Hey!
Gibt es eventuell jemanden der eine BitBox02 (Genesis Edition) ergattert hat und interesse an einem Verkauf hätte?
Würde natürlich auch mehr zahlen.
Einzige Voraussetzung wäre, dass diese noch verschweißt ist vom Hersteller…
Gruß
Wenn du auf den Blocktrainer stehst, dann kauf dir lieber ein T-Shirt von ihm, statt einen Kompromiss an Sicherheit einzugehen.
Es gibt auch andere schöne Bitboxen.
1 „Gefällt mir“
Welchen Kompromiss denn? Die Blocktrainer Bitbox ist eine ganz normale BitBox, die ganz normal von Shift Crypto kommt?! Es gibt keinerlei Unterschiede zum „Original“.
1 „Gefällt mir“
Privat von jemandem eine Hardware Wallet zu kaufen anstatt direkt vom Hersteller. Natürlich ein sehr schmales Risiko, was es mir aber für einen kleinen Aufdruck auch nicht Wert wäre.
3 „Gefällt mir“
Sollte man nicht direkt beim Hersteller kaufen und nicht bei Forumsmitgliedern?
Ohne einen was Böses zu wollen, aber so ist doch die Weisheit oder nicht?
4 „Gefällt mir“
Grundsätzlich ja, allerdings gilt das für die BitBox02 im Gegensatz zu einigen anderen Hardware Wallets nur sehr bedingt.
Die BitBox02 ist (solange man sie selbst einrichtet und sie nicht bereits initialisiert erhält) relativ gut gegen solche Supply Chain Attacks gewappnet. z.B. signiert Shift Crypto einen Schlüssel, der auf dem Secure Chip jedes Geräts während der Werkseinstellung erzeugt wird. Die BitBox App überprüft dann, dass sie mit einem authentischen Gerät verbunden ist, das von Shift Crypto mit einem Challenge-Response-Mechanismus hergestellt und programmiert wurde.
Um zu verhindern, dass ein Reseller oder ein anderer Angreifer eine bösartige Firmware auf dem Gerät installiert, muss jede Firmware-Version von mehreren Ingenieuren bei Shift Crypto signiert werden (es gibt also keinen Single point of failure). Bevor eine neue Firmware akzeptiert wird, überprüft der Bootloader auf dem Gerät die Signaturen der Firmware, bevor er sie installiert und ausführt. Einmal auf das Gerät geladen, kann der Bootloader nicht mehr ausgetauscht werden.
Die einzige Möglichkeit, dass etwas passiert wäre also, dass ein bösartiger Mitarbeiter bei Shift Crypto versucht direkt in den Werksprozess Malware einzuschleusen, aber auch dagegen hat Shift natürlich Vorrichtungen getroffen. Ich denke @Stadicus kann dazu ggf. noch etwas mehr sagen.
Da @TGD darüber hinaus klar gemacht hat, dass er ein noch Original verschweißtes Gerät möchte, sollte die ohnehin schon bei nahezu 0 liegende Möglichkeit auch noch etwas weiter reduziert werden. (Übrigens @stadicus, warum macht ihr eigentlich das mit der Perlen-/Vakuum-Verschweißung nicht mehr?)
Alles in allem, ist es bei der Bitbox02, wenn man ein paar Dinge beachtet, eigentlich kein Problem, diese auch bei Resellern zu kaufen. Wenn man die Wahl hat, ist ein Kauf direkt beim Hersteller ggf natürlich trotzdem vorzuziehen. Ich sehe aber kein großes Problem dabei, wenn hier jemand eine eingeschweißte BitBox kauft. Ich selbst hätte dabei jedenfalls absolut 0 Bedenken.
Siehe auch: BitBox02 threat model
4 „Gefällt mir“
Wie war das denn beim Ledger-Leak?
Wurde da nicht die Hardware mancher Geräte manipuliert?
Es müssen doch nur die 24 Wörter abgegriffen werden.
Ich finde, dass dieser Gedanke auch einfach ein bisschen mit der Bitcoin Mentalität zusammen spielt. Man möchte irgendwo auch wissen, dass dieses Gerät direkt vom Hersteller bezogen ist. So geht es mir zumindest.
Ledger hatte ja auch eine Genesis Edition rausgebracht für ihr neues Produkt und ich fand es erschreckend, dass der S+, welcher 79€ beim Hersteller kostet, teilweise bei Ebay für mehrere Hundert Euro weg ging von Privat.
