ich habe eine Bitbox und eine Coldcard und überlege mir was der sicherste Weg ist meine Bitcoin zu verwahren.
Aufgrund von dem Ledger Skandal das der Seed das Gerät technisch gesehen doch verlassen kann möchte ich nichtmehr nur auf einen Hersteller vertrauen. → Lösung Multisig mit mehreren Herstellern.
Da ich im schlimmsten Fall falls das Haus abbrennt oder ein Krieg ausbricht etc ich von überall aus auf meine Bitcoin zugreifen möchte ohne etwas mitnehmen zu müssen was man mir ggf wegnehmen kann muss ich den oder die Seedphrases verschlüsselt online abspeichern.
All das macht es schon etwas komplizierter sodass ich euch gerne um Rat fragen möchte was für diesen Zweck ein gutes System sein könnte.
Aktuell hatte ich es so:
Coldcard Seed mit Tails über PGP mit einer Passphrase verschlüsselt
Bitbox Seed mit Tails über PGP mit einer anderen Passphrase verschlüsselt
Beide verschlüsselten Seeds auf meiner online Cloud gespeichert.
Egal wo ich bin kann ich den Seed auf einen offline Computer auf dem Tails läuft entschlüsseln und so an die Coins ran.
Gerne Meinung dazu abgeben und ggf Tipps und Risiken :)
Verstecke das Hardware-Wallet an deinem Körper und verschwinde, erstelle am Zielort einen neuen Seed und sende Coins rüber…
Wenn es zum Krieg kommt, wo ist dann die Garantie, dass du noch Zugriff auf die Cloud hast? Und wenn du den Seed verschlüsselt speichern willst, solltest du genau wissen, was du tust, ein kleiner Fehler und dein Wallet ist in Gefahr…
Auch Tails ist nicht 100% sicher. Siehe Intel Management Backdoor. Ich würde es lieber so machen wie es ein anderer User hier schon angesprochen hat, die ersten 12 Wörter auf Papier schreiben und nur die letzten 12 Wörter verschlüsseln. Dann reduziert sich das Risiko das etwas passiert deutlich, da ohne die anderen 12 Wörter kein Zugriff möglich ist.
Du hast den Text mit dem kompletten Seed nur mit einer „Passphrase“ verschlüsselt, was nicht so sicher ist, als wenn Du einen PGP-Schlüssel generierst und den Text damit verschlüsseln würdest. Jetzt wird der gesamte Seed in der Cloud mit einer wahrscheinlich unsicheren Passphrase verschlüsselt gespeichert, die Du nicht zufällig generiert, sondern selbst ausgedacht hast. Jeder, der die Passphrase und den verschlüsselten Text hat, kann die Nachricht entschlüsseln…
wenn Du einen PGP-Schlüssel generierst und die Nachricht nur für dich selbst verschlüsselst, dann kannst nur Du die Nachricht entschlüsseln (wenn Du den privaten Schlüssel hast)
Ich würde einen neuen Seed erstellen, einen PGP-Schlüssel in Tails (RSA, 4096) generieren und damit nur die letzten 12 Wörter verschlüsseln. Die ersten 12 Wörter auf Papier schreiben. Anschließend die PGP-Schlüssel in Keepass speichern oder auf Papier ausdrucken (offline)
Und wenn du deinen Seed in TailsOS eingibst, würde ich alle USB-Geräte bis auf die Maus entfernen und dann die Bildschirmtastatur verwenden.
Also offline. Aber Deinen echten Seed hast Du online in einer Cloud???
Seeds gehören (auch verschlüsselt) nicht in Kontakt mit der online-Welt.
Verschlüsseln macht Dein Setup nur unnötig komplex, weil Du nun Deine Passwörter redundant, sicher und offline speichern musst. Du verschiebst Dein Problem einfach nur. Außerdem erschwert es die Vererbung.
Es gilt: KISS.
Keep it stupid and simple.
Deshalb liegen Deine Seeds (und xpups bei multisig) an verschiedenen Orten.
Das passiert in der Regel nicht von heute auf morgen, sodass genug Zeit bleibt dann temporär ein Setup zu nutzen, das weniger sicher ist.
Zum Thema Grenzüberquerung bzw. Seed im Flugzeug mitnehmen findest Du einige Threads hier im Forum.
Das ist nie eine gute Idee. Seeds sollten niemals das Internet berühren.
Schon gar keinen Cloudspeicher, wo theoretisch „jeder Mitarbeiter dieses Unternehmens“ die Daten einsehen könnte.
Für solche Fälle könntest du einen 12er Seed auswendig lernen und im Notfall deine Bestände darauf übertragen. Im neuen Land kaufst du dir dann wieder eine HW Wallet.
Das ist nicht der Fall, wenn der Seed richtig verschlüsselt ist. Aber ja, ich würde ihn trotzdem nicht online speichern, lokal auf einem Offline-Stick oder mit einem Offline-Drucker auf Papier ausdrucken, das ist viel sicherer.
Eine 12 Wörter seed auf meiner coldcard. Von diesem Seed leite ich einen Child seed ab ( mit BIP53 war es glaub ich ). Dieser Child seed kommt in die Bitbox rein. Sodann habe ich multi sig aber muss nicht mehr einem Hersteller vertrauen für den fall das meine coldcard beispielsweise meinen seed leaked.
Dann eine vorsignierte Transaktion mit der bei Verlust des seeds meine bestände zu coinbase übertragen werden können (auch für den fall des Todes für meine angehörigen). Falls jemand durch mein Passwort manager auf die vorsignierte Transaktion rankommt und dadurch auch zugriff auf coinbase hat hab ich dort eine abheberestriktion bei der man meine 2FA braucht die nur mithilfe des Yubikeys geht.
Somit ist der Seed nichtmehr heilig falls mir was passiert da man auch so an die bestände rankommt. Ich kann jederzeit das land verlassen nur mit der vorsignierten Transaktion und meine Familie muss sich auch keine sorgen machen.
Erstens sehr unwahrscheinlich, dass es in einem Versteck deiner Wahl ausgerechnet jemand findet, der dir Böses will. Online ist da was anderes.
Zweitens macht das nichts, wenn man sich mit einem der bewährten Standard-Verfahren gehen Diebstahl einer Sicherung schützt. Also z.B. mit einer Passphrase oder Mnemonic Split.
Das hängt extrem davon ab, wie versiert jemand mit IT und Cyber Security Themen ist.
Ich behaupte mal, dass mehr als 95% hier im Forum diesen Vorgang nicht lückenlos sicher hinbekommen. Abgesehen von potentiellen Sicherheitslücken in deiner PC Hardware und Firmware, die du auch mit Tails nicht aushebeln kannst.
Deshalb einfach besser jeden PC-Kontakt vermeiden.
Sebastian hat freundlicherweise meinen Beitrag zum Thema mal ausgelagert:
Ich denke seit 3 Jahren über die Verwahrung nach. Die bisher beste Lösung meiner Meinung nach ist eine 3 er multisig Wallet mit seedsigner oder wahlweise seedsigner und bitbox, wenn man mehrere Hersteller einbeziehen möchte, um sich gegen eine Kompromittierung abzusichern.
Die 3 seeds werden in Stahl gestanzt und an 3 örtlich getrennten orten aufbewahrt. Abstand mehrere km.
Keine seeds in irgendwelchen Clouds , das ist immer Müll.
Viel Erfolg.
PS Lies dir www seedsigner.com durch, da wird ausführlich erklärt wie man das am besten angeht.
Ich würde es stehen lassen. Einerseits kann dir sowieso keiner was Böses mit nur 12 Wörtern. Andererseits haben eventuelle Erben es im unwahrscheinlichen Fall, dass dir was passiert, leichter.
Gegen dein Gesamt-Setup ist nicht viel einzuwenden. Außer vielleicht, dass jemand mit deinem Steel Wallet gleich alles hat, was er braucht.
