BitBox02 enttäuschend und überzeugt mich nicht

MothersCoffee · 30. Juni 2023 um 06:45

Die BitBox App - egal für welches OS - hat eigenlich keine Watch only Funktion.

BessereZukunft · 30. Juni 2023 um 06:50

Inwiefern ist das denn sinnvoll oder gar wünschenswert?
Sollte es nicht das Ziel sein, dass der Seed eben nicht das HW verlässt?

Könnten die von @anon57620043 beobachteten
Verhaltensweisen (App zeigt, wenn nicht aktiv geschlossen, auch nach abziehen der BB02 die Adressen und Kontostände an / BB02 erfordert keine PW Eingabe nach vormaliger Trennung!) denn damit zusammenhängen?

Nessaiy · 30. Juni 2023 um 07:02

Geht um den Arbeitsspeicher der BitBox, nicht um den des Rechners. Hab ich zumindest woanders so gelesen.

MothersCoffee · 30. Juni 2023 um 07:17

Bitte mal hier: BitBox 06.2023 Bellinzona-Update unter " Verschlüsselter Seed im Arbeitsspeicher" nachlesen. Dort wird alles genau erklärt. Dazu hatte ich eigenltich oben, die Seite im anderen Beitrag verlinkt.

Stadicus · 30. Juni 2023 um 09:38

Danke dir @anon57620043, wir haben intern bereits einen Issue dazu, ein Fix folgt.

Es ist aber wichtig zu betonen, dass dies nur die BitBoxApp betrifft und in keiner Art und Weise die Sicherheit deiner Bitcoin gefährdet. Wenn die App im Hintergrund läuft, übersieht sie, dass die BitBox02 abgezogen wurde.

Dass die BitBox02 beim erneuten Anstecken nicht nach dem Passwort fragt, hat dieselbe Ursache: dies müsste von der App getriggert werden. Die BitBox02 ist damit aber nicht entsperrt, und du kannst z.B. keine Transaktionen signieren.

Das ist klar ein Bug und muss verbessert werden.

mxm · 30. Juni 2023 um 09:41

Ich fänds cool, wenn man in der BitBox App konfigurieren könnte, ob watch-only (kein Anschließen der Bitbox erforderlich) möglich ist.

anon57620043 · 30. Juni 2023 um 10:02

Perfekt, danke

blocky · 30. Juni 2023 um 15:03

BTC sind alle zig Konten da, Perfekt
ETH scheine ich aber weiterhin nur begrenzte Kontenanzahl ( 5 ) zu haben, so das es mir da nicht weiterhilft.
Wurde die ETH Verwaltung nicht geändert ?

sutterseba · 1. Juli 2023 um 07:57

Wie von den anderen angedeutet geht es hier natürlich um den Arbeitsspeicher der BitBox02, nicht um den deines Endgeräts.

Dein Seed liegt, solange die BitBox02 gesperrt ist, verschlüsselt auf dem Microcontroller. Mit dem Entsperren der BitBox02 wird dieser entschlüsselt und liegt dann, zumindest bisher, einsatzbereit im Arbeitsspeicher. Das ist vom Grundprinzip erstmal unausweichlich, schließlich möchte man an den Seed ran um die Wallet überhaupt nutzen zu können.

Mit der neuen Firmware bleibt der Seed im Arbeitsspeicher aber weiterhin verschlüsselt und wird nur sehr kurzfristig, sobald er halt benötigt wird, entschlüsselt und anschließend direkt wieder verworfen. Das reduziert (rein theoretisch) die Angriffsfläche etwas, sollte es jemandem möglich sein, den Arbeitsspeicher auszulesen, da die Zeit zu den kritischen Informationen in Klartext vorliegen auf ein Minimum reduziert wird.

Siehe: keystore: encrypt seed in RAM · BitBoxSwiss/bitbox02-firmware@be929a5 · GitHub

Zack · 2. Juli 2023 um 17:01

Fände ich aber auch. Sehr erwünschenswert.

blocky · 3. Juli 2023 um 07:52

BitBox 06.2023 Bellinzona-Update (Link zur Webseite)
### Kontolimit aufgehoben
Power-User, die mehr als die 5 Konten in der BitBoxApp benötigen, können sich freuen! Du kannst jetzt so viele Bitcoin- und Litecoin-Konten hinzufügen, wie du möchtest, vorausgesetzt, du hast das vorherige Konto genutzt.

Schade, Bitbox immer noch für mich nicht praktikabel.
Warum wurde die „Kontenaufhebung“ nicht auch für ETH gemacht ? Oder warum nicht für alle lagerbaren Coins ?
Warum nur BTC ?
Ist das evt. noch geplant und kommt noch ?

MMhh, ansonsten wandert die Box doch wieder in die untersten Gefilde der Schublade und fristet dann ab jetzt wenigstens ein Dasein als BTC Backup Tool.

renna · 3. Juli 2023 um 08:10

Dir ist nicht klar, dass das nur für die BitBoxApp (also die Software) gilt und nicht für die BitBox an sich?

