Hallo,
kennt jemand eine idiotensichere Seite/ Blog/ Youtube Video, indem für absolute IT Laien verständlich erklärt wird, wie man die Bitbox Software überprüft? Also wirklich Schritt für Schritt.
Ja, es gibt diese Anleitung von Bitbox, aber ehrlich gesagt scheitere ich schon z.B. daran, die in der Anleitung erwähnten Dateien auf der verlinkten GitHub Seite zu identifizieren/ zu finden (und ja, ich spreche sehr gut Englisch ) bzw. wie ich diese herunterladen kann.
Rene hat zwar ein Video veröffentlich, wie das für Win funktioniert- für Mac iOS aber so wie ich das sehe (noch) nicht; und selbst das Video ist mir etwas zu grob
Daher die Frage, kennt jemand eine Schritt-für Schritt Anleitung (mit Schreenshots) oder ein (detailreicheres) Video-Tutorial zu dem Thema?
Vielleicht kurz als Hinweis, was du da überhaupt überprüfst, dann kannst du etwas besser einschätzen, wie wichtig dir das überhaupt ist. :)
Mit dem Verifizieren der Prüfsumme stellst du die Integrität sicher, d.h. ob die heruntergeladene Datei genau so auf deinem Mac gelandet ist, wie sie auch bei GitHub auf dem Server liegt. Nicht mehr und nicht weniger.
Das geht auch recht einfach – siehe verlinkte Anleitung – es ist ein einzelner Befehl im Terminal, den du auf die heruntergeladene .zip Datei anwendest.
Mit dem Verifizieren der Signatur stellst du sicher, dass die Software tatsächlich von BitBox kommt bzw. von BitBox signiert wurde. Wenn GitHub z.B. gehackt und eine falsche BitBoxApp ausspielen würde, dann würde das hier auffallen. Indirekt stellst du hiermit auch die Integrität sicher, da ansonsten die Signatur ungültig wäre.
Beides sind gute Sicherheitspraktiken, aber man sollte das auch nicht überbewerten. Es ist weder notwendig das alles zu machen, noch würde es perfekte Sicherheit garantieren es zu tun. Du kannst die BitBoxApp auch ohne diese Verifikationen in gutem Gewissen nutzen – die BitBox02 ist darauf schließlich ausgelegt.
vielen Dank für Deine schnelle und ausführliche Antwort und Einschätzung.
Das Argument, was in den entsprechenden Videos gebracht wird (und weshalb ich überhaupt erst auf dieses (vermeintliche) Sicherheits-Thema gestossen bin, lautet ja (wenn ich das richtig verstanden habe), dass jemand während des Downloads der Software von der offiziellen Bitbox Seite, sich unbemerkt „zwischenschalten“ könnte, Dir eine manipulierte Variante der Software unterjubelt und sich somit zu einem späteren Zeitpunkt Zugriff auf die Bitbox App und somit Deine Bitbox verschaffen könnte.
Was denkst Du darüber- ist das Risiko so gering, dass es vernachlässigbar wäre? / Ist eine ausreichend grosse Sicherheit bereits dadurch gegeben, dass man während der Einrichtung der Bitbox die vier Blöcke Code (Zahlen/Buchstaben Kombis), die auf dem Display der Bitbox und der App angezeigt werden, auf Übereinstimmung prüft?
weitere Anmerkung: in einem anderen Beitrag hatte ich gelesen, das Apple iOS schon standardmässig prüft, ob die Software „unkomprimitiert“ ist- und somt das Risiko, sich eine manipulierte Software beim Download einzufangen, bereits wesentlich reduziert(er) ist. (Im Vergleich zu Windows)
Bin keiner, der mit Aluhut rumläuft, oder sonst Paranoia schiebt- gleichzeitig geht es potentiell zukünftig aber um grössere Geldbeträge. Daher hoffe ich auf Verständins für die Frage(n).
