Bitcoin Forum

UBIC (https://ubic.app) ist eine Kryptowährung die auf einem proof-of-passport basiert.
Das bedeutet dass man Kryptowährung generiert und bekommt indem man den Besitzt eines Reisepasses beweisen kann.
Das Prinzip ist one-passport-one-vote als alternative zu Satoshi's Nakamoto's one-cpu-one-vote.
Deutsche,Schweizer und Pässe aus Österreich(nach 2014) sind kompatibel.
Was denkt ihr?

Ich denke, dass das ein danteschutztechnischer Alptraum ist und ich sicher nicht für irgendeinen wertlosen Token meine Passdaten an eine "Firma" mit Instant Webseite ohne Impressum verschicken werde.

Weit weg von der Seite bleiben...
Mal abgesehen von den Rechtschreibfehlern und grammatikalischen Fehlern sieht das nicht sehr vertrauenswürdig aus.

Keinerlei Infos und man soll sein Ausweis hin senden?

Nein Danke.

Es wird ja nur die Signatur der Regierung ausgelesen um sicherzustellen dass der Pass echt ist. Der Beweis dafür wird auf der Blockchain veröffentlicht.
Es gibt auch ein Sicherheitsproblem Bounty: https://medium.com/@janmoritz_48488/announcing-the-ubic-1-btc-security-bounty-beba58661bec

Ich glaube dem ist nicht mehr viel hinzuzufügen. Finger weg Leute!

Höchstens vielleicht, dass der englischsprachige ANN-Thread [ANN] UBIC:The cryptocurrency providing UBI for the masses using the E-Passport (https://bitcointalk.org/index.php?topic=3021063.0) sehr dubios aussieht. Der Dev führt Scheindiskussionen mit dem gleichen User über 10 Seiten. Dazu gesellen sich noch ein paar Newbies und Jr. Member die ein paar belanglose "one-liner" ablassen.

Ein Potpourri der schönsten Zitate:

Naja, aber der Pass muss dazu ja irgendwie digitalisiert an die Firma übermittelt werden, sonst kann auch die Signatur nicht ausgelesen werden. Ich denke kaum, dass es da eine Weboberfläche mit "hier geben sie ihre Signatur ein" geben wird wo man eingeben kann, was man will. Auch muss jemand die Prüfung, ob der Pass echt ist, vornehmen. Spätestens dort sieht also ein 3. meinen Pass und kann den ggfs. kopieren.

Die Bounty selbst klingt erstmal interessant. Beim genaueren Hinsehen versucht UBIC hier aber meiner Meinung ein falsch-positives Sicherheitsgefühl zu vermitteln. So in die Richtung "Seht her, wir hatten sogar eine Bounty ausgeschrieben, niemand hat eine Security-Problem gefunden". Auch die Dotierung mit 1,25 BTC klingt nicht schlecht, vergleicht man aber die Kosten, die ein Security-Test einer externen Firma kosten würde, wären die 1,25 BTC nur ein Tropfen auf den heißen Stein.

Das System basiert auf einem Konzept von Mike Hearn, und der ist ja nicht irgendjemand.
Link: https://youtu.be/coj3uBrnxIg?t=661

Der Proof wird an die Blockchain übermittelt und sieht dann so aus: https://ubic.network/transactions/356e4b597dd87dc9d547489b6f4842e508e083feef55c37feecadbfa90bfd0b7/
Das ist dann die dazu gehörige Adresse: https://ubic.network/addresses/qa15j4y8VrAp8MRHxzCTbkkd6NiafCjzv/

Es ist davon auszugehen das der jeweilige Staat der den Reisepass ausgestellt hat die Adresse deanonymisieren kann.
Ein normaler Nutzer der Blockchain aber nicht.

Alternativ gibt es IDENA (https://idena.io), das gleiche Konzept mehr oder wenig aber ohne Reisepass sondern mit Captchas.

Wenn ich bei einer ordentlichen Pen-Test Firma anfrage ob sie sich mal meine Android & iOs App plus Backend plus Hashingfunktionen für die Datenverarbeitung von Ausweissdaten angucken wollen und ich würde dafür um die 10.000€ zahlen lachen die mich aus. Ich meine das wären vielleicht 4 Arbeitstage, die ich dafür bekomme, das reicht garantiert nicht für ein ordentliches Audit bei Daten dieser Senisibilität.

