BitBox02: Update für fully air-gapped möglich?

Ich habe mir vor kurzem die BitBox02 geholt. Ich finde jedoch nach wie vor die Blockstream Jade interessant, da sie über QR-Codes eine fully air-gapped Kommunikation ermöglicht. Blockstream Jade QR Wäre es da nun theoretisch möglich, dass die BitBox02 eine solche Funktionalität via Software-Update hinzufügt? Sie besitzt ja ein 128x64px-Display.

Dazu solltest du dir auch mal die andere Seite des Marketings anschauen:

Selbst wenn das technisch möglich wäre kann ich mir das absolut nicht vorstellen.

Von Shift Cryptos oben verlinkter Meinung, die ich selbst übrigens teile, mal abgesehen hat die BitBox02 keinen Akku und das Display ist eigentlich zu klein für QR Codes.

Du solltest dir jedenfalls keine Gedanken machen dass die BitBox02 weniger sicher ist nur weil sie im Gegensatz zu Konkurrenzprodukten nicht ge-airgapped ist, im Gegenteil: Du hast durch die direkte Kommunikation mit der BitBoxApp eher Vorteile, sowohl was Sicherheit aber vor allem auch was einfache Bedienung angeht.

Ich sehe den großen Vorteil von Airgap Wallets beim Verwenden von allgemein erhältlicher Hardware, wie z.B beim SeedSigner mit dem Pi Zero. So kann man sich einfach eine Hardware Wallet selbst zusammen basteln. Ob jetzt aber eine Coldcard oder eine BitBox02 besser/schlechter ist nur wegen dem Airgap ist einfach schwierig zu sagen. Was mir halt auf Seite der Airgapped Wallets nicht gefällt ist das Marketing.

4 „Gefällt mir“

Vielen Dank für die Antwort!

Stimmt, so kann die BitBoxApp ja immer verifizieren, ob die Software auf der Bitbox verändert wurde. Bei einer Airgapped Wallet gibt es eine solche Überprüfung ja nicht, obwohl man sich dort auch bestimmt einen Hash der Software anzeigen lassen könnte.

Ich denke ich werde mir zusätzlich zur BitBox02 noch einen SeedSigner bauen oder die Jade kaufen und dann früher oder später eine Multisig-wallet erstellen. Aber dazu muss ich mich erstmal weiter einlesen. Da kann man ja einiges verhauen :smile:

Der Seedsigner ist bis auf die Verfügbarkeit des Raspi Zero einfach ein super Projekt! Kann ich jedem nur empfehlen mal einen zu „bauen“ :slightly_smiling_face:

3 „Gefällt mir“

ich hab meinen aus nem alten RPi2 gebaut. Nicht so schön, kein Case aber funktioniert 1A :blush:

3 „Gefällt mir“

Das Plus an Sicherheit durch die Softwareverifizierung hat man allerdings NUR mit einer einzigen App… die der Vertriebsfirma deiner HWW.

Bei Air gapped Geräten, die es drauf haben brauch man das auch gar nicht, einfach weil sie erst gar nicht anfällig für Schadsoftware sind. USB ist sicherheitstechnisch einfach schlecht. Mal abgesehen von der mechanischen Beschaffenheit.

Ich bin nicht davon angetan, das die Firmenapp (egal welche Firma es ist. Jede hat sich an staatl. und örtlich vorgegebenes Recht zu halten) schon bei der Einrichtung der Bitbox alle meine Adressen kennt.

Es gibt hierbei also definitiv Vor und Nachteile, dass die Bitbox immer nach ihrer App fragt.

Das Gute ist, das der Hersteller es ermöglicht andere Software zu nutzen. So kann man beispielsweise nach Ersteinrichtung einfach ohne die Bitbox App eine Passphrase setzen, die Bitbox an seiner Node mit seiner Lieblingswalletsoftware nach belieben nutzen ohne vorher mit den Servern einer Firma verbunden zu sein.

Daher ist die Bitbox, wenn man nicht absolut paranoid ist, wirklich eine der besten Geräte.

Die Einrichtung läuft nur über die Hersteller App, aber das ist doch kein Nachteil. Gerade beim erstmaligen Einrichten ist eine Überprüfung des Geräts doch entscheidend.

PSBT ist aber als verbreiteter Standard deutlich flexibler einsetzbar, das stimmt schon.

