@bit01: Irgendeine Reaktion darauf?
Ist das das einzige Problem, das gelöst wird? Das entspricht in meiner Liste diesem hier:
Dieses Problem wird auch durch jedes von mir aufgelistete (etablierte) Verfahren gelöst.
Und was ist mit den ganzen anderen von mir aufgelisteten Gefahren, die teilweise oder vollständig von den etablierten Verfahren gelöst werden?
Mein Bauchgefühl sagt mit das dein Konzept „ sicher“ genug ist für
500
5000
50000
500000
5000000
Aber eben nicht für 5Mrd. damit stelle ich ein Kryptoteam zusammen dass dein Konstrukt vermutlich knackt. Schau mal in die Vergangeheit. Es sind schon etliche Verfahren gebrochen worden.
Wie kommst du denn jetzt darauf nachdem die Unsicherheit gerade ausführlich bewiesen wurde? Scroll mal hoch…
Nenn mir einen einzigen Grund warum man dieses Verfahren (oder irgendein DIY Verfahren) einem bewährten Verfahren wie von @skyrmion aufgelistet vorziehen sollte.
Hab die Kryptoanalyse grad erst gelesen, realy great. Also der Treat hat mich gut unterhalten, danke euch allen für die rege Diskussion und euren Einsatz 
Sehr nice! Ich habe das gerade mal mit meinem Seed gemacht. Versucht es doch zu knacken 
Kleine Hilfe: die falschen Blöcke habe ich durch „X“ ersetzt, um den Angreifer zu verwirren, aber ihr wisst nun Bescheid. Die Leserichtung ist immer von links nach rechts. Blockreihenfolge im 3x3 Muster: 125678
0315151203151512XXXXXXXX
0315151203151512XXXXXXXX
0315151203151512XXXXXXXX
0315151203151512XXXXXXXX
XXXXXXXX0315151203151512
XXXXXXXX0315151203151512
XXXXXXXX0315151203151512
XXXXXXXX0315151203151512
0315151203151512XXXXXXXX
0315151203151512XXXXXXXX
0315151203151512XXXXXXXX
0315151203151512XXXXXXXX
Achja, ich habe sogar 24 Wörter durch „cool“ ersetzt, um es noch sicherer zu machen. Ich sag euch aber nicht, wie viel da drauf ist.
Kogry, nicht so lustig dein post. 
Das was mit dem Script erhalten wird sind Worte aus der Mnemonic Wortliste. Diese Worte sind, wenn 3 der fake Blöcke selbst gültige Mnemonic Wörter enthalten, insgesamt 36 Wörter, von denen mind. 2 oder mehr Wörter auch noch falsch sein können, welche nicht zur Seedphrase gehören. Von diesen sind nur 6 Wortblöcke gültig. Nur 6 von 9.
Welche sind es?
Zwei oder mehr Wörter die nötig sind, um die Wallet zu öffnen fehlen gänzlich. Mit was willst du diese ergründen? Es sind viele Worte in der BIP39, abzüglich der 36 Wörter die du sichtbar machen kannst.
Das was als Beispiel in dem PDF gemacht wurde, diente der Erklärung, wie das funktioniert. Einfach gehalten.
Was du bisher gelöst hattest, sind die Worte sichtbar zu machen. Nicht aber die korrekte Reihenfolge und auch nicht die fehlenden Worte. Ich glaube dir nicht, wenn du behauptest, dass du bei einem echten Seedphrase ergründen kannst, welche die richtigen Worte aus den 36 sind wie die Reihenfolge dieser Worte ist und wieviele Worte fehlen und…
… an welcher Stelle diese stehen, um eine Wallet zu öffnen.
Ich schrieb in meinem PDF "…Man merkt sich
zwei Wörter, welche diesem Backup nicht hinzugefügt werden, statdessen werden zwei andere Fake-Wörter benutzt. " Besser wäre gewesen, ich hätte geschrieben, „mindestens“ zwei Wörter, denn so war es eigentlich gedacht. Damit meine ich, es können auch mehr als 2 Wörter sein die falsch sind. In meinem 1. Entwurf hatte ich dies so geschrieben. Diesen hatte ich aber gelöscht.
Um heraus zu finden ob ich Recht habe, geht nur ein Weg. Ich bin mir sicher, sonst würde ich das hier nicht verteidigen. Liege ich falsch, muss ich damit leben.
„Solltest du hier wirklich eine „verschlüsselte“ Mnemonic teilen die mit 500€ scharf ist, dann entfernen wir das.“
Aber so nimmst du mir meine Entscheidung ab und vereitelst einen Gegenbeweis. Wer es wirklich entschlüsselt kann die Wallet behalten und den Inhalt. Das ist es mir wert. Ich mache mir dann über anderes Sorgen.
500Euro sollten auch im steuerlichen Freibetrag liegen.
„Könntest du uns also vielleicht zuerst mal zusammenfassen, welche Probleme von deinem Verfahren, aber nicht von etablierten Verfahren gelöst werden?“
Ich kenne etablierten Verfahren welche eine analoge Verschlüsselung bieten, die auf einer Seedphrase anwendbar ist nicht. Der Grund, warum ich dieses PDF verfasst hatte.
Viel Glück.
