Topic: viele Wallets klug verwalten dank BIP 39 und BIP 85 (Read 528 times)

Ein Teil habe ich tatsächlich anders gemeint, an manchen Stellen habe ich aber eher den Eindruck, dass ich es noch nicht ganz verstanden habe.
Da ich gestern aber ohnehin nochmal einen Test gemacht habe, packe ich es mal beides zusammen, dann wird das detaillierter und damit hoffentlich auch verständlicher.

Ok, also was habe ich gemacht?

Vorbereitung:
- TailsOS image ziehen, hash validieren und mit balenaEtcher einen nigelnagelneuen Tails USB Stick aufsetzen
- Rechner neu starten, TailsOS starten mit Administratorkennwort ohne persistenten Speicher, mit LAN-Kabel, damit kein WLAN code eingegeben (=gespeichert) werden muss
- Mnemonic Code Converter von Github laden, Hash überprüfen
- BitBoxApp herunterladen, Hash überprüfen und installieren
- BIP39 Wörterliste fürs würfeln öffnen
- LAN-Kabel entfernen / Internet trennen

Frage: Sind Hash und PGP-Signatur redundant, also reicht das Prüfen des Hashes aus? Falls nein, wie Prüft man die Signatur unter Tails (hab das mit Kleopatra irgendwie nicht hinbekommen, kennt ihr ein gutes Tutorial?)?

Würfeln:
- Ich habe mit 5 Alltags-Würfeln (Nicht-Casino-Standard) solange gewürfelt bis ich 180 Zahlen 1..4 hatte, 5+6 wurden ignoriert
- Wollte man das Verfahren verbessern könnte man jeweils 30 Zahlen, 1-4 / 2-5 / 3-6 / 4-1 / 5-2 / 6-3, ermitteln und das umrechnen oder einfach mehr würfel nehmen, ich hab es für den Versuch einfach gehalten
- jeweils 6 Würfelwerte wurden zusammengefasst, sodass man mittels der Wörterliste 30 Wörter bestimmen könnte  

Aufteilung der 24 Wörter:
- dabei muss darauf geachtet werden, dass bei den 3 Teilen das jeweils 12. Wort nicht auf die selbe Stelle fällt (z.B. 2x 16. der 24 Wörter)

Wörter	|	1.	2.	3.	4.	5.	6.	7.	8.	9.	10.	11.	12.	13.	14.	15.	16.	17.	18.	19.	20.	21.	22.	23.	24.
________	|	___	___	___	___	___	___	___	___	___	____	____	____	____	____	____	____	____	____	____	____	____	____	____	____
T1	|	1	1	1	1	1	1	1	1	1	1	1	1	0	0	0	0	0	0	0	0	1	1	1	1
T2	|	1	1	1	1	0	0	0	0	1	1	1	1	1	1	1	1	1	1	1	1	0	0	0	0
T3	|	0	0	0	0	1	1	1	1	0	0	0	0	1	1	1	1	1	1	1	1	1	1	1	1

Ermitteln der Wörter:
- 4 Wörter (hier 12. + 16. + 20. + 24.) enthalten Bits vom SHA256-Hash und werden somit nicht rein zufällig erzeugt
- alle anderen Wörter können aus der Wörterliste entnommen werden
- das 12. Wort wird über T1 ermittelt, die ersten 11 Wörter werden in den Mnemonic Code Converter eingegeben, die ersten 4 Würfelwerte des 12. Wortes bestimmen den Startpunkt in der Wörterliste, die Wörter werden solange einzeln durchgegangen (max. 16 Wörter) bis ein valider Mnemonic gefunden wurde
- die Wörter 16. und 20. werden analog aus den Teilen T2 und T3 bestimmt
- für das 24. Wort werden die ersten 3 Würfelwerte in Binär umgewandelt und ergeben zusammen einen Wert 1-8 (bzw. 0-7), mithilfe der BitBox02 und der ersten 23. Wörter kann dementsprechend das 24. Wort ausgewählt werden
- die Wörter 25-30 werden durch Leerzeichen getrennt zusammengefasst und ergeben das 25. Wort
- Mittels BIP85 und Index wird ein Unterkonto abgeleitet (=Handywallet mit noch kleineren Beträgen als auf der Mutterwallet mit 24 Wörtern ohne Pw)
- Von diesem Konto werden dann mittels BIP39 weitere Unterkonten erstellt (die BIP39 Passwörter könnten ja z.B. einfach den ursprünglichen BIP85 Indexnummern 1-500 entsprechen)  

Idee:
- Im Falle eines Raubes hat man eine Handywallet (deren Seed man nicht kennt / nicht gesichert hat) und einer Decoy-Wallet mit 24. Wörtern auf einer Metallplatte und der dazugehörigen Hardwarewallet in einer Kiste bei sich im Schrank liegen -> wirkt unprofessionell und plausibel
- Außerhalb der Sichtweite des Räubers hat man aber noch 3 Notfallverstecke mit den Teilen T1 - T3 und Datensilos D1 - D3 analog der Dokumentenmappe eines Notfallrucksackes, im versteckten Teil der Datensilos befindet sich auch ein Backup des 25. Wortes
- Das Passwort zu den Datensilos lässt sich aus den versetzt gelagerten Teilen ableiten, T1 und Datensilo D1 lagern zusammen, aus T1 lässt sich das Passwort für D2 und D3 ableiten, mit 2/3 Verstecken lassen sich die 24 Wörter + das 25. Wort rekonstruieren, selbst wenn ein Datenträger beschädigt ist (vorausgesetzt man kennt die Anleitung)
- von der Handywallet lassen sich mittels Indizes bzw. BIP39 Passwörtern (können komplexer=sicherer sein, müssen aber nicht) alle notwendigen Unterkonten ableiten und mittels BIP39-fähiger Hardwarewallet zusammen verwalten (nur ein Seed)
- hier können auch die Master-Passwörter für den täglichen Bedarf abgeleitet werden, welche als Backup aber auch bereits im "übergeordneten" Datensilo D1 - D3 gespeichert sein können

---

Hmm... Wenn es für BIP85 Indizes insgesamt 2^32 Möglichkeiten gibt muss man seine Indizes ja nicht auf die Plätze 1-500 legen... Wenn ich die selben Indizes (z.B. 1-500) als Passwörter für BIP39 nehme dürfte der Schutz da auch nicht wesentlich höher sein, oder?
Mehr Sicherheit erhalte ich ja nur wenn die BIP39 Passwörter mehr Entropie bekommen was den Prozess insgesamt verkompliziert?!

Was ich meinte ist, dass man bei BIP85 einen schönen einfach zu handhabenden Mnemonic bekommt mit dem man ein Konto wieder herstellen kann. Das mittels kryptischen private Key zu machen dürfte nicht mehr standard sein (weil fehleranfälliger) und ich selbst wüsste auf Anhieb auch gar nicht wie ich das machen müsste.

Geheimhaltung der 24 Wörter gefährdet
Die 24 Wörter führen zu deinem kleiner Betrag. Und du gibst jeweils 16 deiner 24 Wörter zur Entschlüsselung von Daten auf deinem Rechner ein. Für die Entschlüsselung aller drei Datenträger gibst du also insgesamt alle 24 Wörter in einen Rechner ein.

Dies führt zu einem etwas höheren Risiko für deine kleine Wallet.

Dies wäre problematisch, wenn deine kleine Wallet eine lohnenswerte Beute darstellt oder das 25. Wort zu wenig Entropie hat.

Das Ziel der kleinen Wallet ist einen Räuber zu befriedigen. Max Mustermann hat 10 Mio. Gesamtvermögen, davon 1 Mio. in Bitcoin, davon 40.000€ in der kleinen Wallet. Mit 40.000€ gibt sich der Räuber auch zufrieden und läuft weg. Wenn in der kleinen Wallet nur 50€ drin sind foltert der Räuber weiter.
Aber 40.000€ in der kleinen Wallet wären aber meiner Meinung nach zu viel, um hier die Seed Wörter dauernd am Rechner einzugeben.

Dein 25. Wort muss hier unbedingt viel Entropie haben, weil die 24 Wörter häufiger im Rechner eingegeben werden.

"12 Wörter T1-10 + PW1 = Teil 1 vom großen Betrag"
Ich frage mich, ob diese Methode den Aufwand für dich mehr steigert als für den Bösewicht.

Die Passwörter PW1, PW2 und PW3, sind ja Teil der 24 Wörter. Wer Zugriff auf deine 24 Wörter hat, für den ist die Passphrase auf Ebene der Kinderwallet keine zusätzliche Hürde mehr.
Zusätzlich hast du diese 3 Passwörter ja schon mehrfach am Rechner eingegeben. Am Ende hängt alles am 25. Wort.

Jetzt kannst du operative Einwände haben und sagen: "der Räuber kennt meinen Prozess ja nicht". Aber komplexe Prozesse treffen dich, diene Erben und den Bösewicht symmetrisch und machen das Leben jedem schwerer. Generell suchen wir asymmetrische Sicherheitsbausteine, die es für den Bösewicht wesentlich schwieriger machen aber für dich nur ein bisschen schwieriger.

---

Variante Wallet nur auf 25. Wort basieren
Wenn sowieso alles mit dem 25. Wort steht und fällt
und wir deswegen ein 25. Wort mit sehr viel Entropie würfeln,
können wir unsere 24 Wörter auch komplett alleine lassen.
Das heißt wir leiten unsere 24 Wörter vom Hash einer stabilen öffentlichen Datenquelle ab (z.B. wir hashen einen Bitcoin-Blockchain Block, oder einen Cryptopunk NFT, oder ein Gedicht von Goethe oder den Koran oder die Informationen auf der Voyager Sonde).
Dann benötigen wir weniger Orte für ein Backup, um Verlust zu vermeiden, weil ja andere Menschen auf unser Backup aufpassen.
Unser Backup sind keine Seed Wörter, die man Bitcoin zuordnen kann, sondern einfache eine Folge von Buchstaben und Zahlen. Damit vermeiden wir, dass man unser Geheimnis als Wertvoll erkennt.

Was hält ihr davon, nur mit 25. Wort zu arbeiten?

---

Wer deine BIP 85 Elternwallet findet, findet mit minimaler Rechenleistung alle Kinderwallets.
Wer deine 24 BIP39 Seed Wörter findet, aber deine BIP39 Passphrase mit hoher Entropie nicht kennt, hat keine Chance deine Wallets zu finden.

Diese BIP 39 Passphrase muss nicht kryptisch sein sondern könnte theoretisch auch ein einfacher Satz sein.
Meine BIP 39 Passphrase ist aus zwei Gründen kryptisch:
1.) Die Eingabe der Passphrase auf der HW-Wallet ist mühselig. Ich möchte viel Entropie pro Zeiteinheit eintippen können.
2.) Die Passphrase wirst du mehrfach eingeben, damit riskierst du dir deine Passphrase zu merken. Ich möchte, dass ein Räuber meine Bitcoin nicht bekommen kann, selbst wenn er mich UND mein Haus in seine Gewalt bringen sollte, weil das 25. Wort nicht in meinem Gehirn gespeichert ist sondern an mehreren entfernten Orten liegt.
Allein diese Orte zu erreichen kostet Zeit und die Orte lassen sich zu komischen Zeiten entweder nicht erreichen oder nicht unauffällig erreichen ohne dass es Alarm gibt.


Wenn ich etwas falsch verstanden haben sollte und dir mit meinem Feedback unrecht getan haben sollte, kannst du mich gerne korrigieren.

Danke mal wieder für eure Anmerkungen!

Internet hatte ich nicht getrennt, da ich ja nur "rumgespielt" habe und für den scharfen Durchgang (=Erstellung des echten Seeds) nochmal gründlich von vorne anfangen wollte, sprich auch checken von Hash/Signatur angefangen beim Tails Image bis zum Mnemonic Code Converter. Auf dem Schirm hatte ich das mit der Internetverbindung aber schon.

Danke auch nochmal für die Entropie-Betrachtung der Würfel (ich hab nämlich auch keine Casino-Würfel genommen).

---

Dazu kam mir heute noch eine Idee, wie man das etwas anders aufteilen könnte:

24 Wörter = kleiner Betrag
geteilt in 3 Teile a 16 Wörter = 3x 12 Wörter + 4 Wörter als Passwort = Backup der Masterpasswörter zu den versteckten Datensilos
-> die Versteckten Datensilos können bereits ein Backup des 25. Wortes und/oder die Anleitung enthalten
-> das jeweils 12. Wort in den 3 Teilen sowie das 24. Wort sind nicht rein zufällig, aber auch bei 20 zufälligen Wörtern sollte die Entropie ausreichen

24 Wörter + 25. Wort = nix
(alternativ 3x 12 Wörter + 4 Wörter als 13. Wort = nix)
24 Wörter + 25. Wort + BIP85 Indexnummer 0 = 12 Wörter T1-10
(alternativ 3x 12 Wörter + 4 Wörter als 13. Wort + BIP85 Indexnummer 0 = 3x 12 Wörter T1-10 / T11-20 / T21-30)   
12 Wörter T1-10 + PW1 = Teil 1 vom großen Betrag
12 Wörter T1-10 + PW2 = Teil 2 vom großen Betrag
12 Wörter T1-10 + PW3 = Teil 3 vom großen Betrag
-> Unterkonten-Gruppen haben nur 1 Seed und können daher auch mit BIP39 fähigen Hardware-Wallets verwaltet werden
-> bei BIP39 erhält man einen kryptischen Seed, bei BIP85 dagegen eine Mnemonic Wörterliste die deutlich einfacher zu handhaben ist
-> ansonsten dürften BIP85 Index oder BIP39 Passwort ja ähnliche Funktionen erfüllen

Da ich mir hinsichtlich der Sinnhaftigkeit einer solchen Aufteilung selber unschlüssig bin freue ich mich schon auf euer kritisches Feedback.

Ich würde auch Casino-Würfel nutzen, aber super fair müssen die Würfel gar nicht sein.

Das Problem bei nicht fairen Würfeln wird sein, dass wir weniger Entropie erzeugen als gedacht. In der Praxis müsste die Entropie dann immer noch hoch genug sein.

Wir streben 2^256 = ca. 10^77 Entropie an. Das erreichen wir mit ca. 99 perfekten Würfen.

Ein perfekter Würfel wirft 1 bis 6 mit einer Wahrscheinlichkeit je 16,666%.

Ein perfekt schlechter Würfel landet immer auf der 6. Das wäre gar keine Entropie. Aber so schlechte Würfel würden einem ja auffallen.

In der Praxis wird ein schlechter Würfel eher so aussehen:
1: 14%
2: 19%
3: 22%
4: 12%
5: 17%
6: 16%
Das gibt immer noch genügend Entropie.

Sagen wir mal unser Würfel wirft nie die 1 und dafür alle anderen zahlen etwas häufiger. Unsere Entropie ist dann 5^99 = ca. 10^69. Das ist immer noch sehr gut.

Sagen wir mal unser Würfel wirft nie die 1, nie die 2 und nie die 3, und dafür alle anderen zahlen doppelt so häufig. Unsere Entropie ist dann 3^99 = ca. 10^47. 12 Seed Wörter, die ja auch ausreichend sind, haben nur 2^128 = ca. 10^38 Entropie.

Und hier habe ich noch nicht mal die Entropie aus dem 25. Wort eingerechnet.

Man sollte schon vernünftige Würfel verwenden, aber Perfektion brauchen wir hier bei weitem nicht.

Zu 2.:
Wenn Würfel, dann nur wirklich Casino-Qualität mit ausgefüllten "Augen", am besten zertifizierte Casino-Würfel (nicht bei Amazon gekauft). Allerdings muss man hier auch immer noch darauf vertrauen, daß die Würfel wirklich fair sind. Ist man paranoid und geht von nicht-fairen Würfeln aus, dann kann man jeden Bias auch durch ein XOR mit einer unabhängigen Zufallsquelle kompensieren, von der man weiß, daß sie keinen oder nur sehr wenig Bias hat.
Für Letzteres kann man z.B. eine Münze oft genug werfen nach folgendem Schema (K=Kopf, Z=Zahl): KK und ZZ werden verworfen, KZ=0 und ZK=1 (man kann auch KZ=1 und ZK=0 nehmen, muss sich nur vorher auf ein Schema festlegen). Man erzeugt sich also ein Zufallsbit durch einen Doppelwurf einer beliebigen Münze, die sich nett schnippen lässt. Das Schema, daß zwei gleiche Seiten verworfen werden und nur eine Änderung der Seiten berücksichtigt wird, kompensiert auch eine etwas unehrliche Münze oder einen Bias durch die Art des Münzwerfens.

Das Münzwurf-Schema kann man auch verwenden, wenn man sich die Anschaffung von Casino-Würfeln sparen möchte. Man muss die Münze nur eben so oft werfen, bis man die Anzahl an benötigter Bits erreicht hat.

Ich bin nicht paranoid genug, um z.B. dem /dev/hwrng eines Raspi 4B zu misstrauen. Den sähe ich auch als eine unabhängige und gute Zufallsquelle an, die man für die XOR-Biaskompensation verwenden kann.

Nachteil von XOR und Ausgangsbasis mit Entropie durch Münzwurf ist, daß man ggf. Schritte offline und auf sicherer Basis vorher durchführen muss, bevor man sicher auf der BitBox02 mit den Mnemonic Wiederherstellungswörtern loslegen kann.



Vor 4. Rumspielen mit den Mnemonic Wiederherstellungswörtern hast du hoffentlich jegliche Internetverbindung wieder getrennt! Das geht bei Tails OS recht einfach, wenn man die Tor-Verbindung beendet, LAN-Kabel absteckt und sicherheitshalber auch WLAN abschaltet.
Ebenso hätte ich Tails neu gestartet, bevor ich das Coinomi-Github besucht hätte.

