Zufälligkeit des Seed von Ledger und Bitbox

skyrmion · 3. Juni 2023 um 19:09

In diesem Thread hatten wir ein paar Gedanken dazu festgehalten:

→ Ist es nicht besser seine Wörter Seed zu würfeln?

Stadicus · 4. Juni 2023 um 13:50

Wie komfortabel das mit der BitBox02 geht, habe ich vor einiger Zeit in einem ausführlichen Artikel festgehalten, inklusive allen Unterlagen zum Ausdrucken:

skyrmion · 4. Juli 2023 um 08:30

@BTC-Punk, da du auch in anderen Threads immer wieder unsere Argumente in diesem Thread in Zweifel ziehst, schreibe ich jetzt nochmal etwas detaillierter das gleiche wie weiter oben. Bitte gehe darauf konkret ein.

Du kannst die Zunkunft in beliebige Szenarien unterteilen. Für unsere Betrachtung sollten sich diese Szenarien nicht überschneiden und die Wahrscheinlichkeit sollten sich zu 100% aufsummieren. Das heißt im Klartext: Genau ein einzelnes dieser Szenarien wird sicher eintreffen.

Wählt man als Basis für die Betrachtung nur zwei Aspekte, die auch komplett unabhängig voneinander sein können, ergeben sich durch deren Kombination vier Szenarien, die man in einer Tabelle darstellen kann. Bei drei oder mehr Aspekten würde sich zur Darstellung eher ein Baum eignen.

Natürlich sind die relevanten Aspekte subjektiv und beliebig. Aber betrachten wir doch einfach mal nur die beiden (hier als unabhängig angenommenen) Probleme, die jeweils vorhanden sein können oder nicht:

Backdoor im TRNG durch Geheimdienst oder TRNG-Hersteller
Gefährliches Sicherheitsproblem der HW-Wallet aufgrund anderer Schwachstellen
(z.B. Design-Fehler/Lücke oder Betrug des HW-Wallet-Herstellers)

Damit haben wir für die Kombinationen folgende Tabelle:

                       ┌─────────────────────┬─────────────────────┐
                       │    TRNG Backdoor    │ keine TRNG Backdoor │
┌──────────────────────┼─────────────────────┴─────────────────────┤
│  HW-Wallet unsicher  │                     A                     │
├──────────────────────┼─────────────────────┬─────────────────────┤
│  HW-Wallet sicher    │          B1         │         B2          │
└──────────────────────┴─────────────────────┴─────────────────────┘

Szenarien A1 und A2 habe ich zu A zusammengefasst, da bei einer gefährlich unsicheren HW-Wallet die Backdoor im TRNG kaum noch relevant ist.

Diese drei Szenarien kannst du jetzt getrennt für Bitbox und Ledger mit Wahrscheinlichkeiten P und Konsequenzen analysieren. Ich habe rein beispielhaft mal handliche Werte angenommen.
Die Wahrscheinlichkeit für Negativ-Szenarien sind vermutlich zu groß eingeschätzt, aber ich möchte am Ende nicht auf genaue Zahlen hinaus, sondern einen groben Vergleich.

Ledger

P(HW-Wallet unsicher) = 4%
P(TRNG Backdoor) = 1%

Aus den Werten ergibt sich in Kombination, zusammen mit entsprechenden Konsequenzen:

P(A) = 4% ⇒ Geld in großer Gefahr
P(B1) = 0.96% ⇒ Geld in mittlerer Gefahr, da TRNG vermutlich einzelne Zufallsquelle
P(B2) = 95.04% ⇒ Geld sicher und Seed extrem zufällig durch TRNG

Ein nicht-ausreichend zufälliger Seed könnte zu Kollisionen, oder Bedrohung durch einen Geheimdienst oder betrügerischen TRNG Hersteller führen. Beim Ledger gibt es hier keine weiteren Sicherheitsmaßnahmen, die das auffangen würden. Zumindest nicht nach meiner Kenntnis, ist ja closed-source.

Wenn man wie hier vereinfacht also alle anderen Aspekte und Gefahren außer Acht lässt, ist dein Geld mit 4…5% in Gefahr.

Bitbox

P(HW-Wallet unsicher) = 1%
P(TRNG Backdoor) = 20%

Die Bitbox hat eine hervorragende Architektur und es könnte wegen Open-Source Software nur sehr aufwendig betrogen werden, also ist aus meiner Sicht auch die Wahrscheinlichkeit wesentlich kleiner als beim Ledger.

Aus den Werten ergibt sich in Kombination, zusammen mit entsprechenden Konsequenzen:

P(A) = 1% ⇒ Geld in großer Gefahr
P(B1) = 19.8% ⇒ Geld nahezu sicher; da weitere Zufallsquellen für Seed
P(B2) = 79.2% ⇒ Geld sicher und Seed extrem zufällig durch TRNG

Im Szenario B1 halte ich die Bedrohung für sehr klein. Schließlich bleibt eine gewisse TRNG Zufälligkeit vorhanden und es werden weitere Zufallsquellen verwendet. Die NSA kommt zumindest bei gutem Gerätepasswort nicht ran. Kollisionen sind extrem unwahrscheinlich.
Trotzdem würde auch ich wie schon gesagt Nicht-US-Chips bevorzugen. Sieht man die Gefahren-Wahrscheinlichkeit im Szenario B1 höher als hier beispielhaft verwendet, kommt man evtl. am Ende auch zu einem anderen Ergebnis.
(Durch Selbst-Würfeln kann man die Gefahr bei B1 komplett vermeiden, aber darum soll es hier ja nicht gehen.)

Im Beispiel hier ist dein Geld mit minimal mehr als 1% in Gefahr.

Zusammenfassung:

Dadurch, dass auch bei einer TRNG Backdoor die Bitbox noch einigermaßen sicher ist, zählt am Ende fast nur die Wahrscheinlichkeit einer unsicheren Wallet. Diese ist bei der Bitbox geringer, da die Architektur robuster und damit sicherer ist, und die Software komplett open-source und reproduzierbar ist. Ein Betrug müsste in der Hardware stattfinden.

Diese Betrachtung ist vereinfacht, die Wahrscheinlichkeit für Negativ-Szenarien vermutlich zu groß und es wird nicht nach weiteren relevanten Szenarien differenziert. Aber es wird qualitativ zum Ausdruck gebracht, was ich/wir sagen wollten.

Themaverfehlung?

Natürlich kannst du dich jetzt wieder hinstellen und sagen, es geht in diesem Thread nur um die RNGs; die Gesamt-Sicherheit ist dir hier egal.

Das ist vollkommen ok! Aber selbst dann macht ein Vergleich der reinen Zufallszahlen keinen Sinn; mach dir das bitte klar. Auch ein Vergleich der RNGs ist doch nur unter dem Aspekt interessant, welche Sicherheit man dadurch gewinnt oder verliert. Diese Auwirkungen sind aber bei Bitbox und Ledger unterschiedlich.
Du musst also auch Wahrscheinlichkeit und Konsequenzen des Szenarios B1 betrachten. Das Szenario B2 ist m. E. im Vergleich Ledger-Bitbox irrelevant, da beide TRNGs ausreichend sind.

Edit: Szenarien nochmal angepasst.

BTC-Punk · 8. Juli 2023 um 07:53

Da muss man sicherlich unterscheiden, ob die Backdoor ausgenutzt wird, wenn die 24 Wörter generiert werden oder ein Update eingespielt wird. Bei letzterem sehe ich eine Gefahr, die allerdings nur bei der Verwendung der Hardware-Wallet eintritt.

Die Gefahr des Erratens der 24 Wörter ist doch viel größer, weil das jederzeit offline passieren kann.

Stimme ich zu.

Meinst du mit Architektur die Hardware? Das Secure Element der Bitbox ist nicht Open Source. Bei der Software bin ich auf deiner Seite.

Haha, du bist ja blauäugig. Die NSA kommt bei gutem Gerätepasswort nicht ran. Bei schlechtem schon? Wie viele Jahre sind seit dem NSA-Skandal vergangen? 10? Wie groß ist der Fortschritt überlichweise in 10 Jahren IT?

Die Bitbox ist sicher eine gute Hardware-Wallet, aber der Ledger auch, der bei Weitem das meist verkaufteste Gerät ist und mit dem angeblich noch nie Werte aufgrund einer Backdoor verloren gegangen sind.

Der meiner Meinung nach weitaus größerer Risikofaktor ist doch der Mensch und Murphys Gesetz.

Lichtrebell · 8. Juli 2023 um 12:16

Ist ja lustig, tatsächlich arbeite ich gerade an etwas ähnlichem.
So eine letzte Wort Suche steht aber auch noch an und ist einfach zu implementieren.
Zu der Webseite folgendes

Use hardware wallets such as the BitBox02 or a SeedSigner to securely calculate the last word of your mnemonic.

Willst du da nicht noch evtl. die Affilate-Links vom Blocktrainer reinsetzen falls du keine eigenen hast? Ich vermute das hast du einfach vergessen oder?

sutterseba · 8. Juli 2023 um 15:44

Ne, wieso sollte ich da Werbung machen müssen?

Ich finde in solchen nüchternen BIP-39 Tools haben Reflinks nichts verloren und selbst wenn, die paar Zeilen die ich da geschrieben habe sind jetzt auch nicht die Welt und müssen wirklich nicht monetarisiert werden.

BTC-Punk · 4. September 2023 um 08:31

Interessanter Artikel zum Vertrauen in den NIST-Standard, den der Bitbox-Chip erfüllt.