031513021701071916082519
192001142104011619081521
150114190922160518162405
060119082001000521140405
022114112114080112070913
111601141305121515210801
231513012015070525092419
100501120621140001200519
122320220522091203011800
150915091903180513211803
070604221209131904180922
090504090618010722010508
Ich verstehe es auch nicht ganz.
Aber es ist doch überhaupt nicht notwendig, dass er 2 gültige Phrasen findet…
Er erstellt eine gültige Mnemonic. Verändert 2 oder mehr Wörter davon und merkt sich natürlich die korrekten Wörter und deren Stelle. Ja, diese veränderte Mnemonic ist jetzt keine gültige mehr, aber das kann ihm ja egal sein. Jetzt encoded er die veränderte Mnemonic in diese 6 Blöcke mit Zahlen und fügt noch 3 weitere Blöcke hinzu (die aber alle korrekte Wörter aus BIP39 enthalten).
Der Angreifer decodiert die Zahlen wieder zurück in die Buchstaben und ermittelt die Leserichtung. (Dieses ganze Encoden mit Buchstaben → Zahlen und verschiedene Leserichtungen würde ich definitiv weglassen… Es macht das ganze einfach nur komplizierter, ohne irgendwelche Sicherheitsvorteile zu bieten, wie @sutterseba ja schon mit seinem Python Skript gezeigt hat.)
Das währen dann die 9 Blöcke.
Ich denke es gibt hier:
verschiedene Anordnungen der Blöcke. Kein Problem. Die kann man alle einmal durchprobieren und schauen ob die Checksumme passt. Es gibt aber keine, bzw. auf keiner dieser Kombinationen liegen die Coins. Das Problem sind die zu Begin veränderten Wörter der original Mnemonic.
Ohne wissen darüber wie viele veränderte Worte es gibt und an welchen Stellen diese sind kann man jetzt hier nur brute forcen bis man eine gültige Checksumme findet und bei dieser Kombination dann schauen ob Coins draufliegen.
Zusammengefasst würde ich deine Analoge Verschlüsselung also wie folgt beschreiben:
Gültige Mnemonic generieren → Reihenfolge der Wörter verändern und merken → 2 oder mehr Wörter an beliebiger Stelle dieser Mnemonic verändern und merken.
Problem ist halt dass du dir jetzt auch schon ziemlich viele Sachen merken musst. Reihenfolge der Umsortierung + Veränderte Wörter an welchen Stellen?
Alles andere bringt keine wirkliche Sicherheit und verkompliziert die Verschlüsselung nur.
Da würde ich lieber eine Passphrase nutzen und mir dort eine entsprechend sichere aussuchen.
Exakt. Diese Spielereien rund herum werden durch Brute Force direkt wieder zerstört. Das einzige, was einen Angreifer vom echten Seed fern hält, ist es, möglichst viele Wörter auszutauschen (daher habe ich 24 Wörter ausgetauscht). Aber guess what: Das haben schon mehrere Leute versucht, und viele von denen kommen nun nicht mehr an ihre Coins.
Aber hey, macht weiter so, mein halber Satoshi wird dadurch nur wertvoller 
Sehr schöne Analyse @sutterseba , die solltest du dir als Referenz ablegen!
Ich hab erst überlegt ob ich mir das Thema jetzt auch genauer anschaue …
@bit01 ich verstehe du bist jetzt stolz auf deine Arbeit, ich würde da aber keine Seed mit sichern wollen.
PS: DON’T create your own cryptographic solution
Ich bin froh hier kompetente Menschen zu finden, die wissen wovon sie reden, ich meine das
ernst.
Und ich danke für die vielen Mühen, die sich einige hier machen.
Ok, wie weit ist man mit dem Entschlüsseln gekommen?
Alle Zahlen in den Blöcken wurden als Worte der BIP39 in Klarsicht dargestellt.
Dass dies möglich ist, war mir von Anfang an klar, sonst hätte ich es ja nur bei den Zahlen
belassen.
Was kommt als nächstes?
Jetzt fängt das Dilemma erst an. Aber dieses wurde hier verstanden.
9 Blöcke mit gültigen BIP39 Wörtern, aber nur 6 Blöcke sind richtig. Um diese zu entschlüsseln, also die gültigen Blöcke finden, bedarf es nun dieses „Schiebe-spiel“ wie beim
Handyentsperren.
Wie viele Möglichkeiten gibt es nun, um mit 5 Zügen die richtigen 6 Blöcke unter den 9 Blöcken zu verbinden? 60480?
Unabhängig wie viele es sind, gibt es hier einen großen Unterschied gegenüber dem
Entsperren eines Handys mit den richtigen Zügen, gegenüber den richtigen Züge der Blöcke.
Der Unterschied ist, dass das Handy beim finden der Züge sofort entsperrt und offen ist. Bei
dem Finden der richtigen Zügen der Blöcke weiss man nicht, ob diese richtig waren. Und das
ist der grosse Unterschied!
Das liegt daran, weil Teile in den gültigen Blöcken fehlen, die eine Identifizierung erst möglich
machen.
Diese fehlenden Teile sind unbekannte fehlende Wörter des echten Seed und eine
unbekannte Menge der Wörter die fehlen, so wie unbekannter Positionen dieser.
Also man kann nicht erkennen, ob es die korrekten Blöcke in der richtigen Reihenfolge sind,
ohne die fehlenden Wörter, die Anzahl dieser Wörter und deren Positionen im Seed zu wissen.
Also, unabhängig wie viele Möglichkeiten es bei diesem „Schiebe-spiel“ in 5 Zügen bei 9
Blöcken gibt, man kann die korrekten Blöcke und deren Reihenfolge ohne diese fehlenden
Wörter nicht rekonstruieren.
@Kilian, vielen lieben Dank für deine Analyse. Diese ist sehr zutreffend und das was ich hier
versuche, ist verstanden.
*"Ohne wissen darüber wie viele veränderte Worte es gibt und an welchen Stellen diese sind *
*kann man jetzt hier nur brute forcen bis man eine gültige Checksumme findet und bei dieser *
Kombination dann schauen ob Coins draufliegen." Wie lange kann das dauern? Ist das deiner Meinung nach zeitnah möglich?
*"Problem ist halt dass du dir jetzt auch schon ziemlich viele Sachen merken musst. *
Reihenfolge der Umsortierung + Veränderte Wörter an welchen Stellen?
Alles andere bringt keine wirkliche Sicherheit und verkompliziert die Verschlüsselung nur.
*Da würde ich lieber eine Passphrase nutzen und mir dort eine entsprechend sichere *
aussuchen."
Es sind genau 3 Sachen die man sich merken muss. Hatte ich im PDF so beschrieben:
„Merke dir:
1. die Plazierung deiner Blöcke für die Wiederherstellung (wie Handy freischaltung)
2. die Leserichtung der Worte für jeden Block
3. die fehlenden Wörter kennen, die Positionen merken und diese ersetzen“
Alles andere, also das Umwandeln in Zahlen…ich hatte mir das zuvor gut überlegt, bringt keine Sicherheit, das stimmt. Es dient der Darstellung in Zahlen, damit es nicht als einer Seedphrase sofort erkennbar ist. Nicht jeder Mensch (schade eigentlich) liest hier in diesem
Forum und macht sich schlau, hat also seine Wirkung.
@Korgy
„Exakt. Diese Spielereien rund herum werden durch Brute Force direkt wieder zerstört.“
Ja, das ist wie Schminke. Du hast Humor.
Und ja, die Passphrase ist eine wirklich große und sichere Sache! Ich nutze diese und
empfehle es auch meinen Freunden und Bekannten. Aber nicht jede Wallet unterstützen diese,
wie die Softwarewallet „Coinomi“. Ich habe keine derartige Funktion finden können, aber diese Wallet unterstützt das Erstellen von 24 Wörter Seedphrase.
@Sutterseba ich danke dir auch für all deine vielen Bemühungen. 
@SHA-2 Nein ich bin überhaupt nicht stolz. Ich bin noch unzufrieden und werde Änderungen in meiner PDF hinzufügen. Einiges streichen und anderes erneuern. Du sagst, du hast dir überlegt dieses Thema genauer zu betrachten. Es ist deine Entscheidung.
Mein Grund das hier zu teilen ist im ersten, um andere Meinungen zu erfahren, Kritik die gegen dieses Projekt gerichtet ist und es auf den Prüfstand bringt, mich in dieser Sache selbst weiter bringt und natürlich um anderen damit eine Möglichkeit zu bieten, sich schützen zu können. Damit das auch ein Schutz sein kann, müssen Schwachpunkte gefunden und ausgelöscht werden.
Einer dieser Schwachpunkte war, dass nicht alle 3 fake Blöcke im Beispiel des PDF mit echten BIP39 Wörtern besetzt wurden.
Der andere Punkt war ein Versehen, nicht zu nennen, dass es auch mehr als nur 2 Wörter sein können, die der Walleteigentümer nutzen kann, um zu verschleiern. Dies ist der Kern.
Ich bekomme irgendwie das Gefühl dass du andauernd versuchst auszuweichen um dein Verfahren irgendwie zu rechtfertigen. Du hast jetzt während dieser Diskussion einfach mal dein Verfahren geändert! 
Im PDF Dokument steht nichts davon dass es Pflicht wäre zwei Wörter komplett auszutauschen oder dass alle Wörter in allen Blöcken Sinn ergeben müssen, sondern dass dies eine optionale Maßnahme für „noch mehr Sicherheit“ wäre. Dabei sind genau das die Schritte die überhaupt erst Sicherheit ins Spiel bringen!
In deinem Beispiel hast du das nicht so gemacht, dein Beispiel ist sogar ungültig.
Auf die Fragen von @skyrmion bist du bisher auch nicht eingegangen:
Hinter deiner Verschlüsselung steckt ein Schlüsselraum. Wenn man diesen vollständig absucht hat man die Mnemonic. Bei deiner ersten Version lag dieser jediglich bei 6!, also für einen Computer quasi nicht vorhanden und damit extrem unsicher.