Mike Hearn ist in der Tat kein irgendjemand, aber es ist halt auch überhaupt nicht ersichtlich, dass er an dem Projekt in irgendeiner weise beteiligt ist.

Und du kannst beweisen, dass das ein normaler Nutzer nicht kann? Einfach mal behaupten ist einfach, aber noch mal wir reden hier über Passdaten, da bräuchte ich etwas mehr als die blose Behauptung.

Und ohne Impressum.

Ehrlich? Nichts was du hören möchtest.
Ich habe den Thread verschoben denn wenn dann passt er hier hin... höchstens.

Mit solchen Aktionen wie gegenseitig Merits zuschieben:
https://bpip.org/profile.aspx?p=uboid
https://bpip.org/profile.aspx?p=ubicorn
oder Usern wie z.B. Ubiubi18 (https://bitcointalk.org/index.php?action=profile;u=1944646) der ausschließlich unauffällig Werbung macht und Traffic generieren soll tut man sich keinen Gefallen. Bereinige den Thread nicht da er gerne als Warnung stehen bleiben kann... sind ja mittlerweile einige Infos hier zu finden bei denen alle Alarmglocken losgehen sollten.

Das Projekt ist Open Source, jeder kann teilnehmen! Im Endeffekt steht gar keine Firma dahinter.
In ein paar Monaten wird es dann wahrscheinlich auch mit delegated proof of passport laufen, dann wäre es auch von der Blockchain her dezentralisiert.

Mal davon ab, dass ich nicht mal für einen 50$ Airdrop meine Passport Daten irgendwo hin senden würde, da, wenn das Projekt scheitert, die im Darknet miest noch für Kleingeld verkloppt werden. Was bringt mir der Coin überhaupt, wo kann ich den einsetzen und warum sollte ich oder andere den Coin unbedingt haben wollen? Und warum braucht es dafür einen extra Coin? Das die Website wohl in 10 Minuten per Wordpress hingeklatscht wurde und vom Team wohl absichtlich keiner abgebildet ist... naja no comment.

Mike Hearn hat nicht an dem Projekt teil genommen. Der "proof-of-passport" ist aber seine Idee, er hat sich als erster damit beschäftigt und ist zu dem Ergebnis gekommen dass es möglich ist.
UBIC ist meiner Kenntnis nach die erste funktionierende Umsetzung davon (Es gibt auch q.org (http://q.org) deren Status ist aber unbekannt).
Konkret läuft das so ab:
 - Die App fragt nach der Passnummer, Geburtsdatum und dem Reisepass Ablaufdatum
 - Mit diesen Informationen kann die App auf den NFC Chip zugreifen
 - Auf dem NFC Chip befinden sich mehrere Dateien, wie DG1 = Name, Geburtsdatum, Passnummer DG2 = Passfoto, SOD = PKCS7 Sicherheitszertifikat
 - In der SOD Datei befindet sich ein Sicherheitszertifikat wo ein Document Signing Certificate den Hash von DG1 und DG2 signiert.
 - Veröffentlich auf der UBIC blockchain wird dann ein Beweis der Kenntnis dieser Signatur und der dazugehörige signierte Hash.

Dieser ganze Verlauf wird im Source Code so umgesetzt. Wer Zweifel hat kann sich den Source Code durchlesen und dann die App, beziehungsweise die Node selber kompilieren. Wenn jemand etwas Sicherheitsrelevantes findet bekommt er ein angemessenen Bounty.

Ökonomisch funktioniert es analog zu dem Bitcoin wie mit dem one-cpu-one-vote Prinzip, Pro Landeswährung:
1 registrierter Pass = 100% des rewards
10 registrierter Pass = 10% des rewards
100 registrierter Pass = 1% des rewards
Usw.. Das ziel ist es ein großen Netzwerk Effekt zu generieren. Das hat q.org (http://q.org) schon gut erklärt.

Also schon einmal viel mehr Daten als man einer völlig unbekannten App, die von einem einzelnen Programmierer erstellt wurde und keine Audits aufweisen kann, geben sollte
Und ab hier ist die App in der Lage eine digitale Kopie meines Passes zu erstellen bzw. diese Daten einfach abzuschnorcheln.
Sorry aber ihr baut hier die technische Möglichkeit Passdokumente zu kopieren. Da ist es nicht der Weg den Kram zu releasen und falls jemand was finden sollte eine kleine Bounty auszuzahlen. Das ist definitiv das Level an persönlichen Daten wo ihr vorher mit Audits aufwarten solltet und ich bin ehrlich gesagt verwundert, dass die offiziellen Stores so eine App einlisten. Und nein nur weil ich die App selber kompilieren kann ist es nicht abzusehen ob es dort keine Backdoor gibt.

Pro Land und nicht pro Landeswährung, aber das nur am Rande.

Ich finde es echt schade dass die Leute hier anscheinend mehr vertrauen an irgendwelche ICOs schenken die Zugriff auf wesentlich mehr Daten durch ihre KYC erlangen als auf ein Open Source Projekt das eben nicht den Weg einer ICO gegangen ist.

Stattdessen werden hier wirklich irrelevante Sachen bemängelt. zB. One liners im announcement thread, das ist leider der Fall, betrifft aber leider die meisten Announcement Threads, inklusive der von Ethereum.
"Mangelnde Informationen über das Team". Ich glaube das Team oder die Person hinter der Erfolgreichsten Kryptowährung ist immer noch unbekannt, und das ist auch egal, denn der Bitcoin Code ist wie ein Buch. Der Inhalt ist wichtig, der Name des Authors nicht.

Ausserdem werben hier Mitglieder in diesem Thread in derem Signatur mit Sachen wie einem Coin Mixers, wo überhaupt nicht klar ist wer dahinter ist. Die CIA, der FBI, der BND? Und da ist der Source Code ja noch nichtmal öffentlich. Das scheint aber dann keinem zu interessieren da die gut Bonnies hier bezahlen.

Die Person hinter der erfolgreichsten Kryptowährung will aber auch nicht an die Daten meines Reisepasses.  ::)

---

Also wenn ich mir den Thread von Ethereum so anschaue, sehe ich nicht wo Vitalik mit einem seiner Alt-Accounts seitenlange Diskussionen führt und "one-liner" austauscht. Aber vielleicht übersehe ich was und ihr seid das nächste Ethereum. Aber so wirklich glaube ich nicht dran. Kann weiterhin jedem nur abraten, seine sensiblen Daten hier zu teilen. ;)

https://bitcointalk.org/index.php?topic=428589.20

Ähh nein eigentlich nicht. Hier im deutschen Bereich wird jeder ICO ziemlich kritisch untersucht (oder bei offensichtlicher Irrelevanz ignoriert) und definitiv nicht einfach Vertrauen geschenkt.
Ausserdem ist die Aussage, dass ICOs durch ihr KYC mehr Daten erhalten als dieses Projekt inhaltlich unhaltbar.
Nein hier werden viele relevante Dinge an der Idee bemängelt, du hast nur keine Antworten darauf.
Und Bitcoin verarbeitet keine personenbezogenen Daten mit extrem hohem Missbrauchspotential.
Ad Hominem Angriffe... Ok damit kann man endgültig davon ausgehen, dass inhaltlich hinter dem Projekt nichts sinnvolles steckt.

---

Edit: Ich habe noch mal eine Anschlussfrage:
Ihr richtet euch ja klar an Kunden in Deutschland (z.B. durch diesen Thread) kommt ihr dann nicht mit §18 (2) & (3) PassG in Konflikt? Wie genau sieht die Rechtsbetrachtung (/Rechtsgutachten) zu dem Projekt aus?

In dem Falle dass die App vollkommen korrupt wäre würde diese maximal Zugriff auf die Daten haben die auf der Hauptseite des Passes zu sehen sind. Also nicht mehr als wenn du ein Foto deines Passes machen würdest.
Diese Informationen werden von so gut wie jeder ICO gefragt. Dazu kommen bei den ICOs aber noch viel mehr wie Adresse, E-Mail usw...

