Ledger Seed Phrase

Matze-No-1 · 2. Juni 2023 um 06:20

Guten Morgen liebe Leute,

die Debatte um Ledger in den letzten Wochen hat mich nun doch ein wenig verunsichert. Haben die Hersteller von Hardware wie zB Ledger grundsätzlich Zugriff auf die Seed Phrase der verkauften Hardware oder nur derjenige, welcher die Hardware einrichtet?

Ganz liebe Grüße
Mathias

GBC · 2. Juni 2023 um 06:25

Auch Ledger hat grundsätzlich erstmal wohl keinen Zugriff auf den Seed.

Es gibt lediglich die Möglichkeit, den Seed aus dem Secure Element auszulesen.
Im Prinzip steigt und fällt alles mit der Firmware. Ist die Extraktion dort vorgesehen, geht es auch.

skyrmion · 2. Juni 2023 um 07:05

Außerdem musst du, aufgrund von nicht-öffentlich einsehbarem Code, der Firma Ledger sowieso prinzipiell vertrauen. Da führt kein Weg dran vorbei.

→ Tust du das nicht, kaufe eine andere Wallet.

→ Tust du das, erübrigt sich deine Frage.

So einfach ist das.

Die aktuellen Vorgänge bei Ledger bzw. das neue Feature führen nur dazu, dass die Wallet etwas weniger sicher ggü. Angriffen durch Dritte wird. Das notwendige Vertrauen ggü. der Firma Ledger bleibt dadurch unberührt.

Der Unterschied zwischen Ledger und beispielsweise Bitbox ist, dass man bei der Bitbox den kompletten sicherheitsrelevanten Code einsehen kann.

Ledger könnte im closed-source Code von Anfang an vorbereitete Seedphrases hinterlegt haben, die ihnen also bekannt sind.

Bei der Bitbox benötigst du wesentlich weniger Vertrauen in den Hersteller. Aber komplett ohne geht es nicht.

Lies dir doch einfach mal die Threads der letzten Wochen dazu durch.

Matze-No-1 · 2. Juni 2023 um 07:48

Danke für eure Infos. Kann man denn bei der Bitbox sicher sein, dass der Hersteller keinen Zugriff auf die Seed Phrase hat?

Ansonsten könnten ja ggf bei jeder Hardware Wallet ggf. Mitarbeiter des Herstellers auf die Seed Phrase zugreifen und das Guthaben abziehen / oder die Seed Phrase an Behörden weitergeben usw….

Besten Dank!

GBC · 2. Juni 2023 um 07:53

Nein, wenn du die Komponenten nicht selbst entwickelst, die Box selbst herstellst, den Code komplett verifizierst, selbst compilierst und flashst.

An irgendeinem Punkt musst du ein Mindestmaß an Vertrauen aufbringen, sonst kannst du keine Hard- oder Software verwenden.

Jeder Chip könnte theoretisch anders funktionieren als angegeben und mit Schadcode bestückt sein.

Ich habe eine Bitbox gekauft und lasse sie meine Schlüssel verwalten, ohne schlecht zu schlafen
Eine 100%ige Sicherheit kann es nur geben, wenn du alles selbst machst.

intro_man · 2. Juni 2023 um 07:59

Schön auf den Punkt gebracht.