Wie „sicher“ ist Electrum und weitere Frage zur Kombi Ledger / Electrum?

[Gast]

Wow, ich glaube hier findet sich die geballte Kompetenz an Kryptoknowhow und Sicherheit wieder oder ich bin einfach sehr schlecht darin : -). Von euch könnte ich eine Menge lernen.

Bis gestern dachte ich, ich wäre schon ganz gut aufgestellt mit meinem eigenen Rechner nur für Krypto, bezahlten Anti-Virus Software und einer Hardware Wallet.

 Wenn ich das hier aber alles so lese, denke ich nicht wirklich, dass meine Kryptos safe sind und vor allen Dingen nicht "anonym" sind.

 Ich hatte gestern keine Zeit mehr an den Rechner zu gehen und  versucht mit dem Thema Prüfsummen zu belesen.

 Zusammenfassung:

-   Ich lasse meine „verdächtige“ Electrum Software auf den Rechner und führe entweder eine Prüfsummen Vergleich mit Powershell oder gpg durch und vergleiche diese mit der validierten geprüften Software wie z.B. vom Forenmitglied „rheingold“ ermittelt   

-    Es ist egal ob ich über Powershell (offline) oder gpg den Prüfsummen Abgleich mache richtig? 

-    Powershell ist für offline geeignet bzw. ich muss keine weitere Software runterlanden 

-   Ich stolpere über folgende Beschreibung, weil ich keine Herleitung hinbekomme woraus sich diesen Pfad bezieht: 

Path

Gibt den Pfad zu einer oder mehreren Dateien als Array an. Platzhalterzeichen sind zulässig.

Type: String[]

Parameter Sets: Path

Aliases:

 

Required: True

Position: 0

Default value: None

Accept pipeline input: False

Accept wildcard characters: False

 

 -          oder muss ich diesen Pfad genauso eingeben?  

-          für einen GPG Prüfsummen Abgleich muss ich zunächst eine Software runterladen? 

-          https://www.gpg4win.de/get-gpg4win-de.html => ist diese Seite seriös und korrekt? 

-          schon ein wenig Schizo ein Software runterzuladen um diese wiederum zu nutzen um andere downgeloaded Software auf Echtheit zu validieren : -) 

-          Theoretisch kann ja die gpg Software auch Schadsoftware sein

-          um ehrlich zu sein finde ich gpg Anleitung verständlicher, da diese schön bebildert ist 

-          Electrum bringt mir keinen einzigen Vorteil gegenüber Ledger Live ?

-          „wahre“ Sicherheit in Verbindung mit vertretbaren Aufwand  birgt nur eine eigene Node?

[Gast]

vor 14 Stunden schrieb btctester.com:

Ich halte es fuer sicherer wenn du keine hardware wallet nutzt sondern fuer alle deine coins nur electrum (open source) - zumindest wenn du hodlst und dich etwas auskennst.

Ich wuerde auf einem unbenutzten OS eine electrum wallet installieren (Signatur der Installationsdatei abgleichen), den seed sicher verwahren, ein paar Adressen aufschreiben und dann offline gehen und bleiben oder das OS neu installieren. Dann kannst du deine coins an diese Adressen senden. Dann hast du eine moderne Art der paper wallet.

Wenn du dann z.B. in 5 oder 10 Jahren dran willst dann installierst du eine aktuelle Electrum wallet und gibst den Seed ein. Dann kannst du ueber deine coins verfuegen.

Hardware wallets haben das gleiche Risiko der Aufbewahrung des Seeds aber noch folgende zusaetzliche Risiken:

