Hallo zusammen

Ich habe eine BitBox02 und leider ein Backup auf meine SD Karte gezogen. Das Ding ist wohl nicht verschlüsselt und wenn man auf shiftcrypto.ch so ein bisschen nachliest sieht man, dass dieses Feature absichtlich entfernt wurde. Die Begründung, das „zu viel Sicherheit“ dazu geführt hat, dass die Leute dadurch ihre Coins verloren haben und nicht etwa Einbrüche, finde ich sehr schwach und absolut nicht nachvollziehbar. Von mir aus kann man ein verschlüsseltes Backup ja optional machen, aber es einfach nicht mal mehr als Option anzubieten?

Der einzige Grund einer Hardware Wallet ist, dass der Private Key NIEMALS direkt von einem Computer gelesen wird. Auch nicht ausversehen! Wenn dein Sohnemann die Karte in den Rechner schiebt und merkt, dass da nur langweiliges drauf ist und sie wieder zurück legt, dann sind deine Coins bereits at risk und du weisst es nicht mal! Wer weiss, was da sonst noch alles mitgelesen hat (bei mir melden sich bspw. alle möglichen Tools, wenn ich eine Speichermedium
anschliesse, die alle Zugriff darauf haben). Wie kann so etwas unverschlüsselt sein und als „sicher“ gelten? Wie schnell hat man so eine Karte verwechselt und direkt riesige Geldbeträge verloren wegen so einem kleinen Fehler? Ich weiss schon, man muss die Karte sicher aufbewahren, aber solange diese nicht verschlüsselt ist, ist sowas für mich ein riesiges Risiko. Jeder Computer kann den Inhalt direkt auslesen, es braucht nicht mal eine BitBox um den Content zu sehen.

Fehler meinerseits nicht ausgeschlossen. Ich möchte lernen und nicht streiten. Ich hoffe auf eine gute Diskussion.

Mein Sicherheitskonzept für bspw. meinen Ledger: 24 Wörter verschlüsselt auf Stahl stanzen, die Platten zusammen schliessen, Siegel um die Platten, um zu erkennen, falls da jemand mal dazwischen geschaut hätte.

Konzept, das ich mit der BitBox und dem SD-Karten Backup hätte: SD-Karte ins Bank-Schliessfach und jeder der da reinguckt, hat direkt Zugriff auf alle meine Coins. Ein sehr beunruhigendes Konzept, wenn ihr mich fragt.

*Geht auch gar nicht anders

Deine 24 Wörter auf Papier auch nicht → Macht keinen Unterschied!

Ich kann das sehr gut nachvollziehen.

Es ist ein grundlegendes „Problem“ dass du nie etwas endgültig sichern kannst, da aus der neuen Sicherung immer ein neues Problem entsteht.

Okay, du willst dein Backup verschlüsseln?

→ Ein Passwort mehr was du dir aufschreiben musst. Wo legst du das hin? Wenn es jemand findet bringt dir deine Verschlüsselung nichts. Wenn du es verlierst ist alles verloren.

Okay, du willst dein Passwort zum Backup verschlüsseln?

→ Ein Passwort mehr was du dir aufschr…

Und so weiter…

Bei jedem zusätzlichen Layer steigt die Komplexität und damit auch dein Verlustrisiko, weil du immer mehr Faktoren vor Diebstahl und Verlust schützen musst.

Schau dich mal im Forum um, es ist schon oft vorgekommen dass sich Nutzer aus der eigenen Wallet aussperren. Der Shift Crypto Support hat damals nur Support Anfragen gehabt zu verlorenen Passwörtern - nicht gestohlenen Bitcoin!

Daher diese absolut richtige Entscheidung.

Dann ist das Problem dass dein Sohn überhaupt an die Karte ran kommt! Die soll ja nicht auf dem Schreibtisch rum liegen!

Ich verstehe deine Logik überhaupt nicht. Wenn jemand (z.B. ein Einbrecher) dein Papier-Backup findet ist es sogar eher schlimmer, weil man direkt auf Anhieb erkennt dass es sich um eine Mnemonic handelt.

Das unabsichtliche Einstecken hat keinen direkten Verlust zur Folge, bitte nicht übertreiben.