Durch die beiden Wörter geht jetzt aber tatsächlich ein ordentliches Stück Entropie (für den Angreifer) verloren, kombiniert mit den 9! Permutationen, also wenn alle Blöcke gültige Wörter beinhalten, kann man das grob überschlagen:
\log_2(9! * 2048^2 *24*23) \approx 50 bit Sicherheit
Das gilt heutzutage nicht mehr als sicher. Wir machen uns sogar bei einem Mnemonic Split um die Entropie Gedanken, die immerhin bei 80 bit liegt! Das BSI empfiehlt Schlüssellängen von 100 bit.
Wir bewegen uns (grob) in dieser Liga:
Hier hat ein jemand alleine 240 Mnemonic phrases abgesucht – in 30 Stunden. Sehr cooler Artikel:
Ich habe jedenfalls weder die Zeit, noch die Lust 2^{50} Mnemonics abzusuchen, vor allem weil man alle gültigen auf den Seed runter ableiten muss um die Adressen zu checken, was jeweils tausende Operationen sind. :D
Jetzt aber nochmal zurück zur Sinnhaftigkeit dieses Verfahren zu nutzen.
Komplizierter Schlüssel. Man muss sich Permutation innerhalb der Blöcke, die richtige Reihenfolge der Blöcke, und die getauschten Wörter merken. Simsalabimm, wir haben ein neues Backup über das wir uns Gedanken machen müssen.
Moment mal… Das kenne ich irgendwo her. Nur dass man sich hier nur ein einfaches Passwort, das man frei wählen kann, merken muss. Dazu kommt noch dass es ein Standardisiertes Verfahren ist das jede Hardware Wallet integriert hat und dass theoretisch beliebig viel zusätzliche Sicherheit bietet:
Optionale Passphrase ("25. Wort") - Braucht man das wirklich?
Risiko bei Vererbung. Deine Erben müssen nachvollziehen wie sie an deine Bitcoin kommen. Das ist bei einer Passphrase oder einem Mnemonic Split deutlich einfacher realisierbar.
Keine Verbreitung. Du bist der einzige der dieses Verfahren kennt. Niemand kann dir helfen. Du musst manuell ver- und entschlüsseln.
Fehleranfälligkeit. Das Risiko (vor allem) beim Verschlüsseln einen Fehler zu machen der eventuell einen massiven Entropieverlust zur Folge hat ist gegeben! Man muss auf viele Parameter achten und darf nirgends verrutschen. Hier wieder die Frage: Wieso sollte man sich das antun?
Ich habe mich beim Abschreiben deiner Chiffren bestimmt mehrere Male vertippt. Mach das mal in einer Notfallsituation, wenn z.B. deine Mnemonic aus irgendeinem Grund kompromittiert sein könnte.
Eventuelle Schwachstellen die niemand kennt! Ich bin kein Kryptanalytiker, und in diesem Forum ist nach meinem Kenntnisstand auch keiner. Wir gehen aktuell davon aus dass der effizienteste Angriff ein Brute-Force Angriff ist (so sollte es auch sein), aber wieso können wir uns da so sicher sein? :)
Eventuell habe ich in deinem 500€ Beispiel einen Shortcut gefunden, ist aber nur eine Vermutung. Du hast nur die Wörter von 6 der 9 Blöcke permutiert und damit vielleicht einen Hinweis gegeben dass eben diese 6 Blöcke die richtigen sind.
Damit würde sich der Suchraum auf 40 bit verkleinern. Wenn du aber rein „zufällig“ die Blöcke ausgewählt hast die permutiert werden, dann ist das kein Problem.
Hier mal die Kandidaten, mit denen man einen Angriff starten könnte:
Auf jeden Fall auch an dich, @bit01, Danke dass du dir die Mühe gemacht hast. :) Daraus ist ein spannender Thread geworden. Ich würde dir aber persönlich davon abraten dein Verfahren zu benutzen, aus den oben genannten Gründen. Schau dir ausführlich die Vorteile der optionalen Passphrase oder eines Mnemonic Splits an.
Beide sind garantiert besser für dich geeignet. Die Menge der Vorteile der beiden Verfahren ist größer als die von deinem, während die Menge der Nachteile kleiner ist.
Ich würde dir außerdem empfehlen deine 500€ wieder in Sicherheit zu bringen.
Ich hatte schon geschrieben, dass ich es versäumte zu tun und in meinem 1. Entwurf so hatte. Ja, du hast Recht, keine Pflicht gesetzt, aber das ist das wichtigste Sicherheitsmerkmal dies zu tun, von Anfang an. Es sollten mind. 2 Wörter sein oder mehr.
Sorry, wenn wir einander vorbei redeten, war wirkl. mein Fehler.
Ich habe mich auch geirrt, warum ich diese Erkenntnis habe? Weil ich hier im Forum so viel von euch erfahre. Dass die 3 fake-Blöcke auch mit BIP39 Wörter besetzt werden sollten, hatte ich erst hier, während dieser Diskussion verstanden, weil es sonst keinen Sinn macht.
Doch, im post
26/32
25. Mai
ganz unten im Text.
Zu deiner Kritik:
Ist das wirklich so schwer sich 5 Züge zu merken? Wie beim Handy-Entsperren.
Wie man sich die Wörter und Positionen merken kann, hatte ich im PDF dargestellt. Es geht auch über einen leicht zu merkenden Satz (Bsp. siehe PDF)
Das mit den Lese/Schreibrichtungen lasse ich nun weg, weil es keinen Sinn macht (neue Erkenntnis). In Zukunft normales Eintragen in den Blöcken.
