Allen hier im Forum wünsche ich ein tolles und erfolgreiches `22.
Mir sind noch einige Dinge unklar.
Ich bin seit 2019 Bitcoiner, bin schon tief im Hasenbau und habe die Gänge Ökonomie, Geld, Full Note, Physik, Natur, Zyklen, Wallets, Lightning sprich, das Ökosytem BTC tiefer angeschaut.
Leider habe ich keine kryptographische, oder Programmierkenntnisse.
Wie kann ich nun trotz Full Note, Blockchainexplorer, Mempool, Genisis Block - Blockchain, den opensouce code, den Ledger von BTC überprüfen?
Ich kann nur Transaktionen, Adressen, Blöcke usw. veifizieren.
Wenn es um code, updates, Programmierung usw. geht muss ich den Entwicklern vertrauen, da ich davon keine Kenntnisse habe, wie die meisten btc Nutzer.
Somit ist eigentlich doch ein großes Vertrauen hinsichtlich code im btc Netzwerk notwendig, obwohl es immer heist niemanden vetrauen, selber verifizieren, was ich aber so nicht kann.
Nicht jeder Nutzer kann Programmierkenntnisse haben.
Sehe ich das so richtig, ist mir nicht ganz klar ? !
Das stimmt, Vertrauen in die Software ist eigentlich schon nötig.
Was du aber auf jeden Fall machen kannst, ist überprüfen, ob die Software tatsächlich jene Software ist, die du installieren möchtest. Eigentlich wird jede Bitcoin-Software mit Prüfsummen zum Download angeboten. Installiere dir OpenPGP und überprüfe bei jedem Download, ob die Datei wirklich von den Entwicklern kommen. Zusätzlich solltest du den SHA-Fingerabdruck der Datei prüfen (mit Boardmitteln deines Betriebssystems).
Dafür benötigst du nicht wirklich Programmier/Kryptographe-Kenntnisse sondern „nur“ Anwendungskenntnisse der angesprochenen Tools.
Woher weiß ich welche Software die richtige ist ? Woher weiß ich ob die Prüfsumme richtig ist ?
Alles kommt von Entwicklern - Menschen, den wir nicht Vertrauen wollen.
Könnte man es auch so sehen ?
So lange das btc Netzwerk nicht geknackt wird, so lange ist es die Wahrheit und Vertauen kann entfallen.
Weil die Entwickler sich gegenseitig selber verifizieren, was wir als normale Benutzer nicht können.
Würde das im Umkehrschluß bedeuten, je weniger Entwickler, je zentraler die Kontrolle, um so unsicherer das Netzwerk - Blockchain.
Den Transaktionen braucht man nicht vertrauen, aber dem code von Entwicklern dahinter schon ?
Ist doch ein Widerspruch Bitcoin - Blockchain braucht kein Vertrauen ?
Verstehe ich noch nicht ganz, für mich ein passt das noch nicht.
Deine eigentliche Frage ist: Wie kann ich sicher sein dass mich die Entwickler nicht verarschen?
Denn verifizieren dass Software von einem bestimmten Entwickler kommt oder dass der Download korrekt abgelaufen ist kannst du, das wurde ja bereits erwähnt.
Software wie Electrum, BitBox App, BlueWallet usw. sind alle Open Source. Hunderte Informatiker auf dem gesamten Globus verteilt haben sich den Code angeschaut oder sogar an diesem mitgearbeitet. Diesen Prozess kannst du auch offen auf den jeweiligen GitHub Repos nachvollziehen und auch du könntest an diesem Prozess teilnehmen.
Hier ist es doch genau das selbe!
Du kannst Bitcoin Core nicht selbst nachvollziehen und musst anderen vertrauen
Du kannst den Blockchainexplorer nicht selbst nachvollziehen und musst dem Entwickler vertrauen dass er dir keinen Blödsinn anzeigt
Die Transaktionen und Blöcke verifizierst nicht du, sondern die Software auf deiner Node. Hast du diese Software Zeilenweise überprüft?
Den Fingerprint deines Downloads verifizierst du z.B. mit SHA-256. Aber woher weißt du dass deine vorinstallierten Tools das auch richtig berechnen? Oder woher weißt du dass OpenPGP korrekt läuft? Woher weißt du dass auf deinem Rechner echtes Windows läuft?
Könnte man ewig so weiter spielen…
Dieses Vertrauen wird halt extrem minimiert dadurch dass es ein offenes System ist auf das jeder auf der Welt Zugriff hat. Du müsstest von einer weltweiten Verschwörung gegen dich ausgehen, und selbst das würde keinen Sinn ergeben da du ja selbst Informatik studieren kannst und dich selbst überzeugen kannst.