Scheinargument „Ich brauche keine Sicherheit, weil ich sie schon habe“.

Woher willst du denn wissen dass deine Airgap Wallet, die es normalerweise drauf hat, überhaupt original ist?
Woher willst du wissen dass deine Hardware Wallet wirklich nur macht was sie soll?
Woher willst du wissen dass wirklich die Firmware läuft die du installiert hast?

Das musst du näher erläutern.

Die Hardware Wallet muss ohnehin davon ausgehen dass der Kanal zur Host Software unsicher ist und ihn nur entsprechend nutzen. Der einzig relevante Unterschied bleibt der drastische Unterschied in Bandbreite (der sich negativ auf UX und damit auch Sicherheit auswirkt).

Warum ist Kommunikation über QR-Codes und microSD Karten also so viel sicherer?

Auch QR-Codes und microSD Karten können manipuliert werden. Auf letzterer sitzt sogar ein kleiner Microcontroller.

Ich verstehe einfach dieses „Airgap“ Marketing nicht, wenn doch in der Realität gar kein Airgap vorhanden ist…

Es wird kommuniziert. Jeder Kommunikationskanal hat seine Angriffsvektoren.

Ich auch nicht, aber für dieses Problem hat man doch eine eigene Node. Die kann man übrigens in der BitBoxApp auch schon setzen bevor man die BitBox02 überhaupt einsteckt.


Ich glaube nach wie vor das Airgap Wallets ideal sind um Serienhardware (wie ein Pi Zero) als Hardware Wallet umzufunktionieren. Hier habe ich einen klaren Vorteil die Kommunikation so stark wie möglich einzuschränken. Da ich die Hardware mir selbst zusammen suche ist das Risiko eines supply-chain Angriffes außerdem gering.

Bei einer purpose built Hardware Wallet (z.B. Coldcard) geht der Vorteil durch den Airgap gegen Null und ich habe bis jetzt noch keine guten Argumente gehört warum das nicht der Fall sein soll.

2 „Gefällt mir“

Da hast du Recht… deswegen Vor- und Nachteil. Das es bei Air gap Geräten auch nicht besser gelöst ist weiß ich leider. Da kann man sich höchstens dran aufhängen aus welchen Staat die Verifizierungsserver bzw. die Firma agiert (14 eyes, 9 eyes usw.) Es bleibt trotzalledem ein Misstrauen meinem Gegenüber.

Das sind alles gute Fragen. Man kann wohl tatsächlich nur mit etwas Vertrauen so gut es geht zu verifizieren, was man an Firmware und Software geliefert bekommt. Da ist FOSS meines Erachtens schon Pflicht. Ein HWW mit closed source Software würde ich nicht betreiben.

Beispiel Sparrow. Ich liebe diese Software… die habens drauf. Aber warum zum Teufel muss da Google für den Betrieb involviert werden? Ich kann nicht genau sagen was da kommuniziert wird aber es taucht in den Logs auf. Also is es im Code… für mich ein riesen Nachteil und eigentlich absolutes No-Go aber ich benutze Sparrow trotzdem. Wegen den vielen Vorteilen…

Zum Thema USB.
Ich kann einem USB Controller, Treiber und dem Host nicht vertrauen. Kein normaler PC versucht zu verifizieren was da gerade angeschlossen wurde. Der Host bekommt es mitgeteilt wenn man nen Stecker reinsteckt… einem USB Anschluss kannst du ein X für ein U verkaufen ohne das der Host meckert.
Wenn Kinder daheim sind. Die wissen der Rechner is Tabu… aber weiß man was die da anschließen wenn ich nicht daheim bin. Eventuell nur um eben mal was aufzuladen.

Das die Bitbox (zum Glück) nur verschlüsselt Daten über USB austauscht zeigt auf diese Probleme.

Ich muss dir zustimmen. Alles in allem ist gerade bei ShiftCrypto kaum etwas zu toppen abgesehen von der App. CH als Firmensitz für den Vertrieb und die Server für den Service ist nicht die schlechteste Wahl. Die Firma gibt sich wirklich Mühe um das beste umzusetzen was ihre Geräte und features betrifft… daher habe ich auch geschrieben, dass ich der Meinung bin die Bitbox gehört zu den Top Geräten, auch für paranoide Hodler. Daher benutze ich sie ja auch selbst.

Die Vertrauensprobleme sind natürlich Personenbezogen extrem unterschiedlich.

