Solche Aussagen sind in meinen Augen ziemlich irreführend und zu pauschal.
Erstens muss man langfristig darauf vertrauen, dass der eigene Seed sicher auf der Ledger Hardware erstellt wurde. Der Zufall kommt, so weit ich informiert bin, alleine vom Secure Element. Die Sicherheit der Wallet stützt sich also auf der Annahme, dass es sich um guten Zufall handelt bzw. allgemein darauf, dass das Gerät sicher ist.
Es ist außerdem ein grundsätzlicher Fehler, die Sicherheit direkt von der Nutzungsdauer abhängig zu machen. Sicherlich ist das ein Faktor, aber halt nicht der entscheidende. Wenn eine Hardware Wallet unsicher ist, spielt es keine große Rolle mehr, ob man sie 5 Minuten oder 5 Monate benutzt.
Auch als HODLer ist man darauf angewiesen, hin und wieder mal (Konsolidierungs-)Transaktionen zu tätigen.
Bei dieser Mission Impossible Einrichtungsmission kann man Fehler machen, vor allem als Anfänger.
Wie schreibst du Adressen raus? Einzeln? Dann hast du das Problem früher oder später Adressen mehrmals verwenden zu müssen.
Einen erweiterten öffentlichen Schlüssel? Dann musst du der Hot Wallet vertrauen, dass sie dir keine gefälschten Adressen ableitet, wenn du ihn importierst. Damit hast du nichts gewonnen und bist wieder auf Hot Wallet Niveau.
Durch das UTXO-Modell von Bitcoin ist es nicht ratsam, langfristig gar keine Transaktionen zu tätigen. Das hängt natürlich von der eigenen Nutzungsweise ab, aber wenn man beispielsweise monatlich eine Auszahlung tätigt, sammelt sich da einiges an.
Wenn ich vier schlechte und eine gute Zufallsquelle miteinander kombiniere (XOR), ist die Qualität des Ergebnisses auf dem Niveau der guten Zufallsquelle.
Die BitBox02 nimmt hier zusätzliche Quellen, wie z.B. Entropie vom Hostgerät oder den TRNG auf dem Microcontroller. Ist der Zufall vom Secure Chip aus irgendeinem Grund schlechter, spielt das dann keine große Rolle, weil die „nächstbeste“ Zufallsquelle das sozusagen auffangen kann.
Mixing entropy sources
When no good source of entropy is available, designers often mix several different sources hoping that they are not all weak or compromised. The quality of the randomness of such a generator is questionable. It may vary according to the sample considered, the computer used and other external factors (temperature, pression, voltage, etc).
Damit wollen sie sagen: Wenn ich ausschließlich schlechte Quellen kombiniere, ist das Ergebnis immer noch schlecht. Das ist natürlich richtig!
Wer spricht denn hier von entscheiden? Ich habe dich nur darauf hingewiesen, was es (nicht) bedeutet Zufallsquellen miteinander zu kombinieren.
Das ist doch genau der Punkt, ich weiß es eben nicht. Entweder ich vertraue dem Secure Element, oder ich kann heimgehen.
Genau das ist bei der BitBox02 eben nicht so. Deswegen sind Ledger Geräte nicht unsicher, aber deine Aussage von oben, so wie Ledger es macht wäre besser, ergibt absolut keinen Sinn. Die BitBox02 nutzt schließlich auch den TRNG eines vergleichbaren Secure Chips als Zufallsquelle, aber eben nicht nur.
Ich hab ja höchstens geschrieben, dass sich das gut anhört wie Ledger das schreibt.
Und du hast ja selber geschrieben, dass die beste Quelle die Sicherheit maßgebend entscheidet.
Ist die jetzt bei Ledger besser? Wir wissen es nicht.
Somit hat Ledger mit seiner Aussage ja recht und das Aufteilen bei der Bitbox ist eigentlich kein Vorteil, sondern nur eine Absicherung, falls die Quelle der besten Zufälligkeit mal nicht so gut ist.
Und dass der Seed bei der Bitbox im Klartext rumliegt, ist also gut? Dann liegt der doch besser im Closed Source Secure Element und man hat nur die Möglichkeit, den Weg raus zu kontrollieren.
Eine zusätzliche Absicherung ist ein Vorteil, oder nicht?
Deine Aussage grade: Sich beim Klettern nicht abzusichern ist doch kein Nachteil, solange man nicht abrutscht.
Der Seed liegt nicht im Klartext rum…
Beim Verwenden muss er natürlich entschlüsselt vorliegen, sowohl beim Ledger als auch bei der BitBox02. Bei beiden wäre es technisch ohne Probleme möglich – sofern die Firmware das vorsieht – den unverschlüsselten Seed zu exportieren, also verstehe ich dein Argument hier nicht.
Und der bleibt beim Ledger doch immer verschlüsselt im Secure Element. Mit der neuen Option wird er doch auch im Secure Element aufgeteilt und verschlüsselt weitergegeben oder verstehe ich das falsch?
Wie landet der Seed bei der Bitbox auf der SD-Karte? Verschlüsselt?
Was meinst du mit „immer verschlüsselt“? Irgendwie musst du Transaktionen unterschreiben, und das geht schlecht mit einem verschlüsselten Seed. Irgendwie muss dir der Seed auch auf dem Display angezeigt werden, also den Secure Element „verlassen“.
Ich verstehe langsam nicht mehr worauf du überhaupt hinaus willst? Welches Argument willst du machen?
Nein, unverschlüsselt.
Der Seed landet auch unverschlüsselt auf einem Blatt Papier. Wo ist dein Punkt?
Also ich fasse mal mit meinen begrenzten Sachverständnis das Wesentliche wie folgt zusammen:
Hardware-Wallets können den Seed - das Wichtigste überhaupt also - technisch übertragen.
Ob meine Hardware-Wallet sicher vor Betrügereien durch den Hersteller ist: Kann niemand sagen. Vielleicht hat er den Seed schon seit ich ihn erstellt habe ?
Das heilige Mantra: „Not your keys - not your coins“ gilt damit nur noch soweit, dass man hoffen muss, dass die (neue) zentrale Vertrauenspartei (die man ja immer meiden sollte) - nämlich der Hardware-Hersteller - nicht kriminell ist, als er das Teil programmiert und in den Verkauf gegeben hat.
Für meinen Laienverstand heißt das: So groß (wie früher immer behauptet) ist der Unterschied zum „Ich lasse die Coins auf der Hot Wallet irgendeiner Börse“ auch nicht mehr. Da habe ich sogar noch die theoretische Chance, dass mich der Anbieter entschädigt, wenn er gehackt wird.
Kann naiv sein, dass ich das nicht eher gecheckt habe, aber das Gefühl der „Unangreifbarkeit“ durch die "Eigen"Verwahrung auf der Hardware-Wallet ist komplett dahin. Und die Unsicherheit, ob die Coins nicht doch irgendwann von der Hardware-Wallet verschwunden sind, die wird bleiben nach dieser Erkenntnis.
Ich gebe @Xander an der Stelle volkommen recht und wollte vorhin schon das gleiche schreiben. Bitte kehre mal wieder zu einem vernünftigen Diskussionston zurück!
Wenn ich als Hersteller mit closed-source Code betrügen wollte, würde ich wahrscheinlich genauso vorgehen. Ich würde den RNG bzw. die Verarbeitung so aufbauen, dass sie nicht wirklich zufällige Zahlen generieren.
Stattdessen sollten die Zahlen von mir reproduzierbar sein, wobei unterschiedliche Geräte trotzdem mit sehr hoher Wahrscheinlichkeit unterschiedliche Zahlen erzeugen müssen, damit es nicht auffällt.
Das ist sehr einfach umzusetzen, z.B. indem der gefakete „RNG“ einfach vorbereitete Zahlen liefert, die noch mit einem mir bekannten Geräte-spezifischen Salt verheiratet werden. Alternativ kann ich auch einfach auf jedem verkauften Gerät vorab eine Liste von echten, unterschiedlichen Zufallszahlen hinterlegen.
Kein Tester hätte eine Chance das herauszufinden. Trotzdem könnte ich zu beliebigen Zeitpunkten irgendwelche Wallets leerräumen; am besten nur einen winzigen Bruchteil der verkauften Wallets. Und zwar ohne dass die Geräte jemals eine Internetverbindung benötigt haben.
Das funktioniert übrigens nur, wenn der Code zur Erzeugung und der Code zur Verarbeitung der Zufallszahlen nicht open-source ist.
Wenn der Verarbeitungs-Code wie z.B. bei der Bitbox open-source ist, kann ich nachvollziehen ob alleine den RNG-Zahlen vertraut werden muss, oder ob diese noch mit Zufallszahlen anderer Elemente vermischt werden.
