Hallo,
bisher habe ich mit ubuntu immer eine VM in boxes erstellt um die BitBox App zu nutzen. Da ich jetzt auf ein Macbook umgestiegen und etwas bequemer geworden bin tendiere ich dazu mir den Stress mit der VM nicht mehr anzutun. Zumal macOS ja kein eingebautes Programm zur Verwaltung von VMs besitzt wie Boxes bei Gnome. Daher die Frage: Denkt ihr es ist sicher genug die BitBox App ohne VM auf meinem Macbook zu installieren und zu nutzen? Hash und Signatur würde ich natürlich trotzdem checken.
LG
In welchem Sinne ist es denn deiner Meinung nach „unsicher“ die Bitbox ohne VM zu nutzen?
Auf meinem Hauptsystem sind natürlich noch andere potenziell bösartige Programme installiert. Auf einer VM nicht. Aber theoretisch sollte die BitBox ja auch bei einem kompromittiertem System sicher sein. Dazu ist sie ja eigentlich da.
Ja, selbst bei einem von Viren verseuchten PC sollte es nicht möglich sein an deine Wörter und/oder Passphrase zu kommen weil die die BitBox nicht verlassen. Und wenn du versendest, wird dir auf der BitBox immer die Adresse angezeigt, auf welche du versendest.
Eine VM ist zumindest ein weiterer Layer, der deine Wörter sicherer macht. Aber natürlich gibt es keine 100%tige Sicherheit und auch eine VM kann aus dem Host aus ausspioniert werden. Die Frage ist eben, ob das angreifende Programm eine laufende VM untersucht oder nur als ein Programm unter vielen sieht.
Wie macht ihr das denn? Nutzt ihr eine VM oder gar einen extra PC? Eventuell bin ich auch zu paranoid :D
Ich nutze die Bitbox-App unter Manjaro-Linux ganz ohne weitere Sicherheitsvorkehrungen.
Dazu auch unter e/OS am Smartphone, welches ich mit RethinkDNS und Advanced Privacy gesichert habe.
Soweit ich das einschätzen kann, ist doch die physische Benutzung der Box selbst bei wichtigen Aktionen die Sicherung.
Ich nutze die BitBoxApp, Sparrow & Co. direkt auf meinem macOS Host. Genau dafür, also sich keine Sorgen um ein potenziell unsicheres Endgerät machen zu müssen, ist die Hardware-Wallet schließlich da. 
Einen separaten Computer zu nutzen, den man ausschließlich für private und sensible Zwecke nutzt, kann aber trotzdem sinnvoll sein, z.B. für bessere Privatsphäre.
Auch hier nochmal der Hinweis: Die BitBoxApp für macOS ist notarisiert, d.h. eine Überprüfung der Signatur findet direkt durch macOS statt. Eine BitBoxApp mit ungültiger Signatur könnte man erst gar nicht (ohne weiteres) öffnen.
Die Signatur zusätzlich manuell zu prüfen ist natürlich möglich, wenn man möchte, aber nicht notwendig.
Ein System, welches die Wörter nicht kennt, kann sie nicht verraten.
Wenn du dein Tinder Passwort vergessen hast, brauchst du nicht in Fort Knox einbrechen oder deine Mutter fragen. Das eine ist deutlich schwieriger als das andere, aber beide kennen die Antwort eh nicht 
Generell ist eine VM eher dazu da, „böse“ Programme darin einzusperren. Der Host hat quasi uneingeschränkten Zugriff auf alles, was in der VM läuft. Damit ist der Sicherheitsvorteil ziemlich genau Null.
Da muss ich dir leider widersprechen. Nur weil du an keine anderen Anwendungen einer VM denkst bedeutet das nicht, dass es keine gibt. Genauso wie Bitcoinskeptiker den intrinsischen Wert von Bitcoin gleich 0 setzen weil sie sich keine Anwendung von Bitcoin vorstellen.
Ich benutze auf meinem Rechner VMs für alle Anwendungen. Jedes Programm bekommt eine eigene VM. Und wenn ich z.B. Banküberweisungen mache oder einfach nur im Internet surfe, dann Klone ich eine VM und hab innerhalb von 2 Sekunden einen nagelneuen Rechner mit vorinstallierten und von mir konfiguriertem Browser. Die erhöhte Sicherheit liegt also darin, dass ich bei jedem Neustart ein fast neues und vorallem unbenutztes Betriebssystem verwende. Natürlich ist das keine 100%tige Sicherheit, weil ein Virus/Spyware sich ja schon in meinem Clon befinden kann oder mich auch beim Benutzen befallen kann, aber der Einfallsvektor in mein gesamtes System ist eben deutlich anders und somit schwieriger als in das System vieler Anderer einzudringen, die einfach immer wieder ihren eigenen Rechner verwenden. Und dieser Systembruch stärkt meine Sicherheit weil Viren darauf vielleicht nicht vorbereitet sind.
Aber selbst über meine persönliche Anwendungen hinaus haben VMs einen enormen Vorteil. Sagen dir Begriffe wie Microservices oder CPU-lose bzw. unabhängige Programmierung etwas? Stell dir mal eine Java-Anwendung vor, wo jede einzelne Methode in einer eigenen VM läuft. So eine VM tut also nichts als auf einen Netzwerkrequest zu warten, ihre 5 Zeilen Code auszuführen um dann andere VMs anzufunken. Alle VMs zusammen ergeben dann das gewünschte Programm, weil alle VMs miteinander über das Netzwerk kommunizieren. Und weil man dafür beliebige Hardware benutzen kann wird man unabhängig von dem Ausfall einer bestimmten Hardware. Das ist auch eine Form von Sicherheit.
Genauer wird das Konzept mit Docker realisiert, eine Virtualisierungstechnologie, die weiteren Overhead einer VM abstrahiert, aber ich glaube das wird zu OffTopic.
Ich sehe VMs also als Möglichkeit, den eigenen PC weiter zu dezentralisieren. Das ist also das gleiche Konzept wie Bitcoin es uns lehrt.
Ich gebe dir aber natürlich recht, dass man die Wörter generell in einer Hardwarewallet speichern sollte und nicht auf einem anderem digitalem Gerät, das beliebigen Quellcode und somit Viren ausführen kann. Aber auch die Sicherung der Wörter sollte gut überlegt sein. Wer sich also noch nicht mit Hardwarewallets oder Stahlplatten beschäftigt hat, dem ist die Handhabung der Bitcoins in einer komplett neuen (Linux)-VM mehr anzuraten als es einfach auf dem täglich gebrauchten Gerät zu machen, selbst wenn die VM nur auf dem täglichem Gerät läuft. So einfach ist es nämlich nicht alles aus der VM auszulesen.
Risiken dabei sind die Speicherung der Wörter, die als Datei auf dem Host liegt und somit leicht vom Virus gefunden werden kann, allerdings muss das Virus die Wörter im Wust der Systemdateien dann auch finden. Außerdem sollte man trotzdem die Wörter nie abtippen sondern nur kopieren weil die Tastatureingaben ja über den Host laufen und somit natürlich auch dort von einem Virus abgefangen werden können.
Wie gesagt, natürlich ist es nicht 100% sicher, aber sicherer als es auf dem eigenem Rechner zu machen.