• Der Verkaeufer kennt deine Anschrift. Frueher oder spaeter wird diese gehackt oder von einem korrupten Mitarbeiter verkauft und dann wird deine Anschrift mit der Info dass du wahrscheinlich bitcoin auf einer HW wallet hast im darknet an lokale Kriminelle weiterverkauft. Wenn die bei dir Klingeln wirst du ihnen um die Gesundheit deiner Familie und von dir zu schuetzen freiwillig den Seed rausruecken und ggfls Passwort. Wenn du gar keine Bitcoin hast dann glauben sie es dir nicht.
• Es ist leichter nur einen seed zu verstecken als einen seed und eine Hardwarewallet
• Es ist unwahrscheinlich dass du nach vielen Jahren deine coins sicher von der hardware wallet transferieren kannst. Die Firmware wird hoffnungslos veraltet sein. Dann musst du einen Computer finden, der die "alten" Schnittstellen noch unterstuezt, die du zum connecten der wallet brauchst. Vielleicht musst du einen Oldtimercomputer nutzen auf dem du aber kein sicheres Betriebssystem verwenden kannst. Das scheint mir ein nicht zu unterschaetzendes Risiko zu sein.
• Wenn die HW-wallet nicht 100% open source ist dann haengt dein coin-Vermoegen von der Ehrlichkeit des Herstellers ab. Wenn der z.B. private keys aus einem pool von nur 10 Millionen Moeglichkeiten erzeugt dann sehen die vfuer dich zufaellig aus, aber wenn er nach 5 Jahren alle 10 Millionen keys vewendet dann kann er alle wallets leerraeumen. Dann macht er die Firma zu und hat mehr Geld als er je ausgeben kann. Oder er raumt nur 2% aller wallets leer. In Foren bekommt er 98% positive Bewertungen und die 2% werden als Spinner oder Dummkoepfe oder Bewertungen der Konkurrenz angesehen. So wird er ein Betrueger auch reich und das wird viele Jahre gutgehen.
• Bedienerfehler: Einem meiner Kunden wurden bitcoin im Wert von ueber einer Million Euro von der hardware wallet gestohlen. Er machte einen Fehler, das kann vorkommen. Einem anderen wurden auf die gleiche Art und Weise 50 Tausend gestohlen.

Dem Virenscanner wuerde ich nicht vertrauen. Wenn jemand den open source code ein bisschen veraendert so dass statt zufaelliger private keys nicht zufaellige verwendet werden und er deine coins in 2 Jahren abraeumt, dann wird das ein Kapersky ggfls erst in ein paar Jahren merken.

Wenn du die hardwarewallet coins von der Historie abschneiden moechstes dann muesstest du durch einen Mixer gehen oder in Electrum ein paar Transaktionen mit mehreren Outputadressen erzeugen. Wenn du aber anonymisierte coins mit dir zuordenbaren zusammen in einer zukuenftigen Transaktion ausgibst, dann war die Verschleierungsaktion vergebens. Ich habe mal eine Mixertransaktion analysiert (coinjoin) und konnte 20% der Ausgangsadressen mit ihren Eingangsadressen verlinken, da die user genau diesen Privatsphaerefehler machten. Es ist gar nicht so leicht im Laufe der Zeit keinen Privatsphaerefehler zu machen. Da nuetzt auch ein Hin- und Hertausch mit Monero nichts, wenn man das nicht im Griff hat.

Was auch immer du machst, es ist gut dass du dich vorher informierst. Vertraue nicht auf Dritte, die dir helfen wollen, die sind nur gut um Infos zu bekommen. Du musst es alleine sicher hinbekommen.

 

Das  liest sich wie ein schlimme  Dystopie, aber ja , dass könnte natürlich wirklich so kommen.  Die Transaktionen sind ja gar nicht so anonym wie in den Medien behauptet wird. Ich meine das FBI konnte doch auch einige Personen „entanonymisieren“ oder Kanada mit dem Trucker Embargo ist ja ein  aktuelles Bespiel. Dann wird es wahrscheinlich nur eine Frage der Zeit sein, bis die Technik soweit fortgeschritten/erschwinglich ist, bis diese beim  „normalo“ einzug einhält.   

Danke für diesen Denkanstoß, liest sich so als würdest du das Hauptberuflich machen (also im Kryptobereich arbeiten) .

Mixtransaktionen sind ein sehr interessanter Ansatz, aber da könnte es doch Schwierigkeiten mit der Steuer bzw. Finanzamt geben? Es sei denn diese so perfekt verschleiert...

Bearbeitet 22. Februar 2022 von John123456

[Stone]

vor 5 Stunden schrieb John123456:

-   Ich lasse meine „verdächtige“ Electrum Software auf den Rechner und führe entweder eine Prüfsummen Vergleich mit Powershell oder gpg durch und vergleiche diese mit der validierten geprüften Software wie z.B. vom Forenmitglied „rheingold“ ermittelt

Wenn du mit PS die Prüfsummen vergleichen willst ein Bsp

Get-FileHash -Path E:\PS_Test\ripple-wallet-win64-1.4.1.exe -Algorithm SHA256 | Compare-Object -ReferenceObject "a22713b204de948dc2f27e3b4b3bdcd36cf8f1e8c219077e07626285448a761e" -DifferenceObject {$_.Hash}

Den Pfad und die "Prüfsumme" (lt. @rheingold) musst du anpassen.

