Wie „sicher“ ist Electrum und weitere Frage zur Kombi Ledger / Electrum?

[Gast]

Moin zusammen,

bisher habe ich Ledger Live und den Nano s genutzt.

Vor geraumer Zeit hatte ich die Idee „meine Privatsphäre zu erhöhen“ und nicht alles für eine Firma (Ledger) einsehbar zulassen, in dem ich meine Accounts / Bestände nicht weiter in Ledger Live nutze/erhöhe und eine anoyme Wallet wie Electrum nutze.

Ich dachte eigentlich, dass ich mich im Vorfeld ausreichend über Electrum ausreichend informiert habe.

Ich habe Electrum vor kurzem installiert, aber noch keine Transaktionen durchgeführt.

Nun habe ich eher zufällig Dinge gelesen wie, dass bei früheren Electrum Versionen Coins durch „Fake Updates“ und infizierte Server gehackt wurden und das man deshalb die Funktion Auto-Updates deaktivieren soll usw..

Folgende Anfänger Fehler habe ich gemacht und frage ich mich selber warum:

-       Electrum über Google eingegeben statt die Adresse direkt in der Suchleiste einzugeben

-       Software runtergeladen und nicht die signierte Datei verwendet

-       Wallet mit Ledger Nano s eingerichtet

Nun zu meinen Fragen:

1.     angenommen ich hätte Schadsoftware runtergeladen: ist je ein Fall bekannt geworden, dass jemand über einer Schadsoftware trotz einer Hardwallet wie Ledger an die Coins rangekommen ist?

2.     Selbst wenn ich eine Schadsoftware installiert hätte, wäre es doch gar nicht möglich an meine Coins ranzukommen, da der Seed im Ledger auf einem separaten Chip gespeichert ist oder?

3.     Wie gut/sicher ist Electrum (bei richtiger Anwendung)?

4.     Ich nutze Kapserky Total Security und bin jetzt optimistisch, dass der Virenscanner angeschlagen hätten, wenn ich Schadsoftware runtergeladen hätte.

Über euer Feedback würde mich sehr freuen, wahrscheinlich mache ich mich gerade unnötig verrückt.

VG John

 

 

[rheingold]

Lade doch einfach nochmal die gleiche Version von der originalen Seite und erstelle über beide Dateien eine Prüfsumme. Sind beide Summe identisch, ist alles ok.
Zu den anderen Fragen kann ich nichts sagen da kein Ledger oder Virusdings habe.

[Gast]

Danke für die Info.

Was meinst du genau mit Prüfsumme erstellen?

 

[rheingold]

Unter Linux z. Bsp.

$ sha256sum Datei1
$ sha256sum Datei2

Die beiden Ausgaben vergleichst du dann.
Unter Windows gibt es sicherlich auch entsprechende Tools, musst du mal suchen.

[Maaz]

vor 3 Stunden schrieb John123456:

Nun zu meinen Fragen:

1.     angenommen ich hätte Schadsoftware runtergeladen: ist je ein Fall bekannt geworden, dass jemand über einer Schadsoftware trotz einer Hardwallet wie Ledger an die Coins rangekommen ist?

2.     Selbst wenn ich eine Schadsoftware installiert hätte, wäre es doch gar nicht möglich an meine Coins ranzukommen, da der Seed im Ledger auf einem separaten Chip gespeichert ist oder?

3.     Wie gut/sicher ist Electrum (bei richtiger Anwendung)?

4.     Ich nutze Kapserky Total Security und bin jetzt optimistisch, dass der Virenscanner angeschlagen hätten, wenn ich Schadsoftware runtergeladen hätte.

Über euer Feedback würde mich sehr freuen, wahrscheinlich mache ich mich gerade unnötig verrückt.

VG John

 

 

zu 1: Die größte Gefahr besteht meiner Meinung nach beim Versenden. Eine manipulierte Electrum-Version kann dann die Empfängeradresse austauschen und den Betrag ändern.

zu 2: ja, der Private Key sollte sicher sein.

zu 3: die Electrum-Wallet hat zumindest einen guten Ruf. Wenn du eine "saubere" Electrum-Version hast und das, wie oben beschrieben, mittels Prüfsumme verifiziert hast, dann würde ich davon ausgehen, dass die Wallet "sicher" ist. Am Ende muss das jeder für sich selber entscheiden, aber das Problem ist bei jeder Wallet das gleiche.

zu 4: der Virenscan bringt dir da vermutlich nichts, da eine modifizierte Version der Software nicht zwingend Schadcode im klassischen Sinne sein muss. Es reicht ja, wenn jemand den Original-Sourcecode nimmt und den so modifiziert, dass alle Transaktionen auf seine Wallet umgeleitet werden. Das kann kein Virenscanner erkennen.

