Welche Alternative zur BitBox?

Welche Alternativen zur BitBox gibt es die empfohlen werden ?

Natürlich Ledger :laughing:

3 „Gefällt mir“

Ich finde die Coldcard von allen BTC-only Wallets am besten. Sieht aus wie ein Taschenrechner (plausible Deniability) und hat einen gigantischen Funktionsumfang. Dazu muss sie nie mit einem Computer verbunden werden.

Kommt auf deine Anforderungen und deinen Geldbeutel an :smiley:

Geringes Budget: Blockstream Jade

Hohes Budget: Foundation Passport

2 „Gefällt mir“

Meine persönliche Wahl ohne Kosten und mit netten weiteren Features, auch wenn ich BitBox fast mehr vertraue:

tails.boum.org

Seedsigner, gerade wenn du Interesse an multi sig hast und dich vor supply chain angriffen schützen möchtest.

Noch nicht erhältlich, also noch keine Alternative aber ich bin auf jeden Fall auf die Hardware-Wallet von Block Inc gespannt…

Ein Betriebssystem ist für mich keine Alternative zu einer Hardware Wallet.
Sobald das Gerät eine Internetverbindung aufbaut, ist es eine Hot Wallet. Egal, wie sicher das OS ist.
Ohne Internetverbindung hast du vermutlich ein sehr großes „Hardware“ Wallet bei dem immer die Gefahr besteht, dass man es aus Versehen „hot“ stellt.

Schön, also den pauschalen Leitsatz kann man dann so weit ausdehnen, dass wenn eine Hardware wallet ein firmware update machen kann, dass sie zur hot wallet macht.

Aber du kannst uns ja gern mit der Sicherheitslücke in TAILS vertraut machen.

:yawning_face:

Wer da seine Millionen drauf parkt und es in jedem Internet Cafe hochbooted ist selbst schuld.

Besser als Ledger isses in meinen Augen trotzdem. Sonst frag ich dich, wie Ledger ein Update aufspielen kann, nachdem sie dann deinen Seed in ein Backup legen können?

Gab es durchaus. Oft ist es wohl nur eine Frage des Geldes. Aber ich stimme dir zu dass Tails vergleichsweise extrem sicher ist und die Wahrscheinlichkeit dass du durch Tails deine Sats verlierst äußerst gering ist.

Facebook soll im Jahr 2017 einem IT-Sicherheitsunternehmen einen sechsstelligen US-Dollar-Betrag gezahlt haben, um einen Zero-Day-Exploit im anonymisierenden Live-Betriebssystem Tails zu entwickeln.

1 „Gefällt mir“

Sehr interessant, allerdings kann ich hier einen Vergleich ziehen:

"Problematisch an dem Fall ist, dass weder Facebook (oder die beauftragte Firma) noch das FBI das Tails-Team über die entdeckte Zero-Day-Lücke informierte. "

Zu diesem expliziten Exploit:
Also wenn man Tails nicht gerade nutzt, um Minderjähige für explizite Video zu erpressen und dann ein präpariertes Video vom FBI in dem Videoplayer mit genau dieser Lücke abspielt, wäre kein Zugriff möglich gewesen, richtig?

Wenn da sonst noch weitere Lücken bekannt wurden, immer gern her damit!

Also es gab mal im Jahr 2017 ein Zero Day Exploit im internen Videoplayer mit dem man Zugriff auf TAILS bekommen konnte und dann könnte es passieren, dass (falls man ein präpariertes Video öffnet) der Angreifer dadurch Zugang bekommt und dann warten könnte, bis man seine Seedphrase entschlüsselt.

Man kann auch ganz ohne Seedphrase und nur mit verschlüsseltem elektrum backup arbeiten, das sollte das Extrahieren der Seedphrase noch schwerer machen. Man kann hier ja auch mehrere TAILS haben, hätte man 1 TAILS für täglichen Nutzen und 1 TAILS für Bitcoin hätte diese Lücke nichts gebracht.

Jetzt kann man da es extrem günstig ist mit TAILS die BTC auf eine „Geldbörse“ und einen „Speicher“ aufteilen, ich glaub man kann dann auch noch mit dem Speicher offline bleiben und nur die signierte Transaktion vom anderen TAILS an das Netzwerk übermitteln.

Das ist zwar etwas umständlich, sollte aber rein in der Theorie funktionieren, dass das TAILS welches den großen Vorrat an BTC hat nie online geht, sondern offline befüllt wird (also man muss bis zum Signieren einer Transaktion gar nicht online sein) und dann wird bei Bedarf einfach eine Transaktion signiert und diese dann physisch auf das Hot TAILS übertragen und von dort ans Netzwerk übermittelt.

On another node:
.Pegasus - Der Feind liest mit | Doku HD | ARTE - YouTube

Mit Pegasus kann man unbemerkt Vollzugriff auf ein infiziertes Betriebssystem erhalten.
(Hauptsächlich Anroid und Apple, Windows ist eh unsicher… TAILS dürfte vor Pegasus recht sicher sein, bis es ein ganzer Staat nur auf dich abgesehen hat)

Im Grunde könnte man damit auch Bitcointransaktionen umleiten, wenn ich das richtig im Kopf habe verhindert das an dem Punkt die BitBox durch seperate Darstellung der Empfängeradresse und Bestätigung auf dem Display. Damit könnte man einen Angriff mit Pegasus hier auch recht einfach verhindern, da man die andere Adresse auf dem Display der BitBox erkennen sollte.

