Wie das Schlagwort bereits verrät, möchte ich gerne ein multisigwallet machen.
Jetzt bin ich jedoch etwas unsicher bezüglich des Setups.
Persönlich hätte ich eine Bitbox und zwei Ledger.
Welche Konstellation würdet ihr empfehlen?
2 x Ledger + Bitbox
1x Ledger + 1x Bitbox + 1 x Softwarewallet (aktuell tendiere ich zu dieser Variante, da ich nicht von einem Hersteller abhängig wäre, jedoch stellt sich mir die Frage ob das Softwarewallet ein gewisses Risiko darstellen würde, welches ich mit 3 hw nicht hätte)
3 x Bitbox ? (Größtes Vertrauen, verifizierung der xpubs, benutzerfreundlich) wenn ja? 3 unterschiedliche seeds mit dem gleichen device erzeugen oder definitiv je Device ein Seed?
Danke für die rasche Antwort. Also das Erstellen an sich sollte kein Problem sein. Aber ja da stimme ich dir voll und ganz zu. Mal auf die schnelle so ein Wallet machen, kann ohne das nötige Wissen gewaltig nach hinten los gehen. Hab mich die letzten Tage schon ein bisschen reingefuchst und entsprechende Foreneinträge bzw. Beiträge durchgeschaut.
Dazu hätte ich noch eine Frage. Mir ist klar, dass jedes Device im Notfall auch ein Rettungsanker sein könnte, wenn es mit dem entsprechenden Wörtern aufgesetzt wurde.
Würde jedoch grundsätzlich aus anderen Sicherheitsaspekten etwas dagegensprechen mit einer Bitbox alle drei Seeds zu erzeugen?
Ich wüsste nicht, was dagegen spräche. Die Mnemonic Seeds (ggf. inkl. Mnemonic Passphrase) musst du ja ohnehin für jeden am Multisig beteiligten Seed sichern. Wichtig wäre nur, daß du darauf achtest, daß kein Mnemonic Seed unverschlüsselt digital gespeichert wird. Idealerweise bleibt ein Mnemonic Seed immer offline, nur physisch gesichert (aufgeschrieben, haltbar eingraviert o.ä.).
Ich weise mal auf ein DIY-Projekt im Zusammenhang mit Multisig-Setups hin, das vielleicht konzeptionell und von den Kosten interessant ist: SeedSigner, air-gapped
Vorteile: günstig; Einkauf der Komponenten offenbart keine Crypto-Rückschlüsse; SeedSigner speichert keinerlei wichtige Informationen, bei Diebstahl des Geräts also keine Gefahr einer Kompromittierung; true air-gapped, Daten werden bevorzugt nur per QR-Codes übertragen
Nachteile: einfache Datenübermittlung nur über QR-Codes, d.h. verwendete Wallets sollten damit klarkommen; jeder Seed muss vor Verwendung stets in den SeedSigner eingelesen werden, d.h. entweder „einfach“ über einen QR-Code oder „umständlich“ über Eingabe am Gerät (das sehe ich etwas kritisch, auch wenn der QR-Code offline und manuell erstellt wird, trotzdem muss man ihn zur Hand haben (empfehlenswerte Absicherung wäre eine Mnemonic Seed Passphrase)
Puhh… ehrlicherweise für mich persönlich keine Option. Da ich mich in der Handhabung mit HW Wallets sehr sicher fühle, möchte ich dementsprechend auch hauptsächlich darauf zurückgreifen.
Das Vertrauen ggü. einem einzelnen Hersteller hast du schon selbst angesprochen. Der Normaluser und selbst fachfremde Entwickler kennen sich nicht gut genug aus, um Betrug in Soft- oder Hardware selbst entdecken zu können. Vertrauen ggü. dem Hersteller und (unabhängigen?) Experten gehören also zwingend mit dazu.
