Die meisten anderen HW Wallets neben den von Blocktrainer promoteten kommen hier tatsächlich etwas kurz. Wenn du zu deinen Erfahrungen und Vergleichen dann etwas schreiben möchtest ist das sicher interessant.
Wie du ja selbst schon vorab geschrieben hast, gibt es neben der Kommunikation noch sehr viele andere Sicherheitsaspekte. Ich will Safepal oder Ellipal nicht schlecht reden; ich habe selbst auch keine Erfahrungen damit. Aber ich finde nur den QR Code als entscheidenden Grund dafür, dass diese Geräte wesentlich sicherer sind, nicht ausreichend.
Natürlich ist der QR Code als Kommunikationsmethode interessant. Hier übrigens die Antwort von Stadicus auf meine Frage dazu.
Nur ein Beispiel:
- Die Bitbox arbeitet mit „reproducible Builds“. D.h. du als Endanwender hast die Möglichkeit zu sicherzustellen, dass auf dem Gerät auch wirklich der einsehbare Open Source Code läuft. Eine versteckte Kommunikation müsst also schon HW-seitig implementiert sein.
- Safepal ist aktuell nicht einmal Open Source (das sogar illegal wegen GPL Codeanteilen). D.h. die Wallet könnte versteckt im QR Code oder sogar in der Transaktion auch anderweitige Informationen übertragen. Wenn du die Safepal App zum scannen des QR Codes verwendest, fällt dir das nicht sofort auf. Diese Funktion könnte auch erst mit einem späteren Update kommen.
Fairerweise muss ich dazu sagen, dass die Safepal Software in 2021 Open Source werden soll. Auf die Sicherheitsanalyse von Kraken wurde mit diesem Statement von Safepal geantwortet.
Alles in allem finde ich die QR Code Kommunikation auch sehr interessant, da man sie zumindest als Nicht-Fachmann leichter überprüfen kann als bei USB. Andere Aspekte müssen aber dazu kommen.
Weitere Sicherheitsaspekte neben der Kommunikation wären z.B.:
- Open Source und reproducible Builds
- Secure Element
- Manipulierbarkeit des Geräts
- Kompetenz (Referenzen) und Ruf der Entwickler (haben sie etwas zu verlieren?)
- Bedienbarkeit / Möglichkeit zu Fehlern
- etc.
Aber auch ich als Laie habe davon im Prinzip keine Ahnung. Es gibt viele sehr komplexe Angriffsmöglichkeiten, die wahrscheinlich > 99% der User nicht beurteilen können. Deshalb ist mir persönlich das Vertrauen zum Hersteller wichtiger. Ob das bei Binance oder Ledger besser ist weiß ich auch nicht.
Bei vielen Usern trifft das wahrscheinlich zu. Ab einer gewissen Investitionssumme ist ein Einarbeiten in Wallets aktuell einfach noch Pflicht.
Bargeldeinlagen sind evtl. versichert. Kryptoeinlagen sind meines Wissens nirgends versichert. Das wäre ja die Lösung aller Probleme.
Selbst beim Binance SAFU Fonds weiß ich nicht ob Binance sich zu irgendetwas verpflichtet.
Dienstleister, die auch Kryptoeinlagen für Privatanwender versichern, sind wahrscheinlich die Zukunft für den Großteil der Anwender.