Ich frage mich außerdem wie dein Sohn eine microSD Karte in einen Rechner/Laptop ohne Adapter stecken will. Die wenigsten Geräte haben einen passenden Anschluss.

Vielleicht ist die optionale Passphrase was für dich, das ist effektiv eine Verschlüsselung der Mnemonic:

Blödsinn, das ist mit einem Singlesig Ledger genau das selbe. Jemand findet deine Wörter → Totalverlust.

Tamper-Evident Bags, Multisig, Optionale Passphrase usw. kannst du mit beiden Geräten nutzen und die microSD Karte hat darauf keine negativen Auswirkungen.

Wenn du die Karte zwischen deine Stahlplatten legst ist die Sicherheit die gleiche wie jetzt mit deinem Ledger.

*Du kannst, wenn du darauf bestehst, die microSD Karte trotzdem weg lassen indem du dir deine Mnemonic einfach würfelst und auf der BitBox02 wiederherstellst. Ganz ohne Backup auf der microSD.

Ist halt unlogisch, aber hier ist eine Anleitung:

Oder die SD Karte einfach vernichten

Danke schonmal für deine Ausführungen!

Finde ich interessant, wie du auf die Antwort 4 Likes bekommst, wenn ich ehrlich bin. Ich selber kann deiner Argumentation überhaupt nicht folgen.

Du hast angefangen zu kommentieren, bevor du meinen Beitrag gelesen hast, darum gehe ich nicht auf deine ersten Punkte ein. Aber mein „Paperwallet“ im Schliessfach ist verschlüsselt (und meiner Familie kann ich sehr wohl mitteilen, nach welchem Algorithmus, das braucht kein Passwort). Und schon klar, sollte mein Sohn nicht an die Karte kommen, aber wir gehen ja bekanntlich immer vom Worst-Case aus, wenns es um Sicherheit gehen soll. Und klar, wenn du die SD Karte an deinen Rechner steckst, sind die Coins nicht direkt weg, aber wie beschrieben ist der einzige Grund einer Hardware Wallet, damit dein Private Key nie direkten Kontakt mit deinem Computer hat. Wer die Karte ausversehen einsteckt und danach nicht alle Coins moved, der braucht IMHO auch keine Hardware Wallet.

Aber ich denke, unsere Philosophien in der Hinsicht driften einfach zu weit auseinander. Ich frage mich, ob ShiftCrypto genau so gedacht hat wie du. Ich selber finde dieses Sicherheitskonzept sehr fragwürdig. Das 100% Sicherheit nicht existiert, ist mir auch klar. Ebenso, dass das Ziel sein soll, dass 100% der von mir „berechtigten“ auf die Coins zugreiffen können sollen, statt einfach nur 100% Sicherheit.

Wie gesagt, ich hätte gerne die OPTION, meine Karte zu verschlüsseln. Ich sage nicht, sie hätten das für alle fordern sollen. Aber wenn der Staat die Schliessfächer leert, wie er das zur Zeiten des Goldverbotes gemacht hat, dann will ich nicht direkt Nackt da stehen. Wenn andere dieses Vertrauen in den Staat aufbringen können, ist das ok für mich.

Zum Punkt mit dem Würfeln und so: Ich brauche kein SD-Karten Backup, um mir von der BitBox einen Key generieren zu lassen. Oder warum kommst du auf Würfeln? Ich habe das damals mal gemacht. Aber das letzte Wort musste ich dann halt doch am Rechner eingeben und dabei ging die Sicherheit dann halt wieder flöten, trotz VM und offline und allem.

Ja, das habe ich tatsächlich in Betracht gezogen.

Ist aber irgendwie schade, dass es für paranoide Menschen wie mich nicht anders geht.

Was soll das denn? Dein Argument habe ich schon oft gehört, dann kann ich auch direkt anfangen mit antworten.

Sorry, aber da vergeht mir direkt die Lust überhaupt zu antworten.

Werde ich aber trotzdem tun da du offensichtlich nicht ganz verstanden hast worauf ich hinaus wollte.

Also, wir reden hier im Bitcoin und allgemein im Kryptographie Space immer von Standards. Wir denken uns keine hübschen DIY Lösungen selbst aus, da es die bewährten Lösungen bereits gibt, die von der Allgemeinheit anerkannt sind.

Du bringst hier zwei Dinge durcheinander.

1. Das Backup auf der microSD Karte sei unsicher weil unverschlüsselt

2. Verschlüsselung der Backups für mehr Sicherheit

Es ist völlig richtig dass bei höheren Summen (oder wenn man paranoid ist), ein Sicherheitskonzept dass über eine einfache Singlesig hinaus geht, sinnvoll ist. Das eine schließt das andere aber überhaupt nicht aus. Du kannst alle unten aufgeführten Methoden nutzen, das hat nichts mit dem microSD Backup zu tun.

Die gängigsten Optionen hier sind:

• Optionale Passphrase - Erweiterung des Salt Wertes bei der Ableitung des Seeds, das bedeutet effektiv eine Verschlüsselung deines Backups.

  → Also wenn der Staat die Schliessfächer leert haben sie keine mathematische Chance (sie können dich natürlich erpressen) an deine Coins zu kommen sofern die Komplexität der Passphrase gut genug ist.

  Wobei du beim Erpressen hier sogar den Vorteil der Glaubhaften Abstreitbartkeit hast… Steht alles im verlinkten Beitrag.

• Multisig - Mehrere Signaturen (in der Regel 2/3) werden für eine gültige Transaktion benötigt. Du hast also 3x 24 Wörter die an unterschiedlichen Orten gelagert werden. Auch hier kann man wenn es um sehr hohe Beträge geht zusätzlich eine Passphrase auf jedes Backup werfen.

  → Auch hier hat jemand der an eines deiner Backups kommt keine Chance.

• Mnemonic Split - Aufteilen der Mnemonic sodass man mit 2/3 Backups die vollständigen 24 Wörter hat

  → Auch hier hat jemand der an ein…

Das entscheidende ist: Das sind bewährte Methoden! - Das ist der Standard! Da kannst du sicher sein und vor allem ich kann sicher sein, da ich das ganze ja an andere empfehle, dass es gut funktioniert.

Und das hier ist direkt das perfekte Beispiel. Ich will dir nichts unterstellen, aber wenn ich sowas höre gehen die roten Flaggen hoch.

Du hast mit einem „Algorithmus“ verschlüsselt aber kein Passwort…

Was auch immer das bedeuten soll - ich denke da aber direkt an DIY Lösungen, also Verschlüsselung von Hand. Das ist sehr gefährlich, da du nicht einschätzen kannst wie hoch die kryptographische Sicherheit deiner Backups ist. Natürlich ist das immer noch besser als keinen zusätzlichen Schutz, aber:

• es besteht die Gefahr dass du dich in falscher Sicherheit wiegst

  → In deinem „Staat öffnet Bankschließfächer“ Szenario gäbe es sicherlich Möglichkeiten deinen „Algorithmus“ zu brechen.

• es besteht die Gefahr dass du dich selbst oder deine Erben ausperrst - und dann kann dir niemand helfen weil niemand weiß was du da gemacht hast

Du bist mit den gängigen Optionen oben einfach besser aufgehoben. Es gibt keinen Grund sein Backup selbst zu verschlüsseln anstatt einfach eine BIP39 Passphrase zu nutzen. Beim selbst verschlüsseln macht jeder zweite einen Fehler, ohne es zu merken.

Beim Einrichten der BitBox02 macht sie zwingend ein Backup um sicher zu stellen dass der Nutzer ein valides Backup hat. Vorher lässt sie dich nicht an Adressen ran,

Auf Würfeln komme ich da du so deine eigene Mnemonic außerhalb der Bitbox02 generieren kannst, mit dieser manuell wiederherstellst und somit das Backup auf der microSD umgehst.

Ich habe auch nie etwas anderes behauptet. Natürlich muss man in so einem Fall sofort seine Coins wieder kalt stellen.

Du hast meine Antwort und den verlinkten Beitrag aber schon gelesen, oder?

Nochmal:

Du kannst mit einer optionalen Passphrase dein Backup effektiv verschlüsseln.

Das ist garantiert sicherer als dein DIY-Setup.

