wie kann ich wirklich paranoid-proof sicher sein, dass Hardware-Wallet-Hersteller uns nicht ueber den Tisch ziehen? Also theoretisch, koennten die ja einen Mega-Scam machen. Ich muss ja deren Hardware vertrauen. Vielleicht warten die einfach 5 Jahre und klauen dann von allen Wallet-Besitzern die Keys beim Nutzen der Geraete. Wir sind quasi von ihnen abhaengig. Vielleicht luegen sie ja und haben eine Backdoor fuer sich in der Hardware eingebaut.
Gut, wir sind auch bei allen Software-Herstellern denen ausgeliefert. Wenn Apple einen Keyloggern laufen hat, koennen sie auch in alle meine Social Media und Bank-Accounts rein. Aber mir geht es hier bei der Frage ums Prinzip. Das waere ja ein Mega-Scam. Woher wissen wir wirklich, dass die Hersteller serioes sind?
Du kannst zusätzlich zu deinen 24 Wörtern eine Passphrase verwenden. Wenn die 24 Wörter dann aus einer Liste kommen würden, die der Hersteller schon kennt, brächte ihm das nichts. Allerdings sollte die Passphrase, was vielleicht ab und zu vergessen wird, so sicher sein, dass sie nicht in einem kürzeren Zeitraum durch Brute Force geknackt werden kann.
Natürlich könnte die HW Wallet trotz Eingabe einer Passphrase einfach trotzdem einen Hersteller-bekannten Adressraum verwenden. Das würde allerdings früher oder später jemandem auffallen, der die Einhaltung des BIP39 Standards überprüft.
Das gleiche gilt für die Kommunikation. Abgesehen davon, dass die meisten HW Wallets fast oder komplett Open Source sind, kann man (nicht ich ) mit Überwachung der USB Schnittstelle eine ungewollte Kommunikation feststellen. Auch das würde einem Tester auffallen.
Was vielleicht nicht direkt auffallen würde wäre, wenn nicht jedes Gerät in den oben beschriebenen Formen manipuliert wäre, sondern vielleicht nur jedes Zehntausendste. Dann würden Tester es wahrscheinlich nicht bemerken.
Oder die Geräte kommunizieren 5 Jahre lang ganz brav, so dass alle Tests bestanden werden, und fangen dann erst an die Private Keys an den Hersteller zu übermitteln.
Ja, ich weiss, es ist schon ziemlich paranoid von mir, so eine Verschwoerung anzunehmen. Aber ich meine, wenn wir auch ueber akustische Keylogger auf dem Handy spekulieren (wie Roman letztens), dann ist eine boese Absicht unter den Herstellern (oder einzelnen Key-Mitarbeitern) auch denkbar.
Das ist schon richtig. Ich wundere mich auch immer wieder, dass sich Leute trauen mitten in der Öffentlichkeit zu stehen, um sich dann kurz danach mit der Kohle vom Acker zu machen. Da würde ich doch meines Lebens nicht mehr froh werden. Wenn ich müsste, dass ich Tausende von Menschen betrogen habe und überall aufpassen müsste, dass ich nicht erkannt werde.
Ich versteh den Jan Marsalek auch nicht. Der wird doch sein Leben lang nicht mehr glücklich. Egal wieviel Geld er hat. Das ist doch auch keine Freiheit wenn man aus der ganzen Welt verfolgt und gejagt wird
) mit Überwachung der USB Schnittstelle eine ungewollte Kommunikation feststellen. Auch das würde einem Tester auffallen.