Sicherheit und Angriffsvektoren einer Hardware Wallet

BTC_Quest · 22. Februar 2022 um 13:28

Muss diese Initialisierung vor jedem Gebrauch gemacht werden oder einmalig?

Stadicus · 22. Februar 2022 um 14:18

Nur einmalig, bei der ersten Inbetriebnahme der BitBox an einem Rechner. Und wenn Du die BitBox zurücksetzt, dann weder.

BTC_Quest · 22. Februar 2022 um 15:05

Danke für die Infos. Hab das im „Manual“ nicht gefunden.

BTC_Quest · 27. Februar 2022 um 13:09

Hallo Stadicus,

schon wieder eine Frage zu Multisig, erfolgt die gegenseitige Registrierung der Signer über den Masterfingerprint oder speichert jede Bitbox auch die xPubs der CoSigner ab?

Und noch ne Frage: wenn ich während der Signatur einer Transaktion die Sende- und Wechselgeldadresse auf der Bitbox geprüft habe, kann dann der zweite Signierer noch die Adressen manipulieren? Ich denke mal nicht?!

sutterseba · 27. Februar 2022 um 13:43

Nein, dann wäre die erste Signatur ungültig.

Stadicus · 28. Februar 2022 um 07:39

Die BitBox speichert die Prüfsumme über die XPubs (und andere Parameter) der Multisig-Wallet ab. Damit kann sie zweifelsfrei verfiizieren, dass das die Wallet (inkl. Anzahl und Identität der Co-Signer, etc) dem ursprünglichen Setup entspricht.

Wichtig: die XPubs werden nicht im Klartext abgespeichert, sind also kein Ersatz für ein richtiges Backup mit allen Metadaten.

Siehe hier für ein konkretes Beispiel mit Specter Desktop. Deutsche Übersetzung ist in Arbeit:

wenn ich während der Signatur einer Transaktion die Sende- und Wechselgeldadresse auf der Bitbox geprüft habe, kann dann der zweite Signierer noch die Adressen manipulieren? Ich denke mal nicht?!

Du brauchst nur die Empfangsadresse zu prüfen, die Wechselgeldadresse kann die BitBox selber verifizieren. Manuell ist das ja auch schwierig.

Weitere Signaturgeräte können dieselbe Transaktion nicht mit anderen Attributen signieren, damit wäre die BitBox-Signatur nicht mehr passend.

BTC_Quest · 28. Februar 2022 um 08:01

Meinst du damit den MasterFingerPrint?

BTC_Quest · 28. Februar 2022 um 08:02

Wenn der Bitbox nicht im Klartext die xPubs vorliegen, wie kann sie dann die Empfangsadressen für eine Prüfung generieren?

Stadicus · 28. Februar 2022 um 10:38

Die effektive Generierung der Adressen ist Aufgabe der Software-Wallet (z.B. BitBoxApp oder Specter, Sparrow…), da diese ja die Transaktion erstellt. Dabei übermittelt die Wallet auch die XPubs an die BitBox (die sind ja Teil des Bitcoin-Scripts), und die BitBox kann damit die relevante Prüfsumme generieren und gegen die gespeicherte Referenz verifizieren.

bnd · 28. Februar 2022 um 10:48

Ist das nicht ein bisschen missleading zu sagen, dass xPubs nicht im Klartext vorliegen? Natürlich tun sie das. In der Software Wallet, die mit der Bitbox verbunden ist. Sie können dort auch ohne weiteres von bspw. Malware ausgelesen werden.
Ist das schlimm, verliere ich deswegen Coins? Nein. Eine Verschlüsselung der xPubs ist somit keine sicherheitsrelevante Sache. Irgendwie auch unlogisch, wenn sie doch am Ende eh unverschlüsselt im RAM des Rechners ist?

Stadicus · 28. Februar 2022 um 10:52

Da hast du mich falsch verstanden. Ich habe geschrieben, dass die XPubs nicht im Klartext in der BitBox02 gespeichert sind, und wollte damit auf einen potentiellen NACHTEIL aufmerksam machen. Wenn die XPubs nämlich nicht mehr alle vorhanden sind, weder in der Software-Wallet, noch in einem Backup, dann kann z.B. eine 2-von-3-Wallet auch mit zwei Signaturgeräten nicht wiederhergestellt werdne.

Miene Absicht war nicht zu behaupten, dass die XPubs nicht auf dem Computer gespeichert sind, verschlüsselt oder unverschlüsselt. Das ist absolut korrekt und bei jeder Wallet der Fall.

Stadicus · 28. Februar 2022 um 10:54

Nein, die einzelnen XPubs. So wie sie auch fürs Bitcoin-Script benötigt werden. Hier der entspechende Code:

github.com

digitalbitbox/bitbox02-firmware/blob/93d4e4f735694a9d54e941c836f31dffc43258f7/src/apps/btc/btc_common.c#L460

      
        
            
            
static int _xpubs_sort_comp(const void* elem1, const void* elem2)
            {
                const uint8_t* xpub1 = (const uint8_t*)elem1;
                const uint8_t* xpub2 = (const uint8_t*)elem2;
            
            
    // Sort by xpub serialization, ignoring the version bytes.
                return memcmp(xpub1 + 4, xpub2 + 4, BIP32_SERIALIZED_LEN - 4);
            }
            
            
static bool _multisig_hash(
                BTCCoin coin,
                const BTCScriptConfig_Multisig* multisig,
                bool sort_xpubs,
                const uint32_t* keypath,
                size_t keypath_len,
                uint8_t* hash_out)
            {
                void* ctx __attribute__((__cleanup__(rust_sha256_free))) = rust_sha256_new();
            
            
    { // 1. coin

bnd · 28. Februar 2022 um 11:06

Achso, das ergibt Sinn. Danke für die Klarstellung.

Wie kann ich denn statt AES-256 CBC ChaCha20 zur Verschlüsselung nutzen? Die Implementation ist ja schon in der Firmware. Man weiß ja nie, wann der der große Knall kommt und ein Genie es schafft, AES zu knacken. Da will man mit der sicheren Stromchiffre ChaCha20 vorbereitet sein und entsprechend schnell möchte man migrieren können.

BTC_Quest · 28. Februar 2022 um 11:55

Welche Rolle spielen dann in einem MultisigSetup mit einer Bitbox (und weiteren HW Wallets) die Master Fingerprints = Extended Fingerprints (xfp) ?

Und: wird im Bitbox SD Kartenbackup die Position der Bitbox in dem registrierten Setup mit abgespeichert also ob es sich in einem 2v3 Setup um Device 1,2 oder 3 handelt (meine aus einem SD-Karten Backup erstellte Bitbox nimmt immer den 2.Platz ein wenn ich die Registrierung durchführe🤔)