Macht man hingegen eine direkte Verschlüsselung der Karte zum Standard für alle Nutzer, werden Reihenweise Nutzer ihre Coins verlieren. Fakt - und Grund warum Shift diese Entscheidung getroffen hat.

Nein, auf der BitBox02 wiederherstellen. Die BitBox02 kennt die Wordlist und berechnet dir automatisch die Checksumme.

Ganz genau.

Das ist der Grund warum ich deine Argumentation nicht nachvollziehen kann. Du gehst vom Worst-Case aus, aber irgendwie auch wieder nicht.

Ich bin zu 100% der Meinung von @sutterseba ABER

Vielleicht können wir die Diskussion wieder in eine konstruktivere Richtung lenken.

Ich würde dir @HeinrichRosenernte zunächst empfehlen, dir mal das Konzept des SeedSigner anzuschauen. Damit kannst du kostengünstig MultiSig Wallets erstellen und bist sicherheitstechnisch wieder auf einem ganz neuen Level.

Ansonsten könnten wir die Gelegenheit nutzen, um über einen besseren Kompromiss aus Sicherheit und Benutzerfreundlichkeit zu sprechen. Wäre interessiert daran, was du dir konkret vorstellen könntest. Die Verschlüsselung des Backups ist für mich in jedem Fall eine Rückschritt.

Hm, danke für die ausführliche Antwort. Das mit der optionalen Passphrase muss ich gleich nochmals. Ich dachte, das würde aus der 2048-Wörter Liste einfach ein zusätzliches hinten dran hängen, das dann mit maximal 2048 Versuchen erratbar wäre. Dass diese auch auf das SD Backup angewendet wird, war mir nicht bewusst. Dachte, das wäre dann nur für das Gerät selber und das Backup könnte trotzdem noch einfach eingesteckt und das Device damit wiederhergestellt werden.

Danke schonmal für die Ausführungen!

Das Multisig-Konzept kenne ich im groben, aber das ist mir zu viel „Aufwand“. Da fände ich Seed-Splitting besser. Aber danke auch dir!

Zu deinem Punkt, was mein Konzept wäre, hier mal im groben die abstrahierte Idee:
Ich habe die HW zu Hause und kann damit Bitcoin senden und empfangen. Diese ist mit einem Passwort geschützt und nur ich kenne das. Der Seed liegt im Bankschliessfach (egal in welcher Form), womit niemand was anfangen kann, da man ihn nicht einfach lesen und nutzen kann, sondern man muss wissen, „wie“ man ihn einliest und das ist nicht ergründlich anhand der Dokumente und Medien, die mit im Schliessfach liegen.

Auf keinen Fall darf jemand irgend eines all der Beteiligten Elemente in die Finger kriegen können und direkt Zugriff auf meine Coins haben, weil irgendwas im Klartext hinterlegt ist. Es soll keinen single Single Point of Failure geben.

Anmerkung: Das mit der Passphrase ha ich zum Zeitpunkt noch nicht genau gelesen. Eventuell ermöglicht der Tipp von @sutterseba genau das.

Da bist du nicht der Einzige.

Die optionale Passphrase wird oftmals als „25. Wort“ bezeichnet, weshalb man halt wortwörtlich an ein zusätzliches Wort denkt…

Dabei kann die Passphrase sogar eine höhere Entropie haben als die Mnemonic selbst!

Sie wird nicht direkt auf das Backup angewendet, lies dir wirklich mal den Beitrag durch.

Aus Backup + Passphrase entsteht einfach ein komplett anderer Seed-Wert. Deswegen ist das (unverschlüsselte) Backup ohne Passphrase nutzlos.

Mit einem Split würdest du das auf jeden Fall hinbekommen. Ein Backup bei dir zu Hause, eins bei der Bank und das dritte an einer anderen, sicheren Location.

Die drei Backups musst (und solltest) du dann nicht verschlüsseln.

Das ist vor allem für Erben deutlich einfacher nachvollziehbar, da sie einfach zwei Backups brauchen und dann mit jeder gängigen Software wiederherstellen können.

Das gilt natürlich auch für dich, du kommst im Notfall einfach an deine Coins ran und musst dich nicht mit deinem Algorithmus beschäftigen den du vielleicht zur Hälfte schon vergessen kannst.

Zum Split schau noch in diesen Thread:

Wow, ein echt geiler Beitrag!! Meine Fragen wurden alle beantwortet.

Dann war mein Hauptproblem wohl das Naming. „25. Wort“ und „Passphrase“ waren für mich weniger Hilfreich. Aber „Seed-Salt“ oder sowas hätte es direkt klar gemacht. Auch gute Grafiken von dir die du da verwendest!

Also dass die Passphrase einfach den Seed salted macht sowas von Sinn und löst auch direkt das Problem, nicht das ganze Risiko an einem Ort zu haben!

Das war eigentlich alles, was ich gesucht habe. Das Konzept könnte eigentlich simpler nicht sein und macht 100% Sinn, vielen vielen Dank für die Hilfe!

Schade, habe ich den Beitrag nicht selber über Google gefunden.

Grafiken sind nicht von mir! Aber schön dass der Beitrag geholfen hat

Du musst nur Bedenken dass du mit einer Passphrase 2/2 Backup brauchst für den Zugriff. (1x Mnemonic | 1x Passphrase)

Das bedeutet wenn ein Ort ausfällt (Hütte brennt ab) hast du den Totalverlust.

Wenn du Multisig oder einen Mnemonic Split verwendest brauchst du 2/3 Backups für den Zugriff.

Das ist zwar ein Ort mehr, aber gleichzeitig kann jetzt einer ausfallen und deine Coins bleiben sicher. Man muss auch Bedenken dass ein Einbrecher ein gefundenes Backup auf jeden Fall mitnehmen wird, und im Fall von 2/2 stehen dann sowohl der Einbrecher als auch du selbst ohne Coins da!

(Stimmt natürlich nicht ganz, da du deine HW Wallet noch hast - Aber nur mal als Überlegung)

Vielleicht ein Missverständnis, aber bei Verwendung einer Passphrase sollte man natürlich sowohl den Mnemonic, als auch die Passphrase jeweils doppelt sichern.

D.h. man benötigt vier getrennte Sicherungs-Orte, wobei zwei davon auch im selben Haus sein können. Also sichert man z.B. Mnemonic und Passphrase an zwei unterschiedlichen Orten im Haus. Das gleiche dann nochmal in einem anderen Haus.

Natürlich ist das dann nicht die gleiche „Trennungs-Sicherheit“ wie beim Split oder Multisig.

Auf jeden Fall!

Das war jetzt ein extremes Beispiel um den Vorteil von 2/3 deutlich zu machen. Man hat mit der Passphrase immer das Problem dass sie „endgültig“ ist.

Naja, man kann es theoretisch so machen, dass der PIN der BitBox auch die Passphrase darstellt (und diesen eventuell sogar an den Rand der Stahlplatten stanzen). Oder ihr nehmt den PIN eurer SIM-Karte. Oder den Entsperrcode des iPads, den die Frau vielleicht auch kennt. Super unsicher natürlich, aber es geht um die Erhöhung der Komplexität. Jemand kann nicht einfach die 24 Wörter nehmen und hat deine Coins, sondern es ist immerhin noch eine weitere Hürde da, die es zu verstehen gilt, bevor man handeln kann. Keine Empfehlung sowas dummes als Passphrase zu nehmen! Aber es könnte auch sowas sein.

Ich nehme das Goldverbot immer gerne als Beispiel, weil man nur auf das Gold aus war und nichts anderes. Die ganzen Silber-Trolls nehmen ja immer als Argument, dass Gold in der Krise verboten wird und man Silber behalten kann, weil’s beim letzten mal auch so war (lol). Gold konnte man halt auch relativ einfach einsammeln und man hat viel Geld pro Volumen gehabt.

Wenn das irgendwann mal mit BIP39 passiert und man da nach Standardverfahren einfach alle Stahlplatten abgreift und durchrattert, dann will ich da immerhin eine zusätzliche Hürde drin haben. Natürlich könnte man dann immer noch mit moderatem Aufwand an die Coins kommen, aber ob sich der Staat in so einer Situation für sowas die Zeit nehmen würde, weiss ich nicht.

