Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 10. (Read 22241 times)

Also ich nutze die noch und werde diese auch weiterhin nutzen. Ich glaube trotz allem das es immer noch eine der sichersten Varianten für die Verwahrung
von Cryptos sind. PS:Habe den Nano X und auch Nano S . Auch diese werden weiter genutzt. Bisher habe ich auch nicht gelesen das jemand Geld verloren hat.
Daher bleibe ich cool und lasse mich nicht klirre machen. Wer weiß ob es überhaupt 100%tig besseres gibt. Alles hat ein für und wider.

Wollte gerade schauen, ob die Vergütung für die Signatur Kampagne bereits eingegangen ist, da begrüßt mich Ledger Live mit einem Update



Kurzer Check, ist ganz frisch von heute



Frage in die Runde: Nutzt ihr Ledger Live noch und würdet ihr die Software weiterhin vertrauen bzw updaten? Klar, von den Firmware Upgrades der Nanos sollte man natürlich weiterhin Abstand nehmen, oder wenn überhaupt, nur noch den alten Nano S verwenden!

Da bei mir das meiste im HODL-Modus ist, ist eine Signierung nicht notwendig. Und wenn doch, dann komme ich ganz gut mit dem Benutzungsdefizit zurecht.

---------------


Ja, denn ich weiß nie, was die dahinterstehende Software macht.


Überwachung des Netzverkehrs wäre für mich zu aufwendig. Ausserdem bringt es doch nicht viel, wenn die Überwachung anschlägt. Dann ist der Seed doch schon woanders und ich könnte nur noch zusehen, wie die Coins verschwinden.

Doch ich denke auch das hier Cloud stimmt (also mehrt als alles als Sicher), die SEED ohne 25igste Wort wird insgesamt auf 3 Firmen verteilt, also gehe ich auch von Cloud aus, wie sollte das mit einem Secure Chip funktionieren? Also in Zukunft einfach einen Bogen um den Saftladen Ledger machen, egal wie sie es drehen und wenden wollen.

Bist du dir sicher, dass sie den Seed in der Cloud speichern? Denke du meinst den Secure Chip?
Die Sache ist einfach die ... Ledger sagt zwar, sie speichern das 25te Wort nicht, ich vertraue ihnen aber nicht mehr so lange der Code nicht veröffentlicht ist. Und selbst dann hat man keine Gewissheit, ob das 100% jener Code ist, der auch über ein Firmware-Update eingespielt wird. Man kann ja die installierte Software nicht per Signatur o.ä. verifizieren.

---

Ja, ich bin mittlerweile auch der Ansicht, dass ich hier alles neu initialisieren muss um wirklich sicher zu gehen. Ansonsten werde ich einfach nicht ruhig schlafen können.

Erstellt euch nen neuen Seed, dazu ein 25tes Wort - welches ihr jedes mal neu eingebt am Ledger, also nur temporär und nicht durch extra Seed gesichert.
Meiner Info nach speichert Ledger nur die 24 Wörter voM Seed in der Cloud wenn man dem Service zustimmt, nicht aber das 25te.

Ich würde einen neuen Seed generieren oder selbst erstellen (Würfeln in einer verwerfbaren sicheren Offline-Umgebung), dann kann man hinter dem Ledger-Zirkus einen Haken machen und gut ist. Die Kröte wird man schlucken müssen, seine Backups zu erneuern. Blöd, aber vielleicht auch eine Lehre, einer Firma für Hardware-Wallets nicht zu viel Vertrauen zu schenken, wenn nicht alles offengelegt wird.

Da der Firmware-Code von Ledger NoNos größtenteils Closed-Source ist, weisst du nicht, was in der Firmware drinsteckt und dringesteckt hat, als du deinen Ledger benutzt hast. Aus nachvollziehbaren Gründen vertraust du Ledger nun nicht mehr. Warum glaubst du, du könnest den vom Ledger NoNo generierten Seed 100%ig sicher weiterverwenden?

Auch wenn ich kein Ledger-Freund bin, glaube ich nicht, daß selbst die Honks bei Ledger Paris je auf die firmentödliche Idee gekommen sind, Kunden-Seeds, warum auch immer, mal prophylaktisch abzugreifen. Käme das heraus, wäre Ledger augenblicklich tot, egal ob Schindluder oder nicht damit getrieben wurde. Bin ich mir sicher? Nope...



Der NoNo S hat einfach sehr wenig Speicher und seit einiger Zeit ist die Firmware und die Apps derart angewachsen, daß eben nur noch für wenige Apps Platz im NoNo S ist. Vielleicht ist nur das der Grund und weil das Teil ja auch eh nicht mehr von Ledger unterstützt wird. Ob aber zu Zeiten, als der NoNo S noch Updates bekommen hat, nicht irgendein Schmuh in der Firmware war, kann kaum jemand nachprüfen. Ledger sagt, vertrau' uns. Ja klar, immer doch...

