-Wallet-Hersteller betroffen wären.

 

da schau her... interessant, wieder was gelernt!

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 10 Monate später...

Wie sieh das eigentlich mit den Token auf der Bitbox aus?

Die Box unterstütz ERC20 Token nicht nativ über die Bitbox App... man kann die Box aber zB mit MEW verbinden....

dann wäre MEW die eigentliche Softwareanwendung, dient die Bitbox App dann nur der Einrichtung?

ist dann MEW das was bei Ledger "live" ist?

Oder werden die Token auch auf der Bitbox App angezeigt wenn welche im Wallet sind?

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 9 Minuten schrieb ICU:

Wie sieh das eigentlich mit den Token auf der Bitbox aus?

Die Box unterstütz ERC20 Token nicht nativ über die Bitbox App... man kann die Box aber zB mit MEW verbinden....

dann wäre MEW die eigentliche Softwareanwendung, dient die Bitbox App dann nur der Einrichtung?

ist dann MEW das was bei Ledger "live" ist?

Oder werden die Token auch auf der Bitbox App angezeigt wenn welche im Wallet sind?

Ja MEW ist eine Software zum verwalten deiner Token wie auch Live. Bei Live ist halt auch die Ledger-Verwaltung enthalten. 

https://shiftcrypto.ch/de/app/

Dort steht dass ERC20 unterstützt werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich hab noch mal ne  technische Frage.

Auf meiner Watchlist sind XRP und IOTA.

Beide werden von der BitBox nicht unterstütz.

XRP geht aber auf den Ledger....

Laut Code Konverter https://iancoleman.io/bip39/#entropy-notes Coin 144.

Warum kann mir die Bitbox nicht die  Adressen aus dieser Ableitung anzeigen?

 

Brauche ich für XRP und IOTA jeweils seperate Software Wallets?

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 Monate später...
  • 2 Monate später...
Am 3.5.2022 um 19:25 schrieb Marlies:

Puh, dann leben die echt noch hinter dem Mond....

Ja, das stimmt.

Und trotzdem die Geräte kastriert werden, sie die Käufer entmündigen und Mitbewerber behindern, findet Apple immer noch Menschen, die Ihre überteuerten Geräte kaufen. Darüber staune ich auch immer wieder.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.