Du kannst die BitBox auch einfach in Kombination mit einer Software deiner Wahl benutzen (für Ethereum z.B. „MyEtherwallet“) und dann so viele Konten verwalten, wie du möchtest.

BTC-Punk · 3. Juli 2023 um 09:15

Dann braucht er für jeden Coin eine andere Software und das erfordert viele Updates.

blocky · 3. Juli 2023 um 09:23

@renna
MEW, hab ich bis heut nicht nutzen können, nicht verstanden.
Eine Adresse mit Bestand wird angezeigt und dann folgen nur noch Adressen mit 0 Bestand.
Bis heute ist Ledger/Ledger Live und Ledger/Metamask die einzigen Kombis die wirklich alles anzeigen an Adressen.

MoormanFan · 3. Juli 2023 um 10:26

Bei meiner Bitbox war auch so eine Micro-SD-Karte dabei, brauche ich die für irgendwas oder kann ich sie auch entsorgen und einfach wie bisher mit den 24 Wörtern arbeiten?

blocky · 3. Juli 2023 um 10:43

Die ist nur eine andere Art von BackUp.
Ich habe die zwar genutzt aber weiter auch einfach meinen Seed im Versteck und die SD KArte dazugelegt.

BTC-Punk · 3. Juli 2023 um 10:43

Entweder kennzeichnest du sie gut oder schmeiß sie lieber weg, bevor die Ausversehen wo reingesteckt wird, wo sie nicht hingehört.

Das Passwort liegt da im Klartext drauf. Für mich ein Konstruktionsfehler.

renna · 3. Juli 2023 um 10:49

Die Mnemonic (nicht das Passwort) liegt da BINÄR drauf, nicht direkt im „Klartext“.

sutterseba · 3. Juli 2023 um 11:22

Da kann man schon von Klartext sprechen, das ist ja jetzt auch kein Geheimnis oder so. Es gibt schließlich auch ein Tool, um die microSD-Karte manuell auszulesen. Micro-SD Karte in einem anderen Gerät außer der BitBox02 → Kompromittierung muss angenommen werden.

Viel seltsamer finde ich die Argumentation, das sei ein „Konstruktionsfehler“. So langsam glaube ich, @BTC-Punk sucht einfach verzweifelt nach Kritikpunkten an der BitBox02. Das war in den RNG-Threads auch schon auffällig, in denen immer und immer wieder derselbe Käse wiederholt wurde, obwohl mehrfach intensiv darauf eingegangen wurde, warum ein Ledger in keinster Weise der BitBox02 überlegen ist, wenn es um Zufallsqualität und -redundanz geht – im Gegenteil. Das Fass will ich jetzt auch gar nicht aufmachen.

Das Backup auf der microSD-Karte ist:

Mittlerweile optional und kann übersprungen werden. Sämtliche Argumente, man wolle kein einzelnes Klartextbackup nutzen, sind damit aus der Welt.
Unverschlüsselt, genau wie ein Backup auf einem Blatt Papier auch. Das reduziert das Fehlerrisiko für Anfänger. Die Alternative wäre, jedem Nutzer eine Passwort-Verschlüsselung anzudrehen, was ein viel größeres Risiko darstellen würde – wiederum ein zusätzliches Backup des Passworts erfordern würde – und damit genauso gut (bzw. besser) mit einer optionalen Passphrase gelöst werden kann.
Es wird einem klar und eindeutig bei der Einrichtung kommuniziert, dass es sich um ein Klartext Backup handelt, das wie ein normales Backup einer Mnemonic behandelt werden muss.

Was das Argument jemand könnte unwissentlich die micro-SD irgendwo reinstecken betrifft:

Wenn jemand einfach so an ein Backup ran kommt, ist eigentlich viel früher schon was schief gelaufen. Das Backup sollte fern von „zufälligem“ Auffinden sein und ohnehin mit einem schriftlichen Backup und Randinformationen ergänzt werden. Wenn Familie, Putzfrau & Co. einfach so an das Backup kommen, ist es nicht gut versteckt.
Die allerwenigsten Endgeräte haben einen micro-SD Anschluss. Selbst einen SD-Slot sucht man bei vielen Laptops mittlerweile vergeblich. Das Anschließen an einen Rechner passiert also im schlimmsten Fall nicht „einfach so nebenbei“, sondern ist eine bewusste Entscheidung, die z.B. mit einem Adapter angegangen werden muss.

Hier von einem Nachteil oder einem „Konstruktionsfehler“ zu sprechen, ist also einfach nur heiße Luft.

MoormanFan · 3. Juli 2023 um 11:58

Jetzt nochmal ganz klipp und klar: So lange ich meine 24 Wörter habe ist alles gut und es entstehen keinerlei Nachteile, wenn ich diese SD-Karte entsorge?