Du kannst das Ergebnis auch in eine txt schreiben zB

Get-FileHash -Path E:\PS_Test\ripple-wallet-win64-1.4.1.exe -Algorithm SHA256 | Compare-Object -ReferenceObject "a22713b204de948dc2f27e3b4b3bdcd36cf8f1e8c219077e07626285448a761e" -DifferenceObject {$_.Hash} > E:\PS_Test\test666.txt

Bei identischen Prüfsummen erfolgt keine Ausgabe. Wenn keine Ausgabe erfolgt zur Kontrolle die Prüfsumme (rheingold`s) bewusst "verfälschen" und nochmal ausführen.

Ausgabe bei diff. Prüfsummen

Zitat

InputObject                                                      SideIndicator
-----------                                                      -------------
4D35A8BE582E19F5F21A41BE88DD7C4F5001C64DFB0222F4F4B62C166B469FBB =>           
a22713b204de948dc2f27e3b4b3bdcd36cf8f1e8c219077e07626285448a761e <= 

Ausgabe bei ident. Prüfsummen

Bsp Befehl

Get-FileHash -Path E:\PS_Test\ripple-wallet-win64-1.4.1.exe -Algorithm SHA256 | Compare-Object -ReferenceObject "4D35A8BE582E19F5F21A41BE88DD7C4F5001C64DFB0222F4F4B62C166B469FBB" -DifferenceObject {$_.Hash} > E:\PS_Test\test666.txt

Zitat

"leer"

bleibt die txt leer bzw. erfolgt keine Ausgabe.

Kopiere den code in einen Texteditor und passe Pfad\Dateiname sowie "Prüfsumme" (rheingold`s in "") und eventuell Pfad\Dateiname für die txt Ausgabedatei auf deinem System an und kopiere den angepassten Befehl nach PS um ihn auszuführen.

Ich hoffe es hilft dir weiter! und deine anderen Fragen werden noch beantwortet. Bin extrem schreibfaul und der Themenbereich ist recht umfangreich.

Bearbeitet 22. Februar 2022 von Stone

[Fantasy]

vor 2 Stunden schrieb John123456:

Wow, ich glaube hier findet sich die geballte Kompetenz an Kryptoknowhow und Sicherheit wieder

Ja, das ist so.
 

vor 2 Stunden schrieb John123456:

Von euch könnte ich eine Menge lernen.

Auch das stimmt. Ich habe hier ebenfalls sehr viel gelernt  

 

Sehr gute, nette und vor allem kompetente Leute hier. Insgesamt ein tolles, werbefreies Forum. Da können sich andere Foren eine Scheibe abscheiden.

[nattyflo]

Also ich geb es zu, ich hab auch noch nie was mit Prüfsummen verifiziert.. dachte immer, wenn einmal die richtige ledger live Software runtergeladen worden ist, dass die Updates dann automatisch auch von der korrekten Seite geholt werden? Lieg ich da falsch?

Und wegen dem eventuell möglichen Pool an Private Keys: es gibt ja auch die tolle Möglichkeit, ein 25. Wort einzurichten. Das wäre ja dann definitiv außerhalb des Pools, oder?

Es ist halt auch nicht Jeder Informatiker/Mathefreak (auch wenn hier im Forum manchmal behauptet wird, man könne sich mal eben so programmieren beibringen 😆), und wenn die ganze Kryptogeschichte eine Zukunft in der breiten Masse haben soll, darf die sichere Aufbewahrung auch keine Raketenwissenschaft sein.

[Cricktor]

vor 4 Stunden schrieb John123456:

Bis gestern dachte ich, ich wäre schon ganz gut aufgestellt mit meinem eigenen Rechner nur für Krypto, bezahlten Anti-Virus Software und einer Hardware Wallet.

Warum denkst du heute, es wäre nicht mehr so? So ganz kann ich deinen Sinneswandel nicht nachvollziehen.

vor 4 Stunden schrieb John123456:

Wenn ich das hier aber alles so lese, denke ich nicht wirklich, dass meine Kryptos safe sind und vor allen Dingen nicht "anonym" sind.

Ich möchte das jetzt nicht überdramatisieren, zumal es auch nicht so ganz Thema hier ist: "safe" sind deine Cryptos nur dann, wenn du dich auf die wahrscheinlichsten Verlustszenarien vorbereitest und entsprechend vorsorgst. Ich reisse das hier nur einmal an, bist du vorbereitet auf:

• Einbruch: Verlust des Rechners, der Hardware-Wallet, ggf. von Papieren u.a. deinen Notizen (Mnemonic Seed, Passwörter etc. pp.)
• Deine Wohnung, dein Haus brennt ab: hast du dann noch Irgendetwas, das dir Zugriff auf deine Cryptos ermöglich?
• Dir passiert etwas: ist sichergestellt, daß deine Angehörigen noch Zugriff auf deine Cryptos bekommen?
• ...

Zu dieser Thematik gibt es hier schon Themen/Threads, das muss hier nicht vertieft werden. Obige Absicherungen sind auch gerade ein persönliches Thema bei mir selbst, das aber nur langsam vorankommt.

Abseits von Privacy-Coins wie z.B. Monero kann man grundlegend sagen, daß die meisten Cryptos lediglich pseudonym sind. Transaktionen sind transparent auf der Blockchain sichtbar für alle, nur stehen an Transaktionen und Adressen keine Namen dran. Deanonymisierung kann meist an Währungsschnittstellen/-gateways erfolgen, wo z.B. bei Börsen und Banken KYC/AML Pflicht ist.

vor 5 Stunden schrieb John123456:

-    Es ist egal ob ich über Powershell (offline) oder gpg den Prüfsummen Abgleich mache richtig?

Die Verifizierung über gpg halte ich für sicherer, sofern derjenige, der die Software signiert, gut auf seinen GPG-Schlüssel aufpasst. (Gut, davon muss man wohl ausgehen.) Sofern du eine sichere Quelle für die Hash-Prüfsumme hast, ist das aber m.E. gut genug und vorallem besser als garnicht geprüft. Befolge einfach die Anleitung, die bei electrum.org beschrieben ist und damit kannst du nicht viel falsch machen.

Ledger.com veröffentlicht z.B. für Ledger Live eine Hash-Prüfsumme und keine GPG-Signatur. Sofern die darauf achten, daß ihre Website nicht gehackt wird, ist das praktisch genauso sicher, um die Korrektheit des Downloads verifizieren zu können.

vor 5 Stunden schrieb John123456:

-          https://www.gpg4win.de/get-gpg4win-de.html => ist diese Seite seriös und korrekt? 

Wie kommst du auf www.gpg4win.de? Über die Anleitung für Windows, auf die über electrum.org verwiesen wird, komme ich auf die Adresse https://www.gpg4win.org/get-gpg4win-de.html, also www.gpg4win.org, nicht ...de. Kann natürlich bei beiden Sites dieselbe Datei sein, was ich nicht überprüft habe.

vor 5 Stunden schrieb John123456:

-          schon ein wenig Schizo ein Software runterzuladen um diese wiederum zu nutzen um andere downgeloaded Software auf Echtheit zu validieren : -)

An irgendeiner Stelle kommst du nicht herum, einen Vertrauensanker zu setzen. Die Lektion sollte sein, daß man sich um solche Dinge überhaupt mal Gedanken macht und vorallem hinterfragt, woher kommt Software, die ich runterlade und auf meinem Rechner installiere. Welche Gewähr habe ich, daß das alles so in Ordnung ist. Du musst ja auch deinem Betriebssystem vertrauen...

vor 5 Stunden schrieb John123456:

-          Electrum bringt mir keinen einzigen Vorteil gegenüber Ledger Live ?

Das kommt darauf an, welche Bedürfnisse du bzgl. der Wallet hast. Electrum (von electrum.org) selbst kann z.B. nur Bitcoin, während Ledger Live auch andere Coins verwalten kann.

vor 5 Stunden schrieb John123456:

-          „wahre“ Sicherheit in Verbindung mit vertretbaren Aufwand  birgt nur eine eigene Node?

Nein, so würde ich das nicht formulieren wollen. Du verwechselst hier eher Sicherheit mit Privatsphäre. Mehr Privatsphäre bedeutet meist aber auch ein Mehr an Sicherheit, aber auf andere Art und Weise.
Meine eigene RaspiBlitz-Node mit eigenem Electrum-Server, die ich selbst auch betreibe, belässt den Datenverkehr meiner Electrum-Wallet innerhalb meines lokalen Netzwerks. Ich gebe damit keine Datenanfragen meiner Electrum-Wallet nach draußen. Somit kann Niemand im Zuge des Electrum-Protokolls Kenntnis über meine Wallet-Adressen und deren Bestände, sowie meiner IP-Adresse und damit deren grober Geo-Lokalisierung erlangen. Das gibt mir mehr Privatsphäre und wahrscheinlich auch etwas mehr Sicherheit.

Ledger Live und andere Light-Wallets hingegen plappern mit deren Herstellern, sofern ich das nicht anders konfigurieren kann. Hier muss man dann darauf vertrauen, daß diese Hersteller damit keinen Unfug treiben bzw. sich die Daten stehlen lassen. (Erneuter Seitenhieb auf Ledger, den ich mir nicht verkneife: sich Kundendaten in diesem Zusammenhang klauen zu lassen, ist ein absolutes No-Go!)

vor 5 Stunden schrieb John123456:

Das  liest sich wie ein schlimme  Dystopie, aber ja , dass könnte natürlich wirklich so kommen.

Die Punkte, die @btctester.com anspricht, sind nicht falsch, weisen aber meines Erachtens nicht in eine wirklich hilfreiche und praktikable Richtung, insbesondere für nicht so IT-affine User.

Bei richtiger Nutzung bieten Hardware-Wallets ein wichtiges Plus an Sicherheit, insbesondere gegen Schadsoftware, die auf den eigenen Rechner kommen kann. Eine Hardware-Wallet kann dir aber nicht die Verantwortung abnehmen, den sicheren Umgang und Gebrauch damit zu üben, zu verinnerlichen und vorallem aber auch zu verstehen, warum und was man da macht.

Wenn hier im Forum mal wieder ein User mit Problemen mit einer Hardware-Wallet aufschlägt, dann sehe ich ein gewisses wiederkehrendes Muster: wenig Erfahrung, meist Ledger neu gekauft (als ob es nur Ledger Nanos gäbe), gleich Coins "in die Ledger-Wallet" gehauen, ohne sich vorher mal ausgiebig mit allem beschäftigt und geübt zu haben. Das muss nicht zu Desaster führen, aber ein paar Zutaten für Desaster sind schon dabei.

Dabei kann man z.B. mit Testnet-Bitcoins oder entsprechenden Testnet-Ether kostenlos alles durchtesten und üben, insbesondere Desaster-Recovery, bis der Arzt abwinkt. Wieviele machen das? Ich gebe lieber keine Schätzung ab...

vor einer Stunde schrieb nattyflo:

Und wegen dem eventuell möglichen Pool an Private Keys: es gibt ja auch die tolle Möglichkeit, ein 25. Wort einzurichten. Das wäre ja dann definitiv außerhalb des Pools, oder?

Ja, eine starke optionale Mnemonic Seed Passphrase, kann die damit eingerichtete Wallet insofern schützen, weil dann Jemand mit den Mnemonic Seed Worten allein, ohne die optionale Passphrase, keinen Zugriff auf die Wallet erlangen kann. Allerdings birgt eine optionale Passphrase neben Vorteilen auch Gefahren: die Passphrase müsste getrennt von den Mnemonic Seed Worten peinlichst zuverlässig und genau gesichert werden, der kleinste Fehler in der Passphrase ergäbe nicht deine Wallet, die du erwartest. Die Wallet-Software hat keine Möglichkeit, die Korrektheit deiner optionalen Passphrase zu prüfen, denn jede beliebige Passphrase führt zu einer individuellen neuen Wallet! Nur die exakt richtige optionale Passphrase führt zu deiner Wallet, mit der du sie eingerichtet hast.

 

vor einer Stunde schrieb nattyflo:

Es ist halt auch nicht Jeder Informatiker/Mathefreak (auch wenn hier im Forum manchmal behauptet wird, man könne sich mal eben so programmieren beibringen 😆), und wenn die ganze Kryptogeschichte eine Zukunft in der breiten Masse haben soll, darf die sichere Aufbewahrung auch keine Raketenwissenschaft sein.

Einfach und narrensicher geht meist nicht zusammen, denn Narren sind erstaunlich einfallsreich, genau das zu tun, was keiner erwartet. 😇

[Gast]

Am 21.2.2022 um 14:10 schrieb rheingold:

Du hast ja eine Version heruntergeladen, über diese Version erstellst du mit get-filehash eine Prüfsumme. Dann lädst du von der original Electrum-Website die gleiche Version und erstellst ebenfalls eine Prüfsumme. Diese beiden Hashes sollten übereinstimmen. Das ist natürlich nicht das korrekte Vorgehen.

Normalerweise prüft man den Download mit gpg, was aber nochmals ein Stück komplizierter ist. Eine Anleitung findest du auch hier im Forum.
https://coinforum.de/topic/15735-faq/#comment-494545

PS: Habe mal electrum-4.1.5.exe von https://electrum.org/#download geladen und mit gpg verifiziert. Dann mit sha256sum die Prüfsumme erstellt: sha256sum electrum-4.1.5.exe
Das Ergebnis:
a22713b204de948dc2f27e3b4b3bdcd36cf8f1e8c219077e07626285448a761e  electrum-4.1.5.exe

Jetzt kannst du es mit deiner Vergleichen.

PPS: Falls du das Setup geladen hast:
ac392f7a62e892af1174cfc63ab8bae7d8f6c0bd8ce1192eee3390640feadbf0  electrum-4.1.5-setup.exe

Danke sehr nett von dir

[Gast]

Gerade eben schrieb John123456:

Danke sehr nett von dir

Weil ich mir das alles durchgelesen was andere hier an Sicherheit haben

[Gast]

Ich gibt's auf. Krieg die Prüfsumme nicht hin.

Powershell weiß ich nicht welche Befehle ich eingeben muss.

 

Gpg hat soweit geklappt runter zu laden, aber die Anleitung gilt ja nur für verifizieren von Downloads und nicht für meinen Fall.

[Cricktor]

Du hast doch sehr wahrscheinlich eine Installationsdatei für Electrum heruntergeladen, mit der du dein Electrum installiert hast. Die Prüfsumme für diese Installationsdatei solltest du prüfen.

Wie heisst diese Installationsdatei und in welchem Ordner liegt die bei dir?

[Gast]

C:\Users\Phil_\Downloads

PS C:\Users\Phil_> get-filehash C:\Users\Phil_\Downloads\electrum-4.1.5-setup.exe -Algorithm SHA384 | Format-List

das wird angezeigt, danach komme ich nicht weietr

Algorithm : SHA384
Hash      : AA28D8FE48E1CA0C3976387258C8B4B3F3B5B5091EE69C3016CB5A28E0978DA442DEAFB5209EEC47A759EA797955C6C3
Path      : C:\Users\Phil_\Downloads\electrum-4.1.5-setup.exe

 

 

[Gast]

Am 21.2.2022 um 14:10 schrieb rheingold:

Du hast ja eine Version heruntergeladen, über diese Version erstellst du mit get-filehash eine Prüfsumme. Dann lädst du von der original Electrum-Website die gleiche Version und erstellst ebenfalls eine Prüfsumme. Diese beiden Hashes sollten übereinstimmen. Das ist natürlich nicht das korrekte Vorgehen.

Normalerweise prüft man den Download mit gpg, was aber nochmals ein Stück komplizierter ist. Eine Anleitung findest du auch hier im Forum.
https://coinforum.de/topic/15735-faq/#comment-494545

PS: Habe mal electrum-4.1.5.exe von https://electrum.org/#download geladen und mit gpg verifiziert. Dann mit sha256sum die Prüfsumme erstellt: sha256sum electrum-4.1.5.exe
Das Ergebnis:
a22713b204de948dc2f27e3b4b3bdcd36cf8f1e8c219077e07626285448a761e  electrum-4.1.5.exe

Jetzt kannst du es mit deiner Vergleichen.

PPS: Falls du das Setup geladen hast:
ac392f7a62e892af1174cfc63ab8bae7d8f6c0bd8ce1192eee3390640feadbf0  electrum-4.1.5-setup.exe

ach warte mal, das ist die gleiche Prüfsumme wie von rheingold, dann müsste doch meine Datei sauber sein korrekt?

Bearbeitet 22. Februar 2022 von John123456

[Cricktor]

vor 19 Minuten schrieb John123456:

PS C:\Users\Phil_> get-filehash C:\Users\Phil_\Downloads\electrum-4.1.5-setup.exe -Algorithm SHA384 | Format-List

Nein, die kann nicht mit der von rheingold identisch sein, weil du den falschen Hash-Algorithmus gewählt hast. Du musst folgendes in der Powershell eingeben:

get-filehash C:\Users\Phil_\Downloads\electrum-4.1.5-setup.exe -Algorithm SHA256 | Format-List

SHA256 anstelle von SHA384!

[Gast]

Algorithm : SHA256
Hash      : AC392F7A62E892AF1174CFC63AB8BAE7D8F6C0BD8CE1192EEE3390640FEADBF0
Path      : C:\Users\Phil_\Downloads\electrum-4.1.5-setup.exe

[Gast]

danke das ist das Ergebnis

[Gast]

Habe jetzt noch mal eíne neue zertifizierte Datei von electrum runtergeladen und anschließend die Prüfsumme drüber laufen lassen

 

AC392F7A62E892AF1174CFC63AB8BAE7D8F6C0BD8CE1192EEE3390640FEADBF0

 

ist damit die ursprüngliche Datei identisch bzw. original ?
 

[Cricktor]

Die SHA256-Prüfsummen sind identisch, also sind der alte und neue Download jeweils auch identisch. Ist auch derselbe Hash den rheingold ermittelt hat.

Sieht somit gut aus.

[Gast]

Danke für eure geduldige Unterstützung 🙂 wirklich sehr gutes Forum

[Stone]

vor 13 Stunden schrieb John123456:

Habe jetzt noch mal eíne neue zertifizierte Datei von electrum runtergeladen und anschließend die Prüfsumme drüber laufen lassen

 

AC392F7A62E892AF1174CFC63AB8BAE7D8F6C0BD8CE1192EEE3390640FEADBF0

 

ist damit die ursprüngliche Datei identisch bzw. original ?
 

Hallo! Super du hast es hinbekommen und die Summen stimmen überein.

Damit du nicht manuell vergleichen musst geht das auch über get-filehash mit dem ua code, wenn nichts ausser dem Prompt (PS C:\Users\Phil_>) angezeigt wird stimmen sie überein.

Get-FileHash -Path C:\Users\Phil_\Downloads\electrum-4.1.5-setup.exe -Algorithm SHA256 | Compare-Object -ReferenceObject "ac392f7a62e892af1174cfc63ab8bae7d8f6c0bd8ce1192eee3390640feadbf0" -DifferenceObject {$_.Hash}

Zur manuellen Kontrolle😁 kannst du bei der Prüfsumme zB das letzte Zeichen durch ein X ersetzen (oder 1es hinzufügen) um eine Ausgabe zu erzwingen, dann stehen die Zeichen übereinander...

Get-FileHash -Path C:\Users\Phil_\Downloads\electrum-4.1.5-setup.exe -Algorithm SHA256 | Compare-Object -ReferenceObject "ac392f7a62e892af1174cfc63ab8bae7d8f6c0bd8ce1192eee3390640feadbfX" -DifferenceObject {$_.Hash}

Zitat

InputObject                                                      SideIndicator
-----------                                                      -------------

AC392F7A62E892AF1174CFC63AB8BAE7D8F6C0BD8CE1192EEE3390640FEADBF0 =>           
AC392F7A62E892AF1174CFC63AB8BAE7D8F6C0BD8CE1192EEE3390640FEADBFX <=

vor 17 Stunden schrieb John123456:

Powershell weiß ich nicht welche Befehle ich eingeben muss.

Du kannst die codezeilen nach PS kopieren.

 

Bearbeitet 23. Februar 2022 von Stone

[Gast]

Mit 7zip kann man sich den Hash jeder Datei mit Rechtsklick anzeigen.

[Cricktor]

Laien werden mit dem Kontextmenü-Eintrag "CRC SHA" vielleicht nicht darauf kommen, daß man im Submenü noch SHA-1 und SHA-256 findet. Aber stimmt, guter Hinweis.

[btctester.com]

On 2/22/2022 at 8:19 AM, John123456 said:

Das  liest sich wie ein schlimme  Dystopie, aber ja , dass könnte natürlich wirklich so kommen.  Die Transaktionen sind ja gar nicht so anonym wie in den Medien behauptet wird. Ich meine das FBI konnte doch auch einige Personen „entanonymisieren“ oder Kanada mit dem Trucker Embargo ist ja ein  aktuelles Bespiel. Dann wird es wahrscheinlich nur eine Frage der Zeit sein, bis die Technik soweit fortgeschritten/erschwinglich ist, bis diese beim  „normalo“ einzug einhält.   

Danke für diesen Denkanstoß, liest sich so als würdest du das Hauptberuflich machen (also im Kryptobereich arbeiten) .

Mixtransaktionen sind ein sehr interessanter Ansatz, aber da könnte es doch Schwierigkeiten mit der Steuer bzw. Finanzamt geben? Es sei denn diese so perfekt verschleiert...

Ich kenne mich deshalb ein Stueck aus, weil ich Leuten helfe, die um ihre Bitcoin betrogen wurden, deshalb hoere ich auch viele Stories. Die Mehrzahl der Betrueger wird nur aus einem einzigen Grund nicht geschnappt, weil die Polizei bei weitem zu wenige Spezialisten fuer dieses Fachgebiet hat. Die allermeisten Betrueger kann ich bis zu Boersen nachverfolgen. Nur 5% schicken das Geld durch Mixer und auch das nutzt nur bedingt, da viele dann aus Versehen oder wegen fehlendem Ueberblick die gemixten oder monero-ten bitcoin mit ungemixten zusammen transferieren. Deshalb sollte eigentlich kaum ein Betrueger ruhig schlafen, noch nach Jahren kann man die Faelle ja untersuchen, da die Blockchain nichts vergisst und ein kleiner Fehler mal nachts um 2 uebermuedet nach einem Bier und das Kartenhaus stuerzt zusammen. Viele Betrueger sind total dumm was eine Verschleierung betrifft, das merken sie aber nicht weil es ja die letzten Hundert mal gut ging und keiner den Fall untersuchte.

[btctester.com]

On 2/22/2022 at 1:02 PM, nattyflo said:

Es ist halt auch nicht Jeder Informatiker/Mathefreak (auch wenn hier im Forum manchmal behauptet wird, man könne sich mal eben so programmieren beibringen 😆), und wenn die ganze Kryptogeschichte eine Zukunft in der breiten Masse haben soll, darf die sichere Aufbewahrung auch keine Raketenwissenschaft sein.

Es ist wie ein Schweizer Nummernkonto frueher in den Filmen. Wer den Code hat kann ueber die Kohle verfuegen. Heute heisst das halt private key und man braucht die Schweizer Bank nicht mehr. Wer auf einem Geldschein aufpassen kann der kann auch auf einen Seed aufpassen. Aber natuerlich hast du recht, es gibt viele Fallstricke die nichts mit der Bitcoinsicherheit an sich zu tun haben, sondern damit dass man auf social phishing reinfallen kann oder die IT nicht sicher ist. Nicht jedermann hat Qubes auf dem Rechner. Die meisten Leute fallen auf Anlagebetrueger rein, sie kaufen das erstemal mit Hilfe des Betruegers bitcoin und der schickt sie direkt an sich weiter und ist weg. Einige auch mit vielen Jahren Bitcoinerfahrung werden gehacked und verlieren so ihre coins. Nicht mit den bitcoin angeben ist auch hilfreich, dann sucht auch keiner nach seeds und wallets.

[Gast]

Am 23.2.2022 um 09:20 schrieb Stone:

Hallo! Super du hast es hinbekommen und die Summen stimmen überein.

Damit du nicht manuell vergleichen musst geht das auch über get-filehash mit dem ua code, wenn nichts ausser dem Prompt (PS C:\Users\Phil_>) angezeigt wird stimmen sie überein.

Get-FileHash -Path C:\Users\Phil_\Downloads\electrum-4.1.5-setup.exe -Algorithm SHA256 | Compare-Object -ReferenceObject "ac392f7a62e892af1174cfc63ab8bae7d8f6c0bd8ce1192eee3390640feadbf0" -DifferenceObject {$_.Hash}

Zur manuellen Kontrolle😁 kannst du bei der Prüfsumme zB das letzte Zeichen durch ein X ersetzen (oder 1es hinzufügen) um eine Ausgabe zu erzwingen, dann stehen die Zeichen übereinander...

Get-FileHash -Path C:\Users\Phil_\Downloads\electrum-4.1.5-setup.exe -Algorithm SHA256 | Compare-Object -ReferenceObject "ac392f7a62e892af1174cfc63ab8bae7d8f6c0bd8ce1192eee3390640feadbfX" -DifferenceObject {$_.Hash}

Du kannst die codezeilen nach PS kopieren.

 

Danke

[mike_grh]

Kleiner Tipp noch: Unter Windows kann man die Powershell durch drücken von Shift+Rechtsklick im jeweiligen Verzeichnis des Explorers öffnen und spart sich dann den kompletten Pfad zur Datei einzugeben

Wenn man das selbe auf die gewünschte Datei macht, dann kann man per "Als Pfad kopieren" sogar den kompletten Pfad zur Datei kopieren