Hallo,
ich bin auf der suche nach einem ledger Nano x und dabei habe ich diesen neuen X für 100 € neu verschweißt entdeckt. Normalerweise sollte man doch immer über Ledger.com kaufen… Trifft dies auch bei meinem Angebot auf? hier das Angebot:
(Weitere Elektronik in Ostend - Frankfurt am Main | eBay Kleinanzeigen ist jetzt Kleinanzeigen)
Vielen Dank im Voraus! VG
Finger weg! Wie du schon sagst, man kauft bri autorisierten Resellern.
Bloß nicht, sowas kannste beim Handy machen, aber nicht bei Geldanlagen.
Die Gefahr besteht, daß es sich um eine manipulierte Hardware-Wallet handelt, die z.B. keinen wirklich zufälligen Seed generiert. (Wobei man ja auch den autorisierten Resellern „vertrauen“ muss…)
Andererseits soll es doch bei Ledger so sein, daß Ledger Live NUR mit echten, unmanipulierten Nanos kommuniziert, soweit ich mich erinnere, also die Echtheit bestenfalls cryptographisch abgesichert überprüft (genaue Details sind mir nicht bekannt, da ich sowieso keinen Ledger mir je kaufen würde).
Wie zuverlässig diese Erkennung bzw. Verifizierung durch Ledger Live ist, kann ich nicht sagen. Ist die Erkennung eines Original-Nanos „wasserdicht“, sähe ich keine Einwände, so ein Angebot anzunehmen. Oder welche Gegenargumente habe ich übersehen? (Ich finde eure Ablehnung in diesem Kontext etwas pauschal, auch wenn ich durchaus mit unterschreiben würde, daß man eine Hardware-Wallet idealerweise stets beim Hersteller oder vertrauenswürdigen Resellern kauft (darunter verstünde ich z.B. nicht Amazon, da dort nicht immer ganz transparent ist, von wem die Ware tatsächlich kommt bzw. man ganz genau nachsehen muss).
Verschweisste Verpackung sagt garnichts, sowas können Gauner problemlos selbst machen. Selbst Originalverpackung usw. zu faken sollte kein allzu großes Hindernis sein, also darauf darf man nix geben.
Tatsächlich hast du indirekt einige Probleme gelistet, folgend ein Beispiel: Ein Ledger lässt sich ohne
große Probleme zerlegen (habe ich selbst schon mehrfach gemacht), jetzt kannst du selbst verschiedene Szenarien in der Theorie durchspielen.
Für mich sind es die paar Euro zu der Bestellung vom Hersteller nicht wert.
Ledger zeigt auch Abbildungen des Innenlebens eines Nanos, insofern kannst du ja kontrollieren, ob dein Nano so aussieht, wie er soll, egal wo gekauft. Mir ist klar, daß der reine Augenschein kein Beweis für „unmanipuliert“ ist, siehe weiter unten.
Was glaubst du denn, wie Ledger sicherstellt, daß der von dir gekaufte Nano auf dem Weg zu dir nicht manipuliert wurde? Ich bin mir ziemlich sicher: garnicht, weil die eben auch sehr begrenzten Einfluß auf die Zustellkette bis zu deinen Händen haben. Also, warum vertraust du einem Nano mehr, der beim Hersteller gekauft wurde, als einem, der von irgendwo kommt? Geglaubte/gefühlte Scheinsicherheit?
Ich spreche jetzt nicht von „wie wahrscheinlich ist es, daß mein Nano in der Lieferkette von einem motivierten Angreifer manipuliert wird“, sondern davon wie man die Unversehrtheit eines solchen Produktes sicherstellen kann und muss. Das muss der Hersteller implementieren, wie es z.B. Coldcard oder Bitbox02 oder andere machen. Bei Ledger weiß ich es im Detail schlicht nicht, da mich Ledger als Firma und Produkt nicht interessiert. Manches gefällt mir persönlich nicht an Ledger und deren Hardware und das bin ich als Kunde nicht bereit mit meiner Börse zu unterstützen; nicht das Thema hier, ich weise nur darauf hin, daß ich Ledger kritisch gegenüber stehe).
Wenn eine Hardware-Wallet nicht durch unmanipulierbare technische Maßnahmen zweifelsfrei beweisen kann, daß sie original ist und keine manipulierte Firmware hat, taugt sie nichts, weil du dann niemals sicher sein kannst, daß im Innern alles so abläuft, wie es soll.
Aber es ist bei Ledger z.B. Teil der „Sicherheitsarchitektur“ oder wird zumindest als Feature verkauft.
Eine weitere Unbekannte/Freiheitsgrad hat ein System noch nie besser gemacht.
Das hat nichts mit Glaube oder Gefühlen zu tun.
Wer A sagt muss auch B sagen 
Du kannst dir bei keinem Embedded System zu 100% sicher sein. Die Hersteller von HW-Wallets versuchen aber durch Audits und Bug Bounty Programme ihr möglichstes.
An dieses Ledger-Feature konnte ich mich auch noch erinnern, wenn auch ohne Details. Wenn Ledger das gut implementiert hat, dann sollte man als Nutzer eines Nanos doch dann eine gewisse Sicherheits bzgl. der Authentizität des Geräts haben.
Dann hat die Warnung vor einem Kauf über andere als die offiziellen Kanäle ein wenig etwas von einem Reflex, der zumindest technisch wenig begründet zu sein scheint oder zumindest erklärungsbedürftig ist.
Ggf. mögliche Garantieprobleme mit Ledger sind dagegen vollkommen valide (Akkuprobleme beim Nano X; bescheidene OLED-Qualität, da ein Nachlassen der Helligkeit kein so seltenes Problem zu sein scheint, besonders wenn das Display auf hohen Helligkeitsstufen viel genutzt wird).
Einverstanden!
Auch einverstanden und eine sehr sinnvolle Policy von Herstellern! Nur hat mitunter Ledger eine sonderbare Einstellung bzgl. des Umgangs mit gemeldeten Sicherheitsproblemen durch Sicherheitsforscher, die ich höflich ausgedrückt, sehr merkwürdig und sehr unverständlich finde.
Eine Quelle: Ledger App Isolation Bypass
Hier gerne ein Beispiel für dich
Wenn du einen Ledger aus einer fragwürdigen Quelle kaufen möchtest, ist es deine Entscheidung.
Ich schreibe meine Beiträge um z.B Einsteiger vor dem Verlust zu schützen.
Ich glaube, dass „bisschen“ Erfahrung was ich auf diesem Gebiet habe, rechtfertigt meine Haltung.
Deshalb meine Empfehlung kauft direkt beim Hersteller bzw. autorisierten Händlern
Der Beitrag vom Blocktrainer ist mir bekannt und ich habe auch irgendwo anders von diesen gefälschten Nanos gelesen. Diese Fälschung kann dir einen echten und funktionierenden Nano nicht vortäuschen, aber sie kann natürlich deinen Computer u.U. mit Schadsoftware infizieren, was nun auch nicht so angenehm ist.
Außerdem kommt es auch immer darauf an, wie gut ein User IT-technisch bewandert ist, um solche Fakes rechtzeitig zu enttarnen. Justin DAU, Oma Erna und Opa Willi sind sehr wahrscheinlich zügig Opfer.
Wir brauchen das von mir aus hier nicht weiter zu diskutieren. Ich stimme zu, daß ein Kauf von autorisierten Quellen stets die sicherste Variante ist. Diese sollte am besten gewählt werden, denn eine Ersparnis von 50€ für so ein Produkt ist es meist nicht wert, ein Risiko einzugehen.
Wenn ein Neu-User einer Hardware-Wallet dann noch erste und alle relevanten Schritte inklusive Full-Desaster-Recovery mit dem Gerät mit z.B. Testnet-Bitcoins durchführt, die keine Kosten oder Verluste hervorrufen, bevor „echte Werte“ damit gesichert werden, wäre schon viel gewonnen.
Don’t be reckless / Sei nicht leichtsinnig!
So ein Quatsch!
Hardware Wallets direkt vom Hersteller und gut!
…