Jump to content

Offline-Erstellung eines Paperwallet


Roscoe

Recommended Posts

Hallo zusammen,

 

nach meinen gestrigen Fragen zum Thema Wallet sichern dachte ich mir frage ich euch mal, wie ihr das handhabt mit Paperwallets.

 

Wie generiert ihr die? Mit welcher Software, welche Internetseiten verwendet ihr dafür?

Das wird für den einen oder anderen evtl. auch interessant sein?

 

 

Gruß

 

Roscoe

Link to comment
Share on other sites

Wie generiert ihr die? Mit welcher Software, welche Internetseiten verwendet ihr dafür?

Das wird für den einen oder anderen evtl. auch interessant sein?

Das ist nicht schwierig. Auf http://www.bitaddress.org z.B. kann man welche generieren (Einzelne, gleich eine ganze Liste oder zum Ausdrucken mit QR-Codes). Die Seite funktioniert auch aus dem Browsercache, wenn man vom Internet trennt.

Die Adressen kann man ohne Probleme auf dem Computer in eine Textdatei klatschen, für Copy-Paste-Zwecke. Die Private Keys zu den Adressen, die zum "Abheben" berechtigen, sollen neben den zugehörigen Adressen nur auf dem Papier vorhanden sein.

 

Paper Wallets (oder ganze Listen davon) gleich mindestens zweimal (falls es mal brennt) ausdrucken und an sicheren Orten hinterlegen.

 

Wie benutzen? Einfach.

 

Bitcoins sicher auf Seite schaffen -> An eine der Adressen des Paper Wallets schicken

 

Bitcoins aus dem Paper Wallet holen -> den Private Key der entsprechenden Adresse in den Client importieren (googlen...) oder auf blockchain.info ein temporäres Onlinewallet erstellen und dort den Private Key importieren. Dann kann man die Bitcoins ausgeben wie man möchte, danach aber eventuelle Reste unbedingt an eine Adresse des Paper Wallets überweisen, dessen Private Key noch nicht benutzt wurde.

Wenn man das mit blockchain.info macht, braucht man nichteinmal einen Desktop Client. Kontostand einer Adresse kann man auch prima auf blockchain.info überprüfen (Suchfeld..).

 

Wie bekommt man den Private Key vom Papier in den Computer? Auch einfach: Bei Bedarf abtippen oder die QR-Codes benutzen.

 

Einmal benutze Private Keys sind als kompromittiert zu betrachten, da sie dem Computer bzw. dem Internet in Berührung gekommen sind. Also nach Benutzung das Adress-Schlüssel-Paar auf dem Paperwallet durchstreichen und keine Bitcoinreste darauf belassen.

Edited by whynodd
Link to comment
Share on other sites

Hi whynodd,

 

super Erklärung von dir, vielen Dank dafür.

 

Nur wie kann man sichergehen, dass der PrivateKey des Paperwallet nicht bereits nochmal generiert / bereits existiert und verwendet wird?

Was sorgt für keine doppelte Vergabe des gleichen PrivateKeys?

 

Du meinst, die Seite wie z.b. bitadress.org offlne verfügbar machen, den Code generieren und Cache bereinigen?

 

Mehr fragen hätte ich dazu dann aber auch nicht mehr ;-)

 

*glaub ich*

 

Gruß

 

Roscoe

Link to comment
Share on other sites

Nur wie kann man sichergehen, dass der PrivateKey des Paperwallet nicht bereits nochmal generiert / bereits existiert und verwendet wird?

Was sorgt für keine doppelte Vergabe des gleichen PrivateKeys?

Niemand. Dieses Risiko ist allein durch die riese Menge an möglichen bitcoin Adressen unvorstellbar klein.

 

Genauer gesagt ist deine Chance das zu schaffen 1 zu 2^160, denn es existieren 2^160 (also über 1,4 x 10^48) bitcoin Adressen. Die Anzahl der Sandkörner auf der ganzen Erde ist ein Witz dagegen.

 

Beim Generieren musst du bitadress.org nicht explizit offline verfügbar machen. Es reicht die Seite aufzurufen, offline zu gehen und die Adresse (=Schlüsselpaar) zu generieren. Bevor man wieder online geht, kann man zur Sicherheit cache und cookies löschen und den browser neustarten. Ist ja ein lächerlicher Aufwand, daher würde ich das auch tun.

Link to comment
Share on other sites

Wenn man ganz paranoid ist, kann man bitaddress.org einfach abspeichern und auf einem offlinePC ausführen, der niemals mit dem Internet verbunden wurde. Die Seite besteht nur aus einem Javascripthaufen und läuft vollständig lokal. Nichts wird wieder zum Server übertragen.

