Cool. Schwarz.
Hast Du schon eingezahlt/abgehoben? Wenn ja, wie fandest Du es?
Topic: Trezor - page 2. (Read 8257 times)
Vor ein paar Tagen habe ich auch meinen Trezor erhalten: https://twitter.com/Zicore/status/556194020847022080
Eine Generation One Hardware Wallet
Eine Generation One Hardware Wallet
Ein Vergleich von Äpfel und Birnen.
In den US und A kommt Trezor direkt von Amazon.
Quote
- Security: Your TREZOR was shipped directly from SatoshiLabs to Amazon’s secure warehouses in the United States.
- Shipping: Shipping and returns are handled by Amazon’s world class fulfillment centers.
Bei dem anderen Angebot kommt Trezor von 'georgengelmann' aus Österreich. Hust hust.
in den US und A jetzt auch über Amazon zu haben:
TREZOR White: http://www.amazon.com/gp/product/B00R6LSAZI
TREZOR Black: http://www.amazon.com/gp/product/B00R6MKDDE
TREZOR Grey: http://www.amazon.com/gp/product/B00R6MRI50
Seit heute bietet Trezor Greenaddress - Multisig
http://satoshilabs.com/news/2015-01-13-trezor-firmware-1-3-0-update-multisig/
... einfacher ist ein Bitstamp Konto mit 2FA (google Auth) zu knacken.
Per Keylogger einen Bitcoin-qt Nutzer zu knacken ist sicher Kindereinfach.
Per Keylogger einen Bitcoin-qt Nutzer zu knacken ist sicher Kindereinfach.
Ist halt letztlich die Frage, um wie viel Geld es geht.
Aber widersprecht mir gerne und klärt mich gegebenenfalls auf
Also mir geht es bestimmt nicht darum, jemand (von oben herab) "aufzuklären". Ich bin kein Priester. Es ist nur einfach so, dass wir gerade im letzten Jahr so einiges geboten bekommen haben:
http://www.heise.de/security/meldung/BadUSB-Wenn-USB-Geraete-boese-werden-2281098.html
http://www.heise.de/mac-and-i/meldung/31C3-Thunderstrike-greift-MacBooks-ueber-Thunderbolt-an-2506839.html
Ich persönlich kann da auch immer nur wieder staunen. Es gibt einfach keine Sicherheit, außer der, dass man es den Angreifern in der Relation schwer machen muss.
Da komme ich ab einen bestimmten "Streitwert" einfach an meine Grenzen. Nicht bei den Summen, um die es bei mir noch geht. Da muss jemand für wenig Geld vergleichsweise viel leisten.
Wie gefährlich BadUSB für Cold-Wallets jetzt schon werden kann, wenn man zum Dateiaustausch zwischen offline und online Wallets herkömmliche USB-Sticks verwenden, darauf muss ich hier wohl niemanden hinweisen. Oder doch?
und das macht dich sicher?
Klar ist das, evtl, eine Stufe mehr aber macht es aus Prinzip auch nicht anderes.
(btw, evtl kann ja genau das der Angriff sein. Ich verschlüssel ja auch um sicherzugehen, meine Texte mit 2xROT13 oder 2xDES hintereinander (als Beispiele dass in der "addition" mancher Verfahren sich schwächen auf tun können.. )
Man kann zwei Quellen von Zufall so mischen, daß das Ergebnis so gut ist wie die bessere Quelle.
Für meinen Verwendungszweck genügt mir das. Die Wortliste selbst auszuwürfeln ist mir zu umständlich.
Aber: was ist, wenn "man" auch (wie z.B. bei Blockchain.info) hier eine Lücke in dem Random Generator findet.
Das ist die Schwachstelle einer jeden wallet. Dann wären auf einen Schlag viele vermeintlich sichere Adressen betroffen die damit erstellt wurden.
(klar trifft das auch auf den Trezor zu und auf alle anderen Wallets.. auch wenn man einen Hardware RNG nutzt, wer weiss denn ob der auf dem Rechner verbaute wirklich zufällig ist. (insert xkcd random comic strip here))
Alles nicht so einfach
Doch ist einfach!
myTREZOR benutzt zum Initialisieren Zufall vom TREZOR und vom PC. Müßten also beide kaputt sein.
und das macht dich sicher?
Klar ist das, evtl, eine Stufe mehr aber macht es aus Prinzip auch nicht anderes.
(btw, evtl kann ja genau das der Angriff sein. Ich verschlüssel ja auch um sicherzugehen, meine Texte mit 2xROT13 oder 2xDES hintereinander (als Beispiele dass in der "addition" mancher Verfahren sich schwächen auf tun können.. )
Ich sag ja nicht das es so ist, nur das es so sein kann.
Die Sache mit dem Drucker von Klaus ist da auch ein Punkt den viele nicht beachten.
(ist halt ein Paranoid Modus)
Aber: was ist, wenn "man" auch (wie z.B. bei Blockchain.info) hier eine Lücke in dem Random Generator findet.
Das ist die Schwachstelle einer jeden wallet. Dann wären auf einen Schlag viele vermeintlich sichere Adressen betroffen die damit erstellt wurden.
(klar trifft das auch auf den Trezor zu und auf alle anderen Wallets.. auch wenn man einen Hardware RNG nutzt, wer weiss denn ob der auf dem Rechner verbaute wirklich zufällig ist. (insert xkcd random comic strip here))
Alles nicht so einfach
Doch ist einfach!
myTREZOR benutzt zum Initialisieren Zufall vom TREZOR und vom PC. Müßten also beide kaputt sein.
Zum Signieren wird kein Zufall mehr verwendet.
https://www.reddit.com/r/Bitcoin/comments/2rzljl/trezor_i_have_one_i_like_it_it_works/cnkzx57
Fronti's und mezzomix Themen liegen technisch sicher sehr viel tiefer aber für die, die Trezor nicht kennen:
Meine Bitcoins auf dem Trezor sind neben der angesprochenen Seed-Wörter zusätzlich durch
2) eine selbst zu wählende Passphrase und
3) eine PIN geschützt.
Die PIN ist Keylogger-sicher da sich die Anordnung des Tastenfeldes auf dem Trezor jedesmal ändert und per Mausschubser im Webinterface abzugeben ist.
Also ich als DAU-naher Anwender kann mir vorstellen das es da einfacher ist ein Bitstamp Konto mit 2FA (google Auth) zu knacken.
Per Keylogger einen Bitcoin-qt Nutzer zu knacken ist sicher Kindereinfach.
Aber widersprecht mir gerne und klärt mich gegebenenfalls auf - wie gesagt ich bin technisch bei weitem nicht so high-skill wie ihr.
Außerdem kann ich mir vorstellen das die Paperwallet vom ein oder anderen dann per neuestem Laserdrucker mit Puffer und Speicher vom Feinsten gedruckt wird. Autsch!
Ich möchte sagen: Bei Trezor hat man als DAU gar nicht so viele Möglichkeiten für Fehler. Bei Paperwallets wird der DAU nicht vor sich selbst geschützt.
Meine Bitcoins auf dem Trezor sind neben der angesprochenen Seed-Wörter zusätzlich durch
2) eine selbst zu wählende Passphrase und
3) eine PIN geschützt.
Die PIN ist Keylogger-sicher da sich die Anordnung des Tastenfeldes auf dem Trezor jedesmal ändert und per Mausschubser im Webinterface abzugeben ist.
Also ich als DAU-naher Anwender kann mir vorstellen das es da einfacher ist ein Bitstamp Konto mit 2FA (google Auth) zu knacken.
Per Keylogger einen Bitcoin-qt Nutzer zu knacken ist sicher Kindereinfach.
Aber widersprecht mir gerne und klärt mich gegebenenfalls auf - wie gesagt ich bin technisch bei weitem nicht so high-skill wie ihr.
Außerdem kann ich mir vorstellen das die Paperwallet vom ein oder anderen dann per neuestem Laserdrucker mit Puffer und Speicher vom Feinsten gedruckt wird. Autsch!
Ich möchte sagen: Bei Trezor hat man als DAU gar nicht so viele Möglichkeiten für Fehler. Bei Paperwallets wird der DAU nicht vor sich selbst geschützt.
Auch hatte ich keinen Handlungsdruck. Mit Armory / offline Wallet fühle ich mich sehr sicher. Für den normalen Dau ist das aber auf alle Fälle to much.
Ich fürchte für die ist eine Hardware wie der Trezor eine sichere Möglichkeit, in Zukunft die BTC zu verlieren. Wer mit einer Cold-Wallet (z.B. Paper-Wallet mit https://bitaddress.org/) nicht umgehen kann, dürfte mit einem Trezor Backup (und vor allem Restore!) erst recht nicht klarkommen - und es bleiben lassen.
Eine Paperwallet ist ja ganz schön und gut. Und Bitaddress mag ich auch.
Aber: was ist, wenn "man" auch (wie z.B. bei Blockchain.info) hier eine Lücke in dem Random Generator findet.
Das ist die Schwachstelle einer jeden wallet. Dann wären auf einen Schlag viele vermeintlich sichere Adressen betroffen die damit erstellt wurden.
(klar trifft das auch auf den Trezor zu und auf alle anderen Wallets.. auch wenn man einen Hardware RNG nutzt, wer weiss denn ob der auf dem Rechner verbaute wirklich zufällig ist. (insert xkcd random comic strip here))
Alles nicht so einfach
Wo ist das grundsätzliche Problem, das Gerät mit einer schadhaften Firmware zu bespielen oder gleich einen Nachbau auszuliefern?
Ich lenke die Leute z.B. auf meine Bestellseite um, indem ich ihr DNS verbiege und schicke ihnen dann ein manipulierte Gerät.
Wahrscheinlich denke ich noch viel zu kompliziert.
Was ist z.B. mit einem Insider beim Hersteller oder einem Hacker? Sobald ich Zugriff auf den Schlüssel habe, mit dem die Firmware signiert wird, Bingo.
Dann müsste ich sogar eine Technik wie BadUSB anwenden können. Vielleicht lassen sich Warnmeldungen auch mit einer unsignierten Firmware unterdrücken oder es gibt einen anderen Trick, den Anwender über die Manipulation zu täuschen. Das wäre natürlich ganz dumm. Ebenso dumm wäre es, wenn der Anwender wichtige Warnsignale einfach ignoriert wie das viele Opfer beim Online-Banking tun. "Oh eine Warnung, schnell wegklicken, ah - alles funktioniert, wird nicht so wichtig gewesen sein ..."
Im Moment ist es wahrscheinlich einfacher und einträglicher defekte Börsen zu hacken. Die werden aber natürlich irgendwann den Weg alles Irdischen gegangen sein. Sicherheit bei Privatleuten hängt dagegen immer niedriger. Die meisten hängen an irgendeinem ungepatchten Plasterouter, der wahrscheinlich mehr Löcher hat als die alte DDR-Autobahn oder ihr PC hat sich bereits einen Trojaner gefangen.
Nichtsdestotrotz kann so ein Device sehr nützlich sein. Einfachheit bedeutet aber immer auch, dass ich Dinge nicht mehr sehe, die ich vielleicht lieber gesehen hätte. Und wenn ich meine Coins selbst verwalte, dann tue ich eben genau das. An der Stelle möchte ich es eigentlich gar nicht einfach haben. Aber für kleine Bestände, um in der Kneipe ein Bier oder Essen zu zahlen, sicher ganz nett. Nur fraglich, ob man das in Zukunft wirklich alles über die Blockchain abwickeln wird. Die Bitcoiner sind sich da ja ganz sicher. Time will tell.
Ich lenke die Leute z.B. auf meine Bestellseite um, indem ich ihr DNS verbiege und schicke ihnen dann ein manipulierte Gerät.
Wahrscheinlich denke ich noch viel zu kompliziert.
Was ist z.B. mit einem Insider beim Hersteller oder einem Hacker? Sobald ich Zugriff auf den Schlüssel habe, mit dem die Firmware signiert wird, Bingo.
Dann müsste ich sogar eine Technik wie BadUSB anwenden können. Vielleicht lassen sich Warnmeldungen auch mit einer unsignierten Firmware unterdrücken oder es gibt einen anderen Trick, den Anwender über die Manipulation zu täuschen. Das wäre natürlich ganz dumm. Ebenso dumm wäre es, wenn der Anwender wichtige Warnsignale einfach ignoriert wie das viele Opfer beim Online-Banking tun. "Oh eine Warnung, schnell wegklicken, ah - alles funktioniert, wird nicht so wichtig gewesen sein ..."
Im Moment ist es wahrscheinlich einfacher und einträglicher defekte Börsen zu hacken. Die werden aber natürlich irgendwann den Weg alles Irdischen gegangen sein. Sicherheit bei Privatleuten hängt dagegen immer niedriger. Die meisten hängen an irgendeinem ungepatchten Plasterouter, der wahrscheinlich mehr Löcher hat als die alte DDR-Autobahn oder ihr PC hat sich bereits einen Trojaner gefangen.
Nichtsdestotrotz kann so ein Device sehr nützlich sein. Einfachheit bedeutet aber immer auch, dass ich Dinge nicht mehr sehe, die ich vielleicht lieber gesehen hätte. Und wenn ich meine Coins selbst verwalte, dann tue ich eben genau das. An der Stelle möchte ich es eigentlich gar nicht einfach haben. Aber für kleine Bestände, um in der Kneipe ein Bier oder Essen zu zahlen, sicher ganz nett. Nur fraglich, ob man das in Zukunft wirklich alles über die Blockchain abwickeln wird. Die Bitcoiner sind sich da ja ganz sicher. Time will tell.
Im Ernst, hat einer 'ne Ahnung, wie groß das Vokabular ist, das üblicherweise verwendet wird für diese Seeds?
2048 Wörter
https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt
Die Wortliste enthält eine Checksumme. Das Überprüfen einer Wortliste auf Gültigkeit ist eventuell gar nicht so schwer.
Nein, und jeden Tag weniger.
lohnt es sich wenigstens 
Meine Worte? Viel Erfolg, streng Dich richtig an!
http://doc.satoshilabs.com/trezor-user/_images/trezor-recovery.jpg
Sind 'normale' englische Wörter - ja Englisch sollte man können sonst muss man mit den Buchstaben aufpassen.
Yay! 8,5 deiner Wörter kenne ich jetzt, den Rest hab ich in Nullkommanix errechnet, sind ja nur noch einpaartausendhochdrei 
Im Ernst, hat einer 'ne Ahnung, wie groß das Vokabular ist, das üblicherweise verwendet wird für diese Seeds?
Einfacher als ein Paper-Wallet scheint mir das aber nicht zu sein.
Von Trezor zu Trezor wechseln ist einfach : http://doc.satoshilabs.com/trezor-user/recovery.html
Jump to: