Könnten Geheimdienste über manipulierte Firmware-Updates auf Hardware Wallets zugreifen?

Laotse2020 · 19. Februar 2022 um 22:09

Hallo Leute,
vor dem Hintergrund der Entwicklungen in Kanada bewegt mich folgende Frage: Besteht die Möglichkeit, daß westliche Geheimdienste die Anbieter von Crypto Wallets wie Ledger, Bitbox etc. dahingehend unter Druck setzen könnten, bei Firmware-Updates einen Bug zu installieren, der ihnen den Zugriff auf die Wallets und die Private Keys ermöglicht?
Hintergrund ist, daß mir ein Freund erzählt hat, daß er vor kurzem bei seinem Ledger gezwungen war, das aktuelle Firmware-Update zu installieren; andernfalls hätte er keine Transaktion mehr machen können - es war also nicht möglich, sich des Updates zu entziehen.
Von daher bestünde, wenn überhaupt, dann doch an dieser Schnittstelle die Möglichkeit, das BTC-Netzwerk zu hacken - entweder gezielt gerichtet gegen einzelne Personen, die vielleicht an den politisch falschen Empfänger gespendet haben und plötzlich vor ihrem leergeräumten Crypto-Account sitzen, oder auch, und da würde es extrem gruselig, um an einem geeigneten Zeitpunkt in einer konzertierten Aktion durch massenhaft initiierte Transaktionen weltweit ein völliges Chaos auf der Blockchain anzurichten und das Vertrauen in BTC dadurch nachhaltig zu zerstören.
Ich bin technisch zu wenig versiert, um einschätzen zu können, welche Manipulationen nötig sind, um tatsächlich „von außen“ eine Transaktion auf einer Cold Wallet anstoßen zu können - von daher bin ich da vielleicht überbesorgt. Aber gleichzeitig sehen wir ja jeden Tag, daß es quasi nichts gibt, was das System nicht machen kann … und zwecks Fortbestand nicht auch tut.
Bin gespannt, wie Ihr das seht und freue mich über jede Antwort bzw. Einschätzung!

MacFly · 19. Februar 2022 um 22:49

Grundsätzlich ja, gibts ja bei Android auch schon. Apple wehrt sich momentan noch dagegen, stösst aber auf immensen Druck.

Nein, denn beim Ledger wird zusätzlich noch die manuelle Bestätigung per Knopfdruck benötigt. Das ginge erst, wenn Ledger auch die physischen Komponenten auswechselt.

Unmöglich. Das einzige was mit einem gehackten Ledger gemacht werden könnte wäre:

Zu deinem Anliegen:

Viel realistischer und in Zukunft gar nicht so unwahrscheinlich (man schaue heute nach Kanada), wäre es einfach den Bitcoin gestzlich zu verbieten. Dann machen auch die Börsen dicht und der BTC hat keinen Umtauschwert in Fiat. Erachte ich als sehr realistisch und wird schlussendlich wohl auch den Tod des Bitcoins bedeuten.

Laotse2020 · 19. Februar 2022 um 23:01

Danke für deine Antworten, MacFly!

Und es wäre technisch nicht möglich, im Schatten einer intendierten und von mir bestätigten Transaktion mit einem manipulierten Gerät eine zweite Transaktion anzustoßen? Das würde mich erstmal schon beruhigen

MacFly · 19. Februar 2022 um 23:15

Theoretisch schon, aber soviele Ledger sind nicht im Umlauf… das Netzwerk nutzt dermassen viele verschiedene Systeme, Software- und Hardwarekomponenten, da wären irgendwelche andere „Hacks“ doch sehr viel sinnvoller und lukrativer…

Was wäre denn der Sinn davon?
Annahme Transaktion von A → B → C sind manipuliert, warum dann nicht direkt A → C

Laotse2020 · 19. Februar 2022 um 23:20

Das stimmt natürlich und macht das „große Szenario“, das ich beschrieben habe, schwieriger umzusetzen. Dann würde auch eine Manipulation z.B. über Ledger eher auf den Hersteller zurückfallen, als die Sicherheit des BTC-Netzwerkes zu diskreditieren.

Laotse2020 · 19. Februar 2022 um 23:23

Weil A → B die von mir intendierte und manuell bestätigte Transaktion wäre. Wenn es möglich wäre, parallel durch die manuelle Bestätigung von A → B noch eine zweite Transaktion A → C oder B → C anzustoßen, könnte man die manuelle Bestätigung für die Manipulation ausnutzen. Weiß nicht, ob sowas technisch denkbar wäre, dazu bin ich in dem Bereich nicht fit genug.

MacFly · 19. Februar 2022 um 23:35

Geht mit dem Ledger nicht, jede einzelne Transaktion muss manuell bestätigt werden.

Makowski · 19. Februar 2022 um 23:46

Das Risiko ist auch für technische versierte Leute schwer einzuschätzen. Die meisten Käufer vertrauen mehr oder weniger blind ohne zu verstehen, wie Hard- oder Software oder die Kommunikation zum Rechner funktioniert. Dazu kommt, dass Hardware schwieriger zu validieren ist als Software. Bei manchen Hardware Wallets sind Teile physisch versiegelt, andere sind proprietär. Wiederum andere zerstören sich selbst wenn man versucht das Gehäuse mit Gewalt zu öffnen.

Ich finde eine Grundskepsis durchaus angebracht. Auf der anderen Seite hängt die Existenz der Hersteller an ihrer Reputation, und man möchte meinen, dass ein einziger Hack das Unternehmen zerstören müsste. Dem ist aber nicht so. Weder der massenhafte Leak von Nutzerdaten (Ledger), noch der Nachweis, dass der Seed ausgelesen werden kann (Trezor) haben für eine Marktbereinigung gesorgt.

Es gibt Lösungsmöglichkeiten die weniger Vertrauen in die Hardware erfordern, und stattdessen die Verifizierbarkeit der Sicherheit des Setups massiv erhöhen.

Multisig mit Wallets unterschiedlicher Hersteller: Selbst unter der Annahme dass eines der Wallets kompromittiert sei, kann das Setup sicher verwendet werden.
Air-gapped wallets: Unter der Annahme, dass die Hardware keine verwertbaren Funksignale aussendet oder empfängt, kann man davon ausgehen, dass die Transaktion wirklich offline signiert wird.
Eigenbau eines Wallets mit off-the-shelf Komponenten (seed signer): Da die Komponenten massenhaft und für vielerlei Zwecke hergestellt werden, ist die Wahrscheinlichkeit, dass die Hardware kompromittiert ist geringer.

Laotse2020 · 20. Februar 2022 um 00:01

Vielen Dank, Makowski, für Deine Antwort und die praktischen Lösungstipps! Die Multi-Sig-Variante wäre da sicherlich erst einmal eine ganz pragmatische und praktikable Lösung. Auch mich hat es extrem gewundert, wie glimpflich Ledger nach dem Leak und vor allem auch dem nicht gerade souveränen Umgang mit dem Leak am Markt davongekommen ist.

Franky123 · 20. Februar 2022 um 00:12

Der Leak hatte ja nichts mit den Ledger Geräten selber zu tun. Und viel Konkurrenz gab es auch nicht, der Trezor hat technisch eher einen schlechteren Ruf und die Bitbox war da noch relativ jung auf dem Markt. Sie dürften aber von dem Ledger Leak ziemlich profitiert haben

Normen · 20. Februar 2022 um 00:22

Das stimmt so nicht ganz. Er war, wenn überhaupt, gezwungen, dass firmware update zu machen, um den ledger weiter mit ledger live zu nutzen. Er hätte aber jede andere Wallet Software weiter nutzen können. Jeder Coin /Token hat mindestens eine weitere Wallet mit ledger Anbindung außerhalb von Ledger live. Bei Bitcoin gibt es unzählige. Diese anderen wallet softwares interessiert es nicht welche Firmware dein ledger hat. So lange die Funktionen, die du nutzen willst, bereits in deiner aktuellen App Version unterstützt werden, reicht das vollkommen aus. Bei Bitcoin brauchst du nur für die neuen Taproot Adressen das neuste Update…usw.

pjw · 20. Februar 2022 um 07:45

Halte ich für kompletten Blödsinn.

Die USA und viele andere Länder haben Bitcoion ETF erlaubt und sind daran weitere Regulierungen zu beschliessen, die es auch vielen Firmen und Pensionskassen erlauben werden in Bitcoin zu investieren.

MacFly · 20. Februar 2022 um 08:08

Okay und was ist mit:

Afghanistan
Pakistan
Algerien
Bolivien
Bangladesch
Die Republik Mazedonien
Saudi-Arabien
Vanuatu
Vietnam
China
Usw…

Und können dann auch per Wunschkonzert einfach so diverse Wallets/Adressen auf den Exchanges blockieren.

Siehe nach Kanada.

Das Gesuch wurde 2013 eingereicht und wurde während 8 Jahren mit heftigem Wiederstand der SEC jedesmal abgelehnt. Das Blatt kann sich noch wenden.

Laotse2020 · 20. Februar 2022 um 10:36

Vielen Dank für diese wichtigen Infos, Norman, das ist sehr hilfreich für mich. Hatte bislang gedacht, Ledger funktioniert nur mit der Ledger live App.

einbaumhatzweige · 20. Februar 2022 um 12:46

Also die einfachste Art, die Bedrohung Bitcoin loszuwerden, ist es, Geld zu drucken und in Massen Bitcoin zu kaufen. Kein Widerstand zu erwarten. Spieltheoretisch auch das Wahrscheinlichtste, da es Vorteile für die eigene Nation und Nachteile für andere Nationen hat

Normen · 20. Februar 2022 um 13:25

Ledger Live gliedert sich in zwei Hauptfunktionen: Hardware wallet Verwaltung und Wallet Software. Die Hardware wallet Verwaltung benötigst du für das erstmalige installieren einer Coin App (z. B. bitcoin, ethereum…), das Aktualisieren dieser Apps (bringt neue meist optionale Funktionen für diese Apps), sowie das Aktualisieren der Firmware des Ledgers (manchmal notwendig für bestimme App Updates, manchmal nur frontend Änderungen in der Bedienung des Gerätes). Die wallet Software kann dagegen vollständig durch andere wallet Software ersetzt werden. Bei Bitcoin z.B.: Electrum, Wasabi, Specter Desktop und viele mehr. Bei Ethereum z. B. Metamask, myetherwallet. Manche Blockchains haben sogar nur ihre eigenen Wallet Softwares und noch keine implementierung in ledger live’s wallet software. Z.b Cardano, IOTA, vechain. Dort funktioniert der ledger nur mit deren wallet Software, aber die entsprechende App muss über ledger live’s Hardware wallet Verwaltung installiert werden.

SHA-2 · 20. Februar 2022 um 13:45

Bis auf China sind die restlichen Länder für den BTC-Preis und viel wichtiger die Akzeptanz total unwichtig.
Aber ich verstehe deinen Ansatz