mahatma Posted March 30, 2021 Share Posted March 30, 2021 schönen abend, dacht ich eröffne mal nen thread zur BitBox 2.0. hab hier bis jetzt nur selten was zu gelesen, es fallen immer nur die marken trezor, ledger... mit nicht immer gutem urteil. ein testbericht: https://www.hardware-wallets.de/bitbox02-testbericht/ Es gibt zwei Varianten, eine BTC-only version und eine Multi-Coin-Version. Ich hab nur die BTC-only version, kann deswegen zur funktionalität mit verschiedenen währungen nichts sagen. die BTC-only version gefällt mir sehr gut. finde mechanische handhabung gut, ebenso die walletsoftware. beim einrichten der wallet muss man eine sicherheitskopie des seeds auf einer sd karte (mitgeliefert) erstellen. damit könnte man seine wallet bei verlust/zerstörung wieder herstellen. man kann sich seinen seed natürlich trotzdem notieren und die sd karte wegwerfen/formatieren. bzw. seine wallet mit einem selbst-gewählten seed einrichten. nach dem was ich so gelesen habe scheint bei der konzeptionellen entwicklung viel wert auf sicherheit gelegt worden zu sein, und ich denke die BitBox 2.0 ist insbesondere angesichts der datenleck news bei ledger eine gute alternative als cold-storage für BTC-hodler. wie gehts euch so? haben hier viele erfahrung mit der BitBox 2.0? was gibts denn negatives dazu? kann jemand was zur multi-coin-version sagen? was würde bei ledger vs bitbox (bei btc aufbewahrung) für den ledger sprechen? 3 Link to comment Share on other sites More sharing options...
Crusader Posted March 30, 2021 Share Posted March 30, 2021 Hmm, was soll die Adresse in deiner Signatur? Willst du hier auch betteln? Link to comment Share on other sites More sharing options...
o0dy Posted March 30, 2021 Share Posted March 30, 2021 (edited) vor 46 Minuten schrieb Crusader: Hmm, was soll die Adresse in deiner Signatur? Willst du hier auch betteln? Ich denke die hat er nur angelegt, weil er sehen wollte, ob ihn einer fragt, ob er Betteln will. DU hast gewonnen 🙈 Edited March 30, 2021 by o0dy Link to comment Share on other sites More sharing options...
o0dy Posted March 30, 2021 Share Posted March 30, 2021 vor einer Stunde schrieb mahatma: schönen abend, dacht ich eröffne mal nen thread zur BitBox 2.0. hab hier bis jetzt nur selten was zu gelesen, es fallen immer nur die marken trezor, ledger... mit nicht immer gutem urteil. ein testbericht: https://www.hardware-wallets.de/bitbox02-testbericht/ Es gibt zwei Varianten, eine BTC-only version und eine Multi-Coin-Version. Ich hab nur die BTC-only version, kann deswegen zur funktionalität mit verschiedenen währungen nichts sagen. die BTC-only version gefällt mir sehr gut. finde mechanische handhabung gut, ebenso die walletsoftware. beim einrichten der wallet muss man eine sicherheitskopie des seeds auf einer sd karte (mitgeliefert) erstellen. damit könnte man seine wallet bei verlust/zerstörung wieder herstellen. man kann sich seinen seed natürlich trotzdem notieren und die sd karte wegwerfen/formatieren. bzw. seine wallet mit einem selbst-gewählten seed einrichten. nach dem was ich so gelesen habe scheint bei der konzeptionellen entwicklung viel wert auf sicherheit gelegt worden zu sein, und ich denke die BitBox 2.0 ist insbesondere angesichts der datenleck news bei ledger eine gute alternative als cold-storage für BTC-hodler. wie gehts euch so? haben hier viele erfahrung mit der BitBox 2.0? was gibts denn negatives dazu? kann jemand was zur multi-coin-version sagen? was würde bei ledger vs bitbox (bei btc aufbewahrung) für den ledger sprechen? Habe schon einiges von der gelesen/gesehen. Finde es ein gutes Konzept. Schweizer Produkt, Opensource. https://shiftcrypto.ch/ Link to comment Share on other sites More sharing options...
Crusader Posted March 30, 2021 Share Posted March 30, 2021 Open Source ist natürlich eine feine Sache. Da ist es anspruchsvoll Backdoors zu verstecken. Die Frage ist natürlich wer macht sich die Mühe ein eigenes Kompilat zu installieren? Link to comment Share on other sites More sharing options...
mahatma Posted March 30, 2021 Author Share Posted March 30, 2021 vor 3 Stunden schrieb Crusader: Hmm, was soll die Adresse in deiner Signatur? Willst du hier auch betteln? bin haltn neuling, da baut man noch scheiss... Link to comment Share on other sites More sharing options...