Alles braucht „Vertrauen“ wenn man das Wort so eng definiert.
Überspitztes Beispiel: Du hast sicherlich auch noch nie selbst verifiziert dass die Erde ein Globus ist sondern den tausenden Mathematikern und Astronauten die das über Jahrzehnte bestätigen vertraut.
In letzter Instanz stimmt es. Aber es ist eben etwas anderes, ob du es überprüfen kannst, wenn du willst. Das der Aufwand dazu sehr groß ist, ist natürlich wieder etwas anderes. Aber das Bitcoin-Protokoll ist so angelegt, dass es möglichst einfach bleibt: Man braucht beispielsweise keine super teure Hardware, um eine Fullnode zu betreiben. Das ist bei Altcoins oft nicht der Fall. Auch ist die Bitcoin-Core-Software ist relativ schlank gehalten und unterstützt eben nicht tausend unnötige Dinge with manche Altcoins.
Gute Frage, in Social Media gibt es unendlich viel Scam, sobald man etwas mit dem Hashtag bitcoin postet. Irgendwie muss man herausfinden, ob eine Software vertrauenswürdig ist. Wenn man etwas noch nicht kennt, muss man schauen, was andere dazu sagen, wie lange es das Projekt schon gibt, ob es Open Source ist, usw.
Also dafür gibt es Lösungen. Die SHA-Prüfsumme stellt sicher, dass die Datei, die die Entwickler hochgeladen haben auch wirklich jene ist, die du heruntergeladen hast. Du könntest beispielsweise über eine Attacke auf einen kompromittierten Download-Server weitergeleitet werden, der dir eine falsche Version unterjubelt. Wenn du bei deinem Download nun die Prüfsumme checkst, kannst du das erkennen. Natürlich kann ein Angreifer auch die Datei + die Prüfsumme auf der Website verändern. Aber die Wahrscheinlichkeit, dass das auffällt ist höher. Idealerweise sollte auch die Prüfsumme nicht auf dem selben Server zu finden sein, wie der Download.
Hier eine (erstbeste) Erklärung, wie man das macht:
Um noch einen zusätzlichen Schutz zu haben, solltest du bei Bitcoin-Software auch den GPG-Key überprüfen. Dadurch wird nicht nur sichergestellt, dass die Datei korrekt heruntergeladen wurde, sondern auch wer bestätigt, dass die Datei die richtige ist.
Bei Bitcoin Core nutzen alle Entwickler GPG und auch jedes Binary wird von mehreren Entwicklern signiert. Aber auch hier gibt es wieder das Problem, woher man weiß, dass das GPG-Zeritifkat wirklich von dem Entwickler kommt. Alles nicht so einfach.
Aber auf jeden Fall solltest du OpenPGP installieren (und natürlich auch dort die Prüfsummen kontrollieren) und alle Zertifikate der Entwickler in deinen Keychain importieren, die du prüfen willst. Wenn du besonders vorsichtig sein willst, kontrollierst du noch die Fingerabdrücke der einzelnen Entwickler (beispielsweise sind die meisten in den öffentlichen Profilen auf Twitter angegeben) oder vergleichst diese mit Freunden.
Auf der BitcoinCore Download-Seite gibt es auch ein Anleitung, wie man die Binaries korrekt prüft:
Nein, das „wollen“ stimmt nicht ganz. Bitcoin funktioniert auch ohne Vertrauen. Aber mit Vertrauen funktioniert Bitcoin genauso – und man spart sich viel Zeit. Jetzt kannst du entscheiden, wieviel du vertrauen willst und wieviel Zeit du investieren willst um zu überprüfen.
Eigentlich solltest du jetzt auch meinen Text überprüfen, ob das überhaupt stimmt, was ich schreibe und ob die Links zu vertrauenswürdigen Seiten führen. Oder du wartest einige Zeit, ob vertrauenswürdige (sic!) Benutzer hier im Forum meinem Beitrag ein geben…
auf code Ebene will ich nicht einsteigen, oder lernaufwendige Prüftools laufen lassen, obwohl ich es mit viel Aufwand könnte, vermutlich.
Vielen Dank für den Überblick, ich weiß die Chain mit ihren Zeitstempeln und der verketteten Historie ist wahr und nicht unbemerkt veränderbar, die Community wacht darüber, somit vertraue ich uns.
Alles klar soweit.