Mobilecoin - neue Cryptowährung von Signal-Erfinder

[Nick]

"Mit der Messenger-App Signal und dem auch von Whatsapp eingesetzten Signal-Protokoll ist Moxie Marlinspike ein großer Coup gelungen.
Den will er nun mit einer Bitcoin-Alternative wiederholen."  

https://www.golem.de/news/mobilecoin-neue-cryptowaehrung-von-signal-erfinder-marlinspike-1712-131733.html

Was haltet ihr davon?

[mars]

Kann man die Coins schon kaufen? Habe auf coinmarketcap nix gefunden. 

[Marcio87]

Ich halte diesen Coin für sehr interessant.

Leider gibt es noch keine Infos wann man ihn kaufen kann.

[xSBx]

Interessant. 

Link zur offiziellen Webseite: MobileCoin.com

[Jokin]

Früher haben sich die Coin-Erzeuger mal mehr Gedanken gemacht Kunden zu werben.

Da war auch mehr technisches Verständnis da.

Heutzutage jedoch kommen immer mehr Hausfrauen und Mütter in die Cryptowelt, die so einen zig-Wort-Seed nervig finden.

Gut, dass dieser neue Coin es besser kann:

”Securely recover keys using a 4-6 digit PIN. No more long word lists, no more trusting a provider with your keys.”

Jippieh! Nur noch eine 4-stellige digit PIN und ich kann meine Keys ohne Provider zurück erhalten.

(die natürliche Auslese wird es schon richten)

[fox912]

Die Zahlungsmöglichkeit taucht nun als BETA im Signal Messenger auf.

Finde den Schritt super, auch wenn dzt. nur mit mobilecoin (unter anderem auf FTX oder Bitfinex zu handeln/kaufen) möglich.

Wenn die Sicherheit des SEEDs mit der PIN massiv gesenkt wird, ist das natürlich schlecht, aber ich sehe Bezahlung in Messenger aktuell ohnehin nur für Kleinstbeträge.

Ist ein Start und gut wenn Signal da vorne mit dabei ist!

[abcd]

Nur mal der Vollständigkeit halber, ich weiß darüber nichts weiter:

Neuerdings Signal-Zahlungen mit Kryptowährung (beta)

[Jokin]

Am 29.12.2017 um 07:38 schrieb Jokin:

Gut, dass dieser neue Coin es besser kann:

”Securely recover keys using a 4-6 digit PIN. No more long word lists, no more trusting a provider with your keys.”

Jippieh! Nur noch eine 4-stellige digit PIN und ich kann meine Keys ohne Provider zurück erhalten.

Mittlerweile wurde das Konzept geändert.

Es gibt nun einen 24-Wort-Seed. 

Edit: So ganz ausgereift ist das aber noch nicht. Wenn man noch keine Wallet eingerichtet hat, kann man seine Wallet mit einem 12-Wort-Seed wieder herstellen.

Erstellt man eine neue Wallet, dann bekommt man einen 24-Wort-Seed.

Auch wenn es eine Beta-Version ist, sollte man solche Kleinigkeiten schon richtig machen.

Bearbeitet 8. Januar 2022 von Jokin

[Jokin]

Zeit für einen Faktencheck.

vor 35 Minuten schrieb abcd:

Nur mal der Vollständigkeit halber, ich weiß darüber nichts weiter:

Neuerdings Signal-Zahlungen mit Kryptowährung (beta)

In dem Artikel steht: "Während sich bei digitalen Blockchain-Währungen wie Bitcoin oder Ethereum Zahlungen nachverfolgen lassen, sollen Transaktionen von Mobilecoin vertraulich sein: Sender, Empfänger, transferierter Betrag und Nachricht sind auch Signal nach eigenen Angaben alle unbekannt."

 

Ich habe auf meinem Smartphone "1" Signal und hab dort die Zahlungsfunktion aktiviert.

Auf meinem Smartphone "2" habe ich nun auch Signal geladen und mit derselben Rufnummer wie Smartphone "1" eingerichtet.

