Hallo liebe Plebs,
wie bewertet ihr den Beitrag von Lion Media (180.000 Abonnenten) zum Thema Bitcoin und der Fragestellung des im Bitcoin-Protokoll verwendeten Sha 256 Algorithmus? Steckt die NSA hinter bitcoin? Gibt es ein Honeypott-Szenario?
Ich sehe den Beitrag eher kritisch, da er das Verteilungsthema falsch analysiert.
Er bezieht sich dabei im Wesentlichen auf einen Beitrag von Cointelegraph:
Danke schonmal für die Einschätzung.
Hab’s mir angesehen: Ich fand es recht sachlich und ausgewogen, habe aber nichts hören oder sehen können, was hier nicht schon eingehend diskutiert worden wäre.
Aber mir ist bei dem Video endlich klar geworden 
, wer Satoshi Nakamoto ist - und warum er seine Bitcoin noch nicht bewegt hat 
: Weil er in Moskau nix dafür kaufen kann und er sie noch braucht, wenn er nach Amerika zurück kehrt… 
Ich hab mir auf die schnelle nicht die Artikel anschauen können, aber dieses NSA-Thema geistert schon einige zeit durch die Krypto-Zene.
Generell: Es ist für Bitcoin völlig egal ob es durch die NSA oder einem kettensägendem Irren erfunden wurde. Bitcoin ist da, genauso wie es jetzt ist, mit allen guten und schlechten Eigenschaften die wir beobachten können. Und egal was für ein Psychopat sein Ersteller auch vielleicht gewesen sein mag: die guten Eigenschaften von Bitcoin sind dadurch nicht wegzudiskutieren.
Dieses NSA Thema ist also meiner Meinung nach nur eines der vielen Nebelkerzen, die die Kryptolobby gegen Bitcoin wirft damit ihre Produkte gekauft werden.
Auch wenn der SHA-Algorithmus von der NSA entworfen worden ist, wenn dieser eine Hintertür hätte, die die NSA nutzen könnte, dann gäbe es zuhauf interessante Anwendungsfälle. Ich gehe davon aus, dass wir von wenigstens einem dieser Missbräuche erfahren hätten, speziell in Bitcoin, die NSA könnte somit auch relativ leicht die Satoshibestände „klauen“ aber auch außerhalb von Bitcoin würde es sofort auffallen, wenn der Sha-Algorithmus knackbar wäre.
FUD, da war soviel dabei, Zuviel Arbeit das alles zu erledigen!
Gibt ja auch zuhauf guten Education Content von Andreas Antonopoulos z.B.
SHA 256 bildet einen Input beliebiger Länge auf einen Output mit 256 Bits ab. Wenn du also einen Input hast welcher Gigabyte an Daten beinhaltet, wird dieser auf einen 256 Bit Output reduziert. Du kannst aus einen 256 Output niemals den Input reproduzieren. Rein logisch kann das nicht gehen. Wenn du z.B. die Zahl 10 als Ergebnis einer Addition hast kannst du daraus ja auch nicht auf den Input schliessen.
Dann wird noch sha mit dem Zufallsgenerator
vermischt, aus welchem der private key generiert wurde. Wirklich zufällige Werte lassen sich nicht einfach erstellen, deswegen kann man beispielsweise bei der Coldcard noch externe Entropie mit würfeln in die Erstellung des seeds mit einbringen. Also durchaus denkbar, dass hier Backdoors existieren.
Das ist korrekt. Nimmst du allerdings mehrere Pseudozufallsquellen zusammen, ist es echtem Zufall gleichzusetzen.
Du kannst den „Zufall“ aus der Uhrzeit errechnen. Dann bekommst du natürlich immer die gleiche Zahl, wenn du die Uhr auf die selbe Zeit einstellst.
Nimmst du das Datum dazu, wird es schwieriger, also „zufälliger“.
Jetzt kannst du noch die Chip Seriennummer, die Betriebsspannung der Batterie und die aktuelle Temperatur mit dazunehmen, und schon ist es fast ausgeschlossen, dass ein Angreifer genau den gleichen Zufall erzeugen kann.
Ist ein Seed mit extra Würfelfaktor sicherer? Ja.
Ist ein Seed ohne unsicher? Nein.
Die Wahrscheinlichkeit für eine Backdoor bei open source Code ist verschwindend gering.
Die Quellen der Entropie lassen sich ja verifizieren. Sind genügend vorhanden, ist es nahezu unmöglich, den gleichen Seed zu erstellen.
Gerade jetzt ist doch Mal wieder die Open Source Gemeinde in Aufruhr. Hast du nicht vom xz-problem gehört? Also von einer verschwindend geringen Wahrscheinlichkeit würde ich nicht ausgehen.
Puuh, danke für diesen Hinweis… In der Tat, da wird hinter den Kulissen massiv am Kapern von Linux gearbeitet. Das hätte ggf. auch für Bitcoin massive Folgen. Zumindest belegt es eines: Der Seed einer HW-Wallet darf niemals einen PC berühren!
Ich hab erstmal mein System gecheckt - zum Glück hat Manjaro bzw. Arch das Problem mit Version 5.6.1-2 schon gelöst. Aber - wer weiß, was beim nächsten Angriff passiert? Ich muss mein Vertrauen in Linux nochmal grundlegend überdenken. Wenn eine solche Backdoor nachhaltig in die Linux Distributionen eingeschleust und verbreitet werden sollte, ist Bitcoin nur noch eine Illusion. Da kannste alle Miner auf Knopfdruck abschalten… Unfassbar, wie nah das BTC-Ende doch ist…
Ganz so schlimm ist es doch auch wieder nicht. Ja der XZ-Skandal, der jeden SSH-Zugang zugänglich macht ist eine große Sache, aber die Menschen sind ja lernfähig:
erstens ist dieser Angriff aufgedeckt worden und eine ähnliche Schwachstelle kann jetzt einfacher gefunden werden. Die chance dass das so nocheinmal passiert ist sehr gering (Ich persönlich vermute auch, dass dies ein Pseudo-Angriff war um zu zeigen wie das Einschleusen so einer Schwachstelle funktioniert. Vor einigen Jahren hat eine Uni das einmal offiziell versucht und wurde wegen schädlichen verhaltens gebannt. Jetzt könnten sie es einfach heimlich gemacht haben und es wie ein Angriff aussehen lassen haben um die Entwicklungsprozesse zu verbessern)
diese Schwachstelle war zwar gravierend und hätte jedes System geöffnet, aber nicht für beliebige Angreifer sondern exakt ein Angreifer hätte den Generalschlüssel zu allen Linux-Systemen, die das Update eingespielt haben. Dieser müsste also für Angriffe bezahlt werden und egal welchen Angriff dieser durchgeführt hätte, danach wäre diese Schwachstelle öffentlich geworden und mit sicherheit schnell gepatcht.
zweitens ist dieser Skandal herrausgekommen weil die XZ-Paktete OpenSource sind und jeder diese verifizieren kann. Stell dir mal das gleiche Szenario mit der geschlossenen Plattform Windows vor, wenn den Entwickler und Tester so eine Hintertür nicht auffällt, dann wird sie jedem Windowsbenutzer ausgespielt. Und die Chance, dass diese Hintertür auffällt ist doch bei so einem Konzern relativ gering weil diese Tests eben Geld kosten.
ich finde es toll wie man bei Dir nachlesen kann wie du zwischen das BTC Ende ist nah und dem Versuch bei günstigen Kursen nachkaufen zu können, hin und her pendelst.
Was sagt das über Dich und deine Kommentare eigentlich aus? Kann. mann Jemanden ernst nehmen der derartig Gegensätzlich agiert?
Grundsätzlich empfehle ich jedem, mich nicht Ernst zu nennen oder zu nehmen.
Viele Menschen tendieren dazu, an ihrer Meinung fest zu halten und lange die Gründe zu selektieren, welche die eigene Sicht bestätigen, selbst, wenn es evident wird, dass sie falsch liegen.
Davon fühle ich mich weitgehend befreit, ich hinterfrage meine Ansichten permanent und gleiche sie mit neuen Eindrücken und Erfahrungen ab.
So auch meine Haltung zu Bitcoin, das kannst du in anderen Threads von mir nachlesen.
Alles klar jetzt betrachte ich deine Kommentare wesentlich entspannter 
Wie ist denn eigentlich der Stand deiner Erkenntnis zu Bitcoin wenn du die neuesten Erfahrungen und Eindrucke gewichtet hast?
Liegt das Pendel mehr bei pro oder kontra und warum?
Inzwischen 65% pro und 35% contra Bitcoin. Auf jeden Fall halte ich meine BTC, weil ich von dem Konzept, welches ich erst nach und nach und auch nur annähernd vollumfänglich verstanden habe, überzeugt bin und mir diese Option bewahren will. Von Zeit zu Zeit werde ich auch nochmal aufstocken, wobei mein Niveau insgesamt weit unter dem kompletten Coin liegt. Aber: Wenn das Konzept auch nur ansatzweise auf geht, ist selbst wenig BTC sehr viel Zukunft.
Ich würde aber nie all-in gehen oder sogar auf Kredit kaufen. Erstens, weil da die 35% contra im Glauben sind - und zweitens, weil ich nicht „reich“ sein muss. Mir reicht im Leben das Wesentliche.
Ich hoffe, jetzt siehst du klarer.
Auch ich habe lange gebraucht bis ich in „All in“ gegangen bin, aber der Vergleich der anderen Anlagen mit dem Bitcoin und dann die leicht zu errechnende Schieflage im Ergebnis selbst bei gut gehenden Aktien oder ETF Werten, haben mich letztlich doch umgestimmt.
Allein die Tatsache das ich den Staat mit 25% Steuer dafür belohnen soll das ich ein Anlagerisiko eingehe um dann zu sehen was mit meinen Steuern so alles finanziert werden soll. Ich will mich Einach nicht mit meinem Geld an dem Ukraine Krieg beteiligen oder mit ansehen für welchen überwiegenden Subventions Blödsinn die Steuern noch weiter verschleudert werden.
Während bei Dir die 35% contra noch vorhanden sind, sehe ich nur die 100% Sicherheit das alles anderen Anlagen innerhalb des FIAT System nur schlechter ausfallen können alleine schon wegen der Inflation und der Steuer, und der Verlust einer größeren Einlage scheint ja trotz der Betonung nicht reich sein zu wollen, keine unwesentliche Rolle zu spielen, denn abgesehen vom Kursgewinn empfinde ich die von mir verstandenen Mechanismen beim Bitcoin doch wesentlich erstrebenswerter wie die bekannten Mechanismen im FIAT System.
Aber als jemand der schon gut 9 Jahre investiert ist, lässt es sich auch leichter sagen, weil ich eben die Zyklen schon öfter durchlebt habe und sich das wohlige Gefühl richtig zu liegen immer mehr auch in den Zahlen ausdrückt.
Ich hoffe das es für Dich nicht zu teuer wird, wenn Du irgendwann mal die große Rechnung aufmachst um fest zu stellen wo man schon liegen könnte wenn das Verständnis schneller gewachsen wäre. Denn eines zeigt mir die Zeitachse auch schon, zwar sind die Prozentuellen Gewinne früher größer gewesen, aber es ist eben doch ein erheblicher Unterschied ob ein BTC von 1000 auf 3000 steigt oder von 23.000 auf 60.000 in einem vergleichbaren Zeitraum und dabei sind noch nicht die zu erwartenden folgenden 24 Monate berücksichtigt.
Zu 2) der ssh Service muss trotzdem öffentlich zugänglich sein, wenn der nur aus intranet erreichbar ist könnte der Angreifer nicht auf diesen zugreifen.
Zu 3) Jein, der Angreifer hat die Änderungen ja so verschleiert, dass diese nicht einfach im source Code einsehbar sind, sondern nachträglich quasi reincompiliert wurden und letztendlich nur in den Binaries lagen. Der Fehler ist einem Entwickler bei Performance Tests aufgefallen und er hat weitere Untersuchungen angestellt. In einem normalen Code Review hättest du das nicht finden können! Bei closed source, müsstest du, um beim Windows Beispiel zu bleiben entsprechend von Microsoft angestellt werden. Wäre es dann rausgekommen wäre deine Identität bekannt und du könntest entsprechend strafrechtlich dafür belangt werden.
Nur weil jeder den Source Code verifizieren kann, heisst das noch lange nicht, dass dieser Code auch tatsächlich auf deiner Hardware ausgeführt wird. Kannst du mit 100 prozentiger Sicherheit sagen, dass die Software die du auf einen Hardware Wallet laufen hast auch tatsächlich 1:1 dem entspricht was du in dem Repository einsehen kannst?
Ausserdem weiss man ja auch nicht ob dies nur ein Zufallsfund war und das keine anderen ähnlichen vulnerabilities in irgendwelchen anderen libs existieren, welche noch nicht entdeckt wurden. Die Zufälligkeit des Fundes spricht eher dagegen.
Zu zweitens: Ja natürlich kann der Angreifer nur Systeme angreifen, die er auch erreichen kann. Der Punkt, den ich da aber ansprechen wollte ist, dass nur weil die Systeme jetzt Angreifbar sind nicht jeder beliebige möchtegern-Hacker auf einmal in dein System reinkommt (wie z.B. die Log4Shell Lücke, die alles Angreifbar gemacht hat). Nur und ausschließlich ein einziger Angreifer hätte unerlaubt Zugriff auf dein System. Dieser eine Angreifer müsste also Interesse an deinem System (von vielen Millionen möglichen Anderen) haben oder er müsste dafür bezahlt werden, also andere Hacker, die Interesse an deinem System hätten müssten mit dem ursprünglichen Angreifer Kontakt aufnehmen, was immer auch ein Risiko darstellt. Das limitiert die möglichen Angriffe schon enorm auch wenn es natürlich trotzdem ein potentielles Risiko bleibt. Es hätte deutlich schlimmer kommen können.
Zu drittens: hier wollte ich lediglich sagen, dass wir Glück hatten dass es opensource Software war und es somit Menschen gab, die sich auch ohne Bezahlung mit der Software beschäftigen. Natürlich gibt es auch bei Microsoft Menschen, die sich mit Softwaretests beschäftigen, aber diese sind zumindest auf der Systemebene größtenteils bezahlt von Microsoft. Sie machen also die Standard Funktionstests und winken die Software dann einfach durch. So eine Schwachstelle hätte also eine deutlich größere Chance unentdeckt zu bleiben.
Nein, kann ich nicht und hab ich auch nie behauptet Aber deswegen Punkt 1: Jetzt wissen wir, dass es generell möglich ist Software beim Compilieren einzuschleusen ohne den Code (oder ein Include) im Repo zu finden und andere opensource Systeme könnten jetzt sogar automatisiert nach ähnlichen Schwachstellen suchen. Der Vorteil dass wir als Menschen lernfähig sind und solche automatisierten Fehlersuchprogramme gerade bei Opensource angewendet werden können.
Naja theoretisch könnte der Angreifer auch seinen ssh key ins Internet stellen, somit wäre das Backdoor von jedem ausnutzbar. Oder er könnte ein script implementieren, was nach Servern mit öffentlich zugänglichen ssh port sucht und dort automatisiert, Angriffe durchführen.
Die Menschen die sich bei Microsoft mit Software Tests beschäftigen müssen ja auch eher nach Bugs in der Software suchen. Bei oos kann es immer sein, dass du ähnliche Projekte hast, wo ein Entwickler sich in seiner Freizeit umbezahlt um ein Projekt kümmert und niemanden ihn dafür dankt. Das so etwas anfälliger für „sozial Engineering“ Attacken ist sollte einleuchten.
Frei nach dem Motto, hey dude ich wollte dich etwas bei deiner Arbeit Supporten. Sobald man vertrauen aufgebaut hat, dann unter dem Radar ein Backdoor einschleusen. Lässt sich so einfach nicht bei proprietärer Software umsetzen, da mich die Firma ja erstmal Einstellen muss und ich dann meine Persönlichen Daten preisgeben muss.