Allgemeine Fragen zu Kryptowährungen

[Griller]

vor einer Stunde von jesuce:

Ja. Gerade bei Ledger wichtig: https://www.investopedia.com/hackers-leak-customer-info-from-crypto-wallet-ledger-5093577

Don't do that. Eine Kryptobörse ist keine Bank und hat auch keine Banklizenz. Dementsprechend wird da auch nichts gerettet. Es gibt keinen Einlagenschutz, etc. Ich habe durch einen Hack und eine daraus resultierende Insolvenz bereits Kryptos verloren, obwohl das Wallet, in dem meine paar Coins lagen, vom Hack gar nicht betroffen war. Man kann den Börsen nicht trauen. Nicht.

Don't do that. Einem guten Hacker reicht schon ein Drittel des Seeds, um vergleichsweise schnell den PrivatKey zu berechnen. Würdest du merken, wenn dir ein Drittel deines Seeds abhandenkommt? Wie viel Zeit ist bis dahin vergangen? Dann solltest du nicht unterschätzen, wie vergesslich wir sind. Aus diesem Grund halte ich auch nichts davon, den kompletten Seed fünf mal an verschiedenen Orten aufzubewahren. Man weiß am Ende gar nicht mehr, wo man noch eine Kopie deponiert haben könnte. Das macht keinen Spaß. Zwei Versionen reichen. Einmal zu Hause, geschützt gegen Brand- und Wasserschäden (graviert in Metallplatte o.ä.) und einmal an einem anderen Ort. Beide Orte sollten sicher sein. Niemand außer dir sollte wissen, dass dort Kryptos liegen (ohnehin sollte das niemand wissen, siehe Ledger-Leak oben).

 

xoxo

Was wenn Du bei einem Unfall stirbst oder du im Koma liegst, dann kannst Du niemanden informieren wo deine Coins sind.

[mike4001]

vor 16 Minuten von Griller:

Was wenn Du bei einem Unfall stirbst oder du im Koma liegst, dann kannst Du niemanden informieren wo deine Coins sind.

Daher informiert man auch 1-2 Personen denen man "wirklich" vertraut (das weiß jeder für sich) wie diese im Fall des Falles an deine Coins kommen.

 

Generell sollte man meinen Beitrag oben - auch wenn er humoristisch war - absolut ernst nehmen. Oberstes Gebot ist niemandem (abseits der Vertrauensperson) zu erzählen falls man nennenswerte Summen an Cryptowährungen hält.

[chirlu]

vor 50 Minuten von odenter:

Ein Beispiel um den ganzen Prozess zu Beschleunigen sind sog. Timing Attacken (https://de.wikipedia.org/wiki/Seitenkanalattacke).

 

Hat nur leider überhaupt nichts mit dem Thema zu tun. Den Nebenkanalangriff auf ein Blatt Papier möchte ich sehen.

[Tordal]

Wie seht ihr die Sicherheit der Coins bei Bison? Hatte mir bisher darüber nicht viele Gedanken gemacht um ehrlich zu sein. Ich ging davon aus, dass sie dort "relativ" sicher seien.

[morevalue]

vor 1 Stunde von wertomat:

 

Wer von Euch beiden hat jetzt recht, ich kann es selbst nicht einschätzen.

Die Behauptung ein Drittel des Seeds würde eine Hacker reichen ist Unsinn. Selbst 2/3 reichen ihm nicht. Daher nur als Ansatz ein paar Zahlen für die Annahme man hätte ein Blatt mit 2/3 des Seeds verloren.

Ein 24 Wort Seed entspricht 256 Bits. Wenn 1/3 dem Hacker fehlt sind das 85 Bits. Also um alles auszuprobieren müsste er 2⁸⁵ Werte durchprobieren. Die Prüfsumme im Seed ist 8 Bit (und nicht in den 256 Bit enthalten). D.h. von den 2⁸⁵ Versuchen hat jeder 256te eine korrekte Prüfsumme aber trotzdem nur einer von den 2⁸⁵ ist korrekt. Also nehmen wir mal an der Hacker findet den richtigen nach der Hälfte der Versuche also bei 2⁸⁴ Versuchen. Nehmen wir weiter an er schafft einen Versuch pro µs oder 1.000.000 Versuche in der Sekunde. Dann braucht er 2⁸⁴/10⁶ Sekunden das sind 1,93x10¹⁹ Sekunden = 5,37x10¹⁵ Stunden = 2,24x10¹⁴ Tage = 613.356.580.220 Jahre

 

Auch wenn er 1 Millionen mal schneller ist spielt das keine Rolle.

[Mato]

vor 10 Minuten von morevalue:

Auch wenn er 1 Millionen mal schneller ist spielt das keine Rolle.

Aber wenn er 1 Billion mal schneller ist, dann hat er es ja wohl locker in der Tasche. SCNR :-)

Ich bin immer wieder beeindruckt, was da für Rechnungen möglich sind und froh, dass ich keinen Bitcoin habe.

[chirlu]

vor 7 Minuten von Mato:

Ich bin immer wieder beeindruckt, was da für Rechnungen möglich sind und froh, dass ich keinen Bitcoin habe.

 

Die gleichen kryptographischen Prinzipien kommen auch zur Anwendung, wenn du im Laden mit Karte zahlst oder die Website deiner Bank besuchst.

[Mato]

vor 7 Minuten von chirlu:

 

Die gleichen kryptographischen Prinzipien kommen auch zur Anwendung, wenn du im Laden mit Karte zahlst oder die Website deiner Bank besuchst.

Das kann schon durchaus sein, glaube ich Dir. Bei Bitcoin scheint es aber wesentlich mehr Experten in Foren zu geben als bei den von dir genannten Anwendungen. Das ist nachvollziehbar, aber einen Spaß kann man da schon mal machen ;-)

[Raccoon]

vor 37 Minuten von chirlu:

 

Die gleichen kryptographischen Prinzipien kommen auch zur Anwendung, wenn du im Laden mit Karte zahlst oder die Website deiner Bank besuchst.

Mit dem Unterschied, daß ich mein Geld von der Bank wiederbekomme, wenn die Karte oder das Konto gehackt wird.

[odenter]

vor 2 Stunden von chirlu:

 

Hat nur leider überhaupt nichts mit dem Thema zu tun. Den Nebenkanalangriff auf ein Blatt Papier möchte ich sehen.

Wenn es um ein Blatt Papier geht, weshalb werden dann Berechnungen der auszuprobierenden Hashes aufgemacht... Btw. das geht beim ausdrucken. Wenn Du es mit dem Stift schreibst wird es aber in der Tat schwieriger.

[Chips]

vor 4 Stunden von jesuce:

Don't do that. Einem guten Hacker reicht schon ein Drittel des Seeds, um vergleichsweise schnell den PrivatKey zu berechnen. Würdest du merken, wenn dir ein Drittel deines Seeds abhandenkommt? Wie viel Zeit ist bis dahin vergangen?

Sorry, ein Drittel von den 24 Wörter reichen, wenn man nur ein guter Hacker ist? Äh nö. Und zu einer Seitenkanalattacke braucht der Hacker gar kein Drittel, da reichen auch 0. 

 

vor 4 Stunden von jesuce:

 Dann solltest du nicht unterschätzen, wie vergesslich wir sind. Aus diesem Grund halte ich auch nichts davon, den kompletten Seed fünf mal an verschiedenen Orten aufzubewahren. Man weiß am Ende gar nicht mehr, wo man noch eine Kopie deponiert haben könnte. Das macht keinen Spaß. Zwei Versionen reichen. Einmal zu Hause, geschützt gegen Brand- und Wasserschäden (graviert in Metallplatte o.ä.) und einmal an einem anderen Ort. Beide Orte sollten sicher sein. Niemand außer dir sollte wissen, dass dort Kryptos liegen (ohnehin sollte das niemand wissen, siehe Ledger-Leak oben).

Naja, die Angst zum Verlust ist gegeben. Wenn du 500 000€ hast, bewahrst du die auch nicht zu Hause auf, sondern lässt das von einem Dienstleister übernehmen. Self-Banking nennt man das bei Bitcoin, aber Self-Banking kann man beim Euro auch machen, zumindest die Aufbewahrung. Aus offensichtlichen Gründen macht das aber kaum jemand. Das Risiko, sich da irgendwo zu verzetteln (entweder man kommt selber nicht ran, oder jemand anders kommt ran), wird von Vielen unterschätzt. 

[Chips]

vor 10 Stunden von morevalue:

Der Schlüssel zu allem ist der Seed. Gespeichert ist alles in der Blockchain. Jeder der den Seed kennt kann die zugehörigen Werte "bewegen". Bei einem Hardware Wallet bleibt der Seed in dieser Hardware und verlässt diese nie. Alle Berechnungen mit dem Seed finden nur in dieser Hardware statt. 

Ein Paperwallet, also das Aufschreiben des Seeds in Form der Wörter ist natürlich eine andere Option, aber man sollte folgendes bedenken:

Der Seed ist eine Zufallszahl die man generiert. Wo generiert man diese Zufallszahl für das Paper-Wallet? Auf einem General Purpose Computer? Dann gilt folgendes:

1. Der Seed ist mindestens Zeitweise auf dem Computer abgreifbar

2. Computer sind deterministische Maschinen und äußerst schlecht darin Dinge zufällig zu tun. Zwar haben aktuelle CPUs eine Operation um Zufall zu erzeugen (https://en.wikipedia.org/wiki/RDRAND), wie gut (z.B. innere Entropie) die ist und ob diese nicht aus diversen Gründen (Geheimdienste; https://en.wikipedia.org/wiki/RDRAND#Reception) manipuliert ist lässt sich schlecht einschätzen. Auch weiß man nicht ob diese Operation tatsächlich benutzt wird.

Wenn der Seed nicht wirklich zufällig ist, oder der enthaltene Zufall (Entropie) sehr viel kürzer als die 256 Bit Länge des Seeds ist, dann gibt es ggf. andere Leute irgendwo auf der Welt, die deinen Seed nachberechnen können. Die folgen wären fatal.

 

Man könnte natürlich auch seinen Seed erwürfeln. Dann müsste man aber manuell die Prüfsumme auf Papier (SHA256 Hash) berechnen und den Seed in die Wörter gemäß BIP39 übersetzen. Also eher unmöglich für 99,99% der Menschen. Alternativ könnte man 23 Wörter erwürfeln und dann beim 24 Wort solange neu würfeln, bis ein System die Wörterliste komplett akzeptiert, also die Prüfsumme korrekt ist. Das wäre im Schnitt nach 128 Versuchen der Fall. Aber dazu muss man die Wörter, den Seed wieder irgendwo eingeben. Könnte vielleicht ein Computer ohne Netzwerk (Offline) sein, den man danach zerstört (oder mindestens neu formatiert).

 

Ein Hardware Wallet wie Ledger Nano besitzt intern einen Smartcard-Chip mit einem Hardwarezufallszahlen Generator hoher Güte. Das gilt nicht für die meisten Mitbewerber die nämlich auch nur auf General Purpose Hardware aufsetzen. Daher schon die bessere Wahl um den Seed überhaupt zu erstellen.

 

PS: Außerdem muss man mindestens einmal den Seed auf einem System verwenden um eine Bitcoinadresse damit zu erzeugen. Alternativ kann man Paper-Wallet Tools verwenden die das ganze als QR Code ausgeben/-drucken. Mit gleicher Problematik wie oben genannt.

Der Heim-PC hat keine perfekte Entropie, jep. Allerdings sind die Kryptoverfahren so großzügig ausgelegt, dass selbst beste Computer in vielen Jahren keine Chance haben, da ran zukommen.  Auch wenn man einige 10er-Potenzen an fehlender Entropie berücksichtigt. Dass man den Key irgendwo mal auf dem Rechner speichert oder USB-Stick stimmt, perfekt ist das nicht. Das ist so ähnlich wie wenn man Geld zu Hause sicher aufbewahren will. Gegen jede Eventualität kann man das auch nicht absichern. Welche Lösung hat man da gefunden? Man überlässt es Dienstleistern, die -falls sie es selber verlieren - dafür haften. Die versichern sich und beim Nachweis von Anwendung Best Practice sinkt die Versicherungsprämie. Man überlässt es also denen, die sich darauf spezialisiert haben. Ähnlich wie bei der Reparatur des Wagen. 

[chirlu]

vor 37 Minuten von odenter:

Wenn es um ein Blatt Papier geht, weshalb werden dann Berechnungen der auszuprobierenden Hashes aufgemacht... Btw. das geht beim ausdrucken. Wenn Du es mit dem Stift schreibst wird es aber in der Tat schwieriger.

 

Das Szenario ist: Jemand findet einen Zettel, auf dem ein Teil der Wörter steht. Der Ausdruck hat schon Monate oder Jahre vorher stattgefunden.

[biginjapan]

vor 4 Stunden von hattifnatt:

Wer graviert Dir das eigentlich anonym in eine Metallplatte - oder machst Du das selber mit dem Dremel ...? 

 

vor 4 Stunden von jesuce:

Schlagbuchstaben

 

vor 4 Stunden von hattifnatt:

Ah, habe auch gerade noch das hier gefunden:

https://www.save-your-bitcoins.com/Hardware-wallet-seed-phrase-Recovery-Metallplatte-aus-Edelstahl-V4A-inkl-Gravurstift

 

Nix gravieren: https://cryptosteel.com

(Nicht das jemand denke, ich mache da Werbung. Kein Affiliate-Link. Aber geile Lösung. Also für alle, die es ernst meinen... hehe. Kann ja nicht vorsichtig genug, verstehen schon.)

 

 

 

[odenter]

vor 14 Minuten von chirlu:

 

Das Szenario ist: Jemand findet einen Zettel, auf dem ein Teil der Wörter steht. Der Ausdruck hat schon Monate oder Jahre vorher stattgefunden.

Ok. Dann also der Schraubenschlüssel.

[boRn]

Interessanter Essay von Vitalik Buterin aus der Ethereum-Community zum Thema wallet security.

 

https://vitalik.ca/general/2021/01/11/recovery.html

[bmi]

vor 7 Stunden von boRn:

Interessanter Essay von Vitalik Buterin aus der Ethereum-Community zum Thema wallet security.

 

https://vitalik.ca/general/2021/01/11/recovery.html

Danke, guter Beitrag und ein interessantes Konzept bzgl. Social Recovery. Ein solches Ecosystem würde die umständliche Hardwarewallet-Krücke eliminieren.

Bezüglich der Guardians werden sich vermutlich mit steigender Beliebheit ganz neue Geschäftsmodelle (z.B. ähnlich PostIdent) entwickeln.

 

Übrigens ist Vitaliks Jahresrückblick auch sehr lesenswert: https://vitalik.ca/general/2020/12/28/endnotes.html

 

[bmi]

Am 11.1.2021 um 21:32 von Paterlexx:

Weil der Typ die Bitcoins auf einer Festplatte und nicht auf einem Ledger hatte.

Lost Passwords Lock Millionaires Out of Their Bitcoin Fortunes (nytimes):

Zitat

Of the existing 18.5 million Bitcoin, around 20 percent — currently worth around $140 billion — appear to be in lost or otherwise stranded wallets, according to the cryptocurrency data firm Chainalysis. Wallet Recovery Services, a business that helps find lost digital keys, said it had gotten 70 requests a day from people who wanted help recovering their riches, three times the number of a month ago.

Vor einigen Jahren war der Bitcoin deutlich weniger Wert und die Verwahrung der Schlüssel oftmals sehr hämdsärmlig auf einem Schmierzettel oder nur im Kopf. Das Risiko ist nach wie vor da, aber die Leute sind sicherlich vorsichtiger geworden. 

[boRn]

Hype um Kryptowerte

BaFin warnt Verbraucher vor Risiken bei Investments

Die BaFin nimmt die Kursentwicklung auf den Märkten für Kryptowerte zum Anlass, Verbraucherinnen und Verbraucher erneut vor den Risiken solcher Investments zu warnen.

 

https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Verbrauchermitteilung/weitere/2021/meldung_210113_Warnung_Kryptowerte.html

[wertomat]

vor 5 Minuten von boRn:

Hype um Kryptowerte

BaFin warnt Verbraucher vor Risiken bei Investments

Die BaFin nimmt die Kursentwicklung auf den Märkten für Kryptowerte zum Anlass, Verbraucherinnen und Verbraucher erneut vor den Risiken solcher Investments zu warnen.

 

https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Verbrauchermitteilung/weitere/2021/meldung_210113_Warnung_Kryptowerte.html

Was meint die bafin denn mit "illiquidität von kryptowerten"? Haben die versucht, Bitcoins bei der örtlichen Sparkasse zu erwerben?

[Bassinus]

Bofinger kritisiert auch mal wieder.

 

Hype und Kritik geben sich mal wieder tagtäglich die Klinke in die Hand xD

 

 

 

[Paterlexx]

Die Wirecard-Bafin? Die kommen nach 13 Jahren auf die Idee, mal vor Kryptos zu warnen... Nice

[albr]

Wieso haben die nicht vor Wirecard gewarnt ? 

[Paterlexx]

 

vor 50 Minuten von albr:

Wieso haben die nicht vor Wirecard gewarnt ? 

https://www.fondsprofessionell.de/news/recht/headline/bafin-feuert-mitarbeiter-wegen-privater-wirecard-aktiendeals-203216/

[Schildkröte]

Oha, hier geht ja mal wieder die heiße Luft äh pardon Post ab.

 

Kleiner Kalauer am Rande:

Zitat

Passwort für Bitcoin vergessen

Noch zwei Versuche, um an 200 Millionen Euro zu kommen

Der Programmierer Stefan Thomas besitzt ein Millionenvermögen – in der Kryptowährung Bitcoin. Doch weil er sich an bestimmte Zugangsdaten nicht erinnern kann, kommt er womöglich nie wieder heran. Was nun?

Spiegel-Leser wissen mehr.