Author

Topic: Diskussionsthread: Sicheres Adressverzeichnis (Read 6529 times)

legendary
Activity: 994
Merit: 1098
An AA rated Bandoneonista
So, jetzt hab ich es auch mal versucht, auch wenn ich nicht weiß, was ich da tu  Grin
Hoffe, das passt !?

Code:
Die Adresse 3J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd wird von Scheede (bitcointalk.org) kontrolliert. 28.02.2018
Code:
H7wk59funpYzgB10mnWPhCmD7j7OODGaai/QBseGE8oddQYeQ+iosH0NSrcnjx7e3bml8pw1ANgb9XDXS3VAFGY=


-----BEGIN BITCOIN SIGNED MESSAGE-----
Die Adresse 3J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd wird von Scheede (bitcointalk.org) kontrolliert. 28.02.2018
-----BEGIN SIGNATURE-----
3J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd
H7wk59funpYzgB10mnWPhCmD7j7OODGaai/QBseGE8oddQYeQ+iosH0NSrcnjx7e3bml8pw1ANgb9XDXS3VAFGY=
-----END BITCOIN SIGNED MESSAGE-----

Electrum 3.05: "Signature verified."

Core 0.16.0: "The entered address does not refer to a key."

Vlt. versteht jemand anderes, wo da der Haken ist. Core kann offensichtlich mit der Adresse nichts anfangen.

Versteht jemand von Euch, was da nicht stimmt?

Ja diese Nachricht wurde mit der falschen Adresse signiert...

Quote
-----BEGIN BITCOIN SIGNED MESSAGE-----
Die Adresse 3J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd wird von Scheede (bitcointalk.org) kontrolliert. 28.02.2018
-----BEGIN SIGNATURE-----
1HwWuwbJCpo5gAx3yjBJKGpZokgLd44cLt
H7wk59funpYzgB10mnWPhCmD7j7OODGaai/QBseGE8oddQYeQ+iosH0NSrcnjx7e3bml8pw1ANgb9XDXS3VAFGY=
-----END BITCOIN SIGNED MESSAGE-----

https://jochen-hoenicke.de/brainwallet/#verify?vrAddr=1HwWuwbJCpo5gAx3yjBJKGpZokgLd44cLt&vrMsg=Die%20Adresse%203J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd%20wird%20von%20Scheede%20(bitcointalk.org)%20kontrolliert.%2028.02.2018&vrSig=H7wk59funpYzgB10mnWPhCmD7j7OODGaai%2FQBseGE8oddQYeQ%2BiosH0NSrcnjx7e3bml8pw1ANgb9XDXS3VAFGY%3D

Puh. Dann gibt es aber einen üblen Bug in Electrum. Der zeigt mir für beide BTC-Adressen an, dass die Nachricht verifiziert wurde. Wie im Ausgangsthread geschrieben, ist das bei Trezor und Core nicht so und die liegen dann ja offensichtlich richtig.
legendary
Activity: 2912
Merit: 1309

Bin nicht ganz sicher, ob der Thread wirklich einen Sinn macht. Zum Staken der Adresse zwecks Wiederherstellung des Accounts gibt es bereits einen großen Thread im Englischen Teil. Braucht es da wirklich einen Neuen/Zusätzlichen? Wenn man immer die gleiche Adresse nutzt, dann OK, aber sonst ist das nichts anderes als der, bereits vorhandene Thread.

Das hier ist ein reiner Diskussions-Thread, es gibt aber auch ein Deutsches Adressen Verzeichnis:

https://bitcointalksearch.org/topic/sicheres-adressverzeichnis-920631

Finde unseren von der Qualität her sogar Besser da die Nachricht signiert, zitiert und überprüft wird Wink

auch sollte man nicht vergessen das "unser" Thread nicht nur von der Qualität besser ist, auch ist der älter Smiley
legendary
Activity: 2660
Merit: 1154
So, jetzt hab ich es auch mal versucht, auch wenn ich nicht weiß, was ich da tu  Grin
Hoffe, das passt !?

Code:
Die Adresse 3J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd wird von Scheede (bitcointalk.org) kontrolliert. 28.02.2018
Code:
H7wk59funpYzgB10mnWPhCmD7j7OODGaai/QBseGE8oddQYeQ+iosH0NSrcnjx7e3bml8pw1ANgb9XDXS3VAFGY=


-----BEGIN BITCOIN SIGNED MESSAGE-----
Die Adresse 3J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd wird von Scheede (bitcointalk.org) kontrolliert. 28.02.2018
-----BEGIN SIGNATURE-----
3J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd
H7wk59funpYzgB10mnWPhCmD7j7OODGaai/QBseGE8oddQYeQ+iosH0NSrcnjx7e3bml8pw1ANgb9XDXS3VAFGY=
-----END BITCOIN SIGNED MESSAGE-----

Electrum 3.05: "Signature verified."

Core 0.16.0: "The entered address does not refer to a key."

Vlt. versteht jemand anderes, wo da der Haken ist. Core kann offensichtlich mit der Adresse nichts anfangen.

Versteht jemand von Euch, was da nicht stimmt?

Ja diese Nachricht wurde mit der falschen Adresse signiert...

Bin nicht ganz sicher, ob der Thread wirklich einen Sinn macht. Zum Staken der Adresse zwecks Wiederherstellung des Accounts gibt es bereits einen großen Thread im Englischen Teil. Braucht es da wirklich einen Neuen/Zusätzlichen? Wenn man immer die gleiche Adresse nutzt, dann OK, aber sonst ist das nichts anderes als der, bereits vorhandene Thread.

Das hier ist ein reiner Diskussions-Thread, es gibt aber auch ein Deutsches Adressen Verzeichnis:

https://bitcointalksearch.org/topic/sicheres-adressverzeichnis-920631

Finde unseren von der Qualität her sogar Besser da die Nachricht signiert, zitiert und überprüft wird Wink
sr. member
Activity: 588
Merit: 252
Bin nicht ganz sicher, ob der Thread wirklich einen Sinn macht. Zum Staken der Adresse zwecks Wiederherstellung des Accounts gibt es bereits einen großen Thread im Englischen Teil. Braucht es da wirklich einen Neuen/Zusätzlichen? Wenn man immer die gleiche Adresse nutzt, dann OK, aber sonst ist das nichts anderes als der, bereits vorhandene Thread.
legendary
Activity: 994
Merit: 1098
An AA rated Bandoneonista
So, jetzt hab ich es auch mal versucht, auch wenn ich nicht weiß, was ich da tu  Grin
Hoffe, das passt !?

Code:
Die Adresse 3J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd wird von Scheede (bitcointalk.org) kontrolliert. 28.02.2018
Code:
H7wk59funpYzgB10mnWPhCmD7j7OODGaai/QBseGE8oddQYeQ+iosH0NSrcnjx7e3bml8pw1ANgb9XDXS3VAFGY=


-----BEGIN BITCOIN SIGNED MESSAGE-----
Die Adresse 3J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd wird von Scheede (bitcointalk.org) kontrolliert. 28.02.2018
-----BEGIN SIGNATURE-----
3J1DuLWoJnsDRi4QqwZGMKDzLPd7Xx9tFd
H7wk59funpYzgB10mnWPhCmD7j7OODGaai/QBseGE8oddQYeQ+iosH0NSrcnjx7e3bml8pw1ANgb9XDXS3VAFGY=
-----END BITCOIN SIGNED MESSAGE-----

Electrum 3.05: "Signature verified."