Sehr gut! Sollte auch niemand wissen was verschlüsselt ist.
Ein höheres Risiko sehe ich darin, das Backup unverschlüsselt zu lassen. Beim Verschlüsseln ist natürlich wie bei allen sehr wichtigen Dingen darauf zu achten, alles genau wiederholt zu prüfen. Danach diese Verschlüsselung entschlüsseln und testen. Erst dann ins Backup.
Das kann auch eine Falle sein, das kann auch Zufall sein, es kann alles sein…
Ich finde es nicht nur spannend hier, sondern auch sehr lehrreich!
Die optionale Passphrase nutze ich schon. Sollte jemand meinen Safe betreten können, findet dieser keine Fächer, wo Werte liegen. Aber soweit will ich es nicht kommen lassen.
Das mit dem Mnemonic Splits ist eine Option.
Ich lasse es erst einmal bis zum 05.06.22 so stehen. Wenn es noch da ist, sende ich es zurück in die Bitbox.
Aber das ist doch kein Argument für dein Verfahren.
Die Passphrase oder Mnemonic Split sorgen doch auch dafür dass dein Backup (indirekt) verschlüsselt ist.
Alles was dein Verfahren macht, was für die Sicherheit wirklich relevant ist, ist das Austauschen der beiden Wörter. Die Geschichte mit den Blöcken und den Permutationen kann man sich eigentlich komplett sparen.
Wenn ich eine Mnemonic nehme,
mesh laptop toddler riot advance embody project curious typical phrase innocent tongue solid federal garage also upper name venue crowd wire raise innocent fever
und drei Wörter austausche:
mesh speed toddler riot advance admit project curious typical try innocent tongue solid federal garage also upper name venue crowd wire raise innocent fever
Dann ist das bereits genau so sicher wie dein, deutlich komplizierteres Verfahren.
Wenn ich acht Wörter austausche bin ich eigentlich fast schon bei einem Mnemonic Split, der durch die einfache Aufteilung und dem Schutz gegen Verlust eines Backups deutlich Nutzerfreundlicher ist.
Nein, nicht sehr gut. Was hat denn die Verbreitung des Verfahrens mit dem Wissen über den verschlüsselten Inhalt zu tun?
Wenn du diesen String hier siehst:
"g0BrdeC+GoQVrvZwU5ZQrHNxWQmfgLTYf1yFil/G6Ym0ostrpqd3hJ5DEgPDcXeCNri//DM/Xlfsd5VN0DBh4CWXuh4rVx927Zgh2RSS0B1MLYPTHP2HWdowY5KiaTxbvS5tcoEb+MKzbe3ebIc4dd21HTl2VWcVNhV+6wIR+YVL28exFryd1R5OfxMpMOyZ9anzkwKCu5LEJuJWFqMPqA=="
Denkst du dann etwa sofort: „Achso, AES-128, sieht man direkt! Wahrscheinlich eine Mnemonic.“
Nein, natürlich nicht. Und selbst wenn, ändert das nichts!
Es geht bei der Verbreitung doch um das unter Beweis stellen der Sicherheit.
Es ist schwerer als sich ein einziges Passwort zu merken und aufzuschreiben.
Es gibt keinen Grund einen unnötig komplizierten Weg zu gehen. Du benutzt bereits eine Passphrase. Erklär mir bitte was die zusätzliche Verschlüsselung der Mnemonic bringen soll.
Nein, du bist auf keinen einzigen meiner Punkte eingegangen. Auch nicht auf die Kritikpunkte der anderen, die sich hier viel Mühe machen.
Der Grund ist doch offensichtlich. Du bist beratungsresistent und möchtest auf Teufel komm raus dein eigenes Verfahren als tolle Neuerung präsentieren. Damit gefährdest du auch andere Einsteiger. Das geht mir ehrlich gesagt auf den Senkel.
Das Problem, was du lösen möchtest, wird wie schon mehrfach hier erwähnt durch etablierte Verfahren gelöst.
Was ist denn analoger als ein Mnemonic Split? Du willst doch nur nicht, dass jemand beim Finden eines einzelnen Backups an deine Coins kommt.
Und wenn du dir unbedingt geheime Wörter merken möchtest, kannst du dir auch eine Passphrase merken. Alleiniges Merken ist übrigens hochgefährlich.
Bringt aber leider nichts mit dir zu diskutieren. Zu einer Diskussion kommt es ja erst gar nicht.
Falls du wirklich an einer guten, sicheren Lösung für dich und alle anderen interessiert bist, dann sag doch endlich einmal was an deinem Verfahren besser sein soll.
Und sind die Sats noch da oder schon geholt ?
Sehr interessanter Thread.
Mir aktuell zu kompliziert, aber „einfacher“ ist manchmal sicherer 
Wie angekündigt, hatte ich die Wallet bis heute zum 05.06.22 mit sats im Wert von ca. €500, zum abholen stehen lassen. Und wie ich mir sicher war und bin, dass es nicht möglich ist, dies zu schaffen.
