Hallo Leute,
gibt es neben der Bitbox eigentlich noch ein weiteres Bitcoin-only, open source Hardware-Wallet dem ihr genauso vertrauen würdet?
1 „Gefällt mir“
2 „Gefällt mir“
Ja, die Cold Card hatte ich auch schon ins Auge gefasst, aber da soll es ja Fälle von Coin-Diebstahl gegeben haben, bei Leuten die mit dem Teil ihren Seed selbst gewürfelt haben (das geht damit ja wohl irgendwie). Aber man muss diese Funktion ja nicht nutzen, sondern kann das ja sicher auch komplett dem Gerät überlassen.
Naja, dann werde ich mich jetzt nochmal’n bissl über die Cold Card belesen…
Danke für den Hinweis auf das Gerät 
Wenn ich das richtig recherchiert habe nutzt die Coldcard ja nicht den PC als Quelle der Entropie, was ja bzgl. letzterer nicht so geil ist, weil man dann ja ausschließlich den Hardware-Komponenten der Coldcard vertrauen muss. Bei der Bitbox hingegen hat man dann ja noch eine Shift Crypto-unabhängige Hardware-Komponente (meinen PC).
Der Vorteil ist natürlich, dass man die Coldcard weit weg von Webcam und Laptop-Micro mit einem Handyladegerät einrichten kann. Es hat halt alles sein Für und Wider.
Und was mir noch in einem Video aufgefallen ist: Man kann ja scheinbar sein Backup bei der Coldcard auch auf der SD-Karte speichern. Das finde ich aber recht gefährlich, da man hier im Gegensatz zur Bitbox die SD-Karte auch in den PC stecken muss, um Transaktionen auszuführen. Nutzt man dann versehentlich die SD-Karte mit dem Back-up…
Ich hab mit grad mal’n Interview mit Stadicus über Multi-sig angeschaut und festgestellt, dass man so ja die Bitbox PLUS die Coldcard zur Verwahrung seiner Coins verwenden könnte. Dann hätte man ja quasi das Beste aus beiden Welten und den Schutz vor der 5 $ wrench attack.
Wobei ich das schon ganz schön tricky alles finde und nochmal tief in mich gehen muss, ob ich mir sicher zutraue sowas fehlerfrei einzurichten. Oder wird das zukünftig noch noob-freundlicher werden, so dass man damit vielleicht noch etwas warten sollte?
Ich finde diese Website hat einen guten Vergleich:
Ich persönlich halte das Konzept des Seedsigners für sehr sinnvoll. Auch wenn dieser kein Secure Element besitzt und die Wörter nur temporär gespeichert werden.
Großer Nachteil der Coldcard der Versand erfolgt aus Kanada. Der Zoll kann dein Paket öffnen.
Genau so mache ich das. 
Es kommt in einer versiegelten Tüte. Hardware Wallets sind (noch) nicht verboten. Das wäre natürlich nicht schön, aber was ist deine konkrete Sorge dabei?
1 „Gefällt mir“
Es ist eher ein konstruiertes Problem, man sollte sich aber dieser Möglichkeit bewusst sein, ein geöffnetes Paket zu bekommen.
Was genau meinst du damit? Was ist unsicher daran wenn man seine Entropie mit dem Würfel erzeugt? Die Coldcard akzeptiert soweit ich weiß auch nur alles über 99x würfeln.
Manche meinen Würfeln sei unsicher:
Wenn ich das richtig verstanden habe kauft man sich hier die Einzelteile aus unterschiedlichen Quellen zusammen, was natürlich bzgl. einer möglichen supply chain attack einen super Schutz bietet.
Aber nee, auch wenn es wahrscheinlich eigentlich total einfach ist, da hab ich zu viel Schiss, dass ich was falsch mache.
Ich hatte kurz in ein Video reingeschaut, in dem besprochen würde, dass Leute, die mit der Würfel-Funktion der Cold-Card irgend nen Fehler gemacht und dabei ihre Funds verloren haben
(edit: ich habe grad nochmal in das Video reingeschaut, sie haben nur einmal gewürfelt 
was bei der früheren Cold Card Version wohl noch möglich war).
Du kannst ihn auch zusammengebaut kaufen.
Lediglich das Flashen der SD musst du dann machen.
EU-Supplier:
Ah ok, danke für den Hinweis
Übrigens hab ich mich grad auch mal’n bissl mit dem Blockstream Jade beschäftigt, den man wegen des Akkus auch komplett ohne PC einrichten kann, was ich ja eigentlich sehr, sehr nice finde.
Allerdings steht auf deren Website, dass die Entropie beim Jade u.a. durch CPU counters (ich nehme mal an sie meinen die CPU meines PC’s und nicht die des Jade, sofern man das hier überhaupt als CPU bezeichnet) und die Blockstream Green App erzeugt wird. Aber diese Quellen der Entropie können doch gar nicht genutzt werden, wenn das Gerät nicht mit dem PC verbunden ist. Hä?
Ist denn so etwas wie Ledger oder Trezor unsicherer?
Für mich hat sich Ledger schon 3x disqualifiziert:
-
Hat alle Namen und Adressen seiner Kunden geleaked.
-
Hat ein Backdoor in die Firmware eingebaut und es als „Seed Recovery“ Service versucht zu vermarkten.
-
Ihr CDN (Content delivery network) wurde gehackt und Malware wurde verteilt.
Für mich kommt nur eine wahre Air-gapped Lösung mit QR Code Datenübertragung infrage. Nur so kann ich zu 100% überprüfen was die Wallet Software und Hardware wallet sendet.
Ledger war in Vergangenheit was Kundendaten angeht unsicher. Außerdem gibt es mit ledger-recover ein unsicheres Feature.
Trezor ONE ist auslesbar und bietet damit nicht mehr Sicherheit als die auf Papier notierte Seed Phrase. Für die meisten Anwendungsfälle ist das in Ordnung. Man darf den Trezor nur nicht in der U-Bahn verlieren.
Da pauschal nach Trezor und nicht nach dem Model One gefragt war, sollte man vielleicht dazu sagen, dass es mit dem Safe 3 mittlerweile einen Trezor inklusive Secure Element gibt, auf den das so nicht zutrifft.
1 „Gefällt mir“
Dass Ledger nicht open source ist sollte man noch erwähnen
1 „Gefällt mir“
Und was ist mit dem Trezor Model T? Ist der auslesbar/ unsicher?
Auch das sollte kein Problem sein.
Durch das Würfeln wird die Entropie erweitert, nicht ersetzt. Zumindest ist es jetzt so.
Wenn der Würfel natürlich deine einzige Entropie Quelle ist, dann gäbe es ja nur sechs mögliche Wallets.
Heute wird ein Seed mit allen Zufallsgeneratoren der Coldcard erstellt und dann um die Würfelei erweitert. Auch ein einziger Wurf macht den Seed im heutigen Fall sicherer.