Welche Alternative zur BitBox?

Welche Alternativen zur BitBox gibt es die empfohlen werden ?

Natürlich Ledger :laughing:

3 „Gefällt mir“

Ich finde die Coldcard von allen BTC-only Wallets am besten. Sieht aus wie ein Taschenrechner (plausible Deniability) und hat einen gigantischen Funktionsumfang. Dazu muss sie nie mit einem Computer verbunden werden.

Kommt auf deine Anforderungen und deinen Geldbeutel an :smiley:

Geringes Budget: Blockstream Jade

Hohes Budget: Foundation Passport

2 „Gefällt mir“

Meine persönliche Wahl ohne Kosten und mit netten weiteren Features, auch wenn ich BitBox fast mehr vertraue:

tails.boum.org

Seedsigner, gerade wenn du Interesse an multi sig hast und dich vor supply chain angriffen schützen möchtest.

Noch nicht erhältlich, also noch keine Alternative aber ich bin auf jeden Fall auf die Hardware-Wallet von Block Inc gespannt…

Ein Betriebssystem ist für mich keine Alternative zu einer Hardware Wallet.
Sobald das Gerät eine Internetverbindung aufbaut, ist es eine Hot Wallet. Egal, wie sicher das OS ist.
Ohne Internetverbindung hast du vermutlich ein sehr großes „Hardware“ Wallet bei dem immer die Gefahr besteht, dass man es aus Versehen „hot“ stellt.

Schön, also den pauschalen Leitsatz kann man dann so weit ausdehnen, dass wenn eine Hardware wallet ein firmware update machen kann, dass sie zur hot wallet macht.

Aber du kannst uns ja gern mit der Sicherheitslücke in TAILS vertraut machen.

:yawning_face:

Wer da seine Millionen drauf parkt und es in jedem Internet Cafe hochbooted ist selbst schuld.

Besser als Ledger isses in meinen Augen trotzdem. Sonst frag ich dich, wie Ledger ein Update aufspielen kann, nachdem sie dann deinen Seed in ein Backup legen können?

Gab es durchaus. Oft ist es wohl nur eine Frage des Geldes. Aber ich stimme dir zu dass Tails vergleichsweise extrem sicher ist und die Wahrscheinlichkeit dass du durch Tails deine Sats verlierst äußerst gering ist.

Facebook soll im Jahr 2017 einem IT-Sicherheitsunternehmen einen sechsstelligen US-Dollar-Betrag gezahlt haben, um einen Zero-Day-Exploit im anonymisierenden Live-Betriebssystem Tails zu entwickeln.

1 „Gefällt mir“

Sehr interessant, allerdings kann ich hier einen Vergleich ziehen:

"Problematisch an dem Fall ist, dass weder Facebook (oder die beauftragte Firma) noch das FBI das Tails-Team über die entdeckte Zero-Day-Lücke informierte. "

Zu diesem expliziten Exploit:
Also wenn man Tails nicht gerade nutzt, um Minderjähige für explizite Video zu erpressen und dann ein präpariertes Video vom FBI in dem Videoplayer mit genau dieser Lücke abspielt, wäre kein Zugriff möglich gewesen, richtig?

Wenn da sonst noch weitere Lücken bekannt wurden, immer gern her damit!

Also es gab mal im Jahr 2017 ein Zero Day Exploit im internen Videoplayer mit dem man Zugriff auf TAILS bekommen konnte und dann könnte es passieren, dass (falls man ein präpariertes Video öffnet) der Angreifer dadurch Zugang bekommt und dann warten könnte, bis man seine Seedphrase entschlüsselt.

Man kann auch ganz ohne Seedphrase und nur mit verschlüsseltem elektrum backup arbeiten, das sollte das Extrahieren der Seedphrase noch schwerer machen. Man kann hier ja auch mehrere TAILS haben, hätte man 1 TAILS für täglichen Nutzen und 1 TAILS für Bitcoin hätte diese Lücke nichts gebracht.

Jetzt kann man da es extrem günstig ist mit TAILS die BTC auf eine „Geldbörse“ und einen „Speicher“ aufteilen, ich glaub man kann dann auch noch mit dem Speicher offline bleiben und nur die signierte Transaktion vom anderen TAILS an das Netzwerk übermitteln.

Das ist zwar etwas umständlich, sollte aber rein in der Theorie funktionieren, dass das TAILS welches den großen Vorrat an BTC hat nie online geht, sondern offline befüllt wird (also man muss bis zum Signieren einer Transaktion gar nicht online sein) und dann wird bei Bedarf einfach eine Transaktion signiert und diese dann physisch auf das Hot TAILS übertragen und von dort ans Netzwerk übermittelt.

On another node:
.Pegasus - Der Feind liest mit | Doku HD | ARTE - YouTube

Mit Pegasus kann man unbemerkt Vollzugriff auf ein infiziertes Betriebssystem erhalten.
(Hauptsächlich Anroid und Apple, Windows ist eh unsicher… TAILS dürfte vor Pegasus recht sicher sein, bis es ein ganzer Staat nur auf dich abgesehen hat)

Im Grunde könnte man damit auch Bitcointransaktionen umleiten, wenn ich das richtig im Kopf habe verhindert das an dem Punkt die BitBox durch seperate Darstellung der Empfängeradresse und Bestätigung auf dem Display. Damit könnte man einen Angriff mit Pegasus hier auch recht einfach verhindern, da man die andere Adresse auf dem Display der BitBox erkennen sollte.

:thinking:

Also ja, Hardware die speziell TAILS angreift oder eben einen 0 day wären 2 Möglichkeiten des Angriffs, aber der 0 day müsste eben für Electrum und nicht für den Videoplayer sein.

Von so einer speziellen Hardware habe ich aber auch noch keine Berichte gesehen, das lohnt sich wahrscheinlich einfach nicht.

Fazit: Mit etwas Overengineering, kann man TAILS fast so sicher wie mit einer BitBox arbeiten…

Aber klar, das Argument sich das fertige fehlerfreie Produkt für 140€ zu kaufen und damit viel einfacher sicher zu fahren ist natürlich sehr valide. Aber mir gefällt es nicht wenn man TAILS einfach rein aus Prinzip ablehnt, dafür ist es viel zu gut.

Das ist es eben. Mehr Code und mehr Komponenten erhöhen die Angriffsfläche.

Sicherlich ist Tails gut und eine Option, aber bestimmt nicht massentauglich. Aber schön, dass du deine Lösung gefunden hast und passioniert verteidigst :slight_smile:

1 „Gefällt mir“

Stimme dir da zu, die Angriffsfläche ist im Moment eher gering gerade weil es realtiv wenige und eher mit Linux und Verschlüsselung bewanderte Menschen nutzen.

Gerne, ich habe auch eine BitBox, also kann beide Varianten vergleichen.

Aber TAILS gibt es seit über 10 Jahren und Probleme gab es selten, außerdem kann man damit sehr gut diversifizieren und backups anlegen.

Ist eine etwas andere Welt, da man beliebig viele Sticks machen kann mit verschiedenen Zwecken usw.

Hab tatsächlich schon vor 6 Jahren wer Interesse hatte mit 2 TAILS sticks georangepilled.

Sunny decree z.B. sagt ja auch mittlerweile er diversifiziert sein Vermögen auf möglichst viele verschiedene Hardwarewallets, da finde ich TAILS als eine weitere Option super!

1 „Gefällt mir“