Ich wurde nach der PIN gefragt und einem Code, der per SMS gesendet wurde und zack, ist auf dem Smartphone "2" alles da. Nur die Kontakte nicht, aber die Gruppenchats.

 

Wenn nun Signal alle Zahlungen unbekannt wären, würde ich erwarten, dass ich bei der Aktivierung der Bezahlfunktion auf Smartphone "2" den Seed neu eingeben muss.

 

Muss ich aber nicht. 

Die Wallet ist schon da.

 

Es reicht also vollkommen im Besitz der SIM-Karte, der SIM-Pin und der Signal-Pin zu sein um vollen Zugriff auf die Mobilecoin-Wallet zu erlangen.

 

Wer bisher dachte, MOB wäre ein gutes Investment, könnte das nun nochmal überdenken.

 

Wie immer gilt auch bei "Zeit"-Artikeln: DYOR.

[Cricktor]

Ich habe jetzt nicht in den Signal-Client-Code geschaut. Ein Signal-Account ist an die Mobilfunknummer gebunden. Die SIM-PIN ist irrelevant, die hat für Signal keine Bedeutung, außer daß du sie brauchst, um die entsprechende SIM-Karte zu aktivieren, um die Auth.-SMS empfangen zu können.

Der Key für die Verschlüsselung deiner Chats (und ggf. auch der Wallet) in Signal wird sicherlich in irgendeiner Form von der Mobilfunknr. abgeleitet. Inwiefern die Signal-PIN da noch mit drin steckt, kann ich nicht auf die Schnelle beurteilen. Möglicherweise muss die einfach nur identisch sein, wie auf dem ursprünglichen Gerät, wo der Account zuletzt aktuell eingerichtet wurde. Die Signal-PIN kann man ja ändern und ich denke nicht, daß man nach deren Änderung den Zugriff auf die Nachrichten verliert, die noch unter dem Regime der vorherigen Signal-PIN erstellt wurden.

Die Wallet könnte also durchaus auch end-to-end-verschlüsselt sein, aber letztlich muss bei Transaktionen der Infrastruktur bekannt sein, ob ausreichend Guthaben und Berechtigung für eine Transaktion vorliegt. Da fällt es mir schwer, dies ohne Kenntnisse auf Signal-Seite zu realisieren. Aber ich gebe zu, daß ich mir den Mobilecoin überhaupt noch nicht angesehen habe. Sehe den eh nur wie eine kleine Taschengeldbörse.

Signal und Threema sind für mich willkommenere Alternativen zu Whatsapp, da mir schlicht die Geschäftspolitik und der Datenhunger von Facebook zuwider ist.

Bearbeitet 8. Januar 2022 von Cricktor

[Jokin]

vor 2 Stunden schrieb Cricktor:

Ich habe jetzt nicht in den Signal-Client-Code geschaut. Ein Signal-Account ist an die Mobilfunknummer gebunden. Die SIM-PIN ist irrelevant, die hat für Signal keine Bedeutung, außer daß du sie brauchst, um die entsprechende SIM-Karte zu aktivieren, um die Auth.-SMS empfangen zu können.

Nochmal zum Verständnis:

Wenn du mir meine SIM-Karte klaust, ....
... und die PIN der SIM-Karte aus meinem Notizbüchlein rausliest, ....
.... und auch noch beim letzten mal gesehen hat welche Signal-PIN ich bei der (voll nervigen!) Erinnerung eingegeben habe, ...

... dann hast du alle Informationen zusammen um mir meine MOB-Wallet leer zu räumen.

Denn der Seed der Wallet ist vollkommen egal, er spielt bei der Wiederherstellung der Wallet keinerlei Rolle.

 

App laden, die alte Rufnummer angeben, die Signal-PIN eingeben und den Verifikations-Code per SMS erhalten ... und zack, da ist die Wallet wieder und sie zeigt denselben 24-Wort-Seed an.

