Jump to content

Ist das Erstellen eines Priv. Key´s auf der Seite https://www.bitaddress.org sicher?


 Share

Recommended Posts

Das Erstellen des privaten Schlüssels und deren sichere Speicherung stellt prinzipiell die größte Gefahr bei Kyptowährungen dar, denn wer den Priv. Key kennt, kann Ihr Geld anonym und in den meisten Fällen ohne Strafverfolgung befürchten zu müssen stehlen.
Daher ist es ausgesprochen wichtig, dass die Erstellung des Priv. Keys sicher vonstattengehen geht.
Das Problem ist nun, dass auf Webseiten egal welcher Art, der Priv.Key einfach gestohlen werden kann, wenn er dort erstellt wurde. Das gilt auch für www.bitadresse.org

Auch wenn die Seite "open Source" ist oder auch offline verwendet werden kann, täuscht das hier nur ein falsches Sicherheitsgefühl vor und verschleiert die möglichen Hintertürchen die in einer solchen Software versteckt sein können.


- Ich habe den Source Code ja geprüft
Source Code zu prüfen ist nichts für Laien! Quellcode enthält oft Unmengen an Bibliotheken die selbst wiederum Abhängigkeiten haben usw. So werden aus 100 Zeilen Code oft 10 000 und mehr.
Da zu kommt, dass Quellcode ziemlich mies verschleiert werden kann, was eine Prüfung unmöglich macht.
Quellcode zu prüfen ist in den meisten Fällen sogar noch schwerer als das Programm selbst zu schreiben.
Ich habe solche Software selbst programmiert, ich weis also von was ich rede.
Also, zu denken "ich hab den Quellcode geprüft und da sehe ich keine Internet Verbindung" etc. reicht bei weiten nicht aus.

- Hintertürchen können auch eingebaut sein, wenn das Programm offline läuft!
Die Erstellung des Private Key´s basiert auf einem Zufallsgenerator.
Einen Zufallsgenerator kann man per Definition nicht prüfen.
Und genau an dem Punkt ist es sehr leicht zu manipulieren
Auch wenn das Programm offline läuft kann der erstellte Priv.Key aus einem Pool kommen oder die Key´s werden so berechnet, dass sie später vom Hacker wieder erstellt werden können.
Das geht ziemlich einfach.

- Ich habe das Programm geprüft, es läuft ja auch schon seit Jahren fehlerfrei und niemanden wurden jemals die Coins dadurch gestohlen.
Gerade das ist die aller größte Gefahr und der größte Trugschluss.
Wenn das Programm heute noch fehlerfrei läuft, kann es morgen schon gefälschte Key´s erzeugen. Das nennt man: Erst Vertrauen gewinnen und dann abzocken.
Selbst bei einer Version die ihr schon lange habt kann so etwas noch eingebaut sein.
Es kann z.B. ein Timer programmiert sein, der ab einem bestimmten Datum falsche Key´s erzeugt. Das geht auch offline und bei einer alten Version die ihr schon lange benutzt.

Stellt euch mal vor, wass passiert wenn wirklich sehr viele auf z.B. www.bitadress.org ihre Priv. Key´s erstellt haben und sie alle an einem Tag geleert werden. Was würde dann passieren?
Bitcoin hat kein Sicherheitsproblem. Das Problem sind leider viele User die zu leichtsinnig sind.

Sei deine eigene Bank ist das Prinzip von Bitcoin! Leider beherzigen das zu wenige.






 

Edited by MixMax
  • Like 1
Link to comment
Share on other sites

Zitat

Ich habe solche Software selbst programmiert, ich weis also von was ich rede.

Da du das ja schon selbst programmiert hast könntest du den unerfahrenen Usern hier doch deine Entwicklung vorstellen, und erklären!
Damit sie Schritt für Schritt wissen, wie sie sich jetzt ein 100% sicheres Key-Paar erstellen können.

Danke.

Link to comment
Share on other sites

Noch Informationen für andere.
bitaddress.org arbeitet einwandfrei, hat so ca. 20000 Codezeilen, ist nicht komprimiert, und für jeden Entwickler leicht zu lesen.
Es gibt keine Hintertüren, es wird nichts an dubiose Server gesendet, diese Seite arbeitet vollständig Autark im Webbrowser, und sendet nichts weiter.
Es werden auch keine Adressen aus Pools erstellt. Diese Seite kann man vollständig Offline ausführen.

 

@MixMax .
Es ist nett dass du auf die möglichen gefahren hinweißt, aber bitaddress.org als Beispiel herzunehmen ist dabei nicht dienlich.

Zitat

Das Problem ist nun, dass auf Webseiten egal welcher Art, der Priv.Key einfach gestohlen werden kann, wenn er dort erstellt wurde. Das gilt auch für www.bitadresse.org

ich bitte dich vorzuzeigen wie das hierbei funktioniert.