Core 0.16.0: "The entered address does not refer to a key."

Vlt. versteht jemand anderes, wo da der Haken ist. Core kann offensichtlich mit der Adresse nichts anfangen.

Versteht jemand von Euch, was da nicht stimmt?
legendary
Activity: 3990
Merit: 2695
Gilt das jetzt auch für ein PW recovery sollte der Acc gehackt werden?

https://bitcointalksearch.org/topic/m.27296692

legendary
Activity: 1078
Merit: 1042
www.explorerz.top
Ein Update des Verzeichnis wäre super Smiley
legendary
Activity: 2912
Merit: 1309
Das Address Verzeichnis ist ja wirklich eine gute sache, hat ja auch schon geholfen.
Aber wir sollten auch darauf hinweisen, dass es
- nicht das Allheilmittel ist (Thymos und BadBear sind überlastet, evtl ist der Eintrag zu neu..)

- Verkaufen von Accounts geht dann nicht mehr (was ich eh nicht verstehe warum das jemand macht Smiley )


aber es ist wirklich gut das hier so zu haben.,

Und es gibt hier https://bitcointalksearch.org/topic/stake-your-bitcoin-address-here-996318 ja auch einen anderen Thread, aber nicht so schön wie "bei uns" Smiley

legendary
Activity: 881
Merit: 1006
Quote
Ich werde aber in diesem Fall eine Woche nach dem Post warten und erst anschließend die Adresse aufnehmen.

Eine Woche ist schon lange um... nicht nur bei mir....
Entschuldigung für meine Ausdrucksweise.
legendary
Activity: 1100
Merit: 1058
Ja, recht haste.
qwk
donator
Activity: 3542
Merit: 3413
Shitcoin Minimalist
...Das ist, wenn es so kommt, entweder jemand, der es ganz direkt persönlich auf dich abgesehen hat, dann hat er aber vermutlich bessere Möglichkeiten, dir zur schaden, oder eben ein Kiddie, das nichts besseres zu tun hat und später mit seiner hAxX0R-1337-ness angibt....
Wie unterscheidest du die von denen, die automatisiert Millionen von Konten klauen?
Offensichtlich wird ja gezielt GMX gehackt um btctalk anzugreifen. Zumindest oft genug, das es hier zu Warnungen kommt.
Vielleicht wird auch nicht gezielt GMX gehackt, um btctalk anzugreifen, sondern umgekehrt, es lassen sich aus den Daten von btctalk Rückschlüsse ziehen, die Zugang zu GMX-Konten verschaffen können. Erscheint mir momentan wahrscheinlicher, auch wenn ich keine Idee habe, was das konkret sein könnte.

Dann wiederum ist es natürlich so, dass der Angreifer ohnehin gute Kenntnisse über btctalk hat, insofern erübrigt sich meine "Kausalitätskette".


1 korrekt, das dürfte in Zusammenhang mit der GMX-Attacke eher unwahrscheinlich sein. Solange die Art des GMX-Hacks nicht offenliegt, muss man allerdings von Trojanerhilfe ausgehen
Trojaner erscheint mir eher unwahrscheinlich, weil u.a. molecular schon seit längerem betroffen zu sein scheint. Dem traue ich einfach zu, dass er da zumindest kein leichtes Opfer sein wird. Ausschließen kann man es natürlich trotzdem nicht.


Tja, aber bevor wir hier weiter rätseln, sollten wir vllt. besser wieder zum Topic des Threads zurückkehren:
das sichere Adressverzeichnis bietet zugegebenermaßen keine 100%ige Sicherheit im Falle eines mittels Trojaner o.ä. gehackten Accounts.

Da nun aber theymos eigtl. andere Möglichkeiten der Account-Wiederherstellung ohne signierte Nachricht ablehnt, bleibt uns nicht viel anderes übrig, als es damit zu machen. Wer seine eigene Sicherheit erhöhen möchte, sollte ggf. eben von einem Zweitrechner / Zweitwallet signieren.
Ein einmal übernommener, nicht wiederherstellbarer Account wiederum ist bei den meisten "bekannteren" Usern hier keine Gefahr für andere, da er eben recht schnell auffällt und ggf. mittels trust-system markiert wird.
legendary
Activity: 2702
Merit: 1261
...das Wallet tatsächlich unverschlüsselt auf dem selben Rechner hat, von dem man postet....
Da wette ich drauf, das es weit öfter vorkommt als du denkst.
Hier! Ist allerdings nur die Hot-Wallet für den täglichen Bedarf. Ein einfacher Angriff auf die Maschine um an die paar BTC zu kommen, fällt mir jetzt aber auch nicht ein.
Das kommt wahrscheinlich sowieso nur bei Leuten vor, die vor 2012(?, keine Ahnung, wann die verschlüsselten Wallets eingeführt wurden) schon dabei waren.

Nö, ich werde die Wallet auch in Zukunft nicht verschlüsseln, obwohl ich von Client-Seite her auf dem aktuellen Stand bin.

Um die Hot-Wallet auf meiner Arbeitsmaschine mache ich mir allerdings wenig sorgen, da hat es bisher noch kein bekannter "Angreifer" weiter als bis zu einer Notiz in einem Logfile geschafft. Auf dem Mobiltelefon mit Closed-Baseband und den unzähligen Spyware-Schnittstellen mache mir da mehr sorgen und habe folgerichtig dort auch wesentlich weniger BTC in der Hot-Wallet.
legendary
Activity: 1100
Merit: 1058
...Das ist, wenn es so kommt, entweder jemand, der es ganz direkt persönlich auf dich abgesehen hat, dann hat er aber vermutlich bessere Möglichkeiten, dir zur schaden, oder eben ein Kiddie, das nichts besseres zu tun hat und später mit seiner hAxX0R-1337-ness angibt....

Jop, so isses.
Wie unterscheidest du die von denen, die automatisiert Millionen von Konten klauen?
Offensichtlich wird ja gezielt GMX gehackt um btctalk anzugreifen. Zumindest oft genug, das es hier zu Warnungen kommt.

1 korrekt, das dürfte in Zusammenhang mit der GMX-Attacke eher unwahrscheinlich sein. Solange die Art des GMX-Hacks nicht offenliegt, muss man allerdings von Trojanerhilfe ausgehen
2 ist damit gegeben
3 ebenfalls, nur eine Frage des Filters
4 wie oben gesagt ebenfalls sehr wahrscheinlich
5 ist m.E. dadurch schon gegeben, das es hier Trust usw. gibt.
6 muss nur einmal erfüllt sein.
7 ist nicht so unwahrscheinlich
8 siehe 6, und sooo lange dauerts auch nicht, siehe Akka...
9 das muss ja gegeben sein, sonst würde das hier nicht passieren.
qwk
donator
Activity: 3542
Merit: 3413
Shitcoin Minimalist
...das Wallet tatsächlich unverschlüsselt auf dem selben Rechner hat, von dem man postet....
Da wette ich drauf, das es weit öfter vorkommt als du denkst.
Hier! Ist allerdings nur die Hot-Wallet für den täglichen Bedarf. Ein einfacher Angriff auf die Maschine um an die paar BTC zu kommen, fällt mir jetzt aber auch nicht ein.
Das kommt wahrscheinlich sowieso nur bei Leuten vor, die vor 2012(?, keine Ahnung, wann die verschlüsselten Wallets eingeführt wurden) schon dabei waren.
legendary
Activity: 2702
Merit: 1261
...das Wallet tatsächlich unverschlüsselt auf dem selben Rechner hat, von dem man postet....
Da wette ich drauf, das es weit öfter vorkommt als du denkst.

Hier! Ist allerdings nur die Hot-Wallet für den täglichen Bedarf. Ein einfacher Angriff auf die Maschine um an die paar BTC zu kommen, fällt mir jetzt aber auch nicht ein.
qwk
donator
Activity: 3542
Merit: 3413
Shitcoin Minimalist
...das Wallet tatsächlich unverschlüsselt auf dem selben Rechner hat, von dem man postet....
Da wette ich drauf, das es weit öfter vorkommt als du denkst.
Wie kommt denn die signierte Nachricht in den Post? Am ehesten durch StrgC/StrgV, und das geht nur auf dem gleichen PC.
Das verschlüsseln der Wallet nutzt nichts, wenn ein Trojaner die Tastatur beobachtet Wink
Und: wie viele Leute arbeiten als Admin auf dem PC?

Selbst hier, wo man vermuten sollte, das die Leute besser auf ihr Vermögen aufpassen, wirst du einen erklecklichen Anteil finden, bei denen das nicht gemacht wird, "mir wird schon nix passieren"...
Klar, Möglichkeiten gibt es immer, und unvorsichtige User gibt es auch immer.
Ich selbst bin auch meistens weniger vorsichtig, als ich mir immer vornehme Roll Eyes

Aber wohlgemerkt, es müssen schon sehr sehr viele Faktoren zusammenkommen, dass ein krimineller Hacker
1. Zugang zu deinem Rechner bekommt
2. einen Keylogger einsetzt
3. regelmäßig auch Bitcoin-QT-relevante Eingaben auswertet
4. dein Bitcoin-QT-Wallet auf deinem Rechner das ist, mit dem du die Nachricht im Thread signiert hast
5. der Hacker sich händisch Zugang zu deinem bitcointalk-Account verschafft
6. er sich deine Post-History händisch so lange ansieht, bis er auf den thread aufmerksam wird
7. der Hacker deine Sprache spricht
8. er versteht, dass er auf diese Art und Weise mit stundenlangem Aufwand endgültig die Kontrolle über deinen Account übernehmen kann
9. es sich für ihn lohnt, das durchzuziehen
 Shocked

Dabei habe ich bestimmt noch ein paar Faktoren vergessen. Ich bleibe dabei, das ist kein Angriff, den jemand in "profitabler" Absicht durchführen würde. Das ist, wenn es so kommt, entweder jemand, der es ganz direkt persönlich auf dich abgesehen hat, dann hat er aber vermutlich bessere Möglichkeiten, dir zur schaden, oder eben ein Kiddie, das nichts besseres zu tun hat und später mit seiner hAxX0R-1337-ness angibt.
legendary
Activity: 1100
Merit: 1058
...das Wallet tatsächlich unverschlüsselt auf dem selben Rechner hat, von dem man postet....
Da wette ich drauf, das es weit öfter vorkommt als du denkst.
Wie kommt denn die signierte Nachricht in den Post? Am ehesten durch StrgC/StrgV, und das geht nur auf dem gleichen PC.
Das verschlüsseln der Wallet nutzt nichts, wenn ein Trojaner die Tastatur beobachtet Wink
Und: wie viele Leute arbeiten als Admin auf dem PC?

Selbst hier, wo man vermuten sollte, das die Leute besser auf ihr Vermögen aufpassen, wirst du einen erklecklichen Anteil finden, bei denen das nicht gemacht wird, "mir wird schon nix passieren"...
qwk
donator
Activity: 3542
Merit: 3413
Shitcoin Minimalist
Nun ist es so, das der Private Key definitiv geklaut ist, und m.E. ist der User hier "manuell", denn der Automat würde die Bitcoins aus der Wallet klauen und den Mailaccount nach ebay, Amazon und anderen Shops abgrasen, um dort was zu bestellen. Dann nichts wie weg, bevor man entdeckt wird. Vorbei sind die Zeiten, als der Virus sofort eine Melodie auf dem FDD spielte... Heute wird sich lange versteckt um so viel mitzunehmen wie geht.
Möglich, aber ich halte es dennoch für eher unwahrscheinlich. Die Voraussetzungen, um damit einen wie auch immer gearteten Profit zu machen sind einfach nicht besonders gut. Im Zweifelsfall muss der Angreifer gerade bei einem Deutschen ja auch erst mal Deutsch können, sonst nützt ihm ein großer Teil der Zugänge, die er sich möglicherweise verschafft, fast nix.
Das selbe gilt natürlich für jede andere Sprache.

Der manuelle User der Accounts wird sich hier umsehen und den Sig-Thread entdecken.
Das wäre stunden-, wenn nicht sogar tagelange Arbeit.
Ein kleiner "Spaßhacker" wird das vielleicht machen, aber keiner, der einen Profit daraus schlagen will.

Damit ist der Key nicht mehr sicher, es ist zwar unwahrscheinlich, das er wirklich ausgenutzt wird, aber leicht möglich.
Und bei einer Sicherheitslösung zählt nicht "wahrscheinlich sicher", sondern "sehr unwahrscheinlich nicht sicher"... Das Stadium haben wir dann aber hinter uns
Ja, sicher ist der Key nicht mehr unbedingt, unter der Voraussetzung, dass man das Wallet tatsächlich unverschlüsselt auf dem selben Rechner hat, von dem man postet. Aber das ist ja wiederum nicht besonders wahrscheinlich.
Ein echter Schaden entsteht dadurch aber immer noch nicht, weil selbst ohne die Möglichkeit, seinen Account wiederherzustellen, der Account nicht so ohne weiteres unbemerkt missbraucht werden kann. Innerhalb kürzester Zeit fällt das Verhalten auf, Leute, die den Account kennen, werden nachfragen, und man stellt fest, dass es eben nicht mehr der "Echte" ist. Das ist in der Vergangenheit schon bei gekauften Accounts vorgekommen.

Für einen Schreiber-Account mag das wurscht sein, aber Menigs Konto z.B., oder candoos, das wäre doch mal was.
Naja, Menig oder candoo sind ja nicht mehr aktuell, die sind ja sowas von 2013 bzw. 2014 Grin
legendary
Activity: 1100
Merit: 1058
Meinst du nicht, das die Jungs einen Filter drauf haben?
Welchen Sinn hat es sonst, hier im Forum einen Account zu hacken und die Werkzeuge dazu dann weiterzuverkaufen?
Das ist ja gerade die Sache, um die es geht: Dadurch das der Mailaccount zu diesem Forum führt, sollte klar sein, das es um Geld geht.
Und der geklaute Account wird ja benutzt, zum Posten und Nachrichten schreiben, auch Trust wird anscheinend manuell verteilt.

