Mnemonic Split und Passphrase kombinieren?

Hallo zusammen,

das ist mein erster Beitrag hier im Forum, bin auch Anfänger im Space, lese hier aber schon länger mit.
Ich denke schon länger über folgendes Szenario nach:
Angenommen, jemand hat bisher alle seine Coins auf verschiedenen Börsen liegen und hat niemals ein eigenes Wallet besessen. Jetzt will dieser jenige natürlich alles richtig machen und sich ein Hardware-Wallet zulegen, auf welches die Coins übertragen werden. Man entscheidet sich, in Kenntnis des Nachteils einer verringerten Entropie bei Diebstahl eines Teils, für die Sicherung des Seeds als 2/3 Mnemonic Split (denn andere Verfahren wie Multisig /SSSS versteht der jenige schon selbst technisch kaum, und traut das noch weniger der Familie oder potenziellen Erben zu). Die Splits werden in Stahl graviert, versiegelt und zu Hause sowie bei zwei verschiedenen, vertrauenswürdigen Bekannten verstaut. Bei Verlust / Entsiegelung eines der Teile wird unverzüglich ein neues Wallet erstellt.
Ich denke bis zu diesem Punkt sind wir beim einem Standardvorgehen

Jetzt wird sich zusätzlich folgendes überlegt:
Den 2/3 Mnemonic Split kombiniere man mit einer einfachen, schwachen Passphrase, die sich gemerkt wird (Pin). Dies dient nicht primär der Erhöhung der kryptografischen Sicherheit, sondern es sollen lediglich zwei Dinge erreicht werden: 1. Glaubhafte Abstreitbarkeit 2. (mäßiger) Schutz gegen ein Szenario „Verschwörung von Familienmitgliedern“ (die wissen nicht, dass eine Passphrase existiert, sehen im Zweifel nur das geringe Guthaben in der default wallet)
Die Passphrase selber wird als Backup gegen Vergessen / Sicherung Erbe in ein Testament geschrieben und in amtliche Verwahrung gegeben.

Mich würde es sehr interessieren, was ihr von diesem Vorgehen haltet. Sind die von mir beschriebenen „Vorteile“ wirklich relevant, oder übersehe ich hier Dinge, die mir später auf die Füße fallen könnten?

Vielen Dank vorab, ich freue mich über jeden Ratschlag !!

Kann sie auch tasächlich gar nicht. Es kommt am Ende immer ein 256-bit Schlüssel raus.
Kryptographisch ist die Passphrase „nutzlos“.

Deine Punkte 1. und 2. kann ich nachvollziehen und halte sie für valide.

Seedsplitting finde ich aus genannten Gründen nicht gut, aber dein Vorgehen ist plausibel und praktikabel. Eine Schwäche ist natürlich, falls ein Teil verloren gehen sollte und sich dann auch noch die HW Wallet verabschiedet. Unwahrscheinlich, aber die einzelnen Teile haben kein weiteres Backup.

Vielen Dank für deine Einschätzung.

Kann sie auch tasächlich gar nicht. Es kommt am Ende immer ein 256-bit Schlüssel raus.

Korrekt, gemeint war als Schutz vor einem Brute-Force-Angriff bei Verlust eines der 3 Splits.

Eine Schwäche ist natürlich, falls ein Teil verloren gehen sollte und sich dann auch noch die HW Wallet verabschiedet. Unwahrscheinlich, aber die einzelnen Teile haben kein weiteres Backup.

Idee, wie man hier optimieren kann? Zweites, redundantes HW Wallet an sicherem Ort lagern?

Seedsplitting finde ich aus genannten Gründen nicht gut, aber dein Vorgehen ist plausibel und praktikabel.

Hier war mein Gedanke, dass ich im Zweifel noch einmal nachjustieren kann, falls in 20 Jahren die 80 bit nicht mehr sicher vor gewöhnlichen Angriffen sind. Solange die Backups weiter versiegelt sind, müsste ich nicht einmal coins migrieren und könnte eine andere Form des Backups wählen.

Folgender Beitrag sei Dir noch empfohlen:

Ist eine Lösung. Denn das größte Problem entsteht, wenn das Haus abbrennt und, warum auch immer, die Seedplatte nicht überlebt. Oder Platte und Wallet gestohlen werden. Dann sind ein Drittel des Seeds sowie die HW Wallet verloren und man kommt selbst nicht mehr an die Coins.

Ist es nicht so dass bei einem 2/3 Mnemonic Split es reicht wenn ich 2 von den drei Platten habe? So hab ich das zumindest. Soll heißen wenn ich einen Teil - warum auch immer - nicht mehr habe, kann ich mit den anderen beiden immer noch den Seed wiederherstellen.

Korrekt.