Zitat

Auch wenn die Seite "open Source" ist oder auch offline verwendet werden kann, täuscht das hier nur ein falsches Sicherheitsgefühl vor und verschleiert die möglichen Hintertürchen die in einer solchen Software versteckt sein können.

Bitte auch hier evtlstellen im Code zeigen wo etwas vorgetäuscht, versteckt sein könnte, bzw. welcher Codeteil für eine evtl. Hintertür verwendet wird.

Zitat

Source Code zu prüfen ist nichts für Laien!

Das stimmt, aber wir beide sind keine Laien, deshalb kannst du mir die mängel sicher auch zeugen.

Zitat

1. Quellcode zu prüfen ist in den meisten Fällen sogar noch schwerer als das Programm selbst zu schreiben.
2. Also, zu denken "ich hab den Quellcode geprüft und da sehe ich keine Internet Verbindung" etc. reicht bei weiten nicht aus.

1. Kann ich für meinen teil nicht nachvollziehen, habe keine Problem dabei.
2. Beim Quellcode führt man natürlich auch etliche Gegenprüfungen durch.

 

Würde mich wirklich interessieren wo die die Fehler im Code siehst.

Edited by c0in
Link to comment
Share on other sites

Da gibt es eine ganz einfache Lösung, die ich schon "gefühlte Jahrzehnte" (Bitcoin gibt es seit 2009) "predige.

Private Schlüssel (Zufallszahlen) erzeugt man mit ein echten physikalische Zufallsgeneratur! Anleitungen siehe Forum.

Das sind z.B. Würfel mit 6 oder 20 Seiten, Spielkarten oder einfache Münzen. Und so etwas hat doch praktisch jeder.

Axiom 

  • Like 1
Link to comment
Share on other sites

@cOin: ich habe den Code von bitaddress.org nicht geprüft und werde es auch nicht. 

Und bitte genau lesen! Ich habe nirgends geschrieben dass bitaddress.org Fehler enthält, sondern nur die Gefahren aufgezählt. Das Thema ist allgemeiner Natur.

vor 4 Stunden schrieb c0in:

Da du das ja schon selbst programmiert hast könntest du den unerfahrenen Usern hier doch deine Entwicklung vorstellen, und erklären!
Damit sie Schritt für Schritt wissen, wie sie sich jetzt ein 100% sicheres Key-Paar erstellen können.

Danke.

Das ist eine gute Idee und ich habe mir auch schon Gedanken gemacht, wie man das realisieren kann.
Wenn da wirklich Interesse besteht, würde ich hier im Forum ein minimalistisches Programm in Java aus Code-Teilen erstellen und dokumentieren und über jeden einzelnen Teil genau sprechen.
Das kann sich dann jeder selbst compilieren. Wenn es nur so um die 100 Zeilen Code werden (ich halte das für möglich) dann wäre das überschaubar.

Ein Zufallsgenerator wird aber sicher nicht Teil des Programms sein, da muss gewürfelt werden etc.

Was haltet Ihr davon? Besteht da auch noch von Anderen Interesse?

 

Edited by MixMax
Link to comment
Share on other sites

vor 5 Stunden schrieb MixMax:

Das ist eine gute Idee und ich habe mir auch schon Gedanken gemacht, wie man das realisieren kann.
Wenn da wirklich Interesse besteht, würde ich hier im Forum ein minimalistisches Programm in Java aus Code-Teilen erstellen und dokumentieren und über jeden einzelnen Teil genau sprechen.
Das kann sich dann jeder selbst compilieren. Wenn es nur so um die 100 Zeilen Code werden (ich halte das für möglich) dann wäre das überschaubar.

Ein Zufallsgenerator wird aber sicher nicht Teil des Programms sein, da muss gewürfelt werden etc.

Was haltet Ihr davon? Besteht da auch noch von Anderen Interesse?

 

Bin dafür.
Aber ein Programm für "Nerds" ist gut und schön, aber nicht hilfreich wenn es jeder verwenden sollte.
Mach es wenn dann so, dass es jeder ohne Programierkenntnisse bedienen kann. Selbst compilieren ist nicht gerade Massentauglich.
Nicht falsch verstehen, aber für Profis gibt es genug Möglichkeiten, die Masse braucht es.

Link to comment
Share on other sites

Am 5.12.2017 um 11:15 schrieb MixMax:

Die Erstellung des Private Key´s basiert auf einem Zufallsgenerator.

Hab mir gerade nochmal den Code zum Zufallsgenerator angeschaut - sieht gut aus ... und ich hab's bisher nicht gewusst: Safari erzeugt krypto-safe Zufallszahlen. Aber man muss ja noch seine Maus rumschubsen und selbst wenn nicht, es werden nicht in jeder Sekunde Waperwallets erstellt, somit ist die Wahrschienlichkeit zwei gleiche PrivateKeys zu erhalten bei nahe Null.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.