 

Wie kann das sein?

a) für den Seed wird die Entropie der Rufnummer benutzt und deshalb entsteht derselbe Seed.

b) der Seed ist auf dem Server gespeichert - möglicherweise mit der eigenen Rufnummer verschlüsselt, aber das ist nun wirklich keine ernstzunehmende Verschlüsselung. Und eine 4-stellige PIN kann man auch nicht wirklich als "Verschlüsselung" ansehen.

 

vor 2 Stunden schrieb Cricktor:

Signal und Threema sind für mich willkommenere Alternativen zu Whatsapp, da mir schlicht die Geschäftspolitik und der Datenhunger von Facebook zuwider ist.

Bei Threema gibt es ein anderes Sicherheitskonzept der Verschlüsselung. Dem Konzept vertraue ich eher als dem luschigen Konzept von Signal.

und naja - ehrlich gesagt ist mir lieber, dass WhatsApp offen bekannt gibt was sie mit den Daten machen als eine App, die etwas behauptet was noch niemand geprüft hat.

Und WENN man dann so etwas prüft, dann kommt dann so etwas heraus, dass derselbe Seed plötzlich erscheint ohne dass es nennenswerte Sicherheitshürden gibt.

 

Weiterhin stelle ich mir die Frage wieso Signal nicht einfach eine Bitcoin-Lightning-Wallet integriert? Die könnten sich direkt mit Bluewallet zusammen tun und deren Hub nutzen. Das sind dann auch "zentrale" Wallets, die ebenso einfach wieder hergestellt werden können, aber man hätte einen (meiner Ansicht nach) vertrauenswürdigen Walletanbieter im Boot. 

[skunk]

Die Wallet App von Glamster hatte das gleiche Problem. Im Chat sind ein paar Leute aufgetaucht, die ihre BTC und ETH verloren haben aber ihre GLAM lagen noch da. Einige Tage später wurde die App dann offline genommen. Es ist nicht schwer zu erraten was passiert ist. 4 oder 6 stellige PINs kann man selbst mit einem langsamen Pi3 innerhalb weniger Stunden alle durchprobieren...

[Cricktor]

vor 4 Stunden schrieb Jokin:

Nochmal zum Verständnis:

Wenn du mir meine SIM-Karte klaust, ....
... und die PIN der SIM-Karte aus meinem Notizbüchlein rausliest, ....
.... und auch noch beim letzten mal gesehen hat welche Signal-PIN ich bei der (voll nervigen!) Erinnerung eingegeben habe, ...

... dann hast du alle Informationen zusammen um mir meine MOB-Wallet leer zu räumen.

Denn der Seed der Wallet ist vollkommen egal, er spielt bei der Wiederherstellung der Wallet keinerlei Rolle.

Genügend Skrupellosigkeit vorausgesetzt könnte man natürlich mit dem klassischen 5€-Maulschlüsselangriff alles erreichen, wenn man wüsste, wo man sein Opfer findet. Aber ich verstehe schon, worauf deine Kritik abzielt. So richtig überzeugend ist das mit einem 24-Wort-Seed in der Tat nicht, wenn die Wallet im üblichen Signal-Restore-Prozess 1-zu-1 wiederhergestellt wird, ohne daß man den Seed überhaupt braucht. Praktisch, wenn es selbst machen muss, schlecht, wenn es ein anderer machen kann. Gibt ja genügend Beispiele, wo sich Fremde per Social Engineering SIM-Kartenduplikate erschlichen haben.

Wie und woraus der Seed abgeleitet wird, wäre dann in der Tat interessant.

vor 4 Stunden schrieb Jokin:

Weiterhin stelle ich mir die Frage wieso Signal nicht einfach eine Bitcoin-Lightning-Wallet integriert?

Ich schätze mal, daß die sich mit einem eigenen Coin mehr Profitmöglichkeiten ausmalen. Pre-mining etc. ...

Aber ich gebe zu, daß mich die Walletfunktion im Zusammenhang mit Signal nur sehr entfernt interessiert hat, da ich es schon Mist fand, daß da schon wieder ein überflüssiger Coin in die Welt gesetzt wurde. Eine Lightning-Integration hätte ich auch viel besser gefunden und mich eher zu einer Spende motiviert.