Geräte und Hersteller sollten also möglichst bewährt und bekannt sein, sowie einen transparenten und „vertrauenswürdigen“ Eindruck machen. Z. B. bei Kommunikation, Umgang mit Problemen, umfangreiches Bereitstellen von Informationen etc. .
Hinzu kommen vom Anbieter ungewollte Sicherheitslücken. Beispielsweise Fehler im Hardware-/Software-Design oder der Implementierung. Aber auch Betrug innerhalb der Supply Chain (CFSI).
Alles potentielle Probleme, die jeden einzelnen Hersteller betreffen können. Aber mit wesentlich geringerer Wahrscheinlichkeit mehrere Hersteller gleichzeitig (außer sie entwickeln gemeinsam oder verbauen identische komplexere Teile).
Ich würde wahrscheinlich drei dieser HW Wallets für Multisig in Betracht ziehen:
Bitbox
ColdCard
SeedSigner
CoboVault
Nach meinen persönlichen Vertrauensmaßstäben liegt die Bitbox weit vorne.
Kann aber bzgl. Multisig mit diesen Geräten nicht aus Erfahrung berichten.
Würde ein multisig-Setup mit einmal Softwarewallet + je ein HW von einem unterschiedlichen Hersteller in Anbetracht dessen Sinn machen? Also die Frage ist explizit auf das Risiko eines Softwarewallets bezogen.
Oder würdest du im direkten Vergleich 3x HW (min. 2 selber Hersteller vorziehen) ?
Das sind eig. meine letzten Fragen. Hab deine Beiträge auch schon in anderen Posts gelesen und mir darüber Gedanken gemacht, jedoch würde mich brennend der Aspekt eines Softwarewallets in solch einem Setup interessieren.
Schwierige Frage. Ich hatte mich das auch schon einmal gefragt, aber noch nicht wirklich durchdacht.
Nachdem ich selbst mit einem solchen Setup keine Erfahrung habe, kann ich nur herumtheoretisieren. Vielleicht kann @Stadicus noch etwas dazu sagen?
Auf Anhieb fällt mir kein großer Nachteil ein, sofern man zwei HW Wallets verwendet, welche ihren eigenen xpub anzeigen und auch die beiden Cosigner xpubs registrieren können (z.B. Bitbox und Coldcard).
Letzteres sollte sowieso selbstverständlich sein, da ansonsten die Wallet Software zur Verwaltung der Multisig Wallet ein großes Sicherheitsrisiko darstellt.
Eine kompromittierte Software Wallet könnte deinem Multisig Setup z.B. einen falschen dritten (dir unbekannten) xpub unterjubeln. Deine Coins würden dann auf Adressen landen, auf die du ohne den Angreifer/Erpresser nicht mehr zugreifen kannst.
Wird aber bei der Multisig Einrichtung auch der xpub der SW Wallet auf den beiden HW Wallets registriert, und die Empfangsadressen jedes Mal auch auf beiden HW Wallets geprüft, sollte das eigentlich kein Problem sein.
Wäre aber gut wenn sich noch jemand mit Erfahrung und Expertise dazu äußert.
Die Software-Wallet ist nur so sicher, wie der genutzte Computer und könnte die Private Keys vor Malware kaum bzw. nicht schützen. Wenn du einen dedizierten Offline-Rechner oder auch einen offline-bleibenden verschlüsselten TAILS-Bootstick für die Softwarewallet benutzt, ist die Sicherheit der einer Hardware-Wallet nahezu äquivalent, von Details abgesehen.
Das Handling beim Signieren mit einem Offline-Rechner macht natürlich weniger Spaß. Der Offline-Rechner bliebe im Prinzip air-gapped und stets offline. Die dortige Software-Wallet könnte aber unter Beachtung von strikten Sicherheitsmaßnahmen Updates bekommen, nur eben nicht durch eine Online-Verbindung, sondern per sicherem Datenträger und Turnschuh-Netzwerk (Sneakernet). Wenn man Updates auf so einen Offline-Rechner machen möchte oder muss, darf auf diesem Weg keinerlei Malware das Air-gap überwinden. Das muss man sicherstellen, ohne Wenn und Aber.
