Komplett closed-source und kein Secure Element. Für mich wäre das ein No-Go.
Mir gefällt auch grundsätzlich dieses „Air-gapped“ Marketing nicht. Nur weil du keine physische Verbindung zum Internet hast muss die Hardware trotzdem mit deinem Smartphone kommunizieren. Für mich hört da das Prinzip hinter einem Airgap bereits auf, da du dich darauf verlasen musst dass die Kommunikation mit der App auf dem Smartphone integer ist.
Und genau das kannst du nicht. Du hast keine Möglichkeiten nachzuvollziehen ob die Hardware irgendwas z.B. über die PSBT QR Codes nach außen veröffentlicht was sie nicht sollte, oder ob das Firmware Update das du über eine microSD aufspielst schädlich ist.
Du hast meiner Meinung nach mit einer airgapped Hardware Wallet nur UX Nachteile, ohne zusätzliche Sicherheit. Es findet zwingend Informationsaustausch statt, egal ob die Verbindung über Bluetooth, USB, QR Codes oder mit Rauchzeichen abgewickelt wird.
Nicht falsch verstehen: Deswegen ist eine airgapped Hardware Wallet nicht unsicher, mich stört nur das Marketing sie als sicherer zu verkaufen.
Die haben auch einen Blog Artikel wo sie sich gegen Open Source verteidigen: How Much Does Open-Source Contribute to Security? – ELLIPAL
Da stehen Aussagen drin womit sie sich meines Erachtens nach komplett diskreditieren!
open-source can be cracked easily by hackers because the resources, codes, and utilities are readily available
Mit dieser Aussage wird indirekt gegen das Kerckhoffs’sche Prinzip verstoßen, welches besagt dass Sicherheit nie auf Geheimhaltung beruhen darf.
Ein kryptographisches Verfahren, oder halt eine Hardware Wallet, spielt eigentlich keine Rolle, gilt erst dann als „sicher“ wenn alle Informationen öffentlich verfügbar und nachvollziehbar sind und trotzdem niemand eine Schwachstelle finden bzw. ausnutzen kann.
Wer 2022 ernsthaft versucht Security through obscurity zu rechtfertigen ist irgendwo im letzten Jahrhundert hängen geblieben.
Die Ellipal Hardware Wallet an sich kann ich jetzt nicht genauer beurteilen, aber alleine das Unternehmen macht einen sehr unseriösen Eindruck auf mich. Ich würde diese Hardware Wallet nicht benutzen wollen.
Ja, zum einen weil die Kritik von oben nicht zutrifft.
Die Ledger Hardware Wallets nutzen außerdem einen Secure Chip.
Zu Ledger vs. BitBox02 siehe diesen Beitrag:
Edit: Gibt auch einen Shift Crypto Blogpost zum Thema Airgap: