Wieder jemand mit einer tollen Idee zur sicheren Aufbewahrung der Wallet

Seitdem ich mich zum ersten Mal mit Bitcoin beschäftigt habe, das war 2018, denke ich immer wieder phasenweise darüber nach, wie ich am besten den Zugang zu meinen Bitcoin absichere. Ich sollte vielleicht erwähnen dass mir vertrauen in fremde Technik sehr schwer fällt. Einige nennen mich paranoid

Anfangs war mein Plan irgendwann eine eigene Hardware Wallet mit QR Code Verbindung zu bauen. Während der Corona Lockdowns habe ich genau das getan. So ganz sicher fühlte ich mich damit aber nie. Das lag daran dass das notwendige Wissen über Kryptographie und Sicherheit nur oberflächlich angelesen war und praktisch keine Erfahrung existierte.

Irgendwann traute ich dann doch der Bitbox ausreichend. Meiner Meinung nach merkt man an allem, was sie tun, dass sie das Thema Sicherheit und Vertrauen sehr wichtig nehmen. Trotzdem ist eben vertrauen notwendig. Einer der Gründe, weshalb ich mich in Bitcoin sofort verliebt habe, ist dass (theoretisch) kein Vertrauen notwendig ist.

Deshalb hören die Grübeleien nicht auf, auch wenn ich mich bei der Bitbox ganz gut aufgehoben fühle. Lange war der Gedanke dass das Ende der Reise irgendwann der Wechsel zu einer Multisig Wallet, mithilfe verschiedener Hardware Wallets, sein würde. Da dieses Verfahren aber einige Gefahren birgt und sogar unsere Fachleute, aus diesem Forum, davor abgeschreckt scheinen, habe ich mich - für mögliche Alternativen - weiter inspirieren lassen.

Nun zu meiner aktuellen Idee. Kurz gesagt, schwebt mir vor die 24 Wörter um eine vergleichbar komplexe Passphrase zu verlängern. Beides zusammen kann dann in drei überlappende Backups aufgeteilt und an verschiedenen Orten aufbewahrt werden. Das würde dann einem 2/3 Mnemonic Split entsprechen.

Ein Vorteil ist, wenn man die Passphrase nicht von der eigentlichen Hardware Wallet generieren lässt, die Reduzierung der Abhängigkeit von der Hardware Wallet. Das ist zwar nicht das Niveau einer Multisig Wallet, geht aber schon mal in diese Richtung.

Ein weiterer Vorteil, im Vergleich zum klassischen Mnemonic Split, ist eine höhere Entropie, wenn eines der Backups kompromittiert wurde.

Nach kurzer Recherche habe ich herausgefunden dass die Bitbox leider nur eine Zeichenlänge von 149 für die Passphrase erlaubt (ist das eine Entscheidung der Bitbox oder wird das in den BIPs definiert?). Das bedeutet dass man leider keine weiteren 48 Wörter aus der BIP-Wortliste verwenden kann. Nichtmal wenn man es auf die ersten 4 Buchstaben der Wörter reduziert. Deshalb wäre der Gedanke 36 Wörter (davon nur die ersten 4 Buchstaben) als Passphrase zu verwenden. Somit kommt man auf insgesamt 60 Wörter. Bedeutet bei einem besagten 2/3 Split kommt man zwar nicht auf eine Sicherheit von 24, aber immerhin 20 Wörtern. Das dürfte erheblich sicherer sein, als die 8 Wörter bei einem klassischen Split.

Ich weiß dass es keine perfekte Absicherung gibt. Trotzdem versuche ich einen guten Kompromiss aus möglichst hoher Sicherheit und minimalen Aufwand zu finden. Die Anforderungen sind einen 2/3 Split zu ermöglichen, eines der Backups muss mindestens die Seedphrase (24 Wörter) beinhalten (wegen des SD Backups der Bitbox) und es muss ein möglichst einfach zu verstehendes System sein, um einer Vererbung nicht im Wege zu stehen.

Mich würde interessieren was ihr davon haltet. Habt ihr Verbesserungsvorschläge oder Alternativen?

Vielleicht haben ja auch @skyrmion, @sutterseba und @Stadicus etwas dazu zu sagen?

Interessante Idee, mir persönlich wäre das wahrscheinlich viel zu umständlich. Wenn ich regelmäßig 32 Wörter auf einer Hardware-Wallet eingeben müsste, würde ich wahrscheinlich irgendwann am Rad drehen. Schließlich hat man keine Unterstützung durch die Wortliste bei der Eingabe.

Auch ist natürlich das Risiko für Tippfehler bei einer längeren Passphrase größer. Bei der regulären Nutzung ist das höchstens nervig, bei der ersten Nutzung muss man aber umso mehr aufpassen – ist dir ja wahrscheinlich klar.

So wie ich das rauslese sind deine Ziele:

• 2/3 Aufteilung
• Kein Sicherheitsverlust bei 1/3 bekanntem Backup
• Mehr Unabhängigkeit von der BitBox02 schaffen

Mit einer klassischen 2/3 Multisig könnte man alle drei Ziele erreichen, und zwar vor allem relativ einfach, während du mit der Passphrase fast schon übertreiben musst und den dritten Punkt nur bedingt erfüllst.

Alles hat seine Vor- und Nachteile. Ich würde sogar sagen, dass die optionale Passphrase für Anfänger gefährlicher ist als Multisig.

Aber du bist ja kein Anfänger… Wenn man sich mit den Stolperfallen auseinandergesetzt hat (den Artikel kennst du wahrscheinlich), steht einer sicheren Nutzung von Multisig nichts im Weg, finde ich.

Ich würde wahrscheinlich selbst auch ein einfaches Multisig Setup nutzen, wenn es sich lohnen würde…

Das kannst du übrigens auch beim Erstellen einer neuen Wallet überspringen, falls das ein einschränkender Faktor sein sollte.

Kann ich gut nachvollziehen und auch die Bitbox Mitarbeiter werden da sicher nicht widersprechen.

Deine vorgeschlagene Lösung mit Passphrase verringert schon einmal das notwendige Vertrauen in manchen Szenarien. Trotzdem könnte eine HW-Wallet die Passphrase nach der Eingabe leaken.

Eine vollständige Unabhängigkeit von einzelnen HW-Wallet-Herstellern würde man leider nur mit einem Multisig-Setup erreichen; das allerdings auch nur unter der Annahme, dass die Hersteller nicht in betrügerischer Absicht zusammenarbeiten.

Wo der persönliche Sweet Spot bzgl. Vertrauen und Komplexität liegt, muss halt jeder am Ende selbst entscheiden.

Deine Gedanken sind richtig und die Lösung hat ihren Charme. Es ist auf jeden Fall clever, Standard BIP39 Wörter für die Passphrase zu verwenden. Auch von der kryptographischen Sicherheit her sollte es passen.

Aber es ist evtl. schon wieder zu kompliziert, da man von einem Teil der Wörter nur die Anfangsbuchstaben verwendet.

Falls man hingegen einfach 24 Wörter plus eine „normale“ Passphrase auf ein 2 von 3 Setup splittet, hat man wiederum die angesprochenen Nachteile der freien Passphrase (Schreibfehler, keine standardisierten Wörter). Auch die Sicherheit läge mit einer 18 Zeichen langen Passphrase nur in der Größenordnung von ca. 120 Bit. Es wären nach Finden einer Sicherung 8 Wörter der Seedphrase (ca. 80 Bit) plus 6 Zeichen der Passphrase (ca. 40 Bit) zu bruteforcen.

Deshalb meine Meinung:

Falls einem 80 Bit Sicherheit reichen, da man die Wallet nicht für Jahrzente behält und sie kein großes Vermögen enthält, einfach einen normalen Mnemonic Split verwenden.

Falls einem die immer wieder erwähnten 128 Bit Sicherheit genug sind, und man deine genannten Ziele erreichen möchte, reicht es, wenn man als Passphrase einfach 12 weitere, vollständige BIP39 Wörter verwendet.
Eine Sicherung enthält dann 16 Wörter der Seedphrase und 8 Wörter der Passphrase. Diese (deine) Lösung ist auf jeden Fall in einigen Aspekten sicherer als eine freie Passphrase.

Ich persönlich bin gegen diesen 128 Bit Trend. Falls man die volle Sicherheit und maximale Unabhängigkeit von einzelnen Herstellern haben möchte, führt nichts um ein Multisig Setup herum.
Natürlich braucht man sicher ein bisschen Zeit um alles zu testen, bevor man dann seine Funds transferiert. Aber du und eventuelle Erben haben den Vorteil einer vollständigen Standardisierung. Es genügt das Stichwort „Multisig“ und der Rest ist nach ausreichender Einarbeitung oder mit etwas Hilfe klar.

Wieso muss es sich denn bei der Passphrase um Wörter aus der Wortliste handeln? EIne mögliche Passphrase wäre doch auch: &8IhfnlHp4&xVuCfi1889

Also natürliuch dann eine Buchstaben & Zahlenkombination die man sich individuell merken kann. Diese Passphrase dann an anderer Stelle aufbewahren als den Seed. Selbst wenn jemand an den Seed kommt, wird man es auch nicht schaffen die Passphrase zu bruteforcen.

Und die Passphrase merkt man sich und hat diese noch zusätzlich wo hinterlegt zur Sicherheit. ODer habe ich hier einen Denkfehler?

Natürlich hast du recht. Allerdings möchte @lerpy ja standardisierte Wörter anstelle einer freien Passphrase verwenden.

Der Nachteil ist, dass die Passphrase dadurch länger wird. Evtl. so lang, dass es beim Eingeben richtig nervt. Aber wenn man es nur selten macht ist es egal.

Der Vorteil ist, dass du eine gewisse Robustheit ggü. Schreibfehlern und/oder einer „Sauklaue“ hast. Gerade bei der Passphrase kommt es immer wieder mal vor, dass sich jemand bei der Einrichtung vertippt oder verschreibt.

Dieser Vorteil ist auch der Grund, warum der Mnemonic aus einer Standardwortliste gebildet wird. Theoretisch und praktisch kann man den Seed ja auch aus einer freien Zeichenkette ableiten.

Danke für eure (wie immer) ausführlichen Antworten. Es freut mich dass ihr viele Punkte so wiedergegeben habt, wie sie mir selbst schon eine Weile im Kopf schweben. Das zeigt mir dass ich durchaus die richtigen Gedanken habe.

Ja, der Aufwand ist schon recht hoch. Aber seit ich die Bitbox verwende, habe ich sie ungefähr ein Mal im Jahr angeschossen. Ich sehe nicht warum ich das in Zukunft häufiger tun sollte. Deshalb wäre dieser Aufwand, denke ich, verkraftbar.

Dieser Punkt ist bei dieser Vorgehensweise vermutlich die größte Gefahr. Schließlich könnte man sich auch mehrfach an der selben Stelle vertippen. Und da dieses Vorgehen ggf. verlangt, alle Wörter hintereinander weg zu schreiben, ohne Abstand, könnten eventuelle Tippfehler, selbst beim Prüfen, leicht übersehen werden.

Würdet ihr sagen dass der Aufwand und die Herausforderungen dieses Verfahrens nicht geringer sind, als die einer Multisig Wallet? Schließlich war das ja der Grund, weshalb ich mir eine Alternative überlegt habe. Ich muss gestehen, dass ich noch keine Multisig Wallet ausprobiert habe. Deshalb kann ich das nur schwer einschätzen.

Ich hatte ihn mir bei Erscheinen durchgelesen. Gerade eben noch einmal. Es ist ein sehr schöner Einblick. Der beschriebene Aufwand zur Verifizierung, um sicherzustellen dass die kommunizierten Daten der Cosigner korrekt sind, klingt für mich ähnlich, vielleicht sogar noch aufwändiger, als die Verifizierung einer komplexen Passphrase.

Im Artikel wird empfohlen dass bei einer Aufteilung der Backups jedes Einzelne alle xpubs beinhalten sollte. Führt dies, bei einem Diebstahl eines Backups, nicht dazu dass man zwar keinen Zugriff, aber immerhin einen Einblick in die Adressen hat? Um auch diesen Einblick zu verhindern, könnte man die Backups wie folgt sicher aufteilen?

• Backup A: Seedphrase A + xpub B
• Backup B: Seedphrase B + xpub C
• Backup C: Seedphrase C + xpub A

Das war mir tatsächlich nicht bewusst. Aber ändern würde ich dennoch nichts. Außer vielleicht dass man die Seedphrase jetzt auch aufteilen könnte, aber ich sehe dabei keinen Mehrwert. Eher würde das die Wiederherstellung aufwändiger machen.

Das ist tatsächlich ein unschlagbarer Vorteil, gegenüber einer eigenen Kreation.

Anscheinend spricht vieles dafür dass das Finale wohl weiterhin die Multisig Wallet bleiben wird. Danke euch beiden nochmal, für die Zusammenfassung der relevanten Punkte.

Ja, eigentlich schade, dass es bei der BitBox02 nicht die Möglichkeit gibt in einem speziellen Modus (meinetwegen auch versteckt) sich selbst Wörter oder eine Zeichenkette auszusuchen, statt die 24 Wörter wählen zu müssen. Klar, würden die meisten nicht nutzen und gibt auch potential für Fehler, aber ich würde solch eine Funktion toll finden.

Geht doch! Aber bitte mit Vorsicht geniessen. Am besten würfeln, denn es muss echt absolut zufällig sein:

Nein, also gewürfelt habe ich. Ich meine mit meiner Aussage, dass man ja an die Wortliste gebunden ist und nicht beispielsweise einen freien Satz / Buchstabenkombination wählen kann.

Diese Wörter sind Bitcoin-Standard und codieren deinen Seed. Der könnte auch als lange Zahl, im Hexadezimalformat oder als Emojis dargestellt werden. An der Sicherheit des Seeds ändert sich dabei nichts.

Einen eigenen Standard mit anderen Wörtern zu verwenden wäre eine ganz gefährliche Idee und ist absolut nicht empfehlenswert. Dein Backup wäre nicht mehr mit allen modernen Wallets kompatibel.

Die Passphrase kannst (und sollst!) du frei wählen, da diese ein Passwort ist. Dafür nicht die Wortliste verwenden, daher nennen wir die auch nie das „25. Wort“.