Lies die die seedsigner Homepage durch. Es wird alles erklärt.
Du kommunizierst nur mittels QR Code. Dein Gerät ist nie mit dem Internet verbunden, sondern eben offline.
Dass der Seedsigner nicht checkt, welche Software installiert wird, ist im Gegensatz zu BitBox und Co. übrigens ein krasser Nachteil, der auch gerne verschwiegen wird :-D
1 „Gefällt mir“
Ich habe genau das oben schon erwähnt und dich gefragt, wo der konkrete Vorteil liegt. Hast du dir den verlinkten Blog-Artikel denn mal angeschaut? 
Wenn es eine Schwachstelle gibt, die aus welchem Grund auch immer zur Ausnutzung eine sehr hohe Datenmenge braucht, dann mag das relevant sein.
Umgekehrt gibt es aber auch Nachteile durch eine eingeschränkte und limitierte Kommunikation (Anti-Klepto ist hier immer ein anschauliches Beispiel, wenn auch recht theoretisch – oben bereits erwähnt und verlinkt).
Es ist wie gesagt nicht alles so einfach pauschalisierbar, und schon gar nicht „zu 100%“. Du scheinst da weiter dran festzuhalten und das kannst du von mir aus gerne machen, mir war es nur wichtig das für Mitlesende anzumerken.
Nochmal: Das trifft wie oben erwähnt auf andere Hardware-Wallets genauso zu.
Auch hier kann ich genauso eine PGP-Signatur prüfen. Auch hier kann ich genauso die Änderungen eines Updates nachvollziehen. Ich kann viele Modelle sogar auch direkt mit Sparrow nutzen…
Du rückst es dir schon ziemlich zurecht. In deinen Stichpunkten darüber erwähnst du Überprüfungen von Signaturen und setzt damit eine sehr gute OpSec voraus, aber bei den Hardware-Wallet Herstellern muss man nur „anrufen“ und hat sofort Kontrolle über alle Geräte? 
Einige Annahmen setzt du hier einfach als Selbstverständlich voraus:
- Die Gesetzgebung muss erstmal in Kraft treten.
- Der Hersteller muss sich diesen beugen.
- Der Hersteller teilt dies seinen Kunden nicht mit.
- Die Kunden bekommen von der Gesetzgebung nichts mit.
- Niemandem fallen diese offensichtlich unerwünschten Änderungen im transparent einsehbaren Code auf oder die Reproduzierbarkeit geht verloren. Beides muss nur einer Person auffallen.
- Die Nutzer installieren das Update blind.
- …
Genauso könnte man sich jetzt eine Geschichte ausdenken, in der ein wild gewordener Maintainer im SeedSigner Repository eine entsprechende Änderung einführt, die niemandem auffällt und von allen blind übernommen wird.
Beides ziemlich unwahrscheinlich und kein Anlass, den ein oder anderen Ansatz deswegen als „100%“ sicher oder allgemein besser darzustellen. Es gibt Vor- und Nachteile für beide Seiten.
Für mich persönlich ist der ausschlaggebende Punkt, dass ein SeedSigner nicht für die breite Masse, also nicht-technische Anfänger geeignet ist. Mittlerweile werden die Geräte auch oft bereits fertig zusammengebaut gekauft, was dem ursprünglichen Gedanken und eigentlich auch dem Threat Model komplett widerspricht.
Alleine deswegen empfehle ich das ungern pauschal weiter, sondern nur Leuten, bei denen ich weiß, dass sie damit umgehen können und wie ich Spaß beim Zusammenbauen haben.
3 „Gefällt mir“
Nunja, das ist bereits alles in Kraft. Genau darum ging es ja in dem Ledger Skandal. Der CEO von Ledger hat das selbst ausführlich dargestellt. Sobald eine Regierung bei ihm anruft und fragt gibt er die Seed raus. Die Regierung sagt „Terrorverdacht“ und fertig. Es braucht überhaupt keine Gesetzesänderung. Entsprechende Videos gibt es auf youtube jede Menge.
An keiner Stelle behaupte ich das irgendeine Lösung 100% sicher ist. Ich sage nur es macht Sinn Lösungen zu verwenden bei denen die Seed offline bleibt. Wenn ich offline sage, dann meine ich damit, dass das Gerät keine Verbindung zum Internet hat. Ein QR Code Austausch ist für mich keine Internetverbindung. Aber klar darüber kann man sich streiten. Natürlich können auch über QR Code maligne Daten ausgetauscht werden. Nur eben mit den genannten Hindernissen.
Ich empfehle Seedsigner gerne pauschal weiter. Das schlimmste was passieren kann ist, dass man sehr viel dazu lernt :-)
Ob man die Zeit und Lust hat dazu hat entscheidet jeder selbst.