Ich verstehe aber auch die andere Sichtweise, dass im Falle von der BitBox und vermutlich auch Ledger, es nicht ausreicht, wenn man ein Fake Produkt erstanden hat und dann mit der Original Software von Ledger/Shift mit seinem Gerät kommunizieren will, da der Genuine Check nicht aufgehen wird.
Sorry, aber das gilt doch für alle Hardware Wallets. Mir ist klar wie unwahrscheinlich das ist, aber es geht hier ums Prinzip.
Es gibt einfach keinen Grund ein unnötiges Risiko einzugehen. Gerade Anfänger, die sich noch nicht auskennen, können einem low-tech Angriff wie z.B. bereits eingerichtetes Gerät zum Opfer fallen. Ich halte es einfach grundsätzlich für falsch die Empfehlung bei Hersteller und offiziellen Resellern zu kaufen zu entkräften.
Es geht hier übrigens nicht um Copiaro, mir ist klar dass die offizieller Partner sind, sondern um den Direktkauf aus zweiter Hand, z.B. übers Forum.
Ich verstehe einfach nicht wieso man das gegen einen einfachen Aufdruck abwägt. Sicherlich gibt es in Zukunft eine normale Blocktrainer Edition bei der man dann zuschlagen kann, oder etwa nicht? 
Dir würde eine falsche Versiegelung, ein bereits eingerichtetes Gerät oder sonstige Fehler am Gerät sofort auffallen weil du dich damit auskennst!
Ich würde auch kein Problem haben privat eine BitBox02 zu kaufen. Aber darum geht es nicht, es geht um eine allgemeine Empfehlung die im Forum auch hunderte Anfänger mitlesen.
Wie oben erklärt ist das bei einer BitBox02 wirklich nicht einfach so umsetzbar – und nein, das war bei Ledger nicht der Fall.
3 „Gefällt mir“
Nein.
Nein, die generierst du ja erst. Die sind ja vorher nicht auf dem Gerät gespeichert.
Wenn du von einem Gerät auf ein neues umziehst?
Nein gilt es nicht, weil v.a. Trezor oder Keepkey etc. ganz andere Security Models haben.
Da geh ich mit dir d’accord, weswegen ich auch sagte „wenn man ein paar Dinge beachtet“. Wenn man als Anfänger ein bereits eingercihtetes Gerät erhält, und nicht selbst die Schlüssel generiert, ist das natürlich quatsch.
Es sollte keine allgemeine Empfehlung sein. Es ging mir um diesen speziellen Fall, nur um das (für alle) klarzustellen 
.
1 „Gefällt mir“
Du hast das schon super zusammengefasst… 
Natürlich gibt es auch immer „unknown unknowns“, aber darum hat die BitBox02 auch verschiedene Verteidigungslinien (security in-depth). Die meisten Vorkehrungen (ausser unsere internen Prozesse) sind hier zusammengefasst:
Übrigens @stadicus, warum macht ihr eigentlich das mit der Perlen-/Vakuum-Verschweißung nicht mehr?)
Meinst du TEP (Tamper-Evident Packaging)? Das war immer nur ein Research-Projekt und wurde nie für den BitBox-Versand genutzt. Das Projekt gibt’s weiterhin, aber nicht mehr unter unserer Ägide:
Was verstehe ich hier falsch?
Ja genau, das meinte ich! Achso, schade… das wäre nämlich tatsächlich cool um auch bei einer wiederverkauften BitBox sicherzustellen, dass diese noch Originalverpackt ist.
Aber vermutlich zu viel Aufwand für euch, oder?
Genau, bei denen muss man dann umso mehr aufpassen. Du verstehst nicht worauf ich hinaus will…
Naja, ich glaube meine Meinung dazu ist klar geworden.
1 „Gefällt mir“
Es sind „nur“ Kundendaten offengelegt worden mit denen dann Schabanack getrieben worden ist. Die Ledger Produkte waren bislang allesamt sicher.
Es wurden doch auch manipulierte Geräte an geleakte Kunden gesendet.
Es wurden bereits eingerichtete Geräte an Kunden gesendet. Das ist ein großer Unterschied.
Wobei… wenn ich mich recht erinnere, gab es auch gefälschte Geräte, doch stimmt. Allerdings wurde da die Hardware ausgetauscht.
1 „Gefällt mir“
Das waren ziemlich gerissene Angriffe von Scammern, welche, manipulierte Geräte durch die Daten Leaks an die Kunden geschickt hatten mit der Aufforderung „die alten Geräte aus Sicherheitsgründen mit den neuen auszutauschen“.
Ich glaube Roman hatte dazu auch das ein oder andere Video gemacht.
https://twitter.com/bleepincomputer/status/1405278079488913409