Unter dem mir empfohlenden Link zum Thema:
https://medium.com/@johncantrell97/how-i-checked-over-1-trillion-mnemonics-in-30-hours-to-win-a-bitcoin-635fe051a752
hatte ich mir angesehen, wie jemand eine 12 Wörter-Seedphrase, wo noch 3 Wörter fehlten ergänzte und somit die Wallet mit dem Betrag von 1BTC abholen konnte.
Das ist aber im direkten Bezug zu dem was ich hier vorstelle, was völlig anderes! Dieser Hacker kannte 9 von 12 Wörter in korrekter Reihenfolge, welche er mit jeweils drei anderen zufälligen Wörtern gegenprüfen konnte, um eine aktive Wallet zu identifizieren. Dies geht hier, bei meiner Vorstellung, dieser analogen Verschlüsselung nicht so „einfach“!
Das scheint noch nicht verstanden worden zu sein.
Wie wird Gegengeprüft, wenn keine einzige Konstellation aus diesen 36 Wörter richtig sein kann? Im ungünstigsten Fall hat ein Angreifer
3 von 6 richtigen Blöcken ausgewählt. Im besseren Fall sind dies 4-5 richtige Blöcke und im optimalen Fall wären es alle
6 von 6 Blöcken. Aber dies nutzt dem Angreifer nichts, weil er nicht weiß was er hat und nicht prüfen kann, weil im Endeffekt alle Wörter der 6 korrekten Blöcke (sofern dieser diese gewählt hat) zu keinem positiven Ergebnis führen. Hier bei gehe ich davon aus, dass die korrekten Blöcke zufällig richtig gewählt wurden. Also selbst dann, … wie viele falsche Wörter in welchen der korrekten Blöcke, welche Wörter und an welcher Position(?), von 24 Wörtern!
Davon abgesehen, sind es hier aber 36 Wörter in 9 Blöcken wovon 6 korrekt sind, von denen einige Wörter wieder „vergiftet“ sind.
Ich wurde gefragt, was macht meine Idee einer Verschlüsselung vorteilhafter, gegenüber anderer analoger Varianten.
„Die Passphrase oder Mnemonic Split sorgen doch auch dafür dass dein Backup (indirekt) verschlüsselt ist.“
Die Passphrase macht es sicher, ja. Nicht jede Wallet unterstützt dies.
Ich sehe hier keine andere Variante einer analogen Verschlüsselung für einer Seedphrase, ich kenne keine, weshalb ich diese Idee hatte. Was ich sehe, sind Versuche, eine Seedphrase im Klartext unverschlüsselt zu verstecken oder in zwei oder drei Teile zu zerhacken, damit ein Angreifer mit nur einem Teil nichts anfangen kann.
Im Grunde genommen mache ich es ähnlich, aber ich teile nicht physisch auf, sondern erhalte alle Wörter beisammen. Somit muss ich nicht befürchten, dass ein Angreifer eine zweite Tafel mit dem Seedphrase finden könnte und somit vollen Zugriff hat. Der Angreifer kann alle Wörter haben, alle 36 Wörter. Von denen aber mind. 2 oder mehr fehlen und mit Wörtern ersetzt wurden, die am Ende auf nichts schließen, nichts Gegenprüfen oder Verifizieren lassen.
Das ist einer der Vorteile.
„Wenn ich eine Mnemonic nehme,und drei Wörter austausche: Dann ist das bereits genau so sicher wie dein, deutlich komplizierteres Verfahren.“
Nein. Das ist es nicht! Es geht um 36 Wörter, von denen ausgegangen wird!
Dass diese in Blöcke gesetzt sind, dient auschließlich dazu, dass der Eigentümer eine Möglichkeit hat diese kontrolliert zu Würfeln und sich dieses „Würfelergebnis“ merken zu können. Also die richtigen Wörter in den Blöcke gefasst und deren Reihenfolge, durch das einfach zu merkende „Schiebespiel“ wie bei der Handyentsperrung. Einfach für den Eigentümer, nicht lösbar für einen Angreifer.
„Es geht bei der Verbreitung doch um das unter Beweis stellen der Sicherheit.“
„„Ist das wirklich so schwer sich 5 Züge zu merken?““
„Es ist schwerer als sich ein einziges Passwort zu merken und aufzuschreiben.“
Hm… ich mache das täglich mehrmals, weil ich diesen Fingerabdruck-Sicherheitssystem nicht traue. Bewusstlos könnte man damit alles verlieren. Ich denke das ist subjektiv, was einfach zu merken ist, ok… aber ich sehe das so, dass es mit dieser Methode gut gelöst ist, sich die korrekten Blöcke merken zu können, in denen diese 36 Wörter gewürfelt sind.
„Es gibt keinen Grund einen unnötig komplizierten Weg zu gehen. Du benutzt bereits eine Passphrase. Erklär mir bitte was die zusätzliche Verschlüsselung der Mnemonic bringen soll.“
Kompliziert? oO
Was mich betrifft:
Ich benutze eine Passphrase, weil meine Wallet dies unterstützt. Denoch möchte ich nicht, dass meine Seedphrase im Klartext gefunden werden kann.
Allgemein:
Nicht jede Wallet unterstützt eine Passphrase.
Jede Verschlüsselung setzt eine gewisse Komplexität voraus. Meine Idee benötigt nur 3 Dinge, die man sich merken sollte:
skyrmion
„Der Grund ist doch offensichtlich. Du bist beratungsresistent und möchtest auf Teufel komm raus dein eigenes Verfahren als tolle Neuerung präsentieren. Damit gefährdest du auch andere Einsteiger. Das geht mir ehrlich gesagt auf den Senkel.“
Ich möchte hier nicht das, was du unterstellst. Offensichtlich ist, dass ich hier eine Idee präsentiere und wir darüber diskutieren. Ich Beispiele bringe und auf Beispiele eingehe, ich eine Wallet zum abholen angeboten hatte, weil ich es ernst meine und nicht nur so tue. Wenn es dir auf den Senkel geht, dann sicher deswegen, weil du missverstehst, um was es mir geht. Das empfinde ich als schade.
Du nicht ganz erfasst hast, dass die Idee die hier zur Diskussion steht, eine Möglichkeit sein sollte, über die jeder selbst entscheiden kann und nichts „auf Teufel komm raus“ gestellt ist.
Es tut mir leid, dass du das anders siehst. Ich habe es hier mit klar gestellt.
„Was ist denn analoger als ein Mnemonic Split? Du willst doch nur nicht, dass jemand beim Finden eines einzelnen Backups an deine Coins kommt.“
Das wird nicht bezweifelt, dass dies analog ist. Es ist aber nicht verschlüsselt.
„Und wenn du dir unbedingt geheime Wörter merken möchtest, kannst du dir auch eine Passphrase merken. Alleiniges Merken ist übrigens hochgefährlich.“
Gleich am Anfang des PDF ging ich darauf schon ein.
„Bringt aber leider nichts mit dir zu diskutieren. Zu einer Diskussion kommt es ja erst gar nicht.“
Warum bist du so negativ? Ich bin erst heute aus dem Urlaub zurück. Ich diskutiere mit, allerdings habe ich den Eindruck, diese Diskussion ist nicht mehr erwünscht. Ok, lass dies meinen letzten post zu diesem Thema sein.
„Falls du wirklich an einer guten, sicheren Lösung für dich und alle anderen interessiert bist, dann sag doch endlich einmal was an deinem Verfahren besser sein soll.“
Es ist sicherer, mobiler zu handhaben und augenscheinlich nicht direkt als das zu erkennen, was es ist. Der Seed lässt sich ebenfalls feuerfest ins Stahl stanzen, gravieren oder lasern, aber eben verschlüsselt.
Im Startpost habe ich das PDF geändert. Ich habe einiges von hier überdacht und mit eingefügt, was ich als sehr fruchtbar empfand.
quit advance gap number bunker napkin woman jealous physical shoulder express under mass exhibit guitar loyal moon screen smile fragile unhappy melody together fun
quit 17 21 09 20
advance 01 04 22 01
gap 07 01 16 00
number xxxx speed 19 16 05 05 fake
bunker 02 21 14 11
napkin 14 01 16 11
woman 23 15 13 01
jealous 10 05 01 12
physical 16 08 25 19
shoulder 19 08 15 21
express 05 24 16 18
under 21 14 04 05
mass 13 01 19 19
exhibit 05 24 08 09
guitar 07 21 09 20
loyal 12 15 25 01
moon xxxx evil 05 22 09 12 fake
screen 19 03 18 05
smile 19 13 09 12
fragile 06 18 01 07
unhappy 21 14 08 01
melody 13 05 12 15
together 20 15 07 05
fun 06 21 14 00
drei fake Blöcke
car 03 01 18 00
crumble 03 18 21 13
drive 04 18 09 22
heavy 08 05 01 22
combine 03 15 13 02
stand 19 20 01 14
snap 19 14 01 15
fashion 06 01 19 08
logic 12 15 07 09
wife 23 09 06 05
toddler 20 15 04 04
vivid 22 09 22 09
Deine Beratungsresistenz ist mittlerweile wirklich etwas nervig. Natürlich ist es möglich das zu schaffen, nur hat hier halt absolut niemand die Lust oder die Zeit 2^{50} Phrasen abzusuchen nur wegen 500€. Das lohnt sich nicht!
Sich hinzustellen und deswegen zu behaupten man hätte die Welt neu erfunden und es sei „nicht möglich“ die Verschlüsselung zu brechen ist lächerlich.
Bei einem größeren Betrag hätte man sogar einfach zu ReWallet rennen können und die einmal suchen lassen.
Nochmal: Die Sicherheit deines Verfahrens besteht darin zwei Wörter weg zu lassen und die Reihenfolge der Blöcke. Den Rest kann man weg lassen. Die Verschiebung der Blöcke ist hier auch nicht maßgebend, 9! ist zwar groß, aber nichts was man nicht auch auf einfacherem Wege erreichen könnte.
Es wäre viel einfacher direkt 4 Wörter auszutauschen, dann landest du bei \approx 60 bit Sicherheit. Ganz ohne Blöcke. Erklär mir warum dein Verfahren besser ist.
Nein, ist es nicht. Das habe ich dir oben versucht zu erklären. Wir reden hier doch von einem Brute Force Angriff. Der Suchraum ist im verlinkten Artikel und bei deinem Verfahren insofern änhlich dass beide als unsicher gelten. Das kannst du nicht abstreiten.