Nun ist es so, das der Private Key definitiv geklaut ist, und m.E. ist der User hier "manuell", denn der Automat würde die Bitcoins aus der Wallet klauen und den Mailaccount nach ebay, Amazon und anderen Shops abgrasen, um dort was zu bestellen. Dann nichts wie weg, bevor man entdeckt wird. Vorbei sind die Zeiten, als der Virus sofort eine Melodie auf dem FDD spielte... Heute wird sich lange versteckt um so viel mitzunehmen wie geht.

Der manuelle User der Accounts wird sich hier umsehen und den Sig-Thread entdecken.
Damit ist der Key nicht mehr sicher, es ist zwar unwahrscheinlich, das er wirklich ausgenutzt wird, aber leicht möglich.
Und bei einer Sicherheitslösung zählt nicht "wahrscheinlich sicher", sondern "sehr unwahrscheinlich nicht sicher"... Das Stadium haben wir dann aber hinter uns Wink

Für einen Schreiber-Account mag das wurscht sein, aber Menigs Konto z.B., oder candoos, das wäre doch mal was.
qwk
donator
Activity: 3542
Merit: 3413
Shitcoin Minimalist
Und in jeder wallet ist ein Key, der da "Signatur Forum" heißt, das leuchtet denen doch auch ein wofür der ist. Und in welchem Forum ich bin, wissen "die" doch auch, durch Browserbeobachtung und Mailkontrolle.

In der Theorie ist ein verseuchter PC also der Tod des Accounts hier, denn der Dieb kann den account doch ganz offiziell signieren und übernehmen.
Kriminelle Hacker sind i.d.R. nicht daran interessiert, einzelne Accounts zu übernehmen, sich "händisch" Arbeit zu machen, um einen einzelnen Computer nach evtl. brauchbarem Material zu durchsuchen o.ä. Normalerweise werden Werkzeuge geschrieben, die einen bestimmten Angriff hundert-, tausend- oder Millionen-fach durchführen und nur die Ergebnisse zurückliefen, bei denen dieser Angriff erfolgreich war.
Das heißt nicht, dass dein beschriebenes Szenario nicht eintreten kann, aber es ist ziemlich unwahrscheinlich.
legendary
Activity: 1100
Merit: 1058
Was die Signatur nutzlos macht, oder?
Das war worauf ich hinauswollte.
Im Grunde könnte nur ein Sticky her, in dem jemand einen anderen Account verpfeifen kann.
Das ist entweder der echte, alte Besitzer, der damit alle Partner vor Kommunikation mit Hackern warnen kann,
oder der neue Besitzer, der dem alten "einen mittun will".
So oder so sind dann beide Accounts verbrannt.
legendary
Activity: 2702
Merit: 1261
Und wenn mein Rechner von einem Trojaner infiziert ist, der auf Passwörter usw. spezialisiert ist...
Wie wahrscheinlich ist es dann, das sowohl das Forenpasswort, das Mailerpasswort und die wallet.dat kompromittiert sind?

Kann keiner sagen. Das hängt vom Einsatzzweck des/der Schadprogramme ab. Allgemein muss man bei einem infizierten Rechner davon ausgehen, dass der Angreifer alles hat, was ab dem Zeitpunkt der Infektion verfügbar war. Wurde z.B. eine Wallet per Password entsperrt, muss man davon ausgehen, dass der Angreifer Passwort und/oder Wallet-Daten hat. In diesem Fall würde ich die Wallet auf einen sauberen Rechner kopieren, den Inhalt vollständig in eine neue Wallet übertragen und die alten Adressen nie mehr benutzen.
legendary
Activity: 1100
Merit: 1058
Mal ne (dumme?) Frage...
Wenn ich hier eine Sig poste, und die Adresse nur dazu nutze...
Und wenn mein Rechner von einem Trojaner infiziert ist, der auf Passwörter usw. spezialisiert ist...
Wie wahrscheinlich ist es dann, das sowohl das Forenpasswort, das Mailerpasswort und die wallet.dat kompromittiert sind?

Ich mein, die wallet ist Geld. Trojaner wollen Geld, vielleicht um 2 oder 3 Ecken (durch Spamversand, Social Engineering, Informationsverkauf, whatever). Es ist nicht schwer, den Trojaner um einen Wallet.dat-Scanner zu ergänzen. Wie wahrscheinlich oder häufig ist das?

Und wenn das passiert, hat der Angreifer Passwörter für mein Mailkonto (yay, freier, echter Spamversand, glaubwürdig, da mit echter Signatur und an bekannte Adressen) und die Möglichkeit, mein Geld zu klauen (von allen Coins). Und in jeder wallet ist ein Key, der da "Signatur Forum" heißt, das leuchtet denen doch auch ein wofür der ist. Und in welchem Forum ich bin, wissen "die" doch auch, durch Browserbeobachtung und Mailkontrolle.

In der Theorie ist ein verseuchter PC also der Tod des Accounts hier, denn der Dieb kann den account doch ganz offiziell signieren und übernehmen.

Theymos wird doch nen scheiß tun, wenn sich zwei Leute bei ihm melden und das gleiche sagen "Mein Account wurde gehackt, der andere lügt, ich bin der echte".
Oder?
legendary
Activity: 1232
Merit: 1001
Also für mich hat sich das jetzt bewährt. Ich habe meine Account innerhalb von 1 Tag wieder bekommen, dank meinem Eintrag im Adressverzeichnis.

Denke dass theymos sonst ordentlich Arbeit mit der Identifizierung hat, ist ein Grund warum das bei anderen so lange dauert.
legendary
Activity: 2912
Merit: 1309
mal nochmal hochholen, da ja doch so manche accounts übernommen worden sind
legendary
Activity: 2912
Merit: 1309
ich hole den Thread mal wieder raus da Muto ja mal das "sichere" Forum Adressverzeichnis erstellen lassen wollte
https://bitcointalksearch.org/topic/m.9710752

aber ich habe den Verdacht, dass Muto nicht mehr hier aktiv ist und evtl auch sein account nicht unter seiner Kontrolle?

Evtl weiss ja jemand mehr, hab auch schon per PN versucht ihn zu kontaktieren..
sr. member
Activity: 457
Merit: 250
deswegen ja: rein statistisch ist es möglich Wink
bzw die Wahrscheinlichkeit ist nicht gleich 0

theoretisch nicht, praktisch aber doch
hero member
Activity: 826
Merit: 1000
°^°
deswegen ja: rein statistisch ist es möglich Wink
bzw die Wahrscheinlichkeit ist nicht gleich 0
hero member
Activity: 560
Merit: 500
rein statistisch ist es sogar möglich, das jemand in seiner Wallet eine neue Addresse erzeugt, die schon exisitiert und Coins enthält. mal schauen, ob sowas irgendwann mal passiert ^^

hero member
Activity: 826
Merit: 1000
°^°
rein statistisch ist es sogar möglich, das jemand in seiner Wallet eine neue Addresse erzeugt, die schon exisitiert und Coins enthält. mal schauen, ob sowas irgendwann mal passiert ^^
legendary
Activity: 1372
Merit: 1000
CTO für den Bundesverband Bitcoin e. V.
Ich habe mich dann auch mal eingetragen. Hoffe das noch zahlreiche weitere Member sich anschließen.  Roll Eyes
full member
Activity: 239
Merit: 116
Ich für meinen Teil bin zufrieden mit den Antworten. Ja, es kann mehrere private keys für eine Adresse geben, und nein, die kann man nicht knacken. Der Vergleich mit dem Vogelschiss trifft es in der Tat sehr gut.
Ich wundere mich, dass obwohl so viele hier mitlesen, sich bisher nur vier gefunden haben, mitzumachen.
sr. member
Activity: 457
Merit: 250
Was aus den 20 Jahren nur etwa eine Woche macht (!), wenn die Berechnung nicht wesentlich langsamer wird.

Zum einen sind 20 Jahre bei weitem untertrieben. Für dieses Verhältnis ist selbst die Bezeichnung bei weitem bei weitem untertrieben. Selbst bei der gesamten Rechenleistung die auf unserer Erder zur Verfügung steht. Zum anderen wird die Berechnung langsamer. Je mehr Adressen meine Adressliste umfasst, je weniger generierte Adressen kann ich bei gleicher Rechenleistung damit vergleichen. Ansonsten wäre es ja mit den zehntausenden(oder hundertausenden) bekannten Adressen ein leichtes für eine davon den Privkey zu finden. Nochmal: Wenn das jemand könnte, würde er wohl kaum Signaturadressen knacken. Dann doch lieber eine mit echten Bitcoins drauf.

Quote
Das Schlüsselpaar beruht auf dem kryptographischen SHA-2-Algorithmus, und es ist offensichtlich, dass Satoshi Nakamoto wußte, was er tat, als er ihn auswählte. Denn während andere kryptographische Algorithmen im Licht der Enthüllungen über die NSA als gefährdet gelten, scheint an SHA-2 weiterhin kein Makel zu sein. Es gibt nicht einmal in der Theorie ein Schlupfloch.

Wer den Schlüssel eines Bitcoins per Brute-Force knacken will, also indem er einfach so lange eine zufällige Hash nach der anderen generiert, bis die richtige dabei ist, müsste eine schrecklich große Menge an Hashes erzeugen: 2 hoch 256. Das ergibt eine Zahl mit 78 Stellen. Zum Beispiel:
115792089237316195423570985008687907852837564279074904382605163141518161494337

Mal angenommen, man würde alle Atome des Sonnensystems in einem Superrechner verbauen, der das thermodynamische Limit der Informationsverarbeitung ausschöpft – nur mal angenommen! – selbst dann würde es zu lange dauern, um energetisch möglich zu sein.

Der kryptographische Kern ist also sicherer als jede Bank.

Quelle: Bitcoin.de

Sicher rein theoretisch besteht die Möglichkeit beim ersten Versuch einen Treffer zu landen. Mit dieser Annahme muss du aber nicht nur der sicheren Adressliste misstrauen, sondern auch dem kompletten Bitcoinsystem, SSL-Verschlüsselunge, Festplattenverschlüsselungen usw. Deshalb ist die Diskussion hier eigentlich ziemlich offtopic.
full member
Activity: 224
Merit: 100
Doch, das ist mir schon bewusst.
Aber "extrem unwahrscheinlich" ist nicht  "unmöglich". Wink
Diese "mein Passwort hat 32 Stellen, das dauert 20 Jahre, es zu bruten" basiert auf reiner Statistik, in dem man rechnet, wie viele Varianten gibt es, wie schnell rechne ich, davon die Hälfte, das ist das statistische Mittel.
Es kann aber schon beim ersten Versuch treffen, theoretisch.
Wenn du nun 1000 Passwörter hättest, und von denen eins (egal welches) treffen willst, so ist die Wahrscheinlichkeit 1000-mal so hoch.
Was aus den 20 Jahren nur etwa eine Woche macht (!), wenn die Berechnung nicht wesentlich langsamer wird.
Aus dem "das erleben wir nicht mehr" wird ein "oh, *da* versuch ichs doch mal, kann ja nix passieren".
Statistics is a bitch...

Dennoch, wie gesagt, dadurch das man eine ganze Kette von Leuten knacken müsste, wird es mehr nutzen als schaden.
sr. member
Activity: 457
Merit: 250
Statistisch gesehen hat Muto recht, daher verifiziert der Client seine generierten Adressen auch nicht: Es ist extrem unwahrscheinlich, das ein zufällig generierter Key schon mal von jemand anderem generiert wurde.
"Extrem unwahrscheinlich" ist aber nicht unmöglich...
Je länger das Verzeichnis wird, desto einfacher wird es für einen Hacker, _irgendeine_ der Adressen zu treffen mit seinem "Vanity-Generator".
Aufgrund des Systems ist das Schlüsselpaar zu einer Adresse einzigartig. Es gibt mehr Schlüssel als Adressen, von daher wäre es theoretisch möglich, mehrere Schlüssel zu einer Adresse zu haben.
Aber wir können davon ausgehen, das es etwa für jedes Sandkorn in der Sahara mindestens eine funktionierende Kombination gibt.
Von daher wird auch bei einer 100-Adressen-pro-jedem-Forenuser langen Liste kaum jemals einer kompromittiert werden können.

Aber das ist wie beim Passwort-knacken mittels Bruten.
Es dauert im Schnitt sehr lang, aber man kann auch Glück haben und der 2. Versuch sitzt.

Ich denke aber, aber dieses einfache Verzeichnis, oft genug gequotet und von den Usern richtig benutzt, die Sicherheit massiv erhöht, und gleichzeitig einfach zu benutzen ist.
Das phantastisch eine Sperre der bekannt geknackten User seitens theymos erwirken kann, glaub ich aber erst, wenn ich's sehe.
Bislang hat Big T doch drauf geschissen, wenn sowas passierte, nach dem Motto "is' halt so, jammer jemand anderen voll".
Man sollte also speziell Noobs noch drauf hinweisen, das (und wie) sie das Verzeichnis nutzen können/sollten, bevor sie auch nur 0,01BTC irgendwohin transferieren...

Ich glaube dir ist nicht bewusst, wie unwarscheinlich es ist, einen Privkey zu einer Adresse zu finden Smiley Es ist wahrscheinlicher, dass morgen alle beteiligten Forenuser gleichzeitig vom Blitz erschlagen werden.

Und selbst wenn jemand still und heimlich den Quantencomputer entwickelt hat, dann würde er vermutlich sein Glück eher in dieser Liste versuchen.
full member
Activity: 224
Merit: 100
Wenn ich meinen Client einen Satz neue Adressen erzeugen lasse, so tut er das ohne nachzuschauen, ob diese Adressen schon irgendwo generiert wurden. Das kann man meines Wissens auch nicht nachsehen. Erst wenn einmalig auf dieser Adresse BTCs transferiert wurden und sie in der Blockchain auftaucht, kann man die Existenz dieser Adresse verifizieren. Wäre dann nicht dieser Fall theoretisch möglich:

Ich gebe hier in dem "sicheren Adressverzeichnis" eine Adresse an, die mir mein Client erzeugt hat, die aber jungfräulich ist und bleibt, weil ich sie nur zum Signieren verwenden will. Ein Eintrag in der Blockchain wird deshalb nie entstehen. Ein Angreifer sieht diese jungfräuliche Adresse hier im Forum. Er wirft einen Adressgenerator an, der solange Adressen erzeugt, bis genau diese jungfräuliche Adresse entsteht. Dann hat er einen gültigen Key für das Teil. Wir beide haben dann einen. Kann es unterschiedliche Private Keys für ein und dieselbe Adresse geben? Ist es praktisch unmöglich, identische Adressen zu generieren? Sagt mir bitte, dass das Unsinn ist. Ein Begründung wäre das i-Tüpfelchen.

Verzeiht die Frage, ich bin nicht so bewandert im Bitcoin Protokoll.

Funktioniert nicht. Es ist (so weit ich es verstanden habe) völlig egal, ob eine Adresse bereits einmal in der Blockchain aufgetaucht ist oder nicht. In beiden Fällen sit das finden einer bestimmten Adresse und zugehörigem Privkey nur mit Bruteforce möglich und dauert im Schnitt länger als unsere Erde noch existieren wird.

Dazu noch ein nettes Zitat:

Don't try to brute force it. Just wait until some bird's shit on your car takes the form of the private key.
Statistisch gesehen hat Muto recht, daher verifiziert der Client seine generierten Adressen auch nicht: Es ist extrem unwahrscheinlich, das ein zufällig generierter Key schon mal von jemand anderem generiert wurde.
"Extrem unwahrscheinlich" ist aber nicht unmöglich...
Je länger das Verzeichnis wird, desto einfacher wird es für einen Hacker, _irgendeine_ der Adressen zu treffen mit seinem "Vanity-Generator".
Aufgrund des Systems ist das Schlüsselpaar zu einer Adresse einzigartig. Es gibt mehr Schlüssel als Adressen, von daher wäre es theoretisch möglich, mehrere Schlüssel zu einer Adresse zu haben.
Aber wir können davon ausgehen, das es etwa für jedes Sandkorn in der Sahara mindestens eine funktionierende Kombination gibt.
Von daher wird auch bei einer 100-Adressen-pro-jedem-Forenuser langen Liste kaum jemals einer kompromittiert werden können.

Aber das ist wie beim Passwort-knacken mittels Bruten.
Es dauert im Schnitt sehr lang, aber man kann auch Glück haben und der 2. Versuch sitzt.

Ich denke aber, aber dieses einfache Verzeichnis, oft genug gequotet und von den Usern richtig benutzt, die Sicherheit massiv erhöht, und gleichzeitig einfach zu benutzen ist.
Das phantastisch eine Sperre der bekannt geknackten User seitens theymos erwirken kann, glaub ich aber erst, wenn ich's sehe.
Bislang hat Big T doch drauf geschissen, wenn sowas passierte, nach dem Motto "is' halt so, jammer jemand anderen voll".
Man sollte also speziell Noobs noch drauf hinweisen, das (und wie) sie das Verzeichnis nutzen können/sollten, bevor sie auch nur 0,01BTC irgendwohin transferieren...
legendary
Activity: 2271
Merit: 1363
Nochmal es geht hier um nicht darum ein  dezentrales , unangreifbares Identitäten-Verzeichnis aufzubauen.
Dafür gibts zum Beispiel schon das Web of Trust(naja , "dezentral") .

Es geht darum eine einfache Identifizierung im Falle eines Account-Hacks durchzuführen um ein schnelles Eingreifen zu ermöglichen.
Wenn ich eine signierte Nachricht bekomme, kann ich sicher bestätigen dass der Account-Inhaber gehackt wurde und dafür sorgen dass der Account gesperrt wird
bevor mit dem erworbenen Trusted Account Bitcoins eingesammelt werden. (Was euch u. Umständen im extremsten Fall vielleicht eine Mitschuld geben könnte... )
Außerdem müsste Theymos keine PMs skimmen um an BTC-Adressen zu kommen von denen er eure Signatur verifizieren kann.

Das ganze ist eine einfache Verbesserung , kein Allheilmittel. Jeder BTC-Client kann von Haus aus signieren. GPG muss ich mir normalerweise erst besorgen und dann über Konsole / die meist sehr verwirrenden GUIs bedienen.

Das ganze hat weitere Anwendungszwecke , wie die Anforderung dass von der registrierten Adresse eine Nachricht mit neuer Empfangsadresse signiert wird um sicherzugehen dass niemand anderes am Account ist.

Aber wenn jemand eine bessere und einfachere Lösung für die Verifizierung hat, bitte her damit.
sr. member
Activity: 457
Merit: 250
Vielleicht stehe cih auf dem Schlauch, aber ich kann da keine zusätzliche Sicherheit gegenüber der aktuellen Vorgehensweise erkennen.

Beschreibt doch mal, wo ihr das Problem seht und wie man es besser machen könnte.

LG
Muto
hero member
Activity: 675
Merit: 514
Wenn ihr eure Adressen dezentral und nachschlagbar speichern wollt, ginge das z.B. als Teil der Identität eines öffentlichen PGP-Schlüssels auf den PGP-Key-Servern. Das ist wirklich sehr einfach. Ihr müsst euch nur auf eine Konvention einigen wie die Adresse im pubkey abzulegen ist.
Und nein, EMail-Adressen sind nicht gezwungenermaßen Teil eines öffentlichen Schlüssels;
Vorschlag wie man das machen könnte:
Einen Key mit mehreren User IDs, z.B.
bitcointalk.org:Schleicher
Bitmessage:BM-opdjufj91zTVESU1g2bLxoBurQDtfsyPG
Bitcoin:14SGNMGMpxY53nnxGXXg2sudrgTxP6psSh
sr. member
Activity: 314
Merit: 250
tl;dr: Macht euch nochmal vernünftig Gedanken über ein solches Verzeichnis und erkennt das diese bisherige keine nachhaltige Lösung darstellt oder beschwert euch später nicht über den Fehlschlag.
sr. member
Activity: 457
Merit: 250
Das hier ist ziemlich fraglich..

Dieses Forum wurde bereits häufiger gehackt und stellt daher keine wirklich sichere, vor allem weil zentrale, Speichermöglichkeit dar.
Wenn ihr eure Adressen dezentral und nachschlagbar speichern wollt, ginge das z.B. als Teil der Identität eines PGP-Schlüssels auf den PGP-Servern. Und nein, EMail-Adressen sid nicht gezwungenermaßen Teil eines öffentlichen Schlüssels. Weiterhin können andere diese Schlüssel signieren und so ein Web of Trust bauen. Jetzt ist is nur noch wichtig, dass die Schlüssel sauber geprüft werden ehe sie unterschrieben werden, denn auch hier gibt es die Gefahr von "forged keys".

Was genau ist fraglich? Es müssten schon alle Accounts gleichzeitig gehackt werden um unbemerkt Änderungen im Adressverzeichnis durchzuführen. Wenn du dem Forum derartig misstraust, solltest du so oder so hier keine Geschäfte machen.

PGP ist schön und gut, das Verzeichnis wird aber nur funktionieren, wenn viele User mitmachen und dafür ist PGP vielen zu kompliziert.

Oder hast du eine Idee zur nutzerfreundlichen Implementierung? Ich selbst könnte die Adressliste mit PGP signieren. Würde aber nicht zu einer zusätzlichen Sicherheit führen.
sr. member
Activity: 457
Merit: 250
Wenn ich meinen Client einen Satz neue Adressen erzeugen lasse, so tut er das ohne nachzuschauen, ob diese Adressen schon irgendwo generiert wurden. Das kann man meines Wissens auch nicht nachsehen. Erst wenn einmalig auf dieser Adresse BTCs transferiert wurden und sie in der Blockchain auftaucht, kann man die Existenz dieser Adresse verifizieren. Wäre dann nicht dieser Fall theoretisch möglich:

Ich gebe hier in dem "sicheren Adressverzeichnis" eine Adresse an, die mir mein Client erzeugt hat, die aber jungfräulich ist und bleibt, weil ich sie nur zum Signieren verwenden will. Ein Eintrag in der Blockchain wird deshalb nie entstehen. Ein Angreifer sieht diese jungfräuliche Adresse hier im Forum. Er wirft einen Adressgenerator an, der solange Adressen erzeugt, bis genau diese jungfräuliche Adresse entsteht. Dann hat er einen gültigen Key für das Teil. Wir beide haben dann einen. Kann es unterschiedliche Private Keys für ein und dieselbe Adresse geben? Ist es praktisch unmöglich, identische Adressen zu generieren? Sagt mir bitte, dass das Unsinn ist. Ein Begründung wäre das i-Tüpfelchen.

Verzeiht die Frage, ich bin nicht so bewandert im Bitcoin Protokoll.

Funktioniert nicht. Es ist (so weit ich es verstanden habe) völlig egal, ob eine Adresse bereits einmal in der Blockchain aufgetaucht ist oder nicht. In beiden Fällen sit das finden einer bestimmten Adresse und zugehörigem Privkey nur mit Bruteforce möglich und dauert im Schnitt länger als unsere Erde noch existieren wird.

Dazu noch ein nettes Zitat:

Don't try to brute force it. Just wait until some bird's shit on your car takes the form of the private key.
sr. member
Activity: 314
Merit: 250
Das Verzeichnis hier ist ziemlich fraglich.. eine gute Idee sehr schlecht umgesetzt.

Dieses Forum wurde bereits häufiger gehackt (oder erinnert sich keiner mehr an die Aufforderungen sein Passwort zu ändern weil die Hashes und die Verfahren bekannt wurden?) und stellt daher eine unsichere - weil zentrale - Speichermöglichkeit dar.
Wenn ihr eure Adressen dezentral und nachschlagbar speichern wollt, ginge das z.B. als Teil der Identität eines öffentlichen PGP-Schlüssels auf den PGP-Key-Servern. Das ist wirklich sehr einfach. Ihr müsst euch nur auf eine Konvention einigen wie die Adresse im pubkey abzulegen ist.
Und nein, EMail-Adressen sid nicht gezwungenermaßen Teil eines öffentlichen Schlüssels; ihr müsst also keine Schwächung der Pseudonymität hinnehmen. Weiterhin können andere diese Schlüssel signieren und so ein Web of Trust der Adressinhaber abbilden. Jetzt ist is nur noch wichtig, dass die Schlüssel sauber zu prüfen ehe sie unterschrieben werden, denn auch hier gibt es die Gefahr von "forged keys".
Auch wäre die Zusicherung von staatlichen Identitäten dieser Schlüssel über CACert möglich und nicht zuletzt die verschlüsselte Kommunikation in dem Zusammenhang ein echter Gewinn den Bitcoin-Adressen allein nicht bieten.

Was Nutzerfreundlichkeit angeht, steht die grundsätzlich im Kontrast zu Sicherheit. Insbesondere bleiben private Schlüssel als Angriffsziel. Aber es wären durchaus noch einige softwarseitige Steigerungsmöglichkeiten drin.
Z.B. kann man die Adressen entsprechend gekennzeichnet auch gut parsen und die Nachschlagefunktion in einer Anwendung implementieren.

Aber hier weitere Worte zu verschwenden sehe ich im Moment aber nicht als zielführend an, da offenbar die Überzeugung herrscht bereits einen brauchbaren Ansatz gefunden zu haben. Denkt z.B. mal kurz darüber nach warum Dezentralität ein Kern von wirksamen Sicherheitssystmen - nicht nur Bitcoin - aber Zentralität ein Kern von Kontrollsystemen - z.B. Zugang in Firmen oder TLS - ist.
full member
Activity: 239
Merit: 116
Wenn ich meinen Client einen Satz neue Adressen erzeugen lasse, so tut er das ohne nachzuschauen, ob diese Adressen schon irgendwo generiert wurden. Das kann man meines Wissens auch nicht nachsehen. Erst wenn einmalig auf dieser Adresse BTCs transferiert wurden und sie in der Blockchain auftaucht, kann man die Existenz dieser Adresse verifizieren. Wäre dann nicht dieser Fall theoretisch möglich:

Ich gebe hier in dem "sicheren Adressverzeichnis" eine Adresse an, die mir mein Client erzeugt hat, die aber jungfräulich ist und bleibt, weil ich sie nur zum Signieren verwenden will. Ein Eintrag in der Blockchain wird deshalb nie entstehen. Ein Angreifer sieht diese jungfräuliche Adresse hier im Forum. Er wirft einen Adressgenerator an, der solange Adressen erzeugt, bis genau diese jungfräuliche Adresse entsteht. Dann hat er einen gültigen Key für das Teil. Wir beide haben dann einen. Kann es unterschiedliche Private Keys für ein und dieselbe Adresse geben? Ist es praktisch unmöglich, identische Adressen zu generieren? Sagt mir bitte, dass das Unsinn ist. Ein Begründung wäre das i-Tüpfelchen.

Verzeiht die Frage, ich bin nicht so bewandert im Bitcoin Protokoll.
sr. member
Activity: 457
Merit: 250
Ab sofort werden keine unvollständigen Adressen mehr angenommen, da dies unsicher ist. Mit dem Tool vanitygen lassen sich nämlich Privkeys zu Adressen bruteforcen. Das ist bei einer vollständigen Adresse praktisch unmöglich. Bei 4-5 Zeichen aber in Sekunden/Minuten erledigt. Beispiel:

Code:
Sicheres Adressverzeichnis (Demo)

Satoshi  1AB...YZ
Nakomato 1DEfCYTrtj5zNcT41ry2evbp1U6iGoaB99

Wenn ich jetzt den Account von Satoshi hacke, kann ich mir in kurzer Zeit eine Adresse generieren, die in das Raster passt:

Code:
Pattern: 1AB..............................*YZ
Address: 1AB6Rrp2vebiQPmTos4fAYqzcuLSY7HKYZ
Privkey: 5JiFPHb5HhKUxRxYamxuDy9YXWhZmkh76PRjiabVMHbh58M4Vfb
Pattern: 1AB..............................*YZ
Address: 1ABce8iYkXvAyThtz7B1wYT5WDzgGFZ6YZ
Privkey: 5Jz5U9iaFAtE9pub4Yb9keJMAdCidiTTgTtn9f8TAjAfx5FQ62x
Pattern: 1AB..............................*YZ
Address: 1ABcC8hYet8GB1SNFssHWCpCo4t2pQKKYZ
Privkey: 5K61mJeGWhTLwYYV7K7oa7fem73L7EDysjUmX96k7HUtJpCc1PG

Nein, ich bin nicht Admin bei der NSA. Das Tool lief für wenige Minuten auf meinem Dualcore Notebook Prozessor..

Bei Nakomato hingegen beist sich auch die NSA die Zähne aus.

