xPub-Verifikation insbesondere bei Multisig: kompromittierte SW-Wallet

Remington · 13. Oktober 2024 um 14:20

Hallo zusammen. Ich habe eine Frage zur Sicherheit von Multisig-Wallets.
Nehmen wir exemplarisch als HW-Wallet die BitBox02. Hier kann ich ja, so viel ich weiß, den xPub nur in der Companion App (z.B. BitBox App oder Sparrow-Wallet) anzeigen lassen aber nicht über das BitBox-Dispay. Da die App ja aber kompromittiert sein kann, kann ich der App-Anzeige nicht vertrauen. In einem SingleSig Setup bedeutet das aber noch kein Problem, da ich jede einzelne Empfangsadresse, die mir die Companion-App anzeigt, über das Display der BitBox verifizieren kann. Soweit so gut.

Bei MultiSig habe ich diesbzgl aber doch ein Problem. Betrachten z.B. ein Setup mit 3 BitBoxen02 als Signing Devices und Sparrow als Companion App. Damit ich die Adressen des MultiSig Wallets überhaupt auf dem Display einer BitBox überprüfen kann, muss ja jede BitBox den xPub der beiden anderen BitBoxen kennen um aus den 3 xPubs die Adressen des MultiSigWallets generieren zu können. Diese xPubs erhalten die BitBoxen ja nun aber jeweils von Sparrow, was ja kompromittiert sein kann und somit die xPubs ebenfalls manipuliert sein könnten. Auf den BitBoxen selbst muss ich dann zwar das MultiSig-Wallet registrieren, wobei mir die xPubs auf dem Display angezeigt werden, aber da die xPubs ja nur von Sparrow geschickt wurden, habe ich keinerlei Referenz, ob die xPubs stimmen und somit ist die Anzeige ja eigentlich völlig sinnbefreit. Denn soviel ich weiß, gibt es gar nicht die Möglichkeit auf der BitBox selbst mir die verschiedenen xPubs der verschieden Ableitungspfade (im Falle von MultiSig in der Regel m/48’/1’/0’/1’) nativ anzeigen zu lassen…

Die Verifikation der Adressen des Multisig-Wallets auf dem Display der BitBox ergibt dann ja keine weitere Sicherheit, da die Adressen, wenn Sparrow komprimiert ist und falsche xPubs an die BitBoxen gesendet hat, natürlich dann trotzdem mit der Adresse, die mir Sparrow anzeigt übereinstimmen.

Habe ich somit dann eher erst recht einen Sicherheitsnachteil was die Echtheit der Adressen angeht bei einem MultiSig Wallet oder habe ich hier irgendwo einen Denkfehler?

Oder ist es so, dass die BitBox, wenn sie die von der Sparrow-Wallet erhaltenen 3 angenommen manipulierten xPubs erhält, feststellt, dass keiner davon mir ihrem eignen xPub übereinstimmt und mich dann irgendwie darauf hinweist?

Danke schon mal

Pille · 13. Oktober 2024 um 15:04

Moin,

hier eine ausführliche Erklärung: How nearly all personal hardware wallet multisig setups are insecure

Kurz gesagt: Ja, du sprichst ein Sicherheitsrisiko bei Multisig-Setups an. Die BitBox02 speichert jedoch bei der Registrierung des Multisig-Wallets eine Prüfsumme der xPubs aller Schlüssel. Diese Prüfsumme ermöglicht es, zukünftige Adressen unabhängig zu überprüfen, selbst wenn die Software kompromittiert ist.

Remington · 20. Oktober 2024 um 11:51

Vielen Dank für die Info und den Link. Ärger mich, dass ich nicht selbst auf diesen BlogPost gestoßen bin.

Aber um hier vlt doch einen Mehrwert zu generieren, habe ich ergänzend dazu gerade diesen Vortrag gesehen, der sich genau auf diesen Blog bezieht und eine tolle Ergänzung ist wie ich finde:

Vor allem wird hier erwähnt, dass mit BIP-129 an einem Standard gearbeitet wird, um genau diese Hürden zu überwinden. Leider scheint dieser BIP-129-Standard aber noch in keinen HW-Wallets umgesetzt zu sein. Coldcard scheint da aber wohl schon was als Vorschau zu machen (BSMS (BIP-129) - COLDCARD Documentation). Zur BitBox habe ich diesbzgl nichts finden können, obwohl sie auch Initiator davon sind. Vielleicht weiß ja jemand hier schon mehr dazu.