1 „Gefällt mir“
Ich finde das drückst du etwas hart aus. Wenn du die integrity und authenticity, des Downloads von der Github-Seite des Projekts geprüft hast (Hash + Signatur) hast du in der Praxis schon einen großen Schritt gemacht. Natürlich wäre ein Feature wie „Secure Boot“ klasse, ist aber der Hardware geschuldet. Ich halte es aber auch für unwahrscheinlich, dass während des Schreibens auf die SD-Karte die Binary getauscht wird, aber eben nicht für unmöglich.
Ein Seedsigner + SD-Karte gehört nicht an einen öffentlich zugänglichen Ort.
Das gilt für mich aber auch für alle Signing Devices und Backups.
Ist noch nicht so lange her:
Kann bei jedem Open Source Projekt passieren und passiert leider auch. Ich fand diese Vulnerability sehr spannend, weil die soziale Komponente so hoch war und der Angriff so lange vorbereitet wurde.
2 „Gefällt mir“
Das Problem ist, wie @sutterseba sagt, die pauschale Empfehlung. Wenn man weiß, was man tut, ist ein Seedsigner ein relativ sicherer Weg, um Bitcoin zu verwahren bzw. Tx zu signieren.
Für viele Leute ist es aber eine wesentlich schlechtere Lösung als eine dedizierte Hardwarewallet.
Insbesondere wenn Leute sich so ein Teil schon fertig zusammengebaut kaufen, weil sie mal gehört haben, dass das ja so ein gutes Gerät ist.
Ich habe in den vielen Jahren im Geschäft schon so einiges erlebt. Insbesondere bei Supportanfragen… 
5 „Gefällt mir“
Wenn das Hauptrisiko in Zukunft vom Hersteller selbst ausgeht, da wie gesagt zahlreiche Regierungen einfach anklopfen…spielt dieses Argument keine Rolle.
Natürlich gebe ich dir Recht, man muss sicher sein, dass die Software die man selbst auf dem seedsigner installiert auch die richtige ist. Dazu gibt es die Prüfsummen und die Open source Kontrolle.
Und ja, man sollte vermutlich nicht jede neue Änderung aus Github gleich installieren, da auch Fehler oder maligner code dabei sein kann. Je mehr Leute Zeit haben, das zu prüfen, umso sicherer ist es.
Es kommt eben darauf an welcher Stelle man welche Risiken sieht.
Und dann wägt jeder für sich ab.
Wie @sutterseba dir schon erklärt hat, machst du es dir bei dieser Aussage viel zu einfach. So leicht ist das nämlich nicht, wie du hier tust.
Ich glaube für viele Leute ist Selbstverwahrung per Default eine schlechte Lösung wenn sie das Thema und die Relevanz nicht verstehen wollen.
Deshalb bin ich euch als Blocktrainer-Team auch dankbar, dass ihr euren Content auch oder gerade für diese Leute verständlich macht.
Ich bin aber auch der Meinung der SeedSigner ist ein geniales „Education-Tool“.
Ich habe die Erfahrung gemacht, dass es gerade unerfahrenen Nutzern einen großen Mehrwert bereitet.
Ja da stimme ich dir zu. Das Problem ist aber, dass die meisten Leute garnicht educated werden wollen und sich dahingehend auch nicht die Mühe machen, Dinge genauer zu verstehen.
Wie gesagt… ich habe schon viel erlebt im Hinblick auf Supportanfragen etc ^^
→ Und ich bleibe dabei. Pauschale Empfehlungen eines Seedsigners sind absolut nicht zielführend.
Ich bin dafür das perfekte Beispiel.
Ich habe Bitcoin um später angenehm zu leben. Ich lebe nicht, um Bitcoin zu haben.
Damit bin ich vermutlich weiter als 95 % des Rests, die gar nichts davon wissen wollen, werde aber auch nie das Verständnis eines eingefleischten Fans/Gläubigen erreichen. Weil mir das den Aufwand gar nicht wert ist. Bitcoin ist für mich ein Mittel zum Zweck, mit Option auf Weltverbesserung.
Eine BitBox einrichten und darauf vertrauen, dass der open source code schon schützen wird, ist der Kompromiss an Restunsicherheit und Aufwand, den ich bereit bin einzugehen.
Irgendwelche Teile im Internet zusammenkaufen und daraus eine Art Cold Wallet selber basteln, ergänzt um Software von irgendwelchen Seiten, die ich nicht verifizieren kann, da bin ich raus, genau wie bei Lightning oder Node aufsetzen.
Finde aber toll, dass es solche Möglichkeiten gibt.
3 „Gefällt mir“
Da hast du Recht. Ich bin froh, dass wir jetzt die Qual der Wahl haben 
@Stadicus … das würde mich auch interessieren ob das stimmt, was hier gesagt wurde. Also ob das technisch möglich wäre? Mit technisch möglich meine ich auch mit Hilfe eines Firmware-Updates o.ä.