 

@Roscoe, ich habe u.A. die Sache mit den Paper Wallets hier im Forum schon einmal sehr detailliert ausgeführt, siehe diesen Thread hier:

https://forum.bitcoin.de/fragen-von-einsteigern/763-wie-sichere-ich-meine-bitcoins-ausserhalb-von-bitcoin-de.html

 

Ach ja, mit den Paper Wallets bist Du deine eigene Bank und für die Kohle selbst verantwortlich - Private Key weg, Kohle weg. Dafür ist das Handling nicht schwierig und man weiß jederzeit, wo das Paper Wallet ist. Paper Wallets geben einem das gute Gefühl, dass man die "Innereien" sofort auf dem Papier sehen kann und in welcher Reihenfolge was passiert.

Bei einem der Clientprogramme kann man sich nämlich leicht vertun: Sicherung verhunzelt oder zu alt, Computer infiziert, wallet.dat vom Trojaner abgeschnorchelt - man merkts erst, wenn es zu spät ist. Deswegen finde ich, dass die Clients was für Leute sind, die genau wissen, was sie tun, auch wenn die Programme einfach zu bedienen sind.

 

Nochwas: Man könnte sein Paper Wallet auch so aufbauen: Man macht sich ein Brainwallet (bitte SEHR sichere Passphrase ausdenken, z.B. 10 nicht zusammenhängende Wörter hintereinander) und hängt jeweils Zahlen/Postfixe hintendran. Beispiel: passphrase1, passphrase2, passphrase3, passphraseKleingeld, passphraseZehn, passphraseElf usw. Dann druckt man sich NUR die Adressen plus zugehörige Postfixe aus und kann sich jederzeit die Adress-Key-Paare wieder aus den Passphrasen erzeugen. Diese Vorgehensweise ist extrem sicher, da absolut nirgendwo die Private Keys hinterlegt sind und nur ad hoc kurz vor Benutzung erzeugt werden. (Brainwallets gehen auf http://www.bitaddress.org oder auf http://www.brainwallet.org).

Ich finde die Vorstellung witzig, mit Brainwallets kann man Geld im Kopf herumtragen, über Grenzen schmuggeln usw. ;). Trotzdem würde ich die Passphrase einmal auf Papier aufschreiben und jemand vertrauenswürdigem in einem geschlossenen Umschlag geben. Falls man vom Bus überfahren wird oder so..

Edited by whynodd
  • Love it 1
Link to comment
Share on other sites

  • 2 years later...

Ich möchte hier der Vollständigkeit halber auf das Entropy-Projekt von Mycelium hinweisen:

 

https://mycelium.com/entropy

 

Das ist ein USB-Stick, der den Ausdruck einer Paperwallet ganz ohne Einsatz eines PCs ermöglicht. Ihr steckt das Ding einfach in den USB-Anschluss eines Druckers und der Stick erzeugt intern ein Jpeg mit der Paperwallet drauf, das man dann ausdrucken kann (ähnlich wie bei einem Foto von einer SD-Karte).

Sind leider im Moment ausverkauft, aber bestimmt bald wieder verfügbar. Ich habe meinen aus dem Kickstarter-Projekt bekommen und er tut, was er soll. Der Stick kann sogar 2 von 3 nach SSS (Shamir's Secret Sharing), d.h. man kriegt drei Codes und muss mindestens zwei zur Authorisierung einer Transaktion eingeben.

  • Love it 1
Link to comment
Share on other sites

  • 6 months later...

Ich habe einmal für Anfänger eine Anleitung zur Erstellung von Paper-Wallets erstellt, da der ganze Vorgang doch recht komplex ist.
Anfangs dachte ich, mit einigen Seiten auszukommen, jetzt ist daraus doch eher ein Buchkapitel geworden.
Vielleicht ist ja auch die eine oder andere interessante Info für erfahrenere Foristen dabei.

 

Für einen Post ist das Dokument zu lang, darum hier eine PDF-Datei zum Download:

 

https://www.dropbox.com/s/wvod1f6i12yvsnb/Bitcoin%20Paper%20Wallet%20v3.pdf?dl=0

  • Love it 6
Link to comment
Share on other sites

  • 1 year later...

Ich habe einmal für Anfänger eine Anleitung zur Erstellung von Paper-Wallets erstellt, da der ganze Vorgang doch recht komplex ist.

