Tangem Ring sinnvoll?

Hey Leute. Meine Mum will mir zu Weihnachten ein Tangem Ring Wallet schenken. Wisst ihr ob das ein gutes Wallet ist? Glaube es ist kein Bildschirm dabei, wie bei ner BitBox 02?

Was würdet ihr dazu sagen?

Ohne Bildschirm, ohne mich!

Du musst zwingendermaßen Adressen auf einem Bildschirm abgleichen. Ansonsten musst Du ja doch wieder blind der Wallet vertrauen und der Adresse, die auf Deinem Computer angezeigt wird.

Für mich ein NoGo. Schau’ lieber nochmal nach einer Wallet mit Bildschirm.

Warum Hardware Wallets ohne Display nutzlos sind:

Mach das nicht, ohne Display hast du keine Möglichkeit, Adresse auf dem gerät abzugleichen. Das ist definitiv ein Sicherheitsmanko.

Das hat nichts mit persönlichem Befinden zu tun. Das ist ein faktischer Nachteil.

Tangem ist im Grunde eine „sicherere“ Hot-Wallet.

Zum versenden musst du dann den Ring / Karte an das Handy halten. Auf dem Ring / Karte selbst ist der Key gespeichert. Aber wenn es jemand schaffen würde deine Tangem App zu hacken und zu kompromittieren, dann wäre es möglich dass die Bestände im Hintergrund an ne andere Adresse gehen, als dir angezeigt werden.

Für größere Bestände würde ich nur eine richtige Hardware-Wallet empfehlen.

Ich nutze Tangem nur dafür, damit ich auch im Urlaub kleinere Beträge Bitcoin dabei habe, falls mal Kreditkarte etc. ausfällt, sodass ich immernoch jederzeit Bitcoin dabei habe.

Habe die Tangem NFC Karte nie in Betracht gezogen, was mich eher interessiert ist der Seedkeeper. Diese NFC Karten für wichtige Hauptpasswörter usw.

Im Passwortmanager sind viele Konten die verwaltet werden und solche Seedkeeper Karten, es gibt auch eine Ring als Variante, könnte man als Backup für nahe Vertrauenpersonen mit den wichtigsten Passwörter eine Möglichkeit sein.

Bei den Tangem Karten hat mich das reine Vertrauen auf deren App etwas irritiert. Denke die Tangem sind für kleinere Beträge gedacht, sicher nicht für den Hauptstack.

IMG_02111615×1069 152 KB

Also davon würde ich deine Mami auch an den nächsten XMas nicht abhalten. Wäre stolz auf Sie wenn auch hier alle dich bevor Tangem warnen.

Hi, als Geschenk ist das doch eine schöne Idee. Ich würde mir die Wallet schenken lassen und mich freuen.

Ob nun der Bildschirm an der Bitbox so der Knackpunkt ist muss jeder selber wissen. Man sendet eigentlich eh keine BTC von der Box weg. Und für alles andere muss ich auch der BitboxApp vertrauen (und vor allem das ich keine Fake-App geladen habe) und dem Hersteller. Ist zwar alles „open source“ und prüfbar, aber wer checkt das denn tatsächlich?

Tangem wurde noch nie gehackt und Bitbox auch nicht.

Aber ein „Bildschirm“ als Knackpunkt anzuführen, für eine Aktion die ich garnich nutze (BTC von der Box versenden) ist doch quatsch. Wenn der Chip der Box gehackt oder gewechselt wurde kommt man an den Seed und braucht als Dieb keinen Bildschirm. Auch wenn über PC/Handy mittels FakeApp oder sonstiger Schadsoftware die Schnittstelle über die Kabelverbindung zur Box gehackt wird kommt man eventuell an den Seed. Das es nicht passieren kann verspricht der Hersteller, also muss man da auch vertrauen.
Auch das die Bitbox wirklich zufällig eine Adresse generiert ist vertrauenssache, die Hersteller haben den Chip und den „Zufallsgenerator“ programmiert, wäre auch möglich, das die trotzdem genau wissen welche „zufälligen“ Adressen generiert werden.

Aber wenn ich bei jedem Wallet Verkauf provision verdienen würde, dann würde ich natürlich auch nur dementsprechend werben.

Gut, wenn man es als sicher bezeichnet, dass Tangem mal den Seed im Klartext in den Logs gespeichert hat…

Grundprinzip nicht verstanden. Eine Fake-App kann bei der Bitbox wegen des Displays nichts anrichten. Genau das ist doch der Punkt. Und ja ich persönlich kann den Sourcecode der Bitbox auch nicht überprpfen. Aber viele Millionen Menschen auf der ganzen Welt können es,

Da gibt es kein Grundprinzip. Chip auf der BitBox generiert die Wallet, Backup wird auf SD gepackt und man sieht ja selber dann auch in der App welche Backup-Seeds existieren. Also gibt es eine Schnittstelle vom Handy/PC direkt zu den Seeds, was per Software angreifbar ist. Und mit jedem Update oder Firmwareupdate musst du darauf vertrauen, das es nicht Malware ist.

Der Hersteller verspricht das ihr Chip sicher ist.

Aber das sagen Hersteller von z. B. Keyless-Fahrzeugen auch, oder der Hersteller von EncroChat Handys oder der Anbieter von Pagern in Libanon.

100%tige Sicherheit gibt es leider nicht.

Der Sinn einer Hardware Wallet ist doch das man dem Host Gerät, z. B dem Handy nicht vertrauen muss.
Wenn die Walker aber keinen Bildschirm hat, muss man dem Host Gerät trotzdem vertrauen.

Wenn man jetzt sagt „100% Sicherheit gibt es eh nicht und ich vertraue dem Hoat Gerät“ dann kann man sich auch gleich auf das Gerät eine normale Software Wallet installieren und sich das Geld sparen.

Wäre eine lightning wallet da nicht praktischer?

Wie ich schon schrieb: Grundprinzip nicht verstanden.
Die App weiß nichts vom Seed und kann das auch nicht anzeigen, weil der Seed die Bitbox nicht verlässt. Es gibt dafür keine Schnittstelle. Die Software auf dem Smartphone oder auf dem PC ist für die Sicherheit unwichtig.
Auch kann man nicht irgend eine gefakte Firmware auf die Bitbox bringen.

Ganz schön überheblich, aber auch wenn du ganz fest daran glaubst gibt es nunmal keine 100%tige Sicherheit.

Geräte ohne Bildschirm taugen schlicht nicht für echten Cold Storage. Wieso? Diese Geräte signieren blind, daher verlässt man sich zu 100% darauf, dass einen das Onlinegerät nicht anlügt.

Beispiel zur typischen Handhabung eines „Blind Signers“:

1. Der Seed wird zu 100% offline generiert.
2. Du sendest regelmässig Bitcoin an die Adresse, welche dir die App anzeigt.
3. Irgendwann willst du Bitcoin versenden oder verkaufen, z.B. 0.1 BTC von 1 BTC. Dazu erstellst du in der App eine Transaktion, welche der „Blind Signer“ signiert und ins Bitcoin-Netz gesendet wird.

Bei all diesen Punkten gibt es sicherheitskritsiche Angriffspunkte:

1. Seed-Generierung: Die Firmware ist normalerweise nicht open-source und kann nicht unabhängig überprüft werden. Teilweise sind auch keine Updates möglich, was es unmöglich macht, entdeckte Sicherheitslücken zu schliessen. Dies bei „closed source“ als Sicherheitsvorteil zu verkaufen, ist irreführend. Eine Black Box ist eine Black Box. Es wäre sogar denkbar, dass die Zufälligkeit der generierten Wallets (bewusst oder aufgrund eines Bugs) so eingeschränkt ist, dass alle Wallets eines Geräts durch eine Brute Force-Attacke gefunden und geleert werden könnten. Man kann das weder überprüfen noch ausschliessen.

2. Bitcoin empfangen: Woher weisst du, dass diese Adresse wirklich dir gehört? Sowohl die App als auch die Firmware könnten dich anlügen:

   • Eine bösartige Version der App kann dir eine komplett andere Empfangsadresse anzeigen. Ohne Bildschirm auf dem Signiergerät hast du keine Chance, diesen Schwindel zu entdecken.
   • Auch die echte App kann die Empfangsadresse nicht abschliessend überprüfen, da sie den Seed nicht kennt. Eine bösartige Firmware könnte somit auch die App anlügen.

3. Bitcoin versenden: Am kritischsten wird es, wenn du Bitcoin versendest. Du erstellst eine Transaktion von 0.1 BTC und der „Blind Signer“ signiert dieses. Aber woher weisst du, dass alles mit rechten Dingen zugeht?

   • Die App kann deine Angaben ignorieren und eine Transaktion für die 0.1 BTC an eine komplett andere Adresse erstellen. Das Gerät signiert brav blind, und du kannst nicht unabhängig überprüfen, an wen du sendest.
   • Die App kann auch beim Betrag schummeln und einfach alles (z.B. 1 BTC) versenden. Auch hier: keine Chance, das zu prüfen oder zu verhindern.

Bei Tangem ist es, soweit ich weiss so, dass die Firmware closed-source ist und weder unabhängig überprüft noch aktualisiert werden kann. Die App ist quelloffen, aber nicht deterministisch kompiliert. Daher gibt es keine Garantie, dass in der lauffähigen App für iOS oder Android auch wirklich der offene Code drinsteckt.

Genau solche Überlegungen machen wir uns bei BitBox:

• Eine seriöse Hardware-Wallet, welche für grössere Beträge geeignet ist, braucht zwingend ein sicheres Display (siehe Blog-Artikel)

• Wir gehen grundsätzlich davon aus, dass das Onlinegerät komplett komprimitiert ist und sogar die BitBoxApp bösartig ist. Die Sicherheitsarchitektur baut auf dieser Annahme auf.

• Nur komplette Open-Source-Firmware hilft, das nötige Vertrauen in den Hersteller zu minimieren. Daher ist bei BitBox sowohl die Firmware auf dem Gerät, wie auch die BitBoxApp komplett quelloffen und kann unabhängig und ohne Erlaubnis überprüft werden. (siehe Blog-Artikel)

• Nur mit einer deterministische Kompilierung („reproducible builds“), also einer Methode zur Übersetzung des menschenlesbaren Computercodes in binären Maschinencode, bei dem jedes mal Bit für Bit dasselbe rauskommt, gibt die Garantie, dass die offizelle Software auch wirklich auf dem publizierten Quellcode basiert. (siehe Wallet Scrutiny)

Im besten Falle ist der Tangem-Ring (ebenso wie die NFC-Karten) eine „lauwarme“ Wallet, eine Hot Wallet mit einem zweiten physischen Faktor. Für grössere Beträge aber auf jeden Fall nicht geeignet, da man sowohl dem Hersteller zu 100% vertrauen muss, und nicht vor Malware auf dem Onlinegerät geschützt ist.

Natürlich bin ich befangen, da wir bei BitBox (bewusst) ein Gerät mit Display entwickeln. Wir haben aber auch Erfahrungen im anderen Lager: Die BitBox01 ist vor 10 Jahren rausgekommen und hatte kein Display. Sie hatte aber immerhin eine 2FA-App, was immer noch besser als blind signieren ist, aber aus heutiger Sicht trotzdem nicht gut genug.

DYOR. Ich beantworte auch gerne konkrete Fragen.

Ohne das Ganze was du alles beschreibst zu verstehen. (Habe in der Schule definitiv zu viel aus dem Fenster geschaut) Ein Bildschirm bleibt unerlässlich um alles zu verifizieren & mehr als logisch. Die Tangem ist eine „nice to have Karte“ mit etwas BTC und Alts drauf. Wenn etwas drauf wegkommt, darf es nicht schmerzen.

Die Frage ist doch warum man Geld für eine Hardware Wallet Geld ausgeben sollte wenn man nicht mehr Sicherheit hat als wenn man eine normale Software Wallet verwenden würde. Vorallem weil Tangem ja anders als viele Software Wallets, nicht mal komplet Open Source ist.

Du hast 100% Pro Recht. Dennoch gibt es einen Markt der so etwas wie Tangem anbietet und das seinen Anklang findet. Was also ist der USP von Tangem? Die Karte verspricht einem herkömmlichen VISA Mastercard Kunden - Zahlungen per Karte. Dies ist ein Bedürfnis das viele Kunden haben. Sicherheit ist ein anderes Thema und wird geschickt umgangen. Das wissen wir hier.

So gesehen ok.
Der Trend geht aber doch sibieso zum bezahlen mit dem Handy und da kann man doch besser eine Hot Wallet mit angemessenen Beträgen auf dem Handy haben