Aber einfach so den eigenen Seed auf der SD Karte haben und jeder kann damit direkt und ohne Hürde Zugriff auf die Coins bekommen, das wäre mir persönlich zu riskant. Trotzdem habe auch ich meine Grenze zu „wie sicher muss es denn effektiv sein“. Aber Instant-Access sollte es nie geben, wenn man an nur eines der Elemente kommt.

Bei den Stahlplatten mag das eine Verschlüsselung sein. Bei der BitBox ein PIN, bei der SD Karte ein Salt. Somit hat man bei jedem „Element“ mindestens eine Hürde mit dabei.

Und von den Locations her ist man auch abgesichert. BitBox vielleicht zu Hause, Stahlplatte vielleicht im Schliessfach, SD Karte vielleicht sonst wo in der Familie.

By the way: Im Totalverlust könnte ich mit Seed und Passphrase auch einen Ledger (oder irgend ein HW-Wallet) nehmen und es wiederherstellen, oder? Weil die Derivation Paths einigermassen standardisiert sind (soweit mein aktueller Kenntnisstand).

Das ist ja vollkommen nachvollziehbar; du bist nicht der einzige. Aber wie @sutterseba schon gesagt hat, gibt es dafür schon Standard-Lösungen:

• Zusätzliche Passphrase, wobei du die Passphrase dann eben nicht neben den 24 Wörtern auf die Platte stanzen solltest. Damit wäre ja der komplette Nutzen dahin. Sichern auf jeden Fall, aber nicht am gleichen Ort.
  Wenn dann jemand entweder deine SD Karte, oder deine 24 Wörter, oder deine Passphrase findet, kann er damit nichts anfangen. Wobei die Pasphrase dafür eine gewisse Mindestkomplexität haben sollte.

• Vernichten der SD-Karte oder „Wiederherstellung“ mit selbst erzeugtem Mnemonic. In beiden Fällen müsstest du immer noch auf Papier oder Platte sichern, könntest aber splitten.
  Auch bei dieser Lösung kann man mit einer einzelnen Sicherung nichts anfangen.

Und nochmal @sutterseba’s Frage:

Wenn es die Möglichkeit gäbe, den Mnemonic auf der SD mit einem Passwort zu verschlüsseln, wo wäre dann bzgl. Sicherung der Unterschied zu einer BIP39 Passphrase?

Richtig. Funktioniert auch mit den gängigen Hot Wallets wie Electrum oder BlueWallet.

Damit schwächst du den im Beitrag erklärten Vorteil der Plausible Deniability ab. Wenn du bedroht wirst gehst du in die Wallet ohne Passphrase, dein Gerätepasswort musst du dabei aber wahrscheinlich aufgeben. Wenn es identisch mit der Passphrase ist hat der Angreifer eine Chance auch an die abgestrittene Wallet zu kommen.

Das ist natürlich extrem hypothetisch.

Ist auf jeden Fall nachvollziehbar…

Aber mit minimalem Aufwand mehr (also eine komplexere Passphrase) kommt man auch mit Aufwand nicht mehr an die Coins.

Deshalb halte ich von absichtlich schlechten Passphrasen nicht viel.

Mit Passphrase brauchen deine Stahlplatten aber keine extra Verschlüsselung mehr.

Ich weiß nicht wieso du „PIN“ zum Gerätepasswort der BitBox sagst, aber das kann ein beliebiges Passwort sein, das ist klar, oder?

Wenn es die Möglichkeit gäbe, den Mnemonic auf der SD mit einem Passwort zu verschlüsseln, wo wäre dann bzgl. Sicherung der Unterschied zu einer BIP39 Passphrase?

Den gibt es nicht. Ich habe es falsch verstanden. Respektive eine verschlüsselte SD wäre in diesem Fall sogar (unnötig) höhere Komplexität, weil du etwas zur Entschlüsselung brauchst. Das „25. Wort“ wird über diverse HW-Wallets native supportet soviel ich weiss.

Ich weiß nicht wieso du „PIN“ zum Gerätepasswort der BitBox sagst, aber das kann ein beliebiges Passwort sein, das ist klar, oder?

Ja klar… ich Idiot, lol. Bei Ledger ists ja nur ein PIN.

Danke euch vielmals für eure Hilfe!