Entweder einen 2/3 Split oder optionale Passphrase. Um Redudanz bei der Passphrase zu schaffen brauchst Du allerdings vier Sicherungen. Also eine mehr, als bei dem Mnemonic Split.

Je nachdem wovor Du Dich schützen möchtest macht eine der beiden Lösungen Sinn. Eine Kombination halte persönlich für nicht sinnvoll.

Habe ich tatsächlich geschickt überlesen. Danke
Du hast natürlich Recht.

Seed wird in drei gleiche Teile eingeteilt, ABC.

An die sicheren Orte werden folgende Teile gelegt:

• AB
• BC
• AC

So ist die Redundanz gegeben, aber die Sicherheit schon sehr aufgeweicht, da nur noch 1/3 erraten werden muss.

Zur Einordnung: Wir reden immer noch von 80 Bit Sicherheit.

@rene_p davon also nicht verunsichern lassen. Das ist ausreichend sicher, um bei der Feststellung des komprommitierten Splits seine Bestände auf ein neues Wallet zu transferieren.

Ergänzend: Wird bei der optionalen Passphrase der Seed entwendet, dann schrumpft die Sicherheit auf die Sicherheit der Passphrase.

Wie gesagt, lies Dir nochmal den Beitrag von skyrmion durch und mache Dir bewusst, wovor Du Dich eigentlich schütuen willst. Dann wirst Du sicherlich eine Antwort auf Deine Frage finden und Dein passendes persönliches Vorgehen.

Hier liegt ein weiterer Hund begraben. Es muss sichergestellt sein, dass der Seed nicht ohne Weiteres einsehbar ist. Kann man nicht feststellen, dass jemand daran arbeitet, die anderen Wörter herauszubekommen, spielt die Zeit gegen einen.

Solche Beutel bieten sich an. Natürlich darf nichts von außen einsehbar sein

Das habe ich natürlich vorausgesetzt.

Wie man sicherstellt, dass man feststellen kann, dass Teile des Seeds komprommitierten werden, ist jedem selbst überlassen.

Ich setze tatsächlich auch auf manipulationssichere Beutel.

Und um mal ein weiteres „hier liegt der Hund begraben“ herauszuholen: Natürlich nützen auch die Beutel nichts, wenn ich nicht überprüfe, ob mein Geheimniss komprommitiert wurde. Der Beutel meldet natürlich nichts.

Also klar:
A) Muss ich feststellen können, ob mein Geheimnis komprommitiert ist.
B) Muss ich das natürlich auch überprüfen, ob bspw. der Beutel beschädigt wurde.

Klar, wobei es statistisch bei 80 Bit mindestens einige Jahrzente dauern sollte. Man hat also schon etwas Zeit.

B) Muss ich das natürlich auch überprüfen, ob bspw. der Beutel beschädigt wurde.

Ich bin mir sicher, es gibt methoden (denke an bildgebende verfahren zb. CT-Scan) um deinen in metallplatten eingestanzten seed auch ohne beschädigung des Beutels auszulesen und wieder zurückzulegen
In der Praxis dürfte das aber für 99% der hodler hier keine große rolle spielen.

Bezweifel ich.

CT-Scan funktioniert aus der Überlagerung vieler 1-dimensionaler Aufnahmen. Hier kann man für Metall natürlich annehmen, dass nur die Schichtdicke entscheidend sein sollte, da der Absorbtionskoeffizient über das Volumen konstant sein sollte. Insofern sollten sich Vertiefungen theoretisch erkennen lassen.

Ich halte es allerdings für alles andere als trivial hier einen angemessenen Algorithmus zu entwickeln, um korrekte Voxel zu errechnen.

Häng’ noch ein Komma und sehr viele 9en ran.
Zudem müsste der Angreifer a) über ein entsprechendes Gerät verfügen und b) einen unbemerkten Diebstahl und eine unbemerktes Zurückbringen bewältigen.

Eine $5-wrench-attack halte ich für wesentlich wahrscheinlicher.

Mann könnte ein einfaches Dosimeter mit in den Beutel legen, wenn man auf dem Level Bedenken hat

Hallo zusammen,

das ist auch mein erster Beitrag und dieses Thema passt Perfekt auch für meine Frage, deshalb wollte ich erstmal keinen neuen Thread erstellen.

Folgendes Szenario:
Man besitzt eine BitBox02, diese wird mit einer Passphrase gechützt und die 24 Wörter über eine Steel Wallet mit Mnemonic Split und Passphrase Split an geografisch unterschiedlichen Orten (Schließfächer) aufbewahrt.
Ist es dann nicht viel zu Riskant wenn man den Aufwand schon betreibt die 24 Wörter als Backup auf der SD-Karte zu Speichern und dann irgendwo mit aufzubewahren? Kann man dann nicht lieber einfach die SD-Karte Zerstören und eine neue BitBox02 falls die alte Kaputt ist mit der Steel Wallet einrichten?

Vielen Dank schon mal und LG =)

Willkommen im Forum!

Ja, bei einem Split macht das keinen Sinn.

Brauchst du nicht mehr:

@ ShiftCrypto

Vorschlag: könnte die Bitbox eigentlich nicht optional die Erstellung eines 2/3 Mmemonic Split auf 3 verschiedenen micro sd Karten anbieten?

Oder noch besser: als Shamir’s Secret Sharing (Ähnlich wie Ledger Recovery das ja machen soll, nur eben offline als self custody lösung). Das wäre in meinen Augen mal eine richtig geniale Funktion und ein echtes Alleinstellungsmerkmal.

Edit: Klar erreiche ich damit die physische Wiederstandsfähigkeit und Lebensdauer von steel wallets nicht, aber für viele dürfte dürfte dieses risiko hier überschaubar sein

Danke hat mir sehr weiter geholfen

Hallo HODLer,

der Thread ist zwar schon etwas älter, aber dieses Thema ist für mich sehr interessant. Mich würde interessieren, warum du eine Kombination aus 2/3 Mnemonic Split und Passphrase nicht für sinnvoll hältst.

Ich beschäftige mich erst seit einigen Tagen mit diesem Thema, es kann also gut sein, dass ich etwas missverstanden habe. Aber meine Annahme wäre gewesen, dass die Passphrase eine zusätzliche Sicherheit bei Brute-Force-Angriffen bietet, falls jemand auf Basis von 16 der 24 Wörter versuchen sollte an die Bitcoin zu gelangen.

Es wurde ja kontrovers diskutiert, ob man wegen des Verlusts an Sicherheit überhaupt auf diese Weise splitten sollte. Mehrheitlich scheint die Auffassung zu sein, dass die 80 Bit derweil durchaus noch ein gutes Level Sicherheit bieten. So richtig gut fühlt man sich allerdings bei all den Relativierungen doch nicht. Daher interessiert mich, wie viel „sicherer“ man gegen einen Brute Force Angriff wäre, wenn man beispielsweise eine Passphrase mit zufälligen 20 Buchstaben gesetzt hat, wenn ein Angreifer bereits 16 der 24 Wörter kennt? Falls die Antwort wider Erwarten „gar nicht“ wäre, hätte ich mich sehr über einen Hinweis gefreut, wo ich lernen kann, warum das so ist.

Danke und Gruß

Willkommen im Forum!

Hier meine Meinung dazu…

Ja, das wäre natürlich so.

Eine Passphrase mit 20 kleinen und großen Buchstaben würde alleine schon ca. 114 Bit Sicherheit gegen Brute Force Angriffe bieten.

Zusammen mit dem Split wäre das mehr als genug. Aber als Diebstahl-Sicherung auch schon alleine ausreichend (ohne Split).

Du solltest sicherheitshalber auch die Passphrase mindestens zwei Mal sichern, hättest dann also fünf Sicherungen zu verwahren.

Wenn du die Passphrase nur ein Mal sicherst, verlierst du zwar nicht den Schutz gegen Diebstahl, aber den Schutz gegen Verlust einer Sicherung. Verlierst du die eine Passphrase-Sicherung, kommst du nicht mehr an die Coins, außer du merkst sie dir zusätzlich auswendig (riskant).

Also fünf unabhängige Sicherungen an unterschiedlichen Orten, was meiner Meinung nach zu viel ist.
Ein Split braucht nur drei Sicherungen, eine Passphrase alleine insgesamt vier (2x Wörter + 2x Passphrase).

Außerdem machst du den Wiederherstellungsprozess nochmal komplizierter. Insbesondere falls nicht du selbst, sondern andere das machen sollten.

Mache dir klar, dass die 80 Bit beim Split ein Schutz nach Diebstahl sind. Vorher hast du die vollen 256 Bit, solange deine Public Keys nicht veröffentlicht sind.
Bei einer einfachen 24 Wort Sicherung hast du vorher denselben Schutz, nachher aber gar keinen mehr.

Falls dir die 80 Bit nicht reichen, weil du immer ein ungutes Gefühl hast und das Maximum herausholen willst, arbeite dich langfristig in Multisig ein und verwende das, sobald du dich sehr gut auskennst und ein bisschen damit herumgespielt hast.

Prinzipiell sind deine Gedanken aber richtig. Du musst dir einfach nur überlegen, gegen was du dich schützen willst und miteinbeziehen, welchen Verlust an Sicherheit in anderen Aspekten du in Kauf nimmst. Deine Variante bietet sehr guten Schutz gegen Brute Force und gegen Diebstahl.

Evtl. hilft dir als Gedankenanstoß mein alter Beitrag, den Hodler oben verlinkt hat.