Zufälligkeit des Seed von Ledger und Bitbox

skyrmion · 3. Juni 2023 um 19:09

In diesem Thread hatten wir ein paar Gedanken dazu festgehalten:

→ Ist es nicht besser seine Wörter Seed zu würfeln?

Stadicus · 4. Juni 2023 um 13:50

Wie komfortabel das mit der BitBox02 geht, habe ich vor einiger Zeit in einem ausführlichen Artikel festgehalten, inklusive allen Unterlagen zum Ausdrucken:

skyrmion · 4. Juli 2023 um 08:30

@BTC-Punk, da du auch in anderen Threads immer wieder unsere Argumente in diesem Thread in Zweifel ziehst, schreibe ich jetzt nochmal etwas detaillierter das gleiche wie weiter oben. Bitte gehe darauf konkret ein.

Du kannst die Zunkunft in beliebige Szenarien unterteilen. Für unsere Betrachtung sollten sich diese Szenarien nicht überschneiden und die Wahrscheinlichkeit sollten sich zu 100% aufsummieren. Das heißt im Klartext: Genau ein einzelnes dieser Szenarien wird sicher eintreffen.

Wählt man als Basis für die Betrachtung nur zwei Aspekte, die auch komplett unabhängig voneinander sein können, ergeben sich durch deren Kombination vier Szenarien, die man in einer Tabelle darstellen kann. Bei drei oder mehr Aspekten würde sich zur Darstellung eher ein Baum eignen.

Natürlich sind die relevanten Aspekte subjektiv und beliebig. Aber betrachten wir doch einfach mal nur die beiden (hier als unabhängig angenommenen) Probleme, die jeweils vorhanden sein können oder nicht:

Backdoor im TRNG durch Geheimdienst oder TRNG-Hersteller
Gefährliches Sicherheitsproblem der HW-Wallet aufgrund anderer Schwachstellen
(z.B. Design-Fehler/Lücke oder Betrug des HW-Wallet-Herstellers)

Damit haben wir für die Kombinationen folgende Tabelle:

                       ┌─────────────────────┬─────────────────────┐
                       │    TRNG Backdoor    │ keine TRNG Backdoor │
┌──────────────────────┼─────────────────────┴─────────────────────┤
│  HW-Wallet unsicher  │                     A                     │
├──────────────────────┼─────────────────────┬─────────────────────┤
│  HW-Wallet sicher    │          B1         │         B2          │
└──────────────────────┴─────────────────────┴─────────────────────┘

Szenarien A1 und A2 habe ich zu A zusammengefasst, da bei einer gefährlich unsicheren HW-Wallet die Backdoor im TRNG kaum noch relevant ist.

Diese drei Szenarien kannst du jetzt getrennt für Bitbox und Ledger mit Wahrscheinlichkeiten P und Konsequenzen analysieren. Ich habe rein beispielhaft mal handliche Werte angenommen.
Die Wahrscheinlichkeit für Negativ-Szenarien sind vermutlich zu groß eingeschätzt, aber ich möchte am Ende nicht auf genaue Zahlen hinaus, sondern einen groben Vergleich.

Ledger

P(HW-Wallet unsicher) = 4%
P(TRNG Backdoor) = 1%

Aus den Werten ergibt sich in Kombination, zusammen mit entsprechenden Konsequenzen:

P(A) = 4% ⇒ Geld in großer Gefahr
P(B1) = 0.96% ⇒ Geld in mittlerer Gefahr, da TRNG vermutlich einzelne Zufallsquelle
P(B2) = 95.04% ⇒ Geld sicher und Seed extrem zufällig durch TRNG

Ein nicht-ausreichend zufälliger Seed könnte zu Kollisionen, oder Bedrohung durch einen Geheimdienst oder betrügerischen TRNG Hersteller führen. Beim Ledger gibt es hier keine weiteren Sicherheitsmaßnahmen, die das auffangen würden. Zumindest nicht nach meiner Kenntnis, ist ja closed-source.

Wenn man wie hier vereinfacht also alle anderen Aspekte und Gefahren außer Acht lässt, ist dein Geld mit 4…5% in Gefahr.

Bitbox

P(HW-Wallet unsicher) = 1%
P(TRNG Backdoor) = 20%

Die Bitbox hat eine hervorragende Architektur und es könnte wegen Open-Source Software nur sehr aufwendig betrogen werden, also ist aus meiner Sicht auch die Wahrscheinlichkeit wesentlich kleiner als beim Ledger.

Aus den Werten ergibt sich in Kombination, zusammen mit entsprechenden Konsequenzen:

P(A) = 1% ⇒ Geld in großer Gefahr
P(B1) = 19.8% ⇒ Geld nahezu sicher; da weitere Zufallsquellen für Seed
P(B2) = 79.2% ⇒ Geld sicher und Seed extrem zufällig durch TRNG

Im Szenario B1 halte ich die Bedrohung für sehr klein. Schließlich bleibt eine gewisse TRNG Zufälligkeit vorhanden und es werden weitere Zufallsquellen verwendet. Die NSA kommt zumindest bei gutem Gerätepasswort nicht ran. Kollisionen sind extrem unwahrscheinlich.
Trotzdem würde auch ich wie schon gesagt Nicht-US-Chips bevorzugen. Sieht man die Gefahren-Wahrscheinlichkeit im Szenario B1 höher als hier beispielhaft verwendet, kommt man evtl. am Ende auch zu einem anderen Ergebnis.
(Durch Selbst-Würfeln kann man die Gefahr bei B1 komplett vermeiden, aber darum soll es hier ja nicht gehen.)

Im Beispiel hier ist dein Geld mit minimal mehr als 1% in Gefahr.

Zusammenfassung:

Dadurch, dass auch bei einer TRNG Backdoor die Bitbox noch einigermaßen sicher ist, zählt am Ende fast nur die Wahrscheinlichkeit einer unsicheren Wallet. Diese ist bei der Bitbox geringer, da die Architektur robuster und damit sicherer ist, und die Software komplett open-source und reproduzierbar ist. Ein Betrug müsste in der Hardware stattfinden.

Diese Betrachtung ist vereinfacht, die Wahrscheinlichkeit für Negativ-Szenarien vermutlich zu groß und es wird nicht nach weiteren relevanten Szenarien differenziert. Aber es wird qualitativ zum Ausdruck gebracht, was ich/wir sagen wollten.

Themaverfehlung?

Natürlich kannst du dich jetzt wieder hinstellen und sagen, es geht in diesem Thread nur um die RNGs; die Gesamt-Sicherheit ist dir hier egal.

Das ist vollkommen ok! Aber selbst dann macht ein Vergleich der reinen Zufallszahlen keinen Sinn; mach dir das bitte klar. Auch ein Vergleich der RNGs ist doch nur unter dem Aspekt interessant, welche Sicherheit man dadurch gewinnt oder verliert. Diese Auwirkungen sind aber bei Bitbox und Ledger unterschiedlich.
Du musst also auch Wahrscheinlichkeit und Konsequenzen des Szenarios B1 betrachten. Das Szenario B2 ist m. E. im Vergleich Ledger-Bitbox irrelevant, da beide TRNGs ausreichend sind.

Edit: Szenarien nochmal angepasst.

BTC-Punk · 8. Juli 2023 um 07:53

Da muss man sicherlich unterscheiden, ob die Backdoor ausgenutzt wird, wenn die 24 Wörter generiert werden oder ein Update eingespielt wird. Bei letzterem sehe ich eine Gefahr, die allerdings nur bei der Verwendung der Hardware-Wallet eintritt.

Die Gefahr des Erratens der 24 Wörter ist doch viel größer, weil das jederzeit offline passieren kann.

Stimme ich zu.

Meinst du mit Architektur die Hardware? Das Secure Element der Bitbox ist nicht Open Source. Bei der Software bin ich auf deiner Seite.

Haha, du bist ja blauäugig. Die NSA kommt bei gutem Gerätepasswort nicht ran. Bei schlechtem schon? Wie viele Jahre sind seit dem NSA-Skandal vergangen? 10? Wie groß ist der Fortschritt überlichweise in 10 Jahren IT?

Die Bitbox ist sicher eine gute Hardware-Wallet, aber der Ledger auch, der bei Weitem das meist verkaufteste Gerät ist und mit dem angeblich noch nie Werte aufgrund einer Backdoor verloren gegangen sind.

Der meiner Meinung nach weitaus größerer Risikofaktor ist doch der Mensch und Murphys Gesetz.

Lichtrebell · 8. Juli 2023 um 12:16

Ist ja lustig, tatsächlich arbeite ich gerade an etwas ähnlichem.
So eine letzte Wort Suche steht aber auch noch an und ist einfach zu implementieren.
Zu der Webseite folgendes

Use hardware wallets such as the BitBox02 or a SeedSigner to securely calculate the last word of your mnemonic.

Willst du da nicht noch evtl. die Affilate-Links vom Blocktrainer reinsetzen falls du keine eigenen hast? Ich vermute das hast du einfach vergessen oder?

sebastian · 8. Juli 2023 um 15:44

Ne, wieso sollte ich da Werbung machen müssen?

Ich finde in solchen nüchternen BIP-39 Tools haben Reflinks nichts verloren und selbst wenn, die paar Zeilen die ich da geschrieben habe sind jetzt auch nicht die Welt und müssen wirklich nicht monetarisiert werden.

BTC-Punk · 4. September 2023 um 08:31

Interessanter Artikel zum Vertrauen in den NIST-Standard, den der Bitbox-Chip erfüllt.

Schnuartz · 15. Oktober 2023 um 20:56

Krass, dass man hier nirgendwo den Specter DIY findet. Bei dem ist es viel angenehmer den Real-Life Zufall in den Seed Erstellungszufall mit einfließen zu lassen.

Einfach Seed erstellen → die Bits der Wörter flippen → um dann Real-Life Zufall reinzubekommen einfach für jedes Bit eine Münze werfen und je nach Wert flippen oder nicht.

Climb21 · 7. Februar 2025 um 19:10

Was haltet ihr davon, wenn ich der Erstellung einer Seedphrase noch eine „persönliche“ „Note“ verleihen will, von Folgendem:

Bit Box erstellt 24 Wörter
ich stanze alle 24 in die Seedor Disks, ohne Nummerierung!!!
ich ziehe eine Disk heraus und vernichte sie
dann mische ich die 23 Disks und „lose“ Pos. 1-23 aus
diese gebe ich dann in die Bitbox ein.
das 24. Wort lose ich dann aus den 8 vorgeschlagenen Wörtern. (einfach die 1.-8. Disks mischen und eine Position ziehen.

Wäre eben ein lustiges Spielchen, da ich die 23 sowieso einstanzen muß.
Das mit Passphrase (13 oder 25) will ich nicht.

Was haltet ist davon? Hab ich jetzt nen Denkfehler
Ich weiß, Würfeln geht auch.

skyrmion · 8. Februar 2025 um 10:31

Erst einmal willkommen hier im Forum!

Kannst du schon so machen. Es ist auf jeden Fall nicht unsicher und du mischst ordentlich eigenen Zufall bei.

Selbst wenn der Hersteller der Hardware-Wallet die erstellten Wörter kennen würde, hätte man dann noch exzellente log₂(24!) + 3 ≈ 82 Bit Sicherheit.

lsakhv · 8. Februar 2025 um 13:27

Eine weitere Frage, die mich auch interessieren würde:

aus Ist es nicht besser seine Wörter Seed zu würfeln? - #19 von Ingo

Wie beeinflusst die Passphrase-Entropie die Seed-Entropie und dann die Sicherheit der neuen Wallet im Vergleich zur Wallet ohne Passphrase?

Nach der Formel für Entropie:
E = log2(R^L)
ist die Entropie nur von der Zeichenlänge und dem Werte-Vorrat abhängig.
Beim Seed: R=2 und L=256 (z.B.)

Wie ist diese Entropie mit der Zufälligkeit bei der Seed-Erstellung in Einklang zu bringen, die Zufälligkeit kommt in der Formel gar nicht vor?
Oder geht es bei der Zufälligkeit um das gleichmäßige und zufällige Ausschöpfen eines Raumes ohne Häufung und hat mit der obigen Entropie eigentlich gar nichts zu tun?

gundermann · 8. Februar 2025 um 23:20

Hi, ich bin noch ziemlich neu im btc game aber sehr fasziniert davon und versuche viel wissen aufzusaugen, wie der bitcoin in zukunft das kapital :)

Verstehe viel von diesen chip sachen undso nicht.
Was mich aber an diesem thread interessiert ist, die aussage das bei der bitbox dieser chip aus den usa verwendet wird obwohl es einen guten hersteller in der schweiz gibt. Das blieb hier noch unbeantwortet oder?

Liebe grüße, gustav

Dont_Trust_Verify · 20. März 2025 um 16:16

Wirklich sicher ist man nur wenn man die Seed würfelt.

vision · 15. Mai 2025 um 05:08

Beim seed würfeln kannst du auch weniger Entropie haben als beim Generieren mit einer Hardeare Wallet..

99,99% sicherheit hast du mit Multisig

JerryChriss · 15. Mai 2025 um 11:15

Übertreibt mal alle beim Würfeln nicht so. Selbst wenn da ein Würfel bei ist, der nicht 100% homogen ist und du damit deine Wallet erstellt, dann ist es dennoch nicht knackbar. Denn niemand hat deinen Würfel, keiner weiß wie du gewürfelt hast und wie du das erzeugt hast. Also das was da raus kommt, das ist zufällig genug.

Dont_Trust_Verify · 1. Juni 2025 um 15:22

Source?

Und anders als bei der Hardware Walker kann ich die Erzeugung des Zufalls durch Würfel selbst beobachten

ozelot · 6. Juni 2025 um 05:53

Ich auch nicht ;-) es erschliesst sich - zur Beruhigung - mit der Zeit etwas.