Ok, habe nachgefragt: alle Fremdwallets (ausser Electrum) nutzen das „Hardware Wallet Interface“ (HWI). Dieses Interface unterstützt das initiale Pairing nicht, da es nicht für Benutzerinteraktion ausgelegt ist. All diese Wallets verwenden das Pairing, welches du bereits zwischen BitBoxApp und BitBox02 durchgeführt hast.
Die Verbindung Sparrow Wallet <> BitBox02 ist daher genauso sicher wie BitBoxApp <> BitBox02. Es muss einfach das initiale Pairing mit der BitBoxApp durchgeführt werden.
Hey Leute,
ich habe nun mein Multisig doch jetzt schon erstellt, da ich meine Gründe hatte dies zu tun, ich habe bis jetzt alle Backups erstellt und auch schon eine kleinere Menge ein und ausgezahlt, umzusehen, ob alles funktioniert. Habe auch schon einmal alle 3 BitBox02 auf Werks Einstellungen zurückgesetzt und das Backup zu überprüfen und alles funktioniert einwandfrei.
Die letzte Frage, die ich jedoch noch habe, ist:
Ich habe die 3 xPubs in der Blue Wallet als Watch only hinzugefügt und dort ist mir aufgefallen, dass es egal ist, in welcher Reihenfolge man die 3 xPubs hinzufügt, man bekommt immer die richtigen Adressen, mich würde jetzt interessieren wie das technisch umgesetzt wird, dass man immer dieselben Adressen bekommt egal in welcher Reihenfolge man die 3 xPubs hinzufügt.
Freue mich auf einer Antwort
So wie ich die Multisig BIPs verstehe, werden die Public Keys bei der Erzeugung einer Adresse immer alphabetisch sortiert (inkl. Zahlen).
Deshalb vermute ich, dass die Wallet Software das automatisch im Hintergrund erledigt.
Soll eine Adresse generiert bzw. angezeigt werden, leitet die Software von jedem xpub den jeweils n-ten Public Key ab.
Anschließend werden die Keys sortiert in einem Script Code eingefügt, und dieses Script gehashed.
Der Hash ist dann die n-te Adresse dieses Multisig Accounts.
Das ist korrekt, die public keys werden per Adresse sortiert 
Hallo Goldschmied,
wenn du hast das Ziel mehr Sicherheit für Deine Coins zu erzeugen, indem Du die Keys aufteilst, dann solltest Du Dir mal Shamir’s Secret Sharing ansehen, das kommt Deinem Usecase wesentlich näher und ist wesentlich simpler. Komplexität in der Sache sorgt aus meiner Sicht ehr für mehr Risiken als für mehr Sicherheit.
Shamir’s Secret Sharing: Du hast 3 x 24 Wörter und benötigst 2 Sätze davon um deine Hardwallet wieder herzustellen. Ansonsten kannst Du alle TX mit einer HW signieren.
Nur so eine Idee.
Gruß
KaiRo
Verwechselst du das gerade mit dem einfachen Mnemonic Split?
Falls nicht:
SSS ist in meinen Augen auf keinen Fall simpler oder weniger komplex als eine Multisig! Du hast das Risiko in irgendeiner Form die Parts zu generieren zu müssen, zum Beispiel mit dem Iancoleman Tool.
Das muss dann auf einem wegwerf/offline OS (z.B. Tails) geschehen, aber selbst dann habe ich nicht die Sicherheit einer richtigen Hardware Wallet. Spätestens hier muss man einem blutigen Anfänger von SSS abraten, da es jetzt schon zu viele potentielle Fehlerquellen gibt.
Dazu kommt dass es generell sehr schwer ist die Parts richtig zu verwahren, da diese eben nicht einfache 24 Wörter sind, die man ohne Probleme notieren kann. Auch das Wiederherstellen ist problematisch. Erstens weil man im Notfall nur über einen Umweg an seinen Seed kommt und zweitens weil man, wie auch beim Setup, wieder an Software ran muss und nicht direkt mit der Hardware Wallet arbeiten kann.
Immerhin hat man keinen Avalanche-Effekt (wie bei kryptographischen Hashfunktionen), also ein kleiner Übertragungsfehler verändert nicht das ganze Resultat, trotzdem ist eine Mnemonic mit Checksumme die von einer Hardware Wallet verifiziert wird deutlich besser geeignet. Und auch kleinere Fehler können schnell zu einem kaputten Wort führen:
Man spricht wegen der Fehleranfälligkeit und weil es auf den ersten Blick so perfekt klingt auch oft von Shamirs Secret Snakeoil:
In Bitcoin, Shamir Secret Sharing by itself has almost no valid use: Most threat models that could be defended using SSS are much better defended by multisig particularly because recombining shares of a private key on a device leave the key exposed to malware or a malicious user of the device which are usually the most important threats to protect against.
Entweder man setzt auf den oben verlinkten einfacheren Split und nimmt den Entropieverlust auf 80 bit in Kauf, was für den normalen Nutzer massig ausreichend ist oder man verwendet eine optionale Passphrase (oder eben Multisig).
(SLIP39 mit z.B. einem Trezor ist nochmal eine andere Geschichte - weil es nicht DIY ist - aber würde ich wegen der geringen Verbreitung auch nicht nutzen wollen)
@skyrmion Ich finde das irgendwie witzig. Bin gerade nochmal auf das Video von Antonopoulos dazu gestoßen und muss ihm mittlerweile einfach komplett widersprechen… Laut dem Video soll man
Sieht in der Kommentarsektion aber ähnlich aus.
Da hast du recht! 
Ein bisschen widersprüchlich zu den 80 Bit sind auch seine Empfehlungen zur Passphrase Länge, die Coldbit mal zusammengetragen hatte (Wie ich persönlich mein Krypto sichere - #14 von skyrmion).
Der Denkfehler ist glaube ich immer der gleiche. Irgendwie „fühlt es sich so an“, als würde man durch einen Split direkt Sicherheit verlieren. Dabei ist das eben nur bei Leaken einer Sicherung der Fall.
Fairerweise könnte man unterstellen, dass man evtl. nicht weiß ob jemand schon eine Sicherung kennt. Aber selbst dann ist es besser, als wenn jemand gleich alle 24 Wörter gefunden hätte.
Aber gut zu wissen, dass der Meister selbst auch ein Mensch ist.
Sehe ich wie du!
Mathematisch wunderschön elegant und einfach, wie auch RSA; Shamir ist schon genial.
Aber in der Praxis aus den von dir genannten Gründen nur von absoluten Experten zu gebrauchen.
Ok, zugegeben, die Kryptographie dahinter habe ich mir nicht genau angesehen. Aber die Umstetzung ist mit dem Trezor ziemlich simpel. Man bekommt einfach 3,5,7 usw. mal 24 Wörter, die man dann einfach aufteilen kann. Das erhöht offenbar nicht die Sicherheit der einzelnen Passprase, nimmt aber das Risiko sich auf die unversehrtheit einer einzigen Passprase verlassen zu müssen raus.
Konkret meine ich das hier → Shamir Backup - Trezor Wiki
Ich wusste ehrlich gesagt nicht, dass der Trezor SSS implementiert hat. Damit fällt der große potentielle Nachteil weg, dass man einen sauberen Offline PC für die Ver- und Entschlüsselung verwenden muss. Allerdings nur, wenn man einen Trezor benutzt!
Man schränkt sich damit enorm ein. Ich würde beispielsweise keinen Trezor verwenden, da er kein Secure Element hat. Aber von der Technik habe ich auch nicht so wirklich viel Ahnung.
Bei Multisig verlässt du dich auf einen unter vielen Herstellern verbreiteten Standard, den du auch in Jahrzehnten mit unterschiedlichen Geräten umsetzen kannst. Beim SSS wäre ich mir da (bei Bitcoin) nicht so sicher.
Und es gibt einen entscheidenden Vorteil von Multisig ggü. SSS und Mnemonic Split:
Nur bei einem Multisig Setup muss man keinem einzelnen Hardware Hersteller mehr vertrauen! Ein einzelnes Gerät darf gerne meine Keys nach Hause senden; bei Multisig hätte ein betrügerischer Hersteller nichts davon.
Deshalb würde ich z.B. nicht dreimal den gleichen HW Typ verwenden, sondern drei unterschiedliche Geräte. Ansonsten nutzt man einen entscheidenden Vorteil von Multisig ja gar nicht.
Die Kryptographie steht außer Frage. Das zweifelt hier ziemlich sicher niemand an.
Okay, das kann gut sein. Das habe ich mir noch nie genauer angesehen aber ist sicherlich eine Option wenn man einen Trezor ohnehin schon nutzt.
Ich sehe da nur wie oben schon erwähnt dann das „Problem“ dass SLIP39 ein weniger verbreiteter Standard ist und ich beim Wiederherstellen auf wenige Anbieter angewiesen bin.
Und es besteht halt die Frage ob der SSS Vorteil größer als der Nachteil durch den fehlenden Secure Element ist…
Doch schon. Du hast durch das SSS Scheme keinen Entropieverlust, d.h. ein einzelnes Backup genießt (bei 33 Wörtern) weiterhin die vollen 256 bit. 1/3 bedeutet mit SSS mathematisch sozusagen 0/3, das ist ja das geniale daran.
Klar, und ich verstehe auch die Richtung in die er mit seiner Argumentation gehen will, deswegen habe ich seine Meinung ja anfangs auch geteilt.
Er will klar machen dass 80 bit eben nicht „die hälfte“ von 256 bit ist, sondern wie gigantisch groß (in absoluten Zahlen) der Unterschied ist. Wahrscheinlich sieht er, wie wir auch, das Risiko dass sich die Nutzer zu sehr in Sicherheit wiegen und ihre Backups auf dem Schreibtisch rum liegen lassen.
Danke für die Antworten, wie immer sehr hilfreiche.
Verstehe dein Argument, aber was die BitBox02 angeht vertraue ich halt keiner anderen HW als dieser, da alle anderen entweder nicht Komplet open source sind oder kein Secure Element haben.
Bin vermutlich auch nicht der Einzige hier der 3x dieselbe HW Wallet verwendet und nicht 3 verschiedene.
Mit drei unterschiedlichen Geräten musst du überhaupt keiner einzelnen HW Wallet mehr vertrauen, auch nicht der Bitbox.
Meine Kandidaten wären z.B.:
Aber ich gebe dir recht, dass die Bitbox in puncto Sicherheit die meisten Features an Board hat.
Wäre für mich jetzt kein Argument.
Wollte ich eigentlich nicht als Argument anbringen, sondern eher als eine Tatsache 
Also findest du es „unsicher“, dass ich 3x die BitBox02 verwende?
Nein, das will er damit nicht sagen, sondern nur, dass du damit auf einen der Vorteile von Multisig verzichtest.
Von „unsicher“ ist bei deinem Setup sowieso nicht die Rede!
Ich würde wahrscheinlich auch ausschließlich auf die BitBox02 setzen, nicht weil ich ihr blind vertraue, sondern weil es das ganze Setup in meinen Augen deutlich einfacher macht.
Aber es ist eine Überlegung wert wenn man das Hardware Risiko möglichst minimieren möchte. Da du deine Geräte jetzt aber sowieso schon hast kann dir das eigentlich egal sein.
Hört sich jetzt vielleicht blöd an. Aber ich tue mich sehr schwer damit zu sagen, ob etwas sicher genug ist, oder überhaupt Empfehlungen in der Richtung auszusprechen.
„Sicher“ ist trotz der ganzen Technik, Informatik und Mathematik ein verdammt subjektiver Begriff.
Es gibt sehr viele verschiedene Aspekte von Sicherheit, die man je nach eigener Lebenssituation und Erfahrung gegeneinander abwägen muss:
Kryptographische Sicherheit, Sicherheit der SW Implementierung, Bewährung, Standardisierung, Sicherheit ggü. betrügerischen Herstellern, Fehleranfälligkeit/Robustheit von Wallet und Backup, Toleranz von Sicherungsverlusten, Komplexität evtl. für Erben, etc. .
Weiterhin hängt die optimale Lösung auch davon ab, welche Bedrohungen man unterstellt (Threat Model).
Wenn du z.B. davon ausgehst, dass dein Haus immer zugänglich bleibt, und kein Einbrecher jemals deine Sicherung findet, brauchst du keinen Split oder Passphrase. Wenn du Umweltkatastrophen, Krieg, Brände etc. unterstellst, solltest du in unterschiedlichen Häusern mehrfach sichern (physische Trennung). Wenn du Diebstahl annimmst oder Verwandten misstraust, darf eine einzelne Sicherung noch nicht alle Informationen enthalten (Split, Passphrase, Multisig). Wenn du annimmst der Staat will dir Böses, hinterlässt du keine Spuren. Und so weiter und so fort…
Wenn du z.B. Shiftcrypto voll vertraust, gibt es keinen Grund mehrere Geräte zu nutzen.
Ich versuche hier im Forum immer nur alle Aspekte wenigstens mal zu erwähnen, damit sich die anderen ein eigenes Bild machen können. Das kommt dann vielleicht manchmal sehr kritisch rüber, ist aber nicht so gemeint.
Ab und zu schreibe ich auch dazu, was ich persönlich machen würde. Allerdings nicht, damit der andere es zwingend genauso machen soll.
Ich z.B. würde mindestens zwei unterschiedliche Hardware Wallets verwenden, evtl. drei. Ich würde auch eine 20 Zeichen Passphrase verwenden. Aber deshalb muss sich niemand schlecht fühlen, der das nicht tut. 
Bedeutet das, du verwendet kein Multisig?
Richtig.
Ich habe bis vor kurzem noch ein einfaches Setup ohne irgendwas genutzt und bin erst letztens auf eine optionale Passphrase umgestiegen.
Das wird mir an „Sicherheit“ wahrscheinlich bis auf weiteres reichen, egal wie hoch der Betrag in Zukunft wird.
Aber wie @skyrmion das oben schon sehr schön schreibt:
Was andere machen sollte dich nicht zu sehr beeinflussen. Du hast dich für Multisig entschieden, dich sorgfältig vorher informiert, und das ist super!
Da hast du schon recht, ich hatte mich halt nur interessiert, was ihr/du so verwendest.
Ich will hier nochmal ergänzen, obwohl es nicht wirklich zum Thema passt. Ich persönlich bin kein Freund von Steel Wallets (mehr), weil Ich der Meinung bin, dass man ein Backup auch leicht zerstören und mitnehmen können muss. Mit der Meinung vertrete ich hier sicherlich eine Außenseiterposition. Ich erwähne das hier nur, um das was @skyrmion sagt zu unterstreichen: Sicherheit ist 1. eine sehr subjektive Sache und 2. voller tradeoffs.
In jedem Fall lohnt es sich, über die Szenarien gegen die man sich schützen möchte gründlich nachzudenken.
Ein anderer Aspekt ist die Erweiterbarkeit oder Veränderungsmöglichkeit deines Setups. Ich würde heute ein paar Dinge anders machen, die aber jetzt recht aufwändig zu korrigieren sind. Details behalte ich hier für mich.