 

https://www.dropbox.com/s/wvod1f6i12yvsnb/Bitcoin%20Paper%20Wallet%20v3.pdf?dl=0

 

Danke für die Anleitung. Hat mir sehr gut gefallen bis auf einen Punkt. Habe es schon vor ein paar Tagen gelesen und viel gelernt. Aber wenn ich mich recht erinnere wird als sicherste Methode nur beschrieben wie man Paperwallets mit bitaddress.org erstellt indem man die Seite speichert und offline verwendet. Das gefällt mir nicht sehr gut da ich weder die Seriösiät und Kompetenz von bitadress.org beurteilen kann noch in der Lage bin den Quellcode zu analysieren. Das kann nur ein Programmierer und der wird sicher eher den originalen bitcoin client verwenden oder?

Was Du ansonsten an Infos bereit gestellt hat ist aber absolut super.

Edited by berkartz
  • Love it 2
Link to comment
Share on other sites

Wir haben eine Anleitung erstellt, die zeigt, wie man Paperwallets "sicher", sehr sicher oder maximal sicher erstellt. Klickt rein

 

Also sorry aber wer kein IT-Experte ist kann die Software von bitcoinpaperwallet.com, die das Herzstück Eurer Anleitung ist, überhaupt nicht auf Authentizität oder mögliche backdoors analysieren.

Und es ist ja nicht die Originalsoftware bitcoin-core.

Daher könnte man zwar bitcoinpaperwallet.com blindlings vertrauen aber Sicherheit ist somit keine gegeben.

Link to comment
Share on other sites

Also sorry aber wer kein IT-Experte ist kann die Software von bitcoinpaperwallet.com, die das Herzstück Eurer Anleitung ist, überhaupt nicht auf Authentizität oder mögliche backdoors analysieren.

 

Das mag sein.

 

Und es ist ja nicht die Originalsoftware bitcoin-core.

 

Hast du als nicht "IT-Experte" denn den Bitcoin-Core auf Backdoors überprüft?

Oder dein Betriebssystem? oder...oder...

 

Daher könnte man zwar bitcoinpaperwallet.com blindlings vertrauen aber Sicherheit ist somit keine gegeben.

 

Als nicht "IT-Experte" besteht das Problem bei jeder Software.

Aber für alles gibt es eine Lösung... Backdoors, Trojaner, usw. haben ein kleines Problem mit Offline Rechner. ;)

 

Aber legt eure Handys in den Kühlschrank, denn die "Schnüffler" sind kreativ.

http://www.spiegel.de/netzwelt/gadgets/computersicherheit-smartphones-koennen-tastatur-abhoeren-a-925280.html

 

Esst keine Chips.

http://www.spiegel.de/wissenschaft/technik/abhoertechnik-mit-forscher-koennen-aus-videos-sprache-ableiten-a-984496.html

 

Benutzt Räume ohne Glas

https://www.welt.de/wissenschaft/article139434745/Abhoeren-aus-120-Meter-Entfernung-mit-Laserlicht.html

 

Aber am kreativsten finde ich das

http://www.spiegel.de/netzwelt/web/sound-beacon-werbung-datenschuetzer-warnen-vor-silverpush-technik-a-1063003.html

Edited by c0in
Link to comment
Share on other sites

Hast du als nicht "IT-Experte" denn den Bitcoin-Core auf Backdoors überprüft?

 

Oder dein Betriebssystem? 

 

Aber für alles gibt es eine Lösung... Backdoors, Trojaner, usw. haben ein kleines Problem mit Offline Rechner. ;)

 

 

- Den Bitcoin-Core braucht man als nicht "IT-Experte" nicht zu prüfen, weil es die Originalsoftware ist und open source, so dass davon ausgegangen werden kann dass bereits genügend Experten die Software geprüft haben. Die Original-Bitcoin-Website (und deren Betreiber) von der die Software runtergeladen werden kann stellt so etwas wie eine Autorität innerhalb des Bitcoin-Ökosystems dar. So habe ich auch keinen Zweifel dass die Leute in der Lage sind die von ihnen angebotenen Downloadinhalte vor Veränderungen durch Hacker zu schützen so lange sie auf deren eigener Webseite bereit gestellt werden. Daher ist der Bitcoin-Core mit nichts anderem vergleichbar wenn es um Sicherheit geht.

 

- Wenn Du unwissentlich eine betrügerische Software zur Seedgerstellung verwendest und diese aus Sicherheitsgründen nur offline verwendest, kann dir trotz deiner Sicherheitsstrategie passieren dass Du einen Seed aus einem Pool erhältst. Also kein zufälliger Seed sondern ein vorgefertigter, dem Hersteller der Software bekannter Seed der den Zweck hat als Mittel zu dienen Dich irgendwann zu bestehlen. 

Edited by berkartz
  • Love it 1
Link to comment
Share on other sites

bitcoinpaperwallet.com ist ein Fork von bitaddress.org, sind beide open source, und auf GitHub zu begutachten,


https://github.com/pointbiz/bitaddress.org 
so dass davon ausgegangen werden kann dass bereits genügend Experten die Software geprüft haben.

 

Zitat

 

So habe ich auch keinen Zweifel dass die Leute in der Lage sind die von ihnen angebotenen Downloadinhalte vor Veränderungen durch Hacker zu schützen so lange sie auf deren eigener Webseite bereit gestellt werden.

 

Oh da werden sogar viel größere (Software)-Firmen gehackt, wo man annimmt das deren Leute in der Lage sind das zu verhindern. Es gibt keinen 100% Schutz.

  • Love it 1
Link to comment
Share on other sites

Nur mal so zur Info, [...] wird von Kaspersky gesperrt "um vor Betrüger zu schützen".

 

Mag das jeder für sich interpretierten.

 

Wenn ein Nutzer erst mal vorsichtig ist, ist das Okay.

Es geht ja um sein Geld.

Ich empfehle tiefer in die Technik einzusteigen um sich selbst ein Bild machen zu können.

 

Ist Software die offline läuft aus Prinzip sicher?

 

NEIN!

Und dazu muss ich nicht tief in die Spionage-Trickkiste greifen.

Nehmt zum Beispiel ein HD Wallet und erzeugt 10.000 Adressen.

Analysiert sie... sind sie Zufällig?

 

NEIN!

Mit einem mir bekannte Seed kann ich alle Adressen ebenfalls herstellen, egal ob diese vorher offline, im abhörsicheren Bunker oder sonst wie erzeugt wurden.

 

Axiom

  • Love it 1
Link to comment
Share on other sites

Da muss ich auch nochmal einhaken.

 

Ich gebe dir im Prinzip bei allem recht.

Software die offline läuft ist nicht aus Prinzip sicher, aber auf Offlinerechner musst du schon in die Trickkiste greifen um zB. Daten (Seed usw.) zu bekommen.

 

Mit einem mir bekannte Seed kann ich alle Adressen ebenfalls herstellen, egal ob diese vorher offline, im abhörsicheren Bunker oder sonst wie erzeugt wurden.

 

ja das ist Logisch, aber wie willst du es anstellen den Seed "dir bekannt zumachen", wenn du keine Möglichkeit hast "über die Schulter zu gucken".

Bei einem Onlinerechner kann ein Trojaner leicht ein Screenshot versenden, das geht Offline eben nicht. (darum ging es mir im Prinzip bei OFFLINE)

Bei Offline hat man eben ein paar Angriffspunkte ausgehebelt.

 

...und 100% Sicherheit gibt es nicht, aber man kann es einem Spion schon recht schwer machen.

 

Für die sichere Verwahrung verwende ich persönlich sowieso nur selbst erstellte "Keys" (Stichwort Würfel usw.).

Edited by c0in
  • Love it 1
Link to comment
Share on other sites

Da muss ich auch nochmal einhaken.

 

...

 

ja das ist Logisch, aber wie willst du es anstellen den Seed "dir bekannt zumachen", wenn du keine Möglichkeit hast "über die Schulter zu gucken".

 

Dafür schreibe ich ja die Software bzw. manipulieren sie.

Billigste Varinate, ein definierter Zahlenstrom und das Ergebniss hashen.

So Was kannst Du auch als Open Source machen und die wenigsten begreifen, was da passiert. Denn allgemein löst Hash die Meinung aus, das Ergebnis ist unvorhersehbar und ändert sich komplett bei der kleinsten Änderung.

Ein bisschen komplexer, und die Masse "legen sich die Karten".

 

In der Kryptografie, sind RNG sehr gute Manipulierungsmöglichkeiten und werden sehr oft nicht erkannt.

Man schaut auf den Code, was man dann mit den Zufallszahlen macht.

Meine empfohlene Lösung, Zufallszahlen selber würfeln und darauf achten, was damit dann passiert.

 

Um z.B. von oben zurück zu kommen, brauch ich dann nur noch die erzeugten Bitcoinadressen überwachen, und wenn genug drauf ist *zuschlagen*.

 

Axiom

Edited by Axiom0815
  • Love it 1
Link to comment
Share on other sites

Für Anfänger und Nicht-Informatiker gäbe es zumindest theoretisch eine sehr sichere Option:

 

Die Software von der bitcoin.org-Seite könnte regelmäßig jede Woche von einem Experten auf Authentizität bzw. Manipulationen durch Hacker etc. geprüft und öffentlich bestätigt werden.

So könnte jeder die Software auf einen neu aufgesetzten Rechner downloaden und diesen offline nehmen.

Dann 7 Tage warten bis die Bestätigung auf Authentizität durch den bitcoin.org-Experten erfolgt. Fertig.

Edited by berkatze
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.