Deswegen nur noch vollständige Adressen. Wer seinen Kontostand nicht veröffentlichen will, sollte sich eine Adresse nur zum signieren anlegen.

legendary
Activity: 2271
Merit: 1363
Im anderen Thread stand schon der Einwand von Akka, den habe ich aber voreilig gelöscht.

Es geht dabei nicht darum Handelsadressen zu verifizieren, sondern einfach um eine Sicherstellung eurer Identität mittels einer im Thread signierten Bitcoinadresse , mit der ihr im Zweifelsfall Nachrichten signieren könnt.

BTC-Adressen die ich euch gebe können natürlich andere sein. Der Zweck ist nicht jede eurer Adressen hier einzuscannen.
sr. member
Activity: 457
Merit: 250
Aus Ordentlichkeit, weil man so sehen kann, von wem eine Zahlung kommt (wenn man der Adresse einen Namen gibt).
Aus Sicherheitsgründen, weil man vielleicht watch-only oder Paperwallet-Adressen für Pools nutzt.
Oder einfach nur, damit nicht jeder Arsch sehen kann, das ich schon 400Millionen BTC auf meiner Adresse habe...

Richtig, hat mehr organisatorische als sicherheitsrelevante Gründe. Die Anonymität ist natürlich auch ein Grund. Wenn du 400Mio Bitcoins hast, bist du vermutlich bei einem Altcoin und wurdest die ganze Zeit verarscht  Tongue
sr. member
Activity: 406
Merit: 250
Aus Ordentlichkeit, weil man so sehen kann, von wem eine Zahlung kommt (wenn man der Adresse einen Namen gibt).
Aus Sicherheitsgründen, weil man vielleicht watch-only oder Paperwallet-Adressen für Pools nutzt.
Oder einfach nur, damit nicht jeder Arsch sehen kann, das ich schon 400Millionen BTC auf meiner Adresse habe...
hero member
Activity: 826
Merit: 1000
°^°
warum sollte man ständig seine Addresse ändern?
man macht ja auch nicht nach jeder Überweisung ein neues Konto bei der Bank Wink
Vorteil: seltener kopieren/einfügen müssen wenn der Browser die Felder speichert
sr. member
Activity: 457
Merit: 250
Wo ist das Problem?
Man erstellt eine signierte Adresse, die Signierfähig ist und bleibt und postet die da.
Wenn du einen Handel machst, nennst du die Zahladresse signiert mit der Signieradresse.
Voila, sicherer Beweis das du du bist und gleichzeitig bei jedem Handel eine neue Adresse.
Oder was fällt mir hier nicht auf?

Ja das ist wohl die einzige Möglichkeit, ich passe diesen Teil entsprechend an
sr. member
Activity: 406
Merit: 250
Wo ist das Problem?
Man erstellt eine signierte Adresse, die Signierfähig ist und bleibt und postet die da.
Wenn du einen Handel machst, nennst du die Zahladresse signiert mit der Signieradresse.
Voila, sicherer Beweis das du du bist und gleichzeitig bei jedem Handel eine neue Adresse.
Oder was fällt mir hier nicht auf?
sr. member
Activity: 457
Merit: 250
öhm,

benutzt ihr wirklich echt immer die gleiche Bitcoin Adresse? Sellt in meinen Augen ein Sicherheitsrisiko dar und ich verwende gelegentlich eine andere.
Die Idee finde ich aber dennoch gut, da es so auf jedenfall erschwert wird zu betrügen.
Quote stammt aus dem Hauptthread, wird dort vermutlich aber vom Mod gelöscht.

Gelegentliche Änderungen sind kein Problem und können wie im Haupthread beschireben durchgeführt werden.
sr. member
Activity: 457
Merit: 250
Klar hat das seine Vorteile, wird aber mit der Zeit verdammt nochmal unübersichtlich und immer komplizierter...

Worauf beziehst du dich?
hero member
Activity: 560
Merit: 500
Quote
Dadurch können Käufer/Verkäufer eines Handels sicherstellen, dass die angegeben Adresse tatsächlich zu dem jeweiligen Account gehört und nicht zu einem Hacker. Wenn ein User hier erfasst ist und euch eine abweichende Adresse gibt, wurde sein Account vermutlich gehackt.

Den Teil vielleicht noch mal überarbeiten.
Es macht ja durchaus Sinn für jede Transaktion eine neue Adresse zu verwenden.

Quote stammt aus dem Hauptthread, wird dort vermutlich aber vom Mod gelöscht.

Ich bin der Meinung, dass dieser Teil  überarbeitet werden sollte. Sonst kann ja jeder Scammer sagen: "Das ist zwar nicht die Adresse aus dem sicheren Adressverzeichnis, aber ich nehme für jede Transaktion eine neue"

Ich sehe 2 Möglichkeiten das Problem azugehen:

1. Nach jeder Transaktion die Adresse im sicheren Andressverzeichnis ändern.
2. Ich ändere den Tex wie folgt:

Code:
Dadurch können Käufer/Verkäufer eines Handels sicherstellen, dass die angegeben Adresse tatsächlich zu dem jeweiligen Account
gehört und nicht zu einem Hacker. Wenn ein User hier erfasst ist und euch eine abweichende Adresse gibt, solltet ihr euch die Übermitllung
der abweichenden Adresse mit der hier gelisteten Adresse signieren lassen. Kann der Käufer/Verkäufer dies nicht, wurde sein Account vermutlich gehackt

Klar hat das seine Vorteile, wird aber mit der Zeit verdammt nochmal unübersichtlich und immer komplizierter...
sr. member
Activity: 457
Merit: 250
Quote
Dadurch können Käufer/Verkäufer eines Handels sicherstellen, dass die angegeben Adresse tatsächlich zu dem jeweiligen Account gehört und nicht zu einem Hacker. Wenn ein User hier erfasst ist und euch eine abweichende Adresse gibt, wurde sein Account vermutlich gehackt.

Den Teil vielleicht noch mal überarbeiten.
Es macht ja durchaus Sinn für jede Transaktion eine neue Adresse zu verwenden.

Quote stammt aus dem Hauptthread, wird dort vermutlich aber vom Mod gelöscht.

Ich bin der Meinung, dass dieser Teil  überarbeitet werden sollte. Sonst kann ja jeder Scammer sagen: "Das ist zwar nicht die Adresse aus dem sicheren Adressverzeichnis, aber ich nehme für jede Transaktion eine neue"

Ich sehe 2 Möglichkeiten das Problem azugehen:

1. Nach jeder Transaktion die Adresse im sicheren Andressverzeichnis ändern.
2. Ich ändere den Tex wie folgt:

Code:
Dadurch können Käufer/Verkäufer eines Handels sicherstellen, dass die angegeben Adresse tatsächlich zu dem jeweiligen Account gehört und nicht zu einem Hacker. Wenn ein User hier erfasst ist und euch eine abweichende Adresse gibt, solltet ihr euch die Übermitllung der abweichenden Adresse mit der hier gelisteten Adresse signieren lassen. Kann der Käufer/Verkäufer dies nicht, wurde sein Account vermutlich gehackt
sr. member
Activity: 457
Merit: 250
Um den Haupthread sauber zu halten habe ich diesen Thread für Diskussionen erstellt.

Verbesserungsvorschläge/Anregungen/Kritik sind natürlich gerene gesehen.

Jump to: