Topic: Trojaner stiehlt Bitcoins - page 2. (Read 2842 times)

Ich mach auch Banking über HBCI mit nem teuren Reiner SCT (für HBCI und digitalem Perso). Von daher hätte ich sogar ein Lesegerät für eine Smartcard. Aber wer würde sich schon für Bitcoins ein teures Gerät kaufen, wenn es fürs Onlinebanking schon kaum einer macht.

Ich denke ein Kompromiss wäre eine 2stufige Verifizierung zur verschlüsselten Wallet.
1. Stufe gutes Passwort (das sollte mindestens integriert sein)
2. Stufe Yubikey oder RSA Key (optional und wenigstens nicht ganz so teuer wie ein Smartkartleser mit Display und eigener Tastatur)

Ich mag halt meinen Yubikey und lass mir den nich madig machen Außerdem braucht der keine Batterie und pass an mein Schlüsselbund, so

Also Berndl deinen Ansatz finde ich super. Wäre auf jeden Fall ne gute Möglichkeit und auch eigentlich ziemlich leicht in der Umsetzung.

Wobei man das hier von der technischen Seite mal angehen könnte.
Eine integrierte Verschlüsselung der wallet.dat wäre recht brauchbar, solange der Trojaner nur die wallet.dat klaut und nicht weiter intelligent ist, um direkt ein Keyloggermodul* mitzubringen. Also garnicht.

Einzig und allein mit nicht-kompromittierbarer, externer Hardware, lässt sich das absichern, indem z.B. die kryptographischen Schlüssel, die in der wallet.dat liegen, auf einer Smardcard o.ä. verarbeitet werden und man ein externes Interface mit Display und Tastatur hat, auf der man Empfänger und Summe bestätigen muss.
Über das Interface zum Computer gehen dann nur Empfänger und Summe und die Smardcard führt die Signatur aus, die sie wieder zum Computer zurückschickt, um die kryptographisch signierte Bestätigung ins Netzwerk einzupflegen.

Da das aber einen imensen Aufwand bedeutet, um das Prinzip sicher und richtig zu implementieren, werden wir uns bei Bitcoin die nächsten paar Jahre wohl mit maximal einem Passwortschutz begnügen müssen, wenn man nicht einfach ein System auf einem USB-Stick nimmt, von dem man zum überweisen startet.

*: Nein, auch ein Konzept, wie beim nPa reicht nicht. Eine wild gemixte Bildschirmtastatur bringt nichts, wenn der Keylogger bei jedem Klick einfach einen Screenshot anfertigt, wodurch zumindest der nPa mit Basislesegerät in der Theorie schon kompromittiert ist, wenn der nPa noch auf dem Lesegerät liegt:
Per Netzwerk kann der USB-Kartenleser zum Angreifer getunnelt werden, der ihn dann wie einen lokalen benutzen kann und die Pin kennt er dank Keylogger oder Screenshots, aber das ist offtopic.

tl;dr: Bitcoin sicher gegen Angreifer (unter Windows): Nur mit externer, kostenaufwändiger, Hardware --berndl

... wie gestern bereits im "Presseberichte-Thread" verlinkt

http://www.heise.de/newsticker/meldung/Trojaner-stiehlt-virtuelle-Waehrung-1262760.html