Beim Ledger ist der Seed niemals im Arbeitsspeicher des Microcotrollers, das ist richtig. Allerdings hat @Stadicus ja schon einiges dazu geschrieben:
Wenn man sich das genau überlegt muss man einigen Instanzen vertrauen
Soweit mir bekannt ist, verwendet Ledger keinen selbst entwickelten Secure Chip, sondern einen des Herstellers STMicroelectronics. Ledger bekommt sicher auch keinen kompletten Einblick in die Chip Architektur. Das heißt der Kunde muss Ledger vertrauen und Ledger muss STMicroelectroncs vertrauen und STMicroelectroncs muss darauf vertrauen das ihre Design und Produktionslinien durch korrupte Ingeneure oder infiltrierte Computersysteme nicht so verändert werden dass Angriffe möglich werden.
Die US Geheimdienste haben bereits im Kalten Krieg Designpläne sowjetischer Chips unbemerkt so verändert dass diese im Einsatz Fehler verursacht haben. Als die Sowjets es bemerkten waren schon viele Millionen Chips produziert und der Schaden in verbauten Komponenten verursacht.
Natürlich würde die NSA oder sonst ein großer Geheimdienst heute so was nie versuchen
So schaut’s aus. Was mich als Laie rückblickend nur stört, ist die seit Jahren schon mantraartig vorgetragene Aussage, dass zentrale Börsen so gefährlich und Hardware-Wallets dagegen so unfassbar sicher sind. Der Seed könne das Gerät gar nicht verlassen usw.
Dank Ledger wird diese Diskussion nun viel breiter und endlich auch ehrlicher geführt. Die Hardware-Wallets sind also - ausreichend kriminelle Energie der Hersteller vorausgesetzt - sehr leicht abzuräumen.
Oder man wartet auf den Tag X und räumt alle Wallets gleichzeitig leer. Und verschwindet dann. Wäre evtl. noch schlauer.
Ja ich weiß, das tut weh, so was zu lesen und der erste Reflex ist es, das als „unwahrscheinlich“ oder völligen Nonsens abzutun. Aber Fakt ist, man muss sich dieser Debatte stellen und seine eigene Risikostruktur jetzt neu definieren. Ich bsp. werde meinen - bislang für sicher gehaltenen Bitcoin-Anteil - im Gesamtportfolio reduzieren müssen, da sich das Risiko von „ich kann nur pleite gehen, wenn ich den Seed verliere“ hin zu „ich kann nur pleite gehen, wenn der Hersteller meines USB-Sticks kriminelle Bereicherungsabsichten hat“ doch recht radikal verändert hat.
Ein in Stahl gehauener Seed nutzt mir nichts, wenn ich rein theoretisch nicht mal der Einzige sein könnte, der ihn besitzt.
An der Stelle muss ich aber doch nochmal einhaken, weil wir uns in der Diskussion bisher auf rein technische Aspekte beschränken.
Wenn du Gedankengänge wie deine weiter verfolgst, wären bei Bitcoin auch andere unschöne Szenarien möglich, wie z.B. Double Spend Versuche durch Zusammenschluss betrügerischer Mining Pools etc. . Viele solcher Szenarien sind aber trotz technischer Machbarkeit sehr unwahrscheinlich, da die Angreifer sich am Ende selbst schaden würden (spieltheoretisches Argument).
Mit demselben Argument wäre es aber auch für Hersteller führender Hardware Wallets unsinnig, einen Exit Scam hinzulegen.
Erstens ist Ledger eine ganz normale Firma in Mitteleuropa, wodurch ein Exit Scam auch ein Leben auf der Flucht bedeuten würde. Zweitens müssten die Betrüger sehr schnell mit dem Verkauf der Coins sein, da diese bei Bekanntwerden des Betrugs rapide an Wert verlieren würden.
Selbst im Szenario, dass Ledger nur jede 1000. Wallet leerräumen würde, hätten sie ein großes Risiko, dass das bekannt wird und ihnen die komplette Geschäftsgrundlage entzieht.
Man sollte sich also bei Diskussionen wie dieser hier bewusst sein, dass man bisher ausschließlich über technische Machbarkeit spricht.
Das soll natürlich nicht heißen, dass man die technischen Aspekte nicht kontinuierlich öffentlich challengen und vergleichen sollte. Das ist letztlich der Marktmechanismus, der für Verbesserungen sorgt.