Wenn man eine potentielle Verseuchung seines Tails mit persistentem Speicher durch Internetzugang vermeiden möchte, kann man ja ein zweites Tails ohne persistenten Speicher benutzen, mit dem nichtausführbare Dateien geladen werden, die man dann über einen dritten Datenträger ins Tails mit persistenten Speicher transferiert.



Mir genügt die Trennung der Tor-Verbindung und Abziehen von LAN-Kabel bzw. Abschalten von WLAN aus, um mich sicher zu fühlen, daß das Tails dann isoliert ist. Arbeite ich dann mit den Mnemonic Wiederherstellungswörtern oder anderen sehr sensitiven Daten, bleibt Tails bis zum Shutdown offline, ohne Wenn und Aber.
Oder man hat vielleicht noch einen 100%-offline Rechner, der immer "kalt" bleibt, wo man solche Sachen machen kann.



Den Seiten-Code ausschließlich vom Github holen und per Hash/Signatur verifizieren. Das finde ich sicherer als HTML-Seiten aus dem Browser zu speichern, deren Hash ich dann womöglich nicht prüfen kann. Sollte das doch gehen, dann OK.



Watch-only Wallet einrichten, sähe ich als eine mögliche sichere und komfortable Lösung auf einem Online-Alltagsrechner oder Smartphone an, wenn Letzteres erwünscht ist.
Für eine einzelne Adresse kannst du https://mempool.space benutzen, am besten selbst gehostet und mit eigenem Electrum-Server verbunden, dann bleibt deine Adresse privat. Kontostand kannst du damit leicht ermitteln, insbesondere wenn die Adresse nur Zufluss hat.

Ich würde Tails ohne persistenten speicher starten,
mit LAN mit dem Internet verbinden und mir alles besorgen, was ich brauche,
LAN trennen
Konvertierung durchführen
Tails herunter fahren


Ich habe u.a. 2 Datensilos, auf die ich aufpasse:
(i) offenes Datensilo mit allen KYC dingen, Steuerunterlagen, Bankunterlagen, Immobilienunterlagen, Familienfotos und
(ii) verstecktes Datensilo mit Anschreiben an die Erben, Anleitung, Sparrow Wallet files, Kaufbelegen für Bitcoin und Gold, sowie dem Monero Mnemonic Code Converter.

Der Monero Mnemonic Code Converter (notwendig für Monero) ist weniger wichtig als die Passphrase (Notwendig für Bitcoin und Monero).

Backup Strategie:
1) Liste erstellen "Welche Daten sind dir wichtig?"
2) Daten in Datensilos zusammen fassen (z.B. Immobilienunterlagen und Steuerunterlagen kommen in ein Silo, Sparrow Wallet Files und Monero Mnemonic Code Converter kommen in ein zweites Silo)

Kurzbezeichnung / Langbezeichnung
B24:T1   24 Bitcoin Seed Worte (Teil 1)
B24:T2   24 Bitcoin Seed Worte (Teil 2)
B25:A   Passwort A
Psw:B   Passwort B
o:Daten   Dateisilo offen
v:Daten   Dateisilo versteckt
Q:Daten   Qubes Daten
o:Daten:Psw   Passwort offen
v:Daten:Psw:ich   Passwort versteckt für normale Nutzung
v:Daten:Psw:Erbe   Passwort versteckt für Erben
o:Bitw:DB   KYC-Passwörter Bitwarden
o:Bitw:Psw   Masterpasswort für Zugang zu KYC-Passwörtern
v:Tails:DB Non-KYC-Passwörter Keypass   
o:Tails:Psw Masterpasswort für Zugang zu non-KYC-Passwörtern
job:Bitw:DB   Job-Passwörter
job:Bitw:Psw   Masterpasswort für Zugang zu Job-Passwörtern
job:PC   Arbeitslaptop
job:PC:Psw   Zugang zum Firmennetzwerk

Dann reduzieren wir die nötigen Backups, teilweise durch Lagerung von Passwörtern in einer übergeordneten Datenbank job:PC:Psw lagert z.B. in v:Tails:DB oder durch BIP85-Ableitungen.
v:Tails:DB kommt in v:Daten. So haben wir weniger Pakete auf die wir aufpassen müssen:

B24:T1   24 Bitcoin Seed Worte (Teil 1)
B24:T2   24 Bitcoin Seed Worte (Teil 2)
B25:A   Passwort A
o:Daten   Dateisilo offen
v:Daten   Dateisilo versteckt
Q:Daten   Qubes Daten

Hier machen wir dann Backups mit Redundanz.


Für meine Transaktionen nutze ich Sparrow Wallet. Zum erstmaligen Einrichten der Wallet benötige ich meine Hardware Wallet. Von da an benötige ich die Hardware Wallet nur für ausgehende Transaktionen. Eingehende Transaktionen lassen sich ohne Hardware Wallet beobachten.

Eine Wallet kann bei mir 3 Zustände haben:
1.) aktuell nicht aktiv, d.h. sie wird auf ein externes Laufwerk archiviert
2.) Geld wird empfangen, d.h. die Wallet befindet sich in der Virtuellen Maschine von der Sparrow Wallet im Wallet Ordner.
3.) Geld wird versendet, d.h. die Wallet befindet sich in der Virtuellen Maschine von der Sparrow Wallet im Wallet Ordner und die 12 Seed Wörter für die Kinderwallet befinden sich in meiner Reichweite.


Es gibt Unterkonto-Gruppen
z.B. 1-100 für einen Zweck-Kategorie z.B. Käufe über Bisq,
101-200 für den 2. Zweck z.B. Käufe billateral,
201-300 für Käufe auf zentralen Börsen
301-400 abgeleitete hot Wallets fürs Handy
401-500 Monero Wallets, usw.

Die Trennung auf verschiedene BIP85-Unterkonten erfolgt nicht nach einem bestimmten BTC Betrag sondern durch eine Trennung auf der Blockchain und/oder einen anderen Verkäufer. Grund: Wenn ein Bösewicht mir eine bestimmte UTXO zuordnen kann, findet er über die Blockchain alle verbundenen UTXOs oder über den Verkäufer alle verbundenen Verkäufe.
Die Trennung von Unterkonten verhindert eine versehentliche Vermischung der Transaktionen und ermöglicht die Aufgabe eines Unterkontos an einen Bösewicht ohne andere Unterkonten in Gefahr zu bringen.

Innerhalb eines Unterkontos lege ich dann verschiedene Subaccounts an je nach Quelle der Bitcoin (gleiche Seedwörter aber andere Deviation). Dies verhindert eine Vermischung von Bitcoinquellen.

Jedes Unterkonto hat folgende Eigenschaften.
- Kurzbezeichnung Sub-Account
- Fingerprint der Wallet
- Name Verkäufer
- Quelle Coins:
- Betrag: X.XX BTC
- aktiv: ja / nein
- Grund: Warum ist die Wallet aktiv / nicht mehr aktiv
- Plan: was möchte ich mit dieser Wallet zukünftig machen?

Die einzelnen UTXOs sind dann nochmal in der Sparrow Wallet beschrieben.


Für jede(n) Ort / Datenträger / Wallet gibt es ein Wartungs- bzw. Backupintervall. alle 3 Monate, 1 Jahr oder 3 Jahre.

Ich habe das heute alles mal in der Praxis durchexerziert und muss sagen, dass ich immer noch ein wenig begeistert bin und son paar kleine AHA-Momente hatte.

---

Im Folgenden möchte ich mein Vorgehen mit der BITBOX02 - BTC only Edition dokumentieren um:
a) andere ggf. zu ermutigen das auch mal zu probieren
b) die wachsamen Augen des Forums drüber schauen lassen, ob ich nicht doch irgendwo einen Fehler gemacht habe

1. TailsOS vorbereiten:
- mit persistentem Speicher (fürs WLAN-Passwort) und Administratorpasswort starten
- BitBoxApp downloaden und installieren
- Wörtertabelle öffnen

2. fleißig würfeln:
- um Wiederholungswürfen vorzubeugen habe ich solange gewürfelt bis ich 141 Würfelwerte von 1-4 hatte (5+6 wurde ignoriert), welche ich auf Papier notiert habe. Die Anzahl der Würfel ist dabei egal aber bei mehr Würfeln geht es schneller und etwaige "Produktionsfehler" einzelner Würfel werden abgemildert.  
- die 141 Werte wurden nun Blöcke unterteilt, je 6 Werte für die ersten 23 Wörter und die restlichen 3 für das 24. Wort
- mithilfe der Wörtertabelle wurden die ersten 23 Seed Wörter ermittelt und notiert, für das letzte Wort wurde mit den letzten 3 Würfelwerten eine Zahl zwischen 1-8 ermittelt

3. zurück zur BitBoxApp
- BitBox02 angeschlossen, Wallet über Recovery Wörter wiederherstellen, 23 Wörter eingeben, das 24. Wort entsprechend der Zahl 1-8 auswählen
- der Kontostand wurde nicht geladen, weil BitBoxApp kein Netz hatte, also über "erweiterte Einstellungen" den "Tor Proxy Server" aktiviert und die IP:Port eingegeben die ich in der /etc/tor/torsocks.conf gefunden habe
- außerdem noch bei "Gerät verwalten" die Passphrase aktiviert

4. "rumspielen" mit dem Mnemonic Code Converter v0.5.6
- 24 Wörter eingeben, den Ableitungspfad auf BIP84 stellen und beim "erweiterten Public Key" schauen ob der selbe auch bei BitBoxApp angezeigt wird -> Herzlichen Glückwunsch: die BitBox02 ist offenbar nicht manipuliert!
- dasselbe auch nochmal mit optionaler Passphrase probiert
- nun mit BIP85 über verschiedene Indizes unterschiedliche Kinderwallets abgeleitet
- BitBox02 auf Werkseinstellungen zurück gesetzt und die 12 Wörter der Kinderwallet eingegeben, auch hier mit der Passphrase rumgespielt
- mit dem Mnemonic Code Converter v1.1.0 schließlich nochmal XMR Mnemonic abgeleitet
- und mich schlussendlich gefreut, dass alles so vergleichsweise einfach funktioniert hat...

---

Bevor es jetzt an den scharfen Durchgang geht hätte ich da aber doch noch ein paar Fragen:

1. Internet trennen indem WLAN deaktiviert bzw. LAN Stecker abgezogen wird oder lieber die Dateien im persistenten Speicher ablegen und TailsOS im Offline-Modus neu starten? Was ist besser?
2. Wie sicherst du den/die Mnemonic Code Converter ab (der ist ja gefühlt genauso wichtig wie die Seed Wörter und die Passphrase selbst)? Wie kann man sich bei Tails eine Website als .html abspeichern?
3. Zumindest bei der BitBox02 ist immer nur 1 Mnemonic + ggf. mehrere Passphrasen zeitgleich nutzbar, sprich man richtet sich die Wallet ein von der man Auszahlungen tätigt. Gibt es für Wallets bei denen nur eingezahlt wird (z.B. durch Signatur Kampagne) eine Möglichkeit sich den Kontostand einfach "online" bzw. "in der Blockchain" anzeigen zu lassen?!
4. Wie machst du die "Buchhaltung" der Unterkonten? Hast du eine Liste deiner Indizes und hinter jedem ruhenden Konto steht dann ein fester BTC Betrag? Oder hast du das im Kopf? Oder machst 1x pro Jahr ne "Inventur" bei der du alle Indizes ableitest und nachschaust ob alles passt?  

Ok, d.h. mittels BIP85 und dem Index leitest du zwar 12 Wörter ab, als Passwort für die Verschlüsselung der Datenträger nutzt du aber nicht alle 12, sondern nur 5 davon?

Ja, das ist für das auswendig lernen von 2-3 Passwörtern natürlich dann schon nen bissl einfacher....

BIP85 als Backup für Passwörter

Die meisten Passwörter befinden sich im Passwortmanager.

Aber dein Rechner, deine Festplatten, etc. sind ja auch mit Passwörtern verschlüsselt.

Sollten diese Passwörter verloren gehen, hast du viel Zeit verloren und auch wichtige Unterlagen. Für diese Passwörter brauchen wir daher normalerweise auch mehrere Backups.

Ich bräuchte dann Orte für die 24. Worte, das 25. Wort plus Orte für die sonstigen Passwörter.

Für die sonstigen Passwörter kann ich mir das Backup sparen, wenn ich diese auch per BIP85 ableite.

Im Alltag habe ich natürlich alles im Kopf, die 24 Wörter und ggf. 2x oder 3x 5 Wörter für deine Datenträger.

Sind 5 Wörter genug?

12 Wörter brauchen wir (denke ich) nicht. EFF schlägt 6 Wörter mit in Summe 2*10^23 Entropie vor. https://www.eff.org/dice
Das entspricht ca. 7 Bitcoin Seed Wörtern. 5 Wörter plus ein paar Besonderheiten wäre für mich in Ordnung. Was ist denn auf dem Datenträger? Deine Anleitung und deine Anschaffungskosten oder Steuerunterlagen. Plus der Verbrecher braucht noch physischen Zugriff auf den Datenträger.

Da der BIP85-Index Teil eines speziellen gehärteten Ableitungspfades ist, sind für den Index Werte von 0 bis 2³¹-1 möglich, also 0...2.147.483.647, was mehr als ausreichend sein sollte. Siehe auch https://github.com/bitcoin/bips/blob/master/bip-0085.mediawiki (nicht leicht zu verstehen!).



Es war nur ein Vorschlag für ein irgendwie geartetes Schema. Was auch immer man sich ausdenkt, ich empfehle, es trotzdem gut zu dokumentieren. Ansonsten wahrscheinlich: Rezept für späteres Desaster durch Vergessen wichtiger kleiner Details.

Wenn ein Bösewicht Kenntnis von deiner oder deinen optionalen Mnemonic Passphrasen erlangen kann, hast du echt ein Problem. In einer Risikoanalyse sollte man sowas natürlich nicht unter den Tisch fallen lassen. Aber wenn man es zulässt, stimmt insgesamt etwas nicht mit dem Sicherheitsdesign.

An BIP85-abgeleitete Wallets sollte ein Dieb überhaupt nicht erst herankommen, denn das würde bedeuten, daß die initialen 24 Mnemonic Recovery Wörter und die dazugehörige optionale Mnemonic Passphrase kompromittiert wurden. Beides im Tandem darf nicht passieren, sonst hat man grundlegend etwas verkehrt gemacht und bei der Ortssicherheit geschludert.

Wieviele Ziffern hat denn der BIP85 Index? Bei 3 Ziffern = 1.000 Möglichkeiten könnte man das ja im Zweifel schon auch durch ausprobieren rausbekommen.
Da braucht es den Seed auf Papier für einzelne Wallets ja wirklich nur, wenn man die wallet aktiv verwendet (das 25. Wort zur Ableitung des Seeds ist ja sehr weit weg und soll ja eben nicht kurzfristig verfügbar sein).

Die parallel notwendige Ableitung des 13. Wortes ist natürlich auch ne starke Idee. +2
Muss aber so gewählt werden, dass wir das ursprünglich 25. Wort dafür nicht brauchen (ist ja weit weg). Auch das mit dem Indexxx001 finde ich nicht ganz unproblematisch, da hier ja implizit auch der Hinweis drin steckt, dass es wohl noch einige Wallets mehr gibt. Die jeweils 12 Wörter müssten dann also trotzdem wieder als Decoy Wallet genutzt werden, damit ein Räuber gar nicht erst nach dem 13. Wort fragt.
Und dann wird es langsam auch echt komplex mit den ganzen Wallets, also vielleicht ist da (im Hinblick auf etwaige Erben) weniger doch manchmal mehr.  

@virginorange: kannst du bitte auch nochmal auf die Index 500-599 für Passwörter eingehen? Wenn ich das richtig verstehe sind das alles nur initiale Passwörter (z.B. Verschlüsselung von Datenträgern, Zugang zum Passwortmanager, etc.).
Andererseits ergibt sich aus deinem Konzept ja, dass da nur Passwörter stehen können die man nicht regelmäßig braucht bzw. die man nicht regelmäßig ableiten muss. Hast du die initialen Passwörter (= jeweils 12 Wörter + Reihenfolge) alle im Kopf und die BIP85 Index 500-599 sind nur als Backup für den Fall des Gedächtnisverlustes gedacht? Oder wie muss man sich das vorstellen?  

Hervorhebung ist von mir.
Die Mnemonic Recovery Wörter T1, T2, T3, ...Tx muss und sollte man sich überhaupt nicht, allenfalls temporär, auf Papier notieren, denn sie sind ja durch BIP85 deterministisch aus den Ursprungs-24-Wörtern und Mnemonic Passphrase und BIP85 Indexnr. wiederherstellbar.
(Natürlich auf einem sicheren Offline-System, das idealerweise nichts speichern kann und rückstandsfrei entsorgt werden kann, z.B. TAILS ohne Netzwerkverbindung.)

Ich hielte es sogar für einen Sicherheitsverlust im obigen Beispiel, ein Drittel "eines großen Betrags" dann nur durch ein für einen Dieb zugängliches Papier-Mnemonic-Backup zu "schützen" (was nur bedingt einen Schutz darstellt, allenfalls, weil man ein Stück Papier im Allgemeinen gut verstecken kann).

Die abgeleiteten 12 WörterT1 (oder T2, T3, ...) stellen ja die Basis für eine eigenständige Wallet dar. Um diese wiederherzustellen, benötigt man eben nur diese 12 Recovery WörterT1. Stiehlt oder sieht Jemand das Papier-Backup dieser Worte, dann ist diese Wallet vollständig kompromittiert.
(Man kann natürlich hier auch wieder zum weit stärkeren Schutz der Wallet eine optionale, hier "13te", Mnemonic Passphrase benutzen, dann wäre ein Papier-Backup kein Problem. Damit man sich keine neue optionale Mnemonic Passphrase merken muss, könnte man die ursprüngliche nehmen und z.B. mit einem Zusatz ergänzen a la "....+BIP85-Indexxx001" ("...." ist die Ursprungs-Mnemonic Passphrase).)

Ok, danke für die nochmals detailliertere Aufstellung!

Auch das "24 Wörter + 25. Wort = nix" finde ich clever, weil selbst wenn das im worst case mal wer ausprobiert, der das dann wohl als Sackgasse interpretieren wird.

Die beiden Videos kenne ich natürlich schon, sind aber auch wirklich gute Anleitungen um für sich selbst mal eine gescheite Risikoanalyse durchzuführen.

hast du richtig verstanden

24 Wörter = kleiner Betrag
24 Wörter + 25. Wort = nix
24 Wörter + 25. Wort + BIP85 Indexnummer 0 = 12 WörterT1 = Teil 1 vom großen Betrag
24 Wörter + 25. Wort + BIP85 Indexnummer 1 = 12 WörterT2 = Teil 2 vom großen Betrag
24 Wörter + 25. Wort + BIP85 Indexnummer 2 = 12 WörterT3 = Teil 3 vom großen Betrag
optional: 24 Wörter + 25. Wort + BIP85 Indexnummer 101 = 12 WörterT101 = 25 Monero Wörter = Teil 1 von Monero

Richtig gut aufpassen würde ich auf die 24. Wörter und das 25. Wort.
24. Wörter -> 4 Sicherheitskopien in je 2 Teilen
25. Wort -> 4 Sicherheitskopien.

Bei den einzelnen abgleiteten Seeds muss man dann weniger aufpassen, weil wir uns diese Seeds sowieso immer wieder herleiten können. Da reicht dann eine Sicherheitskopie auf Papier.

Sagen wir mal du hast den großen Betrag in 10 Teile geteilt:
6 Teile -> hier findet kein Handel statt = abgeschlossene Wallet
3 Teile -> hier empfängst du Bitcoin aber verschickst keine Bitcoin
1 Teil -> hier verschickst du Bitcoin aus der Wallet "Teil 7 vom großen Betrag"

Setup:
24 Wörter liegen in der Nähe
25. Wort liegt weit weg
12 WörterT7 liegt bei dir in der Nähe
Für die 12 WörterT1, T2 ... T6, T8 .. T10 gibt es kein Backup.

Du hast die 12 WörterT7 in der Nähe solange du vor hast, Überweisungen aus der Wallet "Teil 7 vom großen Betrag" zu tätigen. Sonst müsstest du für jede ausgehende Überweisung auf dein 25. Wort zugreifen, das ja weit weg ist. Sind deine Tätigkeiten abgeschlossen, vernichtest du das Backup 12 WörterT7


richtig
Wobei in der Praxis ist eher das 25. Wort problematisch.
Die 24. Wörter lagern ja mit vielen Sicherheitskopien in deiner Nähe und nur mit wenigen Kopien weiter weg. In deiner Nähe kontrollierst du ja genügend Orte.
Beim 25. Wort bist du angewiesen auf weniger gute Orte.


Schlüssel ist eine Analyse der Orte und Personen. Dazu werde ich nochmal einen genaueren Artikel schreiben.

Bis dahin geben folgende beiden Videos schon mal Gedankenanstöße:

großes Bitcoin-Vermögen sicher verwahren - Fallstudie Unternehmer
https://youtu.be/NSz9FqhAg6g

Bitcoin sicher aufbewahren - 7 Strategien analysiert
So kombinierst du Orte, Personen und Datenträger, um deine Bitcoin zu sichern.
https://youtu.be/Z1NXfdpsALw

Mal sehen ob ich es verstanden habe:

Mit 24 Seed Wörtern erstellst du die Wallet, wo du soviel drauf liegen hast, dass Räuber sich damit zufrieden geben.
Mit dem 25. Wort kommst du dann auf deine richtige (Hardware) Wallet.
Mit einer zusätzlichen Indexnummer erstellst du dann Kinder-Wallets als "Unterkonten" für alle möglichen zwecke.
Aus einigen dieser Unterkonten leitest du dann noch weitere Wallets für XMR ab.

Frage 1:
nutzt du dieses Verfahren als einzigen weg oder legst du dir alle einzelnen Seeds auch nochmal ab und BIP39 + BIP85 dienen nur als Redundanz?

Frage 2: Bei diesem Verfahren wären aus meiner Sicht sowohl die ersten 24 Wörter als auch das 25. Wort single points of failure, wie gehst du damit um, bzw. wie hast du die Redundanzen dazu ausgelegt? 3x3 für die 24 und steghide o.Ä. fürs 25. ?

---

Ich kenne das aus dem Tradingbereich von meinen Beiträgen, da denkt man ewig auf ner Sache rum und schreibt dann nochmal genauso lange und wenn man fertigt ist dann passiert erstmal ne Woche lang nichts. Wenig Resonanz kann schon mal ernüchternd sein, auch wenn so ein guide ja nicht unbedingt darauf ausgelegt ist ne heiße Diskussion anzuzetteln. Aber lass dir einfach gesagt sein, dass das nicht bedeutet, dass die Beiträge nicht gelesen und wertgeschätzt werden. Ein Blick in mein BPIP zeigt mir jedenfalls, dass deine Beiträge bei mir hoch im Kurs stehen...

Gibt es eigentlich einen Grund, außer versehentlicher Schreibfehler, daß du hier und auch in einem deiner Youtube-Clips Moero anstelle von Monero geschrieben hast? Besonders beim Youtube-Clip-Titel sieht das nicht besonders gut aus und vielleicht magst du das doch besser noch korrigieren.

Auf jeden Fall erstmal "Daumen hoch" dafür, daß du dich mit diesen Themen auseinandersetzst und es auch für andere aufarbeitest, sei es hier im Forum oder auf deinem Youtube-Kanal.

Ich hab meinen Beitrag "Bitcoin BIP 85 nutzen" inzwischen vertont:
  https://www.youtube.com/watch?v=n0BRVn7hjqg&list=PL0t7rT8j2QQDYC_iEF9FitQPLZbg4tOw6

viele Bitcoin Wallets einfach und sicher selbst verwahren - BIP 39 Passphrase und BIP 85
https://youtu.be/n0BRVn7hjqg

---

Vermögen und Seed Wörter aufteilen - Vorteile und Nachteile - Bitcoin sicher verwahren
So verteilst du deine Bitcoin richtig, um Verlust und Diebstahl zu verhindern. So wählst du den korrekten Ort für deine Bitcoin aus.

 Einleitung
  1. Nutzen Passwörter aufzuteilen
    1a Nutzen mehrerer Wallets
    1b Nutzen mehrerer Passwörter
    1c Nutzen mehrerer Sicherheitskopien
    1d Nutzen Passwörter in Teile aufzuteilen
    1e Nutzen Geheimnis an mehreren Orten lagern
  2. Grenzen verfügbarer Orte
    2a Mangel an sicheren Orten
    2b bei Bekanntheit gehen weitere Orte verloren
  3 Lösungen

https://youtu.be/JNlHcx-JD40

---

Viele Bitcoin Wallets mit wenig Aufwand sichern - BIP 39 Passphrase und BIP 85
Mit Hilfe von BIP 39 Passphrases und BIP 85 Wallets kannst du Wallets ableiten, die deine Sicherheit erhöhen, während das Backup deines privaten Schlüssels einfach bleibt. Wann eignet sich eine Ableitung per Passphrase eher und wann sollte man eher gemäß BIP 85 ableiten? Wie verbesserst du deine Sicherheit durch solche Ableitungen?

 1. Erklärung
    1a zusätzliche Wallets dank BIP 39 Passphrase ableiten
    1b zusätzliche Wallets dank BIP 85 ableiten
  2. vier Anwendungsgebiete
    2a Handy-Wallet sicher ableiten (am besten mit BIP 85)
    2b mit Decoy-Wallet vor Räubern schützen (am besten mit BIP 39)
    2c eine Wallet pro Verkäufer
    2d privaten Schlüssel tarnen (mit BIP 39 Passphrase)

https://youtu.be/-w67TTwf2rY

---

Moero Seed Wörter von Bitcoin Seed Wörtern ableiten
Durch BIP 85 leiten wir eine Bitcoin Kinder-Wallet ab, deren Seed Wörter wir in Monero Seed Wörter umwandeln, die uns als Grundlage für unsere Monero Wallet auf dem Handy dienen.

 Moero Seed Wörter von Bitcoin Seed Wörtern ableiten
  Nutzen der Ableitung
  1. Vorbereitung
    1a) Richtige Hardware-Wallet besorgen
    1b) BIP 85 - Indexnummern ordentlich aufteilen
  2. Seedwörter erstellen
    2a) 12 neue Seedwörter per BIP 85 ableiten
    2b) 12 Bitcoin Seed Wörter in 25 Monero Seed Wörter umwandeln
  3. Monero Wallet erstellen
  4. Aufräumen
    4a) Wallet zur Sicherheit erneut
    4b) Anleitung zur Wiederherstellung der Wallets ergänzen

https://youtu.be/7-tfr08s5CU

---

Auf eine deterministische Ableitung des PGP-Keys vom BIP-85 abgeleiteten Bitcoin-Seed habe ich verzichtet. Die höhere Effizienz beim Backup wird überkompensiert durch hohen Aufwand bei der Ableitung und etwas höherem Risiko für deine Bitcoin.
https://bitcointalksearch.org/topic/m.62529979

---

Danke für deine Motivation.


Du gehörst in Sachen Kompetenz mindestens zu den top 2% hier im Land, vielleicht sogar eher zu den top 0.2%. Aber wer gut ist, der schweigt und lässt andere für sich reden.

Leute, die ihren Reichtum zeigen, sind arm. Reiche Leute verbergen ihren Reichtum und schätzen ihre Privatsphäre. Kluge menschen spielen ihre Klugheit herunter. Eine gute Bilanz ist immer noch besser (um Steuern zu sparen), eine schlechte Bilanz ist immer noch schlechter (damit die Banken hoffentlich den Kredit noch einmal verlängern.) Interessant, wie die Worte den IST-Zustand verbergen.

Also wenn dein 25. Seed Wort dein Passwort für die Verschlüsselung ist dann sieht das so aus.

https://bitcointalksearch.org/topic/m.56469835

einfach mal den Beitrag ab da oder auch 4-5 Posting vorher durchlesen, da ist alles erklärt.

Viele Grüße
Willi

Kurze Frage zu den beiden Methoden: wenn ich das richtig verstanden habe wäre es dann ja eigentlich auch egal ob man sich die BitBox bzw. ColdCard fürs 24. Wort gebraucht holt, weil man über das Verfahren Manipulationen ja eh ausschließt, richtig?!


Kann mir bitte nochmal wer erklären wie das mit dem 25. Wort im hinblick auf die technische Umsetzung funktioniert bzw. eine Erklärung verlinken?! Ich steige da noch nicht so ganz dahinter.

Freut mich ja, dass hier hier einen wertvollen Hinweis geben konnte, auch wenn ich jetzt ein wenig irritiert bin warum ich den kannte und Ihr nicht.  

Wenn ihr das Teil auch cool findet, dann könnte man ja überlegen ob man damit einfach mal nen kleines Projekt bzw. einen konkreten Usecase durchspielt. Ich wäre da auf jeden fall neugierig darauf noch einiges dazu zu lernen und würde mich dann mit einklinken.... Und wenn man dann als Ergebnis einen "USB-Stick" hat der sensible Daten verschlüsselt/versteckt speichert und mit dem man von überall aus sicher im Netz surfen kann würde sich das für mich ja schon lohnen....  
Und in der Kategorie "Werkezeuge" des OP könnte der sicher auch nen paar aufgaben erfüllen.  

Ich hab mich z.B. gefragt ob es möglich wäre die USB Armory an einen modernen smart TV anzuschließen, über den USB Anschluss Internet zu ziehen, gleichzeitig Video zu Streamen und die Dateneingabe mittels Fernbedienung (mit Tastatur) vom TV zu erledigen.