Trezor veröffentlicht seine Firmware vollständig; Trezor veröffentlich auch seine Schaltpläne und Bauteile (meines Wissens) vollständig. Man könnte nachprüfen, ob Trezor je Schmuh in der Firmware drin hatte. Wobei man hier eine nicht unerhebliche Einschränkung ggf. machen muss, da meines Wissens die Firmware nicht per reproduzierbaren Builds mit dem Github-Repo verifiziert werden kann. So habe ich es bisher gehört und gelesen, überprüft habe ich es der Vollständigkeit halber nicht selbst. (Sorry dafür!)



OK, eine Cold-Wallet auf einem air-gapped Rechner kann eine Hardware-Wallet ersetzen. Die Sicherheit wäre mit einer gescheiten Hardware-Wallet vergleichbar, wenn der Datenträger verschlüsselt wird. Der Benutzungskomfort ist allerdings eher bescheiden, weil du zum Signieren ständig PSBT-Dateien hin und her schieben musst.
Ein Electrum-Seed nützt dir aber nix für praktisch jede gebräuchliche Hardware-Wallet. Das nur nebenbei, aber das weisst du ja sicher.



Das Electrum auf Tails ist notorisch etwas veraltet, funktioniert aber immerhin. Aber was möchtest du damit abbilden? Offline wäre es eine mühsame Cold Wallet, bei der du immer die Recovery Wörter neu eingeben musst, um an deine Wallet zu kommen. Gehst du online, hast du keine Cold-Wallet mehr, sondern nur noch eine Hot-Wallet.

---

Schon etwas älter und möglicherweise nicht auf die aktuellen NoNo X und S Plus übertragbar, dennoch wie ich finde eine ganz interessante Lektüre eines Sicherheitsanalysten, der eine recht gravierende Schwachstelle im Sicherheitskonzept von Ledger aufgedeckt hat und einige Mühe hatte, Ledger von ihrem Scheiß zu überzeugen: https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/

Ich werde beim Erhalt meines neuen Wallets (für das ich mich immer noch nicht entschieden habe) einen komplett neuen Seed/Passphrase generieren lassen und den, wie schon in Willis Metallplatten-Thread beschrieben, auf insgesamt drei Platte aufteilen und diese an drei unterschiedlichen, vertrauenswürdigen Orten lagern. Um alle Coins auf das neue Wallet zu transferieren, muss ich vielleicht 5 Transaktionen machen und die Transaktionsgebühren sind bis dahin hoffentlich wieder ein wenig gesunken. So kann ich einfach ruhig schlafen und weiß ab dem Zeitpunkt auch mit voller Sicherheit, dass niemand meinen Key gesehen haben wird.
Man kann die Platten dann z.B noch in Umschläge packen oder irgendwie markieren, dass man auch hier sehen würde, falls jemand Zugriff darauf hatte und schon ist man für mein Geschmack eigentlich recht gut abgesichert.

Das war eigentlich nur als Spaß gemeint Willi, aber vielen herzlichen Dank für das Angebot! Ich würde dir im Fall des Falles aber trotzdem den ganzen Betrag überweisen, für dich ist das ja auch nur ein Nebengeschäft und du kannst schon rein gar nichts für den Ledger-Fail 

---

Dh. du würdest dem Ledger, der mit einem Rechner im Internet verbunden ist, nicht mehr vertrauen? In diesem Fall hätte ich weniger Bedenken, da man den ausgehenden Netzwerkverkehr recht einfach überwachen kann. Wäre also jemals der Seed eines verbundenen Ledgers auf einen Server gewandert, so hätte das garantiert jemand bemerkt, gerade in unserem Bereich wo doch sehr viele Leute mit sehr paranoidischen Denkweisen unterwegs sind.

Viel eher stört mich, dass ich nicht verifizieren kann, ob der Ledger nach einem Zurücksetzen auch tatsächlich gelöscht ist. Ich müsste den Nano X bspw. manuell zerstören um hier auf Nummer sicher gehen zu können. Weitere Firmware-Updates o.ä. kommen für mich jetzt sowieso nicht mehr in Frage.

Würde es nicht auch reichen Tails als readonly System zu starten und das darauf installierte Electrum?

Klar. Einer Instanz musst du immer vertrauen und eine 100%-ige Sicherheit gibt es nie. Jeder muss auch die Methode nutzen/entwickeln, mit der man selber zufrieden ist.
Ich erstelle auf einem mit Linux und seitdem ich ihn habe, nicht mit dem Internet verbundenden neu aufgesetzten Laptop über Electrum ein Seed-Wallet. Electrum muss dazu 1x per USB-Stick übertragen werden. Leider eine Schwachstelle, die aber nicht zu eliminieren ist.

Wie ist dann deine Herangehensweise?
Wie erstellst du deinen Seed oder nur den Privat Key für eine BTC Adresse?