Um nochmal zum Punkt Veriferzierung der Firmware auf einer HWW. Du hast Recht, das es Sicherheitstechnisch von Vorteil ist, dass es online über einen firmeneigenen Service des Herstellers abläuft.
Wie macht es beispielsweise Coinkite mit ihrem MK4? Es wird beworben, dass diese Wallet niemals zwingend online gehen muss bzw sich mit deren Servern in Verbindung setzt. Das setzt voraus, dass man die Firmware ausschließlich aus vetrauenswürden Schlüsselquellen verifizieren kann?

1 „Gefällt mir“

Aber beim Thema Hardware Wallet kannst du dem Host grundsätzlich nicht vertrauen. Das gilt genauso für alle anderen Kanäle.

Die verschlüsselte USB Kommunikation ist nur ein zusätzlicher Schutz vor Manipulation zwischen BitBox und Host.

Würde ein MITM z.B. Transaktionsdaten manipulieren würde das sowieso auffallen vorausgesetzt man verifiziert sorgfältig auf der Hardware. Durch die Verschlüsselung wird dieser Ansatz nochmal zusätzlich erschwert und auch Abhören (was Privatsphäre angeht) wird schwieriger. Notwendig ist das aber nicht unbedingt und wird glaube ich bei anderen (vergleichbaren) Hardware Wallets auch nicht umgesetzt.

Weißt du ob da auch wirklich irgendwelche API Calls Richtung Google gemacht werden?

Im Code findet man halt viele com.google Module, das muss aber nicht unbedingt heißen dass Google involviert ist, oder?

Die Echtheitsüberprüfung läuft, soweit ich weiß, rein kryptographisch zwischen BitBox und BitBoxApp. Online gehen muss die App nur für Transaktionen.

Sieht man ja mittlerweile sogar in den Settings… :grin:

Firmware auf der Hardware verifizieren ist so eine Sache, da dir die Hardware sowas immer „vorgaukeln“ kann. Das gilt auch für die BitBox02 und den Firmware Hash den man sich anzeigen lassen kann.

Deswegen ist ein open-source Kommunikationspartner auf dem Desktop, den man sehr viel leichter überwachen und kontrollieren kann, eben so entscheidend. Wenn der entscheidet „Dieses Gerät sieht legit aus“ und ich nachvollziehen kann wie es zu dieser Entscheidung kam, erst dann kann ich mir einigermaßen „sicher“ sein…

1 „Gefällt mir“

Was genau meinst du und hast du dir angesehen? Funkt Sparrow Richtung Google über’s Netzwerk oder worauf beziehst du deine Aussage?

Die Dependencies und verwendeten Java-Module können Gradle-Kundige sich ja in der build.gradle ansehen.

Das finde ich auch nicht unnormal neben diversen anderen Dependencies, die Sparrow verwendet, schließlich muss man die vielen Rädchen nicht immer selbst neu erfinden, die man in einer Software so braucht. Sicherlich ist eine Module/Library-Supply-Chain-Dependency kritisch zu betrachten, siehe das Log4J-Fiasko. Aber ich vertraue da durchaus der Expertise der beteiligten Sparrow-Entwickler, daß sie stabile Dependencies nutzen, die keine Privacy-Probleme aufwerfen.

Neben von mir verwendeten Bitcoin Core und Electrum Wallets ist die Sparrow Wallet wirklich ein Highlight und entwickelt sich immer mehr zu meinem Favoriten.

1 „Gefällt mir“

Sparrow Wallet und Terminal sind die besten Wallet Tools auf dem Desktop. Ich nutze schon länger nichts mehr anderes!

So wie ich das sehe, sind die Google Parts Java bezogene Module, ja. Ich weigere mich jedoch schon seit Jahren Services von den Big Playern zu nutzen, zu finanzieren oder sie irgendwem weiter zu empfehlen. Daher meine strikte Ablehnung gegen Google…

Ich glaube bzw hoffe das Sparrow nicht aktiv irgendwelche Api oder Services von Google nutzt egal ob funktionell oder privacyschädigend. Wobei ich 2tes auch nicht glaube…

Das hier ist alles ziemlich OT.
Vielleicht wäre ein eigener Thread zu Sparrow Wallet und Sparrow Server (Terminal) ganz gut. Es gibt ja ein paar Guides dazu im Netz aber ich glaube das meiste ist englisch.