Hardware-Wallets sind der Theorie nach (meist auch der Praxis) ja immun gegen Malware auf dem Rechner, an dem sie angestöpselt werden, wenn eine USB-Verbindung benötigt wird.
Multisig bietet enorm viele Setup-Möglichkeiten, für ganz unterschiedliche Einsatzzwecke und Threat Models. Du erwähnst zwei Eigentschaften:
Software-Wallet + Hardware-Wallets
Da spricht grundsätzlich nichts dagegen, solange man sich bewusst ist, dass die Software-Wallet nicht viel zur „transaktionalen“ Sicherheit beiträgt. Beim Signieren von Transaktionen verlässt du dich dann grösstenteils auf die eine Hardware-Wallet(s), welche du aktiv nutzt. Der Computer oder das Smartphone schützt eher gegen eine bösartige Hardware-Wallet als gegen einen Hacker.
Da du mit diesem Setup wahrscheinlich die SWW + eine HWW zuhause hast, kannst du jederzeit Transaktionen signieren, ohne die HWW in einem Schliessfach o.ä. zu holen. Damit schützt es nicht gegen die $5 Wrench Attack (du wirst mit Gewalt gezwungen, die Wallets zu entsperren und deine Bitcoin zu transferieren).
Dieses Setup kann aber Vorteile beim Backup haben, da du z.B. bei 1x SWW + 2x HWW die Wiederherstellungswörter getrennt aufbewahren kannst, und trotzdem eine gewisse Redundanz hast.
Mir persönlich wäre der Sicherheitsgewinn der SWW aber zu gering. Mit diesem komplexen Setup kannst Du dann gleich komplett auf Hardware-Wallets aufbauen.
Nutzung HWWs von verschiedenen Herstellern
Grundsätzlich eine gute Idee, da du somit gegen eine Sicherheitslücke bei einem einzelnen HWW-Typ abgesichert bist. Und auch eine bösartige HWW keine Möglichkeit hat, dir die Bitcoin unter dem Allerwertesten wegzuziehen.
Wichtig ist, wie von @skyrmion geschrieben, dass alle HWW die Co-Signer kennen. Damit scheiden Ledger und Trezor aus. Auch bei SeedSigner bin ich mir nicht sicher, ob dieser sich die Co-Signer merkt.
Auch zu beachten: verschiedene HWW erhöhen die Komplexität. Wenn jemand anderes auf deine Bitcoin zugreifen muss (z.B., weil’s du nicht mehr kannst), ist das eine zusätzliche Hürde zum ohnehin komplexen Multisig-Setup.
Persönlich bin ich mit mehreren BitBox02 HWW am besten bedient (ja, muss ich wohl sagen… ist aber so ;)) Ich nutze Sparrow, allerdings ohne SWW. Gewisse Co-Signer, mit denen ich selten oder nie zu signieren plane, habe ich auch auf der BitBox02 als neue Wallet erstellt, Backup gemacht, in Sparrow angelernt, und dann das Gerät zurückgesetzt. Wenn ich damit signieren müsste, würde ich einfach das Backup wiederherstellen, so brauche ich nicht so viele physische Geräte.
Ein kleines Verständnisproblem habe ich noch (hat nur bedingt mit dem Thema zu tun) - eine kurze Antwort würde reichen
Mit einer Passphrase mische ich den Mmemonic Words einen Salt bei, woraus dann ein komplett anderer Seed entsteht. Auch wenns noch so unwahrscheinlich ist, könnte jemand mit komplett anderen 24 Wörten auf den gleichen Seed kommen, richtig? Damit hätte er auch die selben Adressen und auch Zugriff auf das Wallet?
Ändert multisig daran was? Hat man hier letztendlich (ausgenommen einzelner Privatekey) nur die Möglichkeit eine Transaktion zu machen mit mehreren Signaturen oder könnten einzelne 24 wörter auch wenn ich vorher 5 mal euromillionen gewinne den vollen Zugriff auf solch ein Wallet gewähren?