Wenn du https://www.bitaddress.org/ // https://bitcointalksearch.org/topic/ann-bitaddressorg-safe-javascript-bitcoin-addressprivate-key-43496 benutzt, musst du dem Code minimum auch vertrauen.

Viele Grüße
Willi

Passwörter etc. pp. sollten niemals wiederverwendet werden.

Alles, was ich mit dem Internet verbinden kann, sehe ich als kompromittierbar an. Daher könnte ich auch keinem anderen Hardwarewallet-Anbieter vertrauen. Auch nicht, wenn sie ein Secure Element haben. Der Bauplan dafür liegt irgendwo und bestimmte Personen wissen, wie der aufgebaut ist und ob es Hintertüren gibt. Wobei ich davon ausgehe, dass die Hersteller schon vom Gesetzgeber her verpflichtet sind, eine Hintertür einzubauen. Und hier sieht man, dass Ledger eine Information bekommen hat, wie die Daten auszulesen sind. Oder vielleicht hat der Ledger gar kein Secure Element?
Alles in allem ist mir das persönlich zu unsicher.

Welchen Ledger hast du, ein Nano S soll das Hardwaretechnisch angeblich nicht können. Das sicherste ist natürlich einen neuen erstellen, aber wenn der alte SEED in der Platte ist und du nur den alten Nano S hattest würde ich sagen da kann man schon den alten auch nehmen. Nach Ledger, weiß man ja auch nicht zu 100% das bei Trezor es nicht auch genau so ist?

Dann mach ich euch mal ein Angebot. Jeder der per PM nachweisen kann, dass er schon mal bestellt hat, bekommt einen Ledger-Exchange Rabatt von 10%. Schickt mir dazu einfach eine alte PM, oder ein Foto der alten Platte mit eurem User aber abgedeckten Seed, da ich mir keine Daten von alten Bestellungen aufhebe.

Viele Grüße
Willi

Wie geht ihr nach Erhalt des neuen Hardwarewallets vor?

• Den Mnemonic Code (also die 24 Wörter) wiederverwenden die ihr auch für den Ledger verwendet hattet
• Das HW-Wallet komplett neu initialisieren und auch den Mnemonic Code neu generieren lassen und anschließend alle Coins/Tokens rübertransferieren?

Letzteres hätte bei mir einen doch erheblichen Aufwand, da der Ledger Seed bspw. in eine Platte von Willi eingraviert ist (vlt. bietet uns Willi ja hier eine Bestellaktion an ) und ein Teil des Seeds auch nicht bei mir zu Hause liegt.
Ich traue aber Ledger kein Stück mehr über den Weg und möchte ehrlich gesagt nicht, dass es in absehbarer Zeit heißt ... "ups, der Mnemonic Code wurde 202x doch extrahiert und ist jetzt im Internet".

Wie seht ihr das?

Ich kann das vollkommen verstehen, ich habe schon eine Alternative geordert. Nach so langer Zeit nervt mich das auch. Wie ein Scam fühlt es sich zwar nicht an, aber wer weiß was nun mit allen Daten wirklich passiert. Wenn Ledger eine „Bank oder finanzielle Institution“ wäre, dann würde ich es fast so deuten, als würde ich die Coins dort liegen haben.

Nach deinem Hinweis, habe ich direkt einen Trezor geordert. Ich kann nach dem Einrichten mal nachsehen was möglich ist.

Danke

Vermutlich bringt es nichts mehr die Reputation ist dahin, und ändert ja nichts daran das dieses neue Feature im Ledger eingebaut ist. Also ein auslesen des SEEDs ist weiterhin möglich. Zu einem nachfolger, gibt es ein HW Wallet das Cardano staking unterstützt?

https://www.btc-echo.de/schlagzeilen/ledger-wallet-anbieter-beugt-sich-druck-der-krypto-community-164907/

bringt meiner meinung nichts mehr, denn alleine schon der gedanke (und eigentlich war das update auch so geplant) ist ein vertrauensbruch.
bye bye Ledger!

zur zeit tendiere ich zu Trezor oder zu dem amerikanischen hw-wallet anbieter Foundation
am besten wäre natürch auch, wenn meine neue hw-wallet auch wieder eine stake option hätte...

Ich will jetzt nicht alles explizit Zitieren, aber Sam hat Echt auch wenn nicht passieren wird. Aber es gehört trotzdem ein Exempel statuiert, egal was Leger selbst sagt sie haben eine Hintertür eingebaut wo keine sein darf, und das ist Fakt. Der Satz, Not Your Keys, Not Your Coins trifft auf Ledger einfach nicht mehr zu. Und mit dem Zusatz "Option" das ist doch reine Leute Verarscherei, mein alter Nano ist Hardware Technisch noch nicht in der Lage, aber diese scheiß Firma bekommt von mir keinen Cent mehr, hoffentlich geht sie Pleite.

Sie haben vorsätzlich und mit bestehendem Wissen die Kunden an der Nase herum geführt.