Deshalb ist die Prüfsumme so wichtig, denn bei einer Änderung des Sourcecodes ändert sich zwingend auch die Prüfsumme.

[Stone]

vor 2 Stunden schrieb rheingold:

Unter Windows gibt es sicherlich auch entsprechende Tools, musst du mal suchen.

Mit PowerShell zB.

PS C:\WINDOWS\system32> get-filehash "Pfad"\"Datei" -Algorithm SHA256 | Format-List

[Gast]

vor einer Stunde schrieb Maaz:

zu 1: Die größte Gefahr besteht meiner Meinung nach beim Versenden. Eine manipulierte Electrum-Version kann dann die Empfängeradresse austauschen und den Betrag ändern.

zu 2: ja, der Private Key sollte sicher sein.

zu 3: die Electrum-Wallet hat zumindest einen guten Ruf. Wenn du eine "saubere" Electrum-Version hast und das, wie oben beschrieben, mittels Prüfsumme verifiziert hast, dann würde ich davon ausgehen, dass die Wallet "sicher" ist. Am Ende muss das jeder für sich selber entscheiden, aber das Problem ist bei jeder Wallet das gleiche.

zu 4: der Virenscan bringt dir da vermutlich nichts, da eine modifizierte Version der Software nicht zwingend Schadcode im klassischen Sinne sein muss. Es reicht ja, wenn jemand den Original-Sourcecode nimmt und den so modifiziert, dass alle Transaktionen auf seine Wallet umgeleitet werden. Das kann kein Virenscanner erkennen.

Deshalb ist die Prüfsumme so wichtig, denn bei einer Änderung des Sourcecodes ändert sich zwingend auch die Prüfsumme.

Zu Punkt 2. Also wenn ich drüber nachdenke, würde ja dann auch beim Ledger Live Update theoretisch auch die Gefahr bestehen, dass die Coins gestohlen werden könnten, wenn Ledger Live manipuliert werden würde und man kurze Zeit später Coins versenden/empfangen würde. Schon gruselig die Vorstellung.

Bearbeitet 21. Februar 2022 von John123456

[Gast]

vor 17 Minuten schrieb Stone:

Mit PowerShell zB.

PS C:\WINDOWS\system32> get-filehash "Pfad"\"Datei" -Algorithm SHA256 | Format-List

Danke für den Link. Sieht auf den ersten groben Blick kompliziert aus.

Wie würdet ihr in meinem Fall vorgehen?

Die bestehende Installation von electrum drauf lassen und mit der Prüfsumme validieren ob die Software original ist?

 

Für mich als absoluten Laien, woher wird denn der "Referenzwert" der Prüfsumme der originalen Software angezogen bzw. Wie funktioniert das grob?

[rheingold]

vor 42 Minuten schrieb John123456:

Danke für den Link. Sieht auf den ersten groben Blick kompliziert aus.

Wie würdet ihr in meinem Fall vorgehen?

Die bestehende Installation von electrum drauf lassen und mit der Prüfsumme validieren ob die Software original ist?

 

Für mich als absoluten Laien, woher wird denn der "Referenzwert" der Prüfsumme der originalen Software angezogen bzw. Wie funktioniert das grob?

Du hast ja eine Version heruntergeladen, über diese Version erstellst du mit get-filehash eine Prüfsumme. Dann lädst du von der original Electrum-Website die gleiche Version und erstellst ebenfalls eine Prüfsumme. Diese beiden Hashes sollten übereinstimmen. Das ist natürlich nicht das korrekte Vorgehen.

Normalerweise prüft man den Download mit gpg, was aber nochmals ein Stück komplizierter ist. Eine Anleitung findest du auch hier im Forum.
https://coinforum.de/topic/15735-faq/#comment-494545

PS: Habe mal electrum-4.1.5.exe von https://electrum.org/#download geladen und mit gpg verifiziert. Dann mit sha256sum die Prüfsumme erstellt: sha256sum electrum-4.1.5.exe
Das Ergebnis:
a22713b204de948dc2f27e3b4b3bdcd36cf8f1e8c219077e07626285448a761e  electrum-4.1.5.exe

Jetzt kannst du es mit deiner Vergleichen.

PPS: Falls du das Setup geladen hast:
ac392f7a62e892af1174cfc63ab8bae7d8f6c0bd8ce1192eee3390640feadbf0  electrum-4.1.5-setup.exe

Bearbeitet 21. Februar 2022 von rheingold

[Stone]

vor 6 Minuten schrieb John123456:

Danke für den Link. Sieht auf den ersten groben Blick kompliziert aus.

Wenn du noch keine Erfahrung mit der Konsole (Eingabeaufforderung) hast ist es gewöhnungsbedürftig aber nicht kompliziert, es wird Schritt für Schritt erklärt.

Mir sind boardmittel lieber, weil ich keinem 3. vertrauen und nicht online sein muss. Gibt aber auch andere Möglichkeiten.

vor 15 Minuten schrieb John123456:

Wie würdet ihr in meinem Fall vorgehen?

Die bestehende Installation von electrum drauf lassen und mit der Prüfsumme validieren ob die Software original ist?

Wenn die Installationsdatei noch vorhanden ist würde ich die Prüfsumme ausgeben lassen und mit dem Original vergleichen.

[Maaz]

vor 7 Minuten schrieb John123456:

Danke für den Link. Sieht auf den ersten groben Blick kompliziert aus.

Wie würdet ihr in meinem Fall vorgehen?

Die bestehende Installation von electrum drauf lassen und mit der Prüfsumme validieren ob die Software original ist?

 

Für mich als absoluten Laien, woher wird denn der "Referenzwert" der Prüfsumme der originalen Software angezogen bzw. Wie funktioniert das grob?

Die Prüfsumme benötigt keinen Referenzwert. Aus den Bytes der Originaldatei wird ein Hashwert erzeugt, dieser ist eindeutig. Unterscheiden sich zwei Dateien nur in einem Byte, entstehen trotzdem unterschiedliche Hashwerte. Allerdings ist der Hashwert nicht geeignet, sicherzustellen, dass die Software unkompromitiert ist.

Z.B. kann die webseite gehackt sein, dann passt der Hacker natürlich auch den sha256-Wert an, so dass er auf seine modifizierte Software passt..

Deshalb verwendet der Herausgeber der Electrum-Wallet GPG-Signaturen. Das ist sicherer, aber auch etwas komplizierter.

Möchtest du wissen, ob du dir bei der ersten Installation eine saubere Electrum-Version installiert hast, kannst du die Software nochmal herunterladen, dann am besten per GPG sicherstellen, dass es eine saubere Version ist. Anschließend über die alte und neue exe die sha256-Funktion laufen lassen. Sind beide Hashwerte identisch, hast du 2x die gleiche Version.

Um die Version mittels GPG zu prüfen, falls du wirklich sicher gehen möchtest, am besten den Public-Key des Herausgebers von zwei unterschiedlichen Quellen beziehen. ThomasV hat den absichtlich an verschiedenen Stellen veröffentlicht. Z.B. auf github und von Electrum.org.

Wenn die GPG-Signatur stimmt, kannst Du zumindest sicher sein, dass es sich um eine Originalversion von Electrum handelt.

Das garantiert aber nicht, dass die Version die deine Coins nicht klaut. Da der Sourcecode aber Open Source ist, könntest du das zumindest theoretisch verifizieren. Das ist viel mehr als die meisten Hersteller dir zugestehen. Ob Ledger Open Source ist, weiß ich allerdings nicht.

[Maaz]

vor 42 Minuten schrieb John123456:

Zu Punkt 2. Also wenn ich drüber nachdenke, würde ja dann auch beim Ledger Live Update theoretisch auch die Gefahr bestehen, dass die Coins gestohlen werden könnten, wenn Ledger Live manipuliert werden würde und man kurze Zeit später Coins versenden/empfangen würde. Schon gruselig die Vorstellung.

Ja, das könnte wohl passieren. Oder einer oder mehrere Entwickler/Admins von Ledger schaffen es, sich von jeder Transaktion ein paar Sats abzuzweigen. Das würde u.U. länger nicht auffallen.

