- Planst du denn auch eine installierbare Version?
Habe ich drüber nachgedacht. Wäre sinnvoll, wenn man damit ein Hot-Wallet in einer VM betreibt. Man kann das System ja fortlaufend updaten. Also ich sage mal "ja". Ich setze es auf die TODO-Liste.
Eine klassische Installation auf echter Hardware wird aber nicht möglich sein. Das wäre ein neues Projekt. c't-Bankix und somit auch btc-Bankix kann nicht auf Systemplatten zugreifen. Das ist ein Sicherheitsfeature und tief in das System eingegraben (Kernel). Dadurch wird u.a. auch verhindert, dass sich jemand seinen Rechner mit btc-Bankix kaputt macht. Wie schnell hat man mal eine Platte versehentlich formatiert. An der Stelle fasse ich nichts an. btc-Bankix ist eine Sandbox, die nur den Hauptspeicher nutzt, sowie extern via USB oder Netzwerk eingebundene Laufwerke oder virtuelle Festplatten (beim Betrieb als virtuelle Maschine).
EDIT: Für eine btc-Bankix kompatible Installation auf echter Hardware empfehle ich Ubuntu "precise" direkt zu verwenden und dann entsprechend anzupassen. Kann dafür mal eine Anleitung erstellen. Vorher möchte ich aber noch ein paar Änderungen im BTCX-Repository vornehmen, siehe: https://launchpad.net/~lau6chpad/+archive/btcx
(Damit das auch auf 64Bit-Systemen nativ läuft.)
- wenn ja, wäre es möglich die Möglichkeit einzubauen die gesamte Partition (mit cryptsetup?) zu verschlüsseln, sodass abhandengekommene Laptops kein Problem mehr sind?
Das ist nicht so einfach, insbesondere beim Heimatverzeichnis. Die Frage ist auch, was es bringt. btc-Bankix unterstützt bereits cryptsetup/dm-crypt/luks. Über die Laufwerksverwaltung kannst Du sehr einfach einen verschlüsselten USB-Stick erzeugen, siehe
http://wiki.ubuntuusers.de/Laufwerksverwaltung#Datentraeger-verschluesseln
Das Cold-Wallet würde ich nur auf einem verschlüsselten Stick und auf Papier speichern.
Du kannst Dir auch einen Bankix Home-Stick erstellen und mit den ecryptfs-utils ein verschlüsseltes Verzeichnis innerhalb Deines Heimatverzeichnisses erzeugen. So arbeite ich meistens auf meinen Desktop-Systemen.
Bei btc-Bankix muss ich das aber erstmal testen, weil man dafür dem Bankix-Nutzer ein Passwort setzen muss, was in der jetzigen Fassung nicht vorgesehen ist.
Generell ist das System ja als reine Live-CD ausgelegt. D.h. wenn man den Rechner ausschaltet ist alles weg (bis auf das, was man auf externe Datenträger gespeichert hat). Ein Zugriff auf Systemplatten ist nicht möglich. Das verhindert ein entsprechender Kernel-Patch.
Ich kenne die "Grundlage" (Bankix) nicht, ist die Firewall vernünftig eingerichtet? (Vielleicht stateful, sonst DROP ALL?)
Die Grundlage ist c't-Bankix/Ubuntu/Debian. Als Firewall kommt also der Linux-Kernel zum Einsatz. Firewallregeln gibt es derzeit aber keine, weil die nichts sinnvoll beschützen könnten. Von einem "DROP ALL" rate ich ab. Das träfe auch Basisdienste. Nicht zuletzt ICMP. Das schafft nur Probleme und ein böswilliger Hacker lässt sich dadurch nicht abschrecken.
Man muss sich schon grundsätzlich dafür entscheiden, ob man am Netz sein will oder nicht. Bei der Einrichtung des Cold-Wallets rate ich unbedingt davon ab, weil es sonst witzlos ist und man niemals sicher sein kann (außer bei gezogenem Netzwerkstecker). Ansonsten ist btc-Bankix aufgrund seiner engen Verwandschaft zu Ubuntu/Debian und des eher spartanischen Setups schon vergleichsweise sicher, aber trotzdem noch leicht zu bedienen.
- Wäre es möglich (wie bei Tails) einen Tor Support einzubauen, sodass jegliche Kommunikation (auch DNS Abfragen) über das Tor Netzwerk laufen (Firewall wäre dann DROP ALL ausser an/von Tor OnionRouter Port?)?
Muss ich mir ansehen. Grundsätzlich lässt sich btc-Banikix ja von jedem sehr einfach anpassen, indem man das System bootet, verändert und dann die Änderungen (bei nicht abgeschlossener CD) speichert (Bankix brennt diese dann als 'zweite Session'). Das Gaze funktioniert auch mit einem USB-Stick. Darüber könnte man auch komplexere Konfigurationen umsetzen. Aber ich schau mir das bei Gelegenheit mal an. Ob ich sowas fest einbaue, weiß ich nicht. Wenn, dann sicher als Option, weil TOR in der Praxis schon die Bandbreite stark begrenzt.
Erstmal vielen Dank für Deine Anregungen. Ich freue mich darüber und werde das nach und nach wie beschrieben aufarbeiten.