Crusader Posted March 31, 2021 Share Posted March 31, 2021 Das kannst du ja offenbar sehr gut. Wie bekommt man mit 13 Beiträgen 42 Votes? Irgendwie muß die Software hier kaputt sein. LOL Link to comment Share on other sites More sharing options...
FiverrPajeet Posted March 31, 2021 Share Posted March 31, 2021 vor 1 Stunde schrieb Crusader: Das kannst du ja offenbar sehr gut. Wie bekommt man mit 13 Beiträgen 42 Votes? Irgendwie muß die Software hier kaputt sein. LOL Du hast noch nichtmal das Zitieren gelernt....LOL Link to comment Share on other sites More sharing options...
Guest Posted March 31, 2021 Share Posted March 31, 2021 Ich habe eine Frage zu der Bitbox Software. Wenn ein Update verfügbar ist wird der Download Link angezeigt und ich kann die neue Version downloaden. Muss ich die neue Version über die alte Version installieren? Ich finde das schlecht gemacht und oder habe ich da einen Denkfehler? Link to comment Share on other sites More sharing options...
mahatma Posted March 31, 2021 Author Share Posted March 31, 2021 vor 2 Stunden schrieb Solomo: Ich habe eine Frage zu der Bitbox Software. Wenn ein Update verfügbar ist wird der Download Link angezeigt und ich kann die neue Version downloaden. Muss ich die neue Version über die alte Version installieren? Ich finde das schlecht gemacht und oder habe ich da einen Denkfehler? Hmm, ja, also ich mache es jedenfalls so. Neue Version downloaden, SHA256 checksumme überprüfen, und "drüberinstallieren"... Spricht was grundsätzlich gegen diese Vorgehensweise? So kann man zumindest sicher sein dass man keiner fake-version/falschem link o.ä. aufsitzt... Link to comment Share on other sites More sharing options...
Guest Posted March 31, 2021 Share Posted March 31, 2021 (edited) Das sollte eigentlich die Software selber machen. Beim installieren hat das Programm den Installationspfad nicht erkannt und ich hatte nicht genau hingeschaut. So kenne ich das noch aus den frühen 2000er. Das hat Ledger besser gelöst. Das gefällt mir überhaupt nicht. Edited March 31, 2021 by Guest Link to comment Share on other sites More sharing options...
mahatma Posted March 31, 2021 Author Share Posted March 31, 2021 ah ok, und dann haste praktisch zwei Installationen mit unterschiedlicher Version? Stimmt, das ist nicht schön, sollte spätestens das Installationsprogramm erkennen, dass da bereits ne Version installiert ist die upgedated werden will... Link to comment Share on other sites More sharing options...
Cricktor Posted March 31, 2021 Share Posted March 31, 2021 (edited) Interessantes Gerät und nach Lektüre beim Hersteller, besonders zu möglichen Angriffsvektoren und implementierten Gegenmaßnahmen, klingt das ziemlich gut und durchdacht. Den möglichen Side-channel-leak über den Stromverbrauch des OLED-Displays könnte der Hersteller sehr wahrscheinlich durch ein Firmware-Update in den Griff bekommen, wobei mir das jetzt nicht das Gerät vermiest. Immerhin wird das offen kommuniziert, was ich bemerkenswert finde und mir sind kaum Nebelkerzen durch Marketing-BS aufgefallen. Wie geschmeidig sich diese Wallet in der Praxis nutzen lässt, übersehe ich noch nicht. Daß jetzt nicht ein ganzes Füllhorn and Crypto-Coins und -Tokens unterstützt wird, finde ich für mich persönlich kein No-Go. vor 13 Stunden schrieb Crusader: Die Frage ist natürlich wer macht sich die Mühe ein eigenes Kompilat zu installieren? Allein die dokumentierte Möglichkeit, es kontrollieren zu können, hebt diese Wallet von anderen ab, die dir das nicht ermöglichen. Du musst ja nicht dein eigenes Kompilat installieren: es geht darum, daß du in der Lage währest, die App und Firmware vom Hersteller grundsätzlich über deren Hashs zu verifizieren. Im Software-Repo kannst du den Code einsehen und wenn du Lust hast, auch analysieren. Aus dem öffentlichen Repo kannst du die Soft- und Firmware nachbauen und verifizieren, daß sie identisch ist zu dem, was der Hersteller dir zum Download anbietet. Wenn du zu faul oder zu unwissend dazu bist, überspitzt gesagt, ist das doch kein Maßstab für andere. Wenn einem Nutzer es wichtig ist, diese Überprüfung auf sich zu nehmen, dann kann er es bei dieser Wallet machen und wenn ich mir z.B. diese Wallet anschaffen würde, dann würde ich die Überprüfung auch probieren wollen. Einfach weil es geht, weil ich es hoffentlich hinbekomme und weil ich dadurch eine sicherheitsrelevante Bestätigung für die verwendeten Software-Komponenten der Hardware-Wallet hätte. Man müsste sich ja auch nicht die Mühe selbst machen, andere dokumentieren es vielleicht für dich, wozu der Hersteller ausdrücklich ermuntert, daß sie die Soft- und Firmware erfolgreich haben überprüfen können. Machst du es nicht selbst, musst du natürlich darauf vertrauen, daß die anderen bestätigenden User nicht alle Fake-User vom Hersteller sind. Edited March 31, 2021 by Cricktor 1 Link to comment Share on other sites More sharing options...