Natürlich wäre das möglich mit Hilfe eines Updates.
ABER, für Hersteller ist es nicht so einfach möglich, ein solches Update unbemerkt auf die Geräte zu bringen.
Bei Ledger ist es so, dass Leute sich freiwillig dazu entschieden haben, eine Firmware zu installieren, die diese Tür potenziell öffnet. Bei BitBox und Co. könnte die Regierung aktuell ruhig anrufen, die hätten keine Möglichkeit, auf die Seeds der User zuzugreifen.
Deswegen stört es mich auch, dass hier so pauschale und halbgare Aussagen getroffen werden. Denn, wie @sutterseba auch schon erklärt hat, so einfach ist das nicht:
3 „Gefällt mir“
Mich stört es auch, dass leider nicht mit sinnvollen Argumenten gearbeitet wird, sondern dass einfach mehrfach Dinge wiederholt werden, die ich bereits ausführlich erklärt habe.
Es braucht keine Gesetzesänderung. Das Argument „Terrorverdacht“ reicht aus. Die Firma hat auch keine Wahl, ob sie sich beugen möchte oder nicht. Die Polizei kommt einfach vorbei. Die Kunden unter Verdacht bekommen davon auch nichts mit. Das ist ja der Sinn einer verdeckten Ermittlung. Das ganze passiert mit einem Update im Hintergrund, was natürlich nicht im open source code veröffentlicht wird, und deshalb auch keinem auffällt.
Ja, Nutzer die selbst compilieren, sind davor geschützt.
99,9% der Nutzer aber nicht.
Aber um mal davon wegzukommen mich ständig zu wiederholen, möchte ich euch gerne etwas neues an die Hand geben.
Die Cybersecurity Experten des Bitcoin Way haben auf der BTC Prague einen guten Vortrag gehalten. Im Kern geht es darum, sich bewusst zu machen, dass es Sinn macht sich mit Self custody zu beschäftigen.
Und es eben vermutlich auf Dauer nicht reicht einfach irgendeine Hardware wallet zu kaufen und sich dann zurückzulehnen.
Insbesondere heben sie die Wichtigkeit eines „Air Gap“ hervor.
Denn nur dann seit ihr vor unfreiwilligen updates im Hintergrund geschützt.
Schaut einfach rein:
Also ich sehe es ähnlich, jeder sollte sich mit self custody beschäftigen. Ich weiß z.B. aber auch bei „Air Gap“ nicht welche Daten per QR übertragen werden. Ich kann mir sehr gut vorstellen, dass mein Private Key durch eine angepasste Firmware + angepassten Koordinator übertragen wird und ich es nicht merke.
Kann ich mich davor schützen, na klar aber 100%igen Schutz gibt es nicht.
1 „Gefällt mir“
So ist es.
Deshalb hilft es nichts, man muss immer am Ball bleiben und seine persönliches Sicherheitssetup immer wieder evaluieren und ggf ändern oder ausbauen.
Zurück lehnen funktioniert nicht.
Self custody ist kein selbst Läufer.
Sondern fordert Zeit und Energie.
Wie alles im Leben.
Bitbox.swiss hat sich dazu schon mal ausführlich geäußert, ich teile deren Ansicht. Solange es zwischen 2 Geräten Kommunikation gibt, kann diese kompromittiert werden, ich stelle den Link noch einmal rein:
https://bitbox.swiss/blog/does-airgap-make-bitcoin-hardware-wallets-more-secure/
" Reality check: would airgap have saved you from any hardware wallet exploit since 2020?
Let’s examine all vulnerabilities since the beginning of 2020 that are known to us, limiting the scope to Bitcoin-related issues. The goal of this list is simply to check if air-gapped communication would have prevented the vulnerability.
Overall, not a single vulnerability we looked at relies on the data transportation layer, where information is exchanged between a hardware wallet and a computer or phone. This means that all these exploits can work whether a device is air-gapped or not."
1 „Gefällt mir“
Wie kann die Firma BitBox einem denn ein Update im Hintergrund einfach aufspielen, ohne dass ich das Update mache?
Und bevor ich ein update mache, schaue ich ja erstmal auf der Seite ob es überhaupt eines gibt. Und dann wäre man immernoch nicht sicher?
Gar nicht, die Firmware der BitBox02 braucht aktuell eine Bestätigung vom Nutzer, um eine neue Version zu installieren. Und um das zu ändern, braucht man natürlich wiederum erstmal ein Update. Da drehen wir uns also im Kreis.
Es kann jedenfalls nichts „heimlich im Hintergrund“ geändert werden.
1 „Gefällt mir“