Du kannst noch so viele Zahlen um dich werfen die Sicherheit suggerieren sollen, ich habe dir das oben doch bereits überschlagen. Da sind die 9 Blöcke doch berücksichtigt.
Ich muss im worst case 2^{50} Mnemonic phrases absuchen.
Doch, das ist es!
Meine Formulierung genau so ist natürlich nicht korrekt, aber es ist sehr ähnlich. Mit vier Wörtern ist es sogar sicherer.
Dein Verfahren: \log_2(9!∗2048^2∗24∗23)≈49.577 bit Sicherheit
Drei Wörter austauschen: \log_2(2048^3∗24∗23*22)≈46.567 bit Sicherheit
Vier Wörter austauschen: \log_2(2048^4∗24∗23*22 *21)≈61.960 bit Sicherheit
Du tauscht 2 Wörter aus und schiebst ein bisschen durcheinander. Ein Mnemonic Split lässt 8 Wörter einfach weg. Das ist 1073741824 mal sicherer als dein Verfahren (2^{50} vs. 2^{80}).
Dein Verfahren: Ich finde das Backup und muss 2^{50} Mnemonic phrases absuchen bis ich die Richtige gefunden habe.
Mnemonic Split: Ich finde ein Backup und muss 2^{80} Mnemonic phrases absuchen bis ich die Richtige gefunden habe.
Was verstehst du daran nicht?
Ein Mnemonic Split ist einfacher umzustzen, bietet zusätzlichen Schutz gegen Diebstahl/Verlust eines Backups und ist sicherer. Nenn mir einen logischen Grund warum man dein Verfahren hier vorziehen sollte.
Solange du hier keine Einsicht zeigst habe ich keine Lust mehr auf diese Diskussion.
P.S. Bitte endlich richtig zitieren (Text markieren und auf „Zitat“ klicken), das kann man sonst kaum lesen.
Du schreibst hier sehr arrogant feindselig. Ich habe die Welt nicht neu erfunden, wie du behauptest. Ich habe hier eine Idee geteilt und finde keine Argumente, die diese brechen. Das Angebot eine Wallet zu brechen stand und sich nun rausreden ist nicht grade überzeugend, dass deine Annahme die einzige Wahrheit ist.
Spiegel>>>
Zitat:
„Du kannst noch so viele Zahlen um dich werfen die Sicherheit suggerieren sollen, ich habe dir das oben doch bereits überschlagen…“
Antwort:
Du kannst noch so viele Zahlen um dich werfen die Sicherheit suggerieren sollen, ich habe dir das oben doch bereits überschlagen.
Beweise es? Nein, sind nur 500 drin.
Ist es das was du mir sagen wolltest? Schade… 
Ich mache hier jetzt zu diesem Thema dicht, denn es kam nichts konstruktives mehr, was die Verschlüsselung bricht. Ich wünsche euch einen schönen Tag. 
Und die einzig relevanten Fragen bleiben weiterhin unbeantwortet:
Woran das wohl liegen könnte…
Hier lesen viele Anfänger mit, die du eventuell mit deinen teilweise klaren Falschaussagen verwirrst. Wir haben dich jetzt mehrfach gefragt was das eigentlich soll, wo hier überhaupt die Vorteile (ggü. anderen Verfahren) liegen und dir erklärt warum dein Verfahren keine relevante berechenbarkeitstheoretische Sicherheit hat.
Du weichst den eigentlichen Fragen ständig aus, bringst völlig unlogische Argumente und scheinst nicht mal die grundlegende Mathematik hinter deinem Verfahren verstanden zu haben. „Ich sehe nicht wie man das brechen kann“ ist jetzt schon wieder dein „Argument“:
Was verstehst du denn an einem Brute Force Angriff nicht?
Wo habe ich denn eine Annahme?
Die Anzahl der möglichen Mnemonic Phrases bei deinem Verfahren ist doch keine Annahme, es ist reine Kombinatorik, reine Mathematik! Es ist doch keine Frage ob man deine Verschlüsselung brechen kann, sondern wie lange man dafür braucht. Und da sind wir bei 2^{50} in einem Bereich, der für einen Studenten mit seinem Laptop zu groß ist um „mal eben“ drüber zu laufen, also tut mir leid dass ich deine 500€ nicht stehlen konnte. Trotzdem ist dieser Suchraum für heutige Verhältnisse viel zu klein und gilt nicht als sicher. Das sage nicht ich, sondern das ist Konsens. Es geht hier außerdem auch um zukünftige Sicherheit.
Außerdem ist das nicht mal der entscheidene Punkt der mich hier stört. Es mag sein dass ein Einbrecher nichts mit deinem Chiffrat anfangen kann. Aber das ist doch kein Argument für dein Verfahren!
Wie oft muss das jetzt noch erwähnt werden: Ein Mnemonic Split ist nur ein Beispiel für ein Verfahren dass
Also wieso sollte ich freiwillig ein
Verfahren nutzen? Es ergibt keinen Sinn.
Absolute Frechheit. Ich habe unverhältnismäßig viel Zeit in die Antworten hier gesteckt und du stempelst das als „nicht konstruktiv“ ab. Von mir hörst du in diesem Forum gar nichts mehr!
