Topic: Wieviel Paranoia ist angebracht (Read 1576 times)

auch eine hardware wallet wäre möglich:

https://bitcointalksearch.org/topic/overview-bitcoin-hardware-wallets-secure-your-coins-899253

Wie gesagt, dafuer kann man randomsound vorschalten welches den Entropiepool zusaetzlich fuellt (http://bredsaal.dk/improving-randomness-and-entropy-in-ubuntu-9-10). Deswegen halte ich dies wiederum fuer unbegruendet.

Und jetzt muss ich mal den Paranoiden geben

Es ist nicht undenkbar, dass bspw. bestimmte Eigenschaften deiner Hardware eine Rolle bei der Generierung von Zufallszahlen auf deinem Rechner spielen.
Wenn diese Eigenschaften bestimmte Muster erzeugen, und sich diese Muster später in irgendeiner Weise als Information an Andere übertragen lassen, selbst ohne einen Internetzugang, sondern z.B. über Variationen im Output von Druckertreibern, dann könnte es theoretisch möglich sein, deine Wallet zu knacken.
Naja, besonders realistisch ist das nicht.

Du hast Recht! Mir faellt grad auf, dass das was ich im Kopf habe viel zu kompliziert ist *facepalm*. Fuer 3. kann man sowas wie randomsound nutzen. Wegen 2. immer den Originalclienten nutzen. Und zu 1., wenn das OS und alle daran haengenden Partitionen nach Erstellung der verschluesselten Wallet per dd sowieso ueberschrieben werden und die ganze Geschichte nicht im Internet haengt, dann kann man froehlich auf diesem System arbeiten, alle interessanten Informationen werden gezwungenermassen geloescht.

Trotzdem gut das wir darueber geredet haben

Naja, ist doch eigtl. ganz einfach.
1. der Rechner, auf dem sie erzeugt wird, sollte idealerweise spätestens ab dem Moment der Erstellung niemals mehr in Verbindung mit dem Internet kommen, auch nicht indirekt. Theoretisch ließe sich sonst immer irgendwie Information weiter übermitteln, die bei der Generierung genutzt wurde.
2. die Software, mit der die Coldwallet erzeugt wird, sollte verbreitet, Open Source und alt sein. Alt, um die Wahrscheinlichkeit zu erhöhen, dass evtl. Fehler darin bereits gefunden worden wären.
3. Der Zufallsgenerator des Rechners muss zuverlässig sein.

Ich seh das einfach mal als Kompliment  .

Nochmals zu meinen Gruenden die zwei Threads aufzumachen: Es geht mir auch darum zu definieren, wann eine Coldwallet GARANTIERT nicht kompromitiert sein kann und man spaeter Zugriff auf die Coins hat. Eine

   (i) Internetverbindung bei Erstellung,
   (ii) ein Abbild einer spaeter verschluesselten Plaintextwallet, selbst wenn spaeter geloescht, auf einem nichtfluechigem Datentraeger
   (iii) oder gar die weitere Nutzung des fuer die Erstellung der Wallet benutzten Betriebssystem

wuerden diese Garantie schon zunichte machen.

Ich lasse hier natuerlich Methoden aussen vor, wo jemand die Prozessorgeraeusche abhoert um auf Schluessel zu schliessen, oder irgendwie die Tastatureingaben vom Nachbarraum abfaengt um Passwoerter zu stehlen. Deren Einsatz ist dann doch zu unwahrscheinlich fuer die paar Coins und mich unwichtigen Person.

Du bist wirklich paranoid.
Aber vielleicht beruhigt es dich, wenn du die Signatur einfach nochmal in einem anderen Client, bspw. Electrum überprüfst.

Die Frage ist halt wirklich wo das falsche Passwort abgefangen wird: Schon auf Ebene des Masterkeys, dann wuerde schon der Versuch einer Signierung einer Nachricht einen Fehler werfen. Oder auf einer tieferen Ebene, Privatekey vs. Publickey, dann sollte die Pruefung der signierten Nachricht einen Fehler werfen.

Lass mich nochmal kurz wiederholen wie das mit der Signierung funktioniert:

- A will signierte Nachricht N an B schreiben
- A berechnet Hash aus N (Funktion h) und wendet seinen Privatekey (Funktion f) darauf an (er "entschluesselt" den Hash): f(h(N))
- Das Ergebnis haengt er an seine Nachricht dran
- B bekommt eine Nachricht N' welche scheinbar von A stammt
- B wendet den Publickey von A (Umkehrfunktion von f) auf die Signatur an (er "verschluesselt" den "entschluesselten" Hash): f^(-1)(f(h(N)))
- B berechnet zusaetzlich den Hash der Nachricht: h(N')
- Ist h(N') != f^(-1)(f(h(N))) dann gilt entweder, dass
     (i) f^(-1) ist nicht Umkehrfunktion von f => N' stammt nicht von A, oder
     (ii) N' != N => die Nachricht wurde im nachhinein veraendert

Angenommen bei der Signierung durch einen verschluesselten Bitcoinqt-Privatekey geht was bei der Entschluesselung des Privatekeys schief und aus dem Ergebnis wird der Publickey, ohne einen Fehler zu werfen, erzeugt, so hilft die vorgeschlagene Methode nicht. Da so garantiert ist, dass der Publickey Umkehrfunktion vom Privatekey ist. Hier stellt sich die Frage ob das Ergebnis mit der zugehoerigen Adresse abgeglichen wird. Ist alles konsistent, dann waere der potentielle Bug praktisch keiner mehr, weil trotzdem alles funktionieren wuerde: Adresse aus Publickey aus Privatekey.

Auf der anderen Seite, bleibt der Publickey so wie die Bitcoinadresse seit Erzeugung durchgehend entschluesselt und wird nie veraendert, so sollte die Pruefung der Signatur dazu fuehren das Fehler bei der Entschluesselung aufgedeckt werden.

Irgendwie so ... ich muss da nochmal drueber schlafen.

Werd ich ausprobieren. Danke and Dich und all die anderen.

Die heutigen Infos geben mir die Sicherheit, die ich brauche, um ruhig schlafen zu koennen .

File -> Sign message -> Adresse eingeben, mit der man signieren möchte (also eine, die in deiner neuen Wallet ist) + Text eingeben + Sign Message anklicken

Dann hast du so'ne Signatur, die du in File -> Verify message prüfen kannst

Geht wie? Hab ich bis jetzt noch nicht gemacht. Link zu Anleitung reicht auch.

Gruss.

In dem Fall Quote ich mich mal selber:


Das ist sicher und funktioniert!

Ganz einfacher Test: erzeuge eine signierte Nachricht mit einer deiner Adressen, da müsste er ja auch nach dem Passwort fragen.
Und dafür muss er nicht online sein.

Ne macht er nicht, was auch gut so ist. Alle Privatekeys sind noch verschluesselt nach Starten von Bitcoinqt, die Adressen natuerlich nicht. Deshalb kann er auch Anzeigen, wieviel Coins die Wallet enthaelt. Willst Du eine Transaktion taetigen, dann brauchst Du erst das Passwort, da nur fuer die Signierung die entsprechenden Privatekeys entschluesselt werden. Zmdst soweit ich das verstehe.

Edit: Man koennte natuerlich eine Kopie der verschluesselten Wallet machen, und versuchen bei der Kopie das Passwort zu aendern. Dazu muessen natuerlich alle Privatekeys erst entschluesselt werden um sie neu zuverschluesseln. Hier ist die Frage ob Bitcoinqt die entschluesselten Keys mit den vorhandenen Adressen abgleicht. Wenn dem so ist und das Setzen des neuen PW funktioniert so kann man die neuverschluesselte Kopie loeschen und sich sicher sein dass alles funktioniert wie es soll.

EditEdit: Natuerlich koennte man den Ablgeich der Adressen mit den entschluesselten Privatekeys gleich als Test nutzen ob das korrekte Passwort eingegeben wurde. Waere die logischste Herangehensweise und wuerde ich so machen. Die Frage die dann bleibt ist: macht Bitcoinqt das auch so? An den Quellcode habe ich mich noch nicht herangewagt.

Naja, ich bin mir nicht 100% sicher, ob ich das richtig verstehe, aber wenn du Bitcoin-QT dann beendest und neu startest, sollte er doch das Passwort abfragen, und wenn das nicht stimmt, kannst du die Wallet ja nicht öffnen. Also hast du doch den Test gemacht ohne online gehen zu müssen?

KISS (Keep It Stupid Simple): Paper-Wallet!

- Rechner ohne Internetanschluss
- Wallet mit Bitcoinqt erzeugen
- Wallet verschluesseln (zweimalige Passworteingabe)
=> Privatekeys nun verschluesselt


   - Zweimaliger gleicher Vertipper bei Wahl des Passworts
   => Kein Zugriff mehr auf die Coins falls man spaeter darauf zugreifen moechte

   - Passwort (128-Zeichen) zweimal richtig eingegeben bei Wahl des Passworts
   - Unrealistisches Beispiel: Bitcoinqt kann aber nicht mit Passwoertern der Laenge groesser 64 Zeichen umgehen
   - Bitcoinqt meckert aber nicht weil das Problem unbekannt ist
   => Kein Zugriff mehr auf die Coins falls man spaeter darauf zugreifen moechte

   Deshalb:
   - Zum pruefen ob alles geklappt hat Testueberweisung machen (Coins auf Coldwallet und von Coldwallet irgendwohin)
   - Dazu benoetigt man aber eine Internetverbindung, Rechner koennte kompromitiert sein


Alternative?

Bei meiner BIP38 verschlüsselten Paper-Wallet muss ich dazu nur den Key nehmen und diesen (evtl. mit einem anderen Tool) entschlüsseln. Wenn sich daraus meine Adresse ergibt, an die das Geld überwiesen wurde, ist das in Ordnung.

Ganz ehrlich: such dir ne gute Bank die das für dich macht.

Da du schon an dir selbst zweifelst, wirst du es nie sicher hinbekommen. Das ist normalerweise der Zeitpunkt wo man sich fachliche Hilfe dazu holt. Oder du lernst wie ein PC funktioniert und wie man auch ohne Verschlüsselung etwas sicher macht. Die Banken übertragen den Pin der Kreditkarte ja auch unverschlüsselt, aber eben auf anderen Wegen abgesichert. Verschlüsselung ist also nicht die einzige Möglichkeit.

Wie gesagt: entweder tiefgehend lernen oder Fachmann dazu holen. Schon das du meinst, es wäre möglich das passwort zweimal falsch einzugeben, zeigt wo der Fehler steckt: nicht die Technik sondern du bist das Problem.

Die Frage verstehe ich nicht so ganz.
Was meinst du mit Coldwallet konkret? Eine Wallet, die du auf einem Offline-Rechner mit bspw. Armory erzeugst?
Wenn ja, dann testest du das Passwort doch ganz automatisch, wenn du die Software beendest und neu startest?