Mathematisch nicht unmöglich, aber Wahrscheinlichkeit praktisch nahe Null. In der Grafik im Abschnitt „BIP32 Root Key Derivation“ geht die Mnemonic Seed Passphrase mit den Mnemonic Seed Wörtern in eine PBKDF2 (Password Based Key Derivation Function) ein, die 2048mal mit SHA-512 gehasht wird.
Den Fall, den du ansprichst, wäre, daß jemand Mnemonic Seed Wörter fände, die nach Durchlaufen dieser 2048fachen Hash-Mühle, denselben 512-Bitstrom wie deine Mnemonic Wörter+Passphrase nach der Hash-Mühle ergeben.
Ich postuliere mit „meinem gefährlichen Halbwissen“, daß dies mindestens 2^256mal näher bei Wahrscheinlichkeit Null ist, als einen „beladenen“ Seed von 256Bit Entropie zu erraten.
Ja, bei Multisig musst du die mindestens erforderliche Anzahl an Signaturen von an Multisig beteiligten Private Keys in der Transaktion präsentieren, ansonsten wird das Ausgabe-Script für die auszugebende(n) Coins nicht erfüllt und die Transaktion ist ungültig. Du kannst also nicht irgendeinen einzelnen magischen Private Key oder Seed finden, der für sich allein ein Multisig-Ausgabeskript erfüllen könnte.
Wieso sollte in diesem Sonderfall die Wahrscheinlichkeit geringer sein? Nur weil ich eine Passphrase nutze bin ich doch nicht besser vor einem Brute Force Angriff auf den Seedwert geschützt. Ein zufällig gleicher Seed bleibt genau gleich unwahrscheinlich, das ist doch eine reine SHA-512 (schwache) Kollisionsfrage, oder?
Nach 2512/2 = 2256 unterschiedlichen Inputs habe ich mit 50% Wahrscheinlichkeit irgendeinen einen doppelten Seed gefunden, egal ob ich mit der Passphrase, der Mnemonic, oder beidem gesucht habe.
Ich auch, aber das ist ja sowieso eine komplett realitätsferne Fragestellung mit abartigen Zahlen, dann ist das nicht so schlimm…
Wahrscheinlichkeitsrechnung war noch nie meine Stärke, aber die Hälfte des Suchraums von 2^512 ist 2^511 ((2^512)/2=2^(512-1)) und nicht 2^(512/2). Ist aber auch egal, da das eine oder andere zufällig zu finden, fantastilliardisch unwahrscheinlich ist und praktisch zu Null gesetzt werden kann.
Schon klar, ich hab hier auf näherungsweise \sqrt{2^{512}} Hashes für 50% Kollisionswahrscheinlichkeit angespielt → birthday paradox.
Du musst nicht den halben Schlüsselraum absuchen um mit hoher Wahrscheinlichkeit einen (nicht den einen, sondern irgendeinen, also starke Kollisionsresistenz) doppelten Seed zu finden.
da hätte ich auch mal 'ne Frage:
wenn ich ähnlich wie @Stadicus nicht für jeden Co-Signer eine eigene HWW kaufen will/kann, genau genommen gerne eine Multisig aufsetzen möchte obwohl ich zur Zeit nur eine BB habe- ist es dann nicht eigentlich möglich die weiteren Co-Signer mit Hilfe von passphrases zu erstellen? So hätte man mit einem Gerät alle drei Co-Signer-Seeds verwaltet ohne die BB mit diversen backups wiederherstellen zu müssen…
Klar sind weitere physische HWW vorzuziehen und werden auch kommen, aber die Nachteile der Lösung mit einer HWW (man vertraut nur einem Hersteller / kein Zugang bei defektem Gerät) hat man ja auch wenn man nur ein Gerät ohne Multisig nutzt.