mahatma Posted March 31, 2021 Author Share Posted March 31, 2021 vor einer Stunde schrieb Cricktor: Den möglichen Side-channel-leak über den Stromverbrauch des OLED-Displays könnte der Hersteller sehr wahrscheinlich durch ein Firmware-Update in den Griff bekommen, wobei mir das jetzt nicht das Gerät vermiest. Immerhin wird das offen kommuniziert, was ich bemerkenswert finde und mir sind kaum Nebelkerzen durch Marketing-BS aufgefallen. hmm, meinst du der Effekt wäre über die Firmware beeinflussbar?? Na, so oder so, daaas ist echt mal ein ausgefallenes Angriffszenario, müsste sich der Angreifer erstens bei Benutzung mit aufwendigem technischen Gerät in direkter Umgebung befinden, zweitens wurde meines Wissens nur gezeigt, dass unterschiedliche Darstellung im Display sich durch Messung des Stromverbrauchs nachweisen lässt, aber wurde so bereits erfolgreich ein eingegebenes Passwort abgefangen? Und wie siehts da bei Trezor/Ledger etc aus? Wurde der Side-channel-Leak vom Display da untersucht? vor einer Stunde schrieb Cricktor: Wie geschmeidig sich diese Wallet in der Praxis nutzen lässt, übersehe ich noch nicht. Daß jetzt nicht ein ganzes Füllhorn and Crypto-Coins und -Tokens unterstützt wird, finde ich für mich persönlich kein No-Go. Mir läuft sie rein. Wenn man sich man an die Handhabung der kapazitiven Sensoren gewöhnt hat... Läuft. Bin aber auch ein spartanischer Benutzer, man empfängt halt ab und an ne Transaktion, ab und an geht eine raus. Wies da mit komplexeren Ansprüchen aussieht weis ich nicht, vielleicht gibts ja andere User die da mehr Erfahrung haben. Link to comment Share on other sites More sharing options...
Cricktor Posted April 1, 2021 Share Posted April 1, 2021 (edited) Schau' dir mal die Berichte von Christian Reitter an:https://blog.inhq.net/posts/oled-side-channel-status-summary/https://blog.inhq.net/posts/oled-side-channel-part2/ Die Spektrogramme (Wasserfall-Plots) sind fast eher mit einer etwas besseren "Soundkarte" als Analog-Digital-Wandler gemacht, der genaue Messaufbau erschließt sich mir allerdings nicht wirklich. C.R. schreibt selbst, daß er den Wallet-Herstellern bewusst aufzeigen wollte, daß man auch mit sparsamem Meßequipment durchaus weit kommt. Am Ende hättest du mit einem "manipulierten" Rechner (Evil-Maid-Attack), durchaus eine Chance, z.B. die Geräte-PIN zu ermitteln. Wie man die Umgebung hinbekommt, daß der Wallet-Besitzer keinen Argwohn schöpft ist sicherlich lösbar. Es geht um das Prinzip, daß hier ein Seitenkanal-Angriff sehr wohl möglich ist und fast alle Hardware-Wallet-Hersteller betroffen wären. Bei den Bildern vom Trezor kann man dann auch sehen, wie eine Gegenmaßnahme nur durch Ändernung der Displayanzeige möglich ist (Mitigation A beim zweiten Link). Man sorgt dafür, daß die Anzahl dunkler und heller Pixel in jeder Bildschirmzeile gleich ist, unabhängig davon, welche Zeichen des "Geheimnisses" auf dem Bildschirm gerade angezeigt werden. Machen wir uns nix vor: haben Gauner gut recherchiert und du hast ordentliche Werte in der Wallet, dann genügt eine Entführung und der 10-Euro-Baumarkt-Maulschlüssel-Angriff, so ab Größe 24. Aber jetzt wieder back to topic für die BitBox 2.0 Edited April 1, 2021 by Cricktor 1 Link to comment Share on other sites More sharing options...
mahatma Posted April 1, 2021 Author Share Posted April 1, 2021 vor 8 Stunden schrieb Cricktor: Schau' dir mal die Berichte von Christian Reitter an:https://blog.inhq.net/posts/oled-side-channel-status-summary/https://blog.inhq.net/posts/oled-side-channel-part2/ Die Spektrogramme (Wasserfall-Plots) sind fast eher mit einer etwas besseren "Soundkarte" als Analog-Digital-Wandler gemacht, der genaue Messaufbau erschließt sich mir allerdings nicht wirklich. C.R. schreibt selbst, daß er den Wallet-Herstellern bewusst aufzeigen wollte, daß man auch mit sparsamem Meßequipment durchaus weit kommt. Am Ende hättest du mit einem "manipulierten" Rechner (Evil-Maid-Attack), durchaus eine Chance, z.B. die Geräte-PIN zu ermitteln. Wie man die Umgebung hinbekommt, daß der Wallet-Besitzer keinen Argwohn schöpft ist sicherlich lösbar. Es geht um das Prinzip, daß hier ein Seitenkanal-Angriff sehr wohl möglich ist und fast alle Hardware-Wallet-Hersteller betroffen wären. da schau her... interessant, wieder was gelernt! Link to comment Share on other sites More sharing options...
ICU Posted February 21, 2022 Share Posted February 21, 2022 Wie sieh das eigentlich mit den Token auf der Bitbox aus? Die Box unterstütz ERC20 Token nicht nativ über die Bitbox App... man kann die Box aber zB mit MEW verbinden.... dann wäre MEW die eigentliche Softwareanwendung, dient die Bitbox App dann nur der Einrichtung? ist dann MEW das was bei Ledger "live" ist? Oder werden die Token auch auf der Bitbox App angezeigt wenn welche im Wallet sind? Link to comment Share on other sites More sharing options...
Guest Posted February 21, 2022 Share Posted February 21, 2022 vor 9 Minuten schrieb ICU: Wie sieh das eigentlich mit den Token auf der Bitbox aus? Die Box unterstütz ERC20 Token nicht nativ über die Bitbox App... man kann die Box aber zB mit MEW verbinden.... dann wäre MEW die eigentliche Softwareanwendung, dient die Bitbox App dann nur der Einrichtung? ist dann MEW das was bei Ledger "live" ist? Oder werden die Token auch auf der Bitbox App angezeigt wenn welche im Wallet sind? Ja MEW ist eine Software zum verwalten deiner Token wie auch Live. Bei Live ist halt auch die Ledger-Verwaltung enthalten. https://shiftcrypto.ch/de/app/ Dort steht dass ERC20 unterstützt werden. Link to comment Share on other sites More sharing options...
ICU Posted February 22, 2022 Share Posted February 22, 2022 Ich hab noch mal ne technische Frage. Auf meiner Watchlist sind XRP und IOTA. Beide werden von der BitBox nicht unterstütz. XRP geht aber auf den Ledger.... Laut Code Konverter https://iancoleman.io/bip39/#entropy-notes Coin 144. Warum kann mir die Bitbox nicht die Adressen aus dieser Ableitung anzeigen? Brauche ich für XRP und IOTA jeweils seperate Software Wallets? Link to comment Share on other sites More sharing options...
Marlies Posted May 2, 2022 Share Posted May 2, 2022 Weiss jemand ob für die BitBox02 eine iPhone App in Planung ist? Ich konnte auf der Webseite leider keine Info finden. Link to comment Share on other sites More sharing options...
Cricktor Posted May 3, 2022 Share Posted May 3, 2022 Wie wäre es, direkt beim Hersteller zu fragen? Der kann es dir aus erster Hand beantworten. Eine erste Antwort findest du hier: https://shiftcrypto.support/help/en-us/10-download-installation/21-why-is-there-no-bitboxapp-for-ios-iphone Link to comment Share on other sites More sharing options...
Marlies Posted May 3, 2022 Share Posted May 3, 2022 Puh, dann leben die echt noch hinter dem Mond.... Link to comment Share on other sites More sharing options...
Maaz Posted July 12, 2022 Share Posted July 12, 2022 Am 3.5.2022 um 19:25 schrieb Marlies: Puh, dann leben die echt noch hinter dem Mond.... Ja, das stimmt. Und trotzdem die Geräte kastriert werden, sie die Käufer entmündigen und Mitbewerber behindern, findet Apple immer noch Menschen, die Ihre überteuerten Geräte kaufen. Darüber staune ich auch immer wieder. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now