Die Bitbox ist dafür konzipiert, dass sie mit einem verseuchten Rechner in Kontakt kommen darf. Das heißt auch, dass sich dort bösartige Software drauf befinden darf. Der Seed verlässt die Bitbox niemals.
Also A) ist die Wahrscheinlichkeit eines solchen Angriffs gering und B) geht praktisch keine Gefahr für Deinen Seed aus. Deshalb das Fazit:
Das ist ein wichtiger Bestandteil. Er verhindert eine man-in-the-middle Attacke. Der Paarungscode ermöglicht die verschlüsselte Kommunikation zwischen App und Bitbox.
Ok, vielen Dank für die ausführlichen Antworten; insbesondere diese hier hat meine Frage abschließend geklärt.
Das ist ein wichtiger Bestandteil. Er verhindert eine man-in-the-middle Attacke. Der Paarungscode ermöglicht die verschlüsselte Kommunikation zwischen App und Bitbox.
Ich rede nicht vom Seed. Ich rede vom Paarungscode beim ersten Anschließen der Bitbox.
Was meinst Du mit „vier Blöcke Code“? Du meinst damit wahrscheinlich den Seed, richtig? Der wird ja auf der Bitbox zufällig generiert und Dir auch nur dort über das Display angezeigt. Die App weiß davon nichts. Der Seed sollte entsprechend nur analog gespeichert werden und niemals mit einem „hot device“ in Verbindung kommen.
Der Seed verlässt die Bitbox allerdings von sich aus nie! Auch, wenn die Bitbox am Computer angeschlossen ist. Das ist gerade der Nutzen dieses Gerätes - nämlich sicher Transaktionen signieren zu können, egal welchen PC man dafür nutzt.
Dieser Satz ergibt dann nur wenig Sinn.
Den Seed kannst Du ja nicht mit einer Anzeige in der Bitbox App abgleichen. Die Bitbox App kennt Deinen Seed nicht. Der Seed verlässt die Bitbox nicht.
Deshalb bin ich davon ausgegangen, dass Du auf den Pairing Code hinaus wolltest.
Die verschlüsselte USB-Kommunikation zwischen BitBox02 und BitBoxApp ist eigentlich nochmal was anderes und hat zumindest nicht direkt etwas mit einer gefälschten BitBoxApp zu tun. Eine komplett neu installierte BitBoxApp muss man nämlich so oder so erstmal koppeln/paaren.
Primär dient das dazu, dass die USB-Kommunikation nicht mitgelesen werden kann. Das ergibt dann Sinn, wenn z.B. der USB-Stack oder das USB-Kabel kompromittiert ist und schützt primär die Privatsphäre. Manipulierte Transaktionen/Adressen würden ohnehin auf dem Display der BitBox02 auffallen bzw. müssen ohnehin sorgfältig geprüft werden.
Der andere Vorteil ist, dass die Kommunikation dadurch authentifiziert ist. Verändert sich etwas an der BitBoxApp, erkennt das die BitBox02 und der Nutzer muss eine neue Kopplung bestätigen. Als Nutzer sollte man hier zunächst misstrauisch werden, wenn man eigentlich nichts neu installiert bzw. verändert hat. (Das kann allerdings auch regulär auftreten z.B. da die BitBox02 sich nur maximal fünf Pairings merken kann).
Ich denke schon, dass OP damit den Pairing-Code meinte, da der in „vier Blöcken“ neben- und untereinander dargestellt wird.
@Joe2 Für die Verifizierung der Signaturen: Mit der neuen Version der Sparrow Wallet ist das jetzt relativ einfach möglich unter Tools → Verify Download.
Ganz streng genommen ist das noch nicht perfekt, da wiederum erstmal die Sparrow Wallet selbst verifiziert werden müsste, aber immerhin kannst du die Signatur der BitBoxApp so sehr einfach und unabhängig prüfen.
Wie oben schon erwähnt, ist es aber nicht schlimm, wenn du das nicht machst. :)
) bzw. wie ich diese herunterladen kann.