Die Herausgeber der Bitbox02 sind das Problem zumindest angegangen. Verstanden habe ich deren Lösung aber auch nicht. So sehr habe mich damit aber auch nicht beschäftigt.

Ich habe verschiedene Wallets, eine für größere Summen, wo eigentlich nur eingezahlt wird, eine, die ich als Geldbörse nutze, also kleinere Ein- und Auszahlungen und noch ein paar weitere. Keys teilweise in der Bitbox und teilweise woanders. In der Hoffnung, dass mir ggf. nicht alle Wallets leergeräumt werden.

[Gast]

So danke Jungs für detaillierten schnellen Infos. Werde mich Mal dran versuchen, gucken ob's klappt 😅

[Gast]

vor 58 Minuten schrieb rheingold:

Du hast ja eine Version heruntergeladen, über diese Version erstellst du mit get-filehash eine Prüfsumme. Dann lädst du von der original Electrum-Website die gleiche Version und erstellst ebenfalls eine Prüfsumme. Diese beiden Hashes sollten übereinstimmen. Das ist natürlich nicht das korrekte Vorgehen.

Normalerweise prüft man den Download mit gpg, was aber nochmals ein Stück komplizierter ist. Eine Anleitung findest du auch hier im Forum.
https://coinforum.de/topic/15735-faq/#comment-494545

PS: Habe mal electrum-4.1.5.exe von https://electrum.org/#download geladen und mit gpg verifiziert. Dann mit sha256sum die Prüfsumme erstellt: sha256sum electrum-4.1.5.exe
Das Ergebnis:
a22713b204de948dc2f27e3b4b3bdcd36cf8f1e8c219077e07626285448a761e  electrum-4.1.5.exe

Jetzt kannst du es mit deiner Vergleichen.

PPS: Falls du das Setup geladen hast:
ac392f7a62e892af1174cfc63ab8bae7d8f6c0bd8ce1192eee3390640feadbf0  electrum-4.1.5-setup.exe

Danke sehr nett von dir

[rheingold]

vor 28 Minuten schrieb Maaz:

Ja, das könnte wohl passieren. Oder einer oder mehrere Entwickler/Admins von Ledger schaffen es, sich von jeder Transaktion ein paar Sats abzuzweigen. Das würde u.U. länger nicht auffallen.

Also ich glaube, dass würde recht schnell auffallen. Die abgezweigten Sats müssten ja irgendwohin transferiert werden, dass würde im Blockexploerer sofort auffallen.

[Maaz]

vor 2 Minuten schrieb rheingold:

Also ich glaube, dass würde recht schnell auffallen. Die abgezweigten Sats müssten ja irgendwohin transferiert werden, dass würde im Blockexploerer sofort auffallen.

Ja, stimmt. Vermutlich nicht die kleverste Idee.

Aber am Ende musst Du dem Herausgeber der Software vertrauen und der wäre in der Lage, dir ein paar SATs zu klauen. Auch wenn das eher unwahrscheinlich ist, da dadurch natürlich sofort der Ruf zerstört und die Firma pleite wäre.

[btctester.com]

Ich halte es fuer sicherer wenn du keine hardware wallet nutzt sondern fuer alle deine coins nur electrum (open source) - zumindest wenn du hodlst und dich etwas auskennst.

Ich wuerde auf einem unbenutzten OS eine electrum wallet installieren (Signatur der Installationsdatei abgleichen), den seed sicher verwahren, ein paar Adressen aufschreiben und dann offline gehen und bleiben oder das OS neu installieren. Dann kannst du deine coins an diese Adressen senden. Dann hast du eine moderne Art der paper wallet.

Wenn du dann z.B. in 5 oder 10 Jahren dran willst dann installierst du eine aktuelle Electrum wallet und gibst den Seed ein. Dann kannst du ueber deine coins verfuegen.

Hardware wallets haben das gleiche Risiko der Aufbewahrung des Seeds aber noch folgende zusaetzliche Risiken:

• Der Verkaeufer kennt deine Anschrift. Frueher oder spaeter wird diese gehackt oder von einem korrupten Mitarbeiter verkauft und dann wird deine Anschrift mit der Info dass du wahrscheinlich bitcoin auf einer HW wallet hast im darknet an lokale Kriminelle weiterverkauft. Wenn die bei dir Klingeln wirst du ihnen um die Gesundheit deiner Familie und von dir zu schuetzen freiwillig den Seed rausruecken und ggfls Passwort. Wenn du gar keine Bitcoin hast dann glauben sie es dir nicht.
• Es ist leichter nur einen seed zu verstecken als einen seed und eine Hardwarewallet
• Es ist unwahrscheinlich dass du nach vielen Jahren deine coins sicher von der hardware wallet transferieren kannst. Die Firmware wird hoffnungslos veraltet sein. Dann musst du einen Computer finden, der die "alten" Schnittstellen noch unterstuezt, die du zum connecten der wallet brauchst. Vielleicht musst du einen Oldtimercomputer nutzen auf dem du aber kein sicheres Betriebssystem verwenden kannst. Das scheint mir ein nicht zu unterschaetzendes Risiko zu sein.
• Wenn die HW-wallet nicht 100% open source ist dann haengt dein coin-Vermoegen von der Ehrlichkeit des Herstellers ab. Wenn der z.B. private keys aus einem pool von nur 10 Millionen Moeglichkeiten erzeugt dann sehen die vfuer dich zufaellig aus, aber wenn er nach 5 Jahren alle 10 Millionen keys vewendet dann kann er alle wallets leerraeumen. Dann macht er die Firma zu und hat mehr Geld als er je ausgeben kann. Oder er raumt nur 2% aller wallets leer. In Foren bekommt er 98% positive Bewertungen und die 2% werden als Spinner oder Dummkoepfe oder Bewertungen der Konkurrenz angesehen. So wird er ein Betrueger auch reich und das wird viele Jahre gutgehen.
• Bedienerfehler: Einem meiner Kunden wurden bitcoin im Wert von ueber einer Million Euro von der hardware wallet gestohlen. Er machte einen Fehler, das kann vorkommen. Einem anderen wurden auf die gleiche Art und Weise 50 Tausend gestohlen.

Dem Virenscanner wuerde ich nicht vertrauen. Wenn jemand den open source code ein bisschen veraendert so dass statt zufaelliger private keys nicht zufaellige verwendet werden und er deine coins in 2 Jahren abraeumt, dann wird das ein Kapersky ggfls erst in ein paar Jahren merken.

Wenn du die hardwarewallet coins von der Historie abschneiden moechstes dann muesstest du durch einen Mixer gehen oder in Electrum ein paar Transaktionen mit mehreren Outputadressen erzeugen. Wenn du aber anonymisierte coins mit dir zuordenbaren zusammen in einer zukuenftigen Transaktion ausgibst, dann war die Verschleierungsaktion vergebens. Ich habe mal eine Mixertransaktion analysiert (coinjoin) und konnte 20% der Ausgangsadressen mit ihren Eingangsadressen verlinken, da die user genau diesen Privatsphaerefehler machten. Es ist gar nicht so leicht im Laufe der Zeit keinen Privatsphaerefehler zu machen. Da nuetzt auch ein Hin- und Hertausch mit Monero nichts, wenn man das nicht im Griff hat.

Was auch immer du machst, es ist gut dass du dich vorher informierst. Vertraue nicht auf Dritte, die dir helfen wollen, die sind nur gut um Infos zu bekommen. Du musst es alleine sicher hinbekommen.

 

Bearbeitet 21. Februar 2022 von btctester.com

[battlecore]

vor einer Stunde schrieb btctester.com:

den seed sicher verwahren

Bitte auch die Privatekeys sichern.

Der Electrum-Seed unterscheidet sich von anderen Seeds und ist in anderen Wallets nicht verwendbar.

Das heisst wenn es Electrum mal nicht mehr gibt dann nutzt der Seed garnix.

Grad aktuell mit der Mist-Wallet, da ist die letzte verfügbare Version so alt das sie sich nicht mehr mit dem Netzwerk verbinden kann. Privatekeys nicht gesichert. Nix geht mehr.

[Gast]

vor 11 Stunden schrieb John123456:

Vor geraumer Zeit hatte ich die Idee „meine Privatsphäre zu erhöhen“ und nicht alles für eine Firma (Ledger) einsehbar zulassen, in dem ich meine Accounts / Bestände nicht weiter in Ledger Live nutze/erhöhe und eine anoyme Wallet wie Electrum nutze.

Wenn es um Privatsphäre geht hilft nur eine eigene Node.

Electrum ist in Sachen Privatsphäre genauso schlecht wie die Ledger-Software.

Die höchstmögliche Sicherheit beim Seed (24 Wörter) erhältst du nur wenn du ihn selbst würfelst, in Zusammenhang mit einer HW ist es momentan das sicherste was es gibt. Verwenden auch Börsen für ihre Wallets so.

Egal was in Zukunft passiert, wenn du den Seed hast kommst du immer an deine Keys. Dazu braucht man auch keinen Ledger oder sonst welche Wallets. Im Prinzip kann man alles selbst berechnen. 

Dieses Programm würde ich mir in der Offlineversion sichern damit bekommst du Zugriff auf einzelne Keys. Auch die Hinweise auf der Seite lesen.

Bearbeitet 21. Februar 2022 von alica
Erg.

[btctester.com]

2 hours ago, battlecore said:

Bitte auch die Privatekeys sichern.

Der Electrum-Seed unterscheidet sich von anderen Seeds und ist in anderen Wallets nicht verwendbar.

Das heisst wenn es Electrum mal nicht mehr gibt dann nutzt der Seed garnix.

Das macht es zumindest einfacher, wenn es electrum mal nicht mehr geben sollte. Wenn man die priv keys nicht hat dann installiert man die letzte bekannte Version und geht sofort offline bevor man den seed eingibt und geht danach nicht mehr online. Wenn man den seed eingegeben hat dann kann man die priv keys auslesen und in einer anderen wallet verwenden.

[koiram]

vor 2 Stunden schrieb battlecore:

Der Electrum-Seed unterscheidet sich von anderen Seeds und ist in anderen Wallets nicht verwendbar.
Das heisst wenn es Electrum mal nicht mehr gibt dann nutzt der Seed garnix.

Genau aus dem Grund erstelle ich den kompatiblen 24-Wort-Seed selber mit der offline gespeicherten Seite https://iancoleman.io/bip39/ + Münze werfen, und importiere den in Electrum, bzw. auf den Ledger und damit dann Electrum.

Bearbeitet 21. Februar 2022 von koiram

[battlecore]

Das geht mit Electrum?

Hmm, dann wär das ja ein Ausweg aus diesem Electrum-Dilemma. Wobei...Privatekeys sichern sollte mehr Anwendung finden. Find ich.

Not your keys nehm ich wörtlich.

[Gast]

vor 25 Minuten schrieb battlecore:

Das geht mit Electrum?

Das ging schon immer. 

[Cricktor]

vor 13 Stunden schrieb John123456:

1.     angenommen ich hätte Schadsoftware runtergeladen: ist je ein Fall bekannt geworden, dass jemand über einer Schadsoftware trotz einer Hardwallet wie Ledger an die Coins rangekommen ist?

Das wäre nur dann möglich, wenn du als Nutzer fahrlässig die Zieladresse einer zu signierenden Transaktion nicht auf der Hardware-Wallet kontrollierst! Die Schadsoftware hat ja keinen Zugriff auf die Private Keys, sie kann also nur beim Senden die Zieladresse(n) manipulieren. Kontrolliert man mit Sorgfalt, muss einem das aber auffallen. Das ist ja genau der Zweck davon, daß dir der Ledger VORHER anzeigt, was signiert werden soll und dies nur dann tut, wenn du dein OK gibst.

vor 13 Stunden schrieb John123456:

2.     Selbst wenn ich eine Schadsoftware installiert hätte, wäre es doch gar nicht möglich an meine Coins ranzukommen, da der Seed im Ledger auf einem separaten Chip gespeichert ist oder?

Korrekt. Schadsoftware hat keinen Zugriff auf den Seed oder Private Keys, die eine Hardware-Wallet hütet.

vor 13 Stunden schrieb John123456:

3.     Wie gut/sicher ist Electrum (bei richtiger Anwendung)?

Seit Jahren anerkannte Wallet-Software, Open Source, aktiv gepflegt. Die Verwendung eines guten Wallet-Passwortes ist Pflicht. Verbunden mit einem eigenen Electrum-Server hat man auch eine gute Privatsphäre bzgl. der eigenen Wallet Public Adressen. Ebenso ist beim Installieren oder Updates Pflicht, diese ausschließlich von der Homepage von Electrum zu laden und eine Signatur- bzw. Prüfsummenüberprüfung zu machen.

vor 13 Stunden schrieb John123456:

4.     Ich nutze Kapserky Total Security und bin jetzt optimistisch, dass der Virenscanner angeschlagen hätten, wenn ich Schadsoftware runtergeladen hätte.

Darauf würde ich mich nicht unbedingt verlassen. Ich prüfe Downloads meist noch auf https://virustotal.com, aber man muss es dann auch zu interpretieren wissen.

Wichtiger wäre sich anzugewöhnen, für Crypto-Wallet-Sachen nicht den Rechner zu benutzen, mit dem man seine üblichen Online-Ausflüge macht, spielt, alle mögliche Software installiert, die einem interessiert. Das minimiert auch bei IT-Laien die Gefahr, sich irgendeinen Software-Dreck auf den Rechner zu holen, mit dem man seine Wallet(s) verwaltet.

vor 22 Minuten schrieb battlecore:

Das geht mit Electrum?

Du kannst mit Electrum auch einen BIP-39 oder SLIP-39 Mnemonic Seed importieren. Nur neu erzeugen geht nicht, weil Electrum dafür nur seine eigene Mnemonic Seed Variante verwendet.

 

vor 25 Minuten schrieb battlecore:

Wobei...Privatekeys sichern sollte mehr Anwendung finden. Find ich.

Not your keys nehm ich wörtlich.

Davon rate ich ab, weil du viel mehr sensitive Daten sicher und redundant verwahren müsstest, als die Mnemonic Seed Worte, Passwörter und am besten auch Derivation Paths deiner Wallets. Beim Speichern von Private Keys brauchst du einen garantiert sauberen Rechner, der am besten auch offline und air gapped ist und bleibt.

Wenn man iancoleman.io/bip39 und HD-Wallets verstanden und den Seed oder Mnemonic Seed und Derivation Path hat, dann ist es vollkommen unnötig die Private Keys aus der verschlüsselten Wallet zu reissen.

Aber natürlich steht es Jedem und Jeder frei, das zu tun, was man für richtig™ hält.

[battlecore]

vor 1 Stunde schrieb Cricktor:

Davon rate ich ab, weil du viel mehr sensitive Daten sicher und redundant verwahren müsstest, als die Mnemonic Seed Worte, Passwörter und am besten auch Derivation Paths deiner Wallets. Beim Speichern von Private Keys brauchst du einen garantiert sauberen Rechner, der am besten auch offline und air gapped ist und bleibt.

Da haste zwar Recht, es muss son bissel in die Köpfe rein das man sowas nicht auf nem Daddelgerät macht. Altes Notebook und Linux drauf, damit ist auchn älteres Gerät gut und schnell betreibbar. Und kosten tun die auch bicht viel. Wer etliches fürn Handy ausgibt sollte auch 150 oder 200 Euro fürn gebrauchtes Notebook investieren.

vor 1 Stunde schrieb Cricktor:

Wenn man iancoleman.io/bip39 und HD-Wallets verstanden und den Seed oder Mnemonic Seed und Derivation Path hat, dann ist es vollkommen unnötig die Private Keys aus der verschlüsselten Wallet zu reissen.

Wwnn man oben genanntes beachtet dann sehe ich da kein Problem die Privatekeys einer Wallet zu nutzen. Sie stellt sie ohnehin zur Verfügung.

Die wenigsten nutzen iancoleman oder ähnliches. Sondern die gängigen Wallets und Multiwallets. Trustwallet, Metamask, Jaxx, Exodus usw. Und die Keys bekommt man da ja auch.

 

Alles hängt von der richtigen Anwendung der Software ab. Falsch angewendet ist man mit jeder Lösung aufgeschmissen.

Ich finds sinnvoller wenn man die einfachste Lösung aufzeigt. Und nicht die aufwendigste. Keep it simple, keep it stupid.

Erklär einem völligen noob mal iancoleman, derivationpath usw. Das geht irgendwann auf der einen Seite rein und der anderen raus.

Und wenn du jemand erklärst um Gottes Willen nicht die keys zu sichern, um dann im Worstcase zu erklären das nun erst dieses, dsnn das, dann noch jenes...zu tun ist um nun doch wieder an die keys zu gelangen...nö.

Das ist eher Abschreckung.

Ist aber nur meine Meinung. Und die regelmässig aufpoppenden Hilferufe machen schon nachdenklich.