:thinking:

Also ja, Hardware die speziell TAILS angreift oder eben einen 0 day wären 2 Möglichkeiten des Angriffs, aber der 0 day müsste eben für Electrum und nicht für den Videoplayer sein.

Von so einer speziellen Hardware habe ich aber auch noch keine Berichte gesehen, das lohnt sich wahrscheinlich einfach nicht.

Fazit: Mit etwas Overengineering, kann man TAILS fast so sicher wie mit einer BitBox arbeiten…

Aber klar, das Argument sich das fertige fehlerfreie Produkt für 140€ zu kaufen und damit viel einfacher sicher zu fahren ist natürlich sehr valide. Aber mir gefällt es nicht wenn man TAILS einfach rein aus Prinzip ablehnt, dafür ist es viel zu gut.

Das ist es eben. Mehr Code und mehr Komponenten erhöhen die Angriffsfläche.

Sicherlich ist Tails gut und eine Option, aber bestimmt nicht massentauglich. Aber schön, dass du deine Lösung gefunden hast und passioniert verteidigst :slight_smile:

1 „Gefällt mir“

Stimme dir da zu, die Angriffsfläche ist im Moment eher gering gerade weil es realtiv wenige und eher mit Linux und Verschlüsselung bewanderte Menschen nutzen.

Gerne, ich habe auch eine BitBox, also kann beide Varianten vergleichen.

Aber TAILS gibt es seit über 10 Jahren und Probleme gab es selten, außerdem kann man damit sehr gut diversifizieren und backups anlegen.

Ist eine etwas andere Welt, da man beliebig viele Sticks machen kann mit verschiedenen Zwecken usw.

Hab tatsächlich schon vor 6 Jahren wer Interesse hatte mit 2 TAILS sticks georangepilled.

Sunny decree z.B. sagt ja auch mittlerweile er diversifiziert sein Vermögen auf möglichst viele verschiedene Hardwarewallets, da finde ich TAILS als eine weitere Option super!

1 „Gefällt mir“

Wie machst du das mit den Updates, Bontii? Wenn Electrum auf Tails ein Update anbietet, kann man da gewissensfrei drauf klicken?

Ich würde empfehlen auf das Release zu schauen und eine Suchmaschine zu verwenden, um evtl. Warnungen zu finden, ob das Update ein dringender Fix ist oder ein seltsames Update, welches im schlimmsten Fall schon viele Betrugsfälle verursacht hat.

Das sollte recht schnell sehr bekannt werden, falls sowas mal der Fall ist. Also 2-4 Wochen nach Veröffentlichung ohne irgendwelche Probleme sollte das Update ziemlich sicher sein.

Aber könnte natürlich auch sein, dass erst nur ganz lange private Keys gesammelt werden, aber da Electrum Open Source ist nicht länger als wenige Tage, da es recht schnell auffallen würde, dass im Code etwas nicht mehr stimmt.

moin

ich hol das topic mal wieder aus dem keller…

Gibt es hier neue erkenntnisse/erfahrungen oder bahnbrechende entwicklungen zu diesem Thema…?

Nachdem ich mir shiftcrypto/die mitarbeiter nochmal einwenig angeschaut habe, bin ich doch wieder ganz schön paranoid geworden und mein vertrauen in die bitbox ist einwenig gesunken… es ist ganz schön seltsam was die jungs teilweise auf x von sich geben… das ist nicht grade vertrauenserweckend
und da ich immer häufiger von freunden/bekannten nach der „besten/sichersten“ wallet gefragt werde, würde ich gerne meinen wissenstand updaten…

was ich mich z.B. auch konkret frage:

der Seedsigner wirbt zB. mit airgape - aber wenn ich doch die sd-karte hin und her stecke (seedsigner ↔ inet device) dadurch kann ich doch auch meinen seedsigner mit schad-software infizieren oder? ist das wirklich sichere als bit box?

Wenn du wirklich Paranoia hast, dann hilft dir nur eine Multi-Sig-Wallet 3 aus 5 z.B… Für jede Seed nutzt du dann einfach einen anderen Hersteller.

Da kann dir dann egal sein, ob shiftcrypto irgendwelchen Blödsinn macht oder nicht.

Hast du Beispiele dafür, welche Äußerungen das bei dir bewirken?

Ich werfe hier mal Airgap Vault in die Runde.

Ist 100% open source, kommuniziert per QR code und unterstützt Sparrow Wallet. Und weil es auch „gratis“ ist (man braucht ein separates Smartphone, z
B. Wenn man sein altes in einer Schublade liegen hat, sicher eine interessante Option) haben die halt keine Marketing Abteilung. Daher wird es auch nirgends „geschillt“.

Nutze es schon eine Weile und bin sehr zufrieden damit.

und wie mach ich das genau?