Nun ist die App aber Open Source, und greift gar nicht darauf zu.

Edit:
"§18 (2) & (3) PassG in Konflikt" Die Person ließt ihren Pass selber aus und es werden keine "personenbezogene" ausgelesen.

Nicht das ich mitmachen wollte (Gott bewahre) aber ich könnte als Liechtensteiner (EWR-Mitglied und biometrisch) nicht mal teilnehmen. Was seid ihr denn für Schnarchnasen. :o :o :o :o

Habe ich nicht verstanden. Du meinst weil die Pässe aus Liechtenstein noch nicht angenommen werden?

Zum 123465 mal. Liechtenstein schreibt man mit "ie". Ja, die sind nicht auf der Kompatibilitätsliste. Obwohl unser Pass alle KRiterien erfüllt wie z.B Deutschland, Oestereich, Schweiz usw. Ich bin sicher ihr wisst nicht mal dass es uns gibt obwohl wir gerade im Blockchainbereich mitführend sind.

Sorry für den Tipfehler  :-[.
Jedes Land macht das Unterschiedlich. Es gibt ein Standard das von der ICAO ausgestellt wird und DOC9303 heißt.
Jeder Staat kann sich aber aussuchen welches Signatur Algorithmus es benutzt. Wie viele Document Signing Certificate es austeilt, ob diese auf der Webseite der ICAO veröffentlicht werden usw...

Edit:
Der DOC9303 Standard ist eigentlich ganz gut die Seite 11 erklärt vieles über den Chip: https://www.icao.int/publications/Documents/9303_p11_cons_en.pdf

Edit 2:
Aus den Gründen die du schon erklärt hast ist Liechtenstein auch schon vorhergesehen https://github.com/UBIC-repo/core/blob/master/ChainParams.h#L38 Aber halt noch nicht aktiv, (wegen mangeln an Informationen).

Genau und DOC9303 ist der Standard den auch unser Pass seit x Jahren erfüllt. Kann man nachlesen. Wäre also kein Grund um uns auszuschliessen. Aber egal, ich bin gespannt ob ihr genügend Trottel findet.  ;D ;D

Edit: Mangel an Informationen? Unser Passamt beantwortet bestimmt alle eure Fragen.  ;D

Das ist nicht das Problem. Ein Pass kann den DOC9303 erfühlen aber nicht mit UBIC kompatibel sein, (das passiert zB. wenn ältere Signatur Algorithmen benutzt werden). Im Moment fehlt es an öffentlichen Informationen über die Pässe aus Liechtenstein.

Unsere Pässe werden in der Schweiz gemacht und erfüllen dieselben Kriterien.

Ich mache mich mal schlau wen man da in Liechtenstein kontaktieren muss. In Deutschland ist zB. der BSI der Ansprechpartner was die Zertifikate angeht. Die Bundesdruckerei kopiert nur die Signatur auf dem Chip.

Edit:
Es ist das Passamt.
https://www.llv.li/inhalt/12165/amtsstellen/datenschutz-und-sicherheitsmassnahmen
Die veröffentlichen auf deren Seite aber nur das CSCA, und nicht die DSC.

Ich fühle mich verarscht. Im ersten Thread schreibt der TE so, als wenn er etwas entdeckt hätte und noch nicht sicher ist, ob das alles so toll ist. Und dann plötzlich haut er hier Details raus, das die Schwarte kracht.

Ich habe alles nur schnell überflogen, da ich bei (Pass)Datenweitergabe sowieso nicht mitmache und alle seriösen User hier schon genug geschrieben habe, dass man davon die Finger lassen sollte. Aber vielleicht schicke ich euch mal paar Fake-IDs und schau, was dann passiert...

Sei froh. Die wollen dich nur schützen.  :D

Die meisten Shitcoins dürften besser sein als eurer, weil man bei denen "nur" Geld verliert.
Bei euch gibt es zusätzlich neben einem monetären Verlust ebenfalls das Risiko des Identitätsdiebstahls.

---

Offenbar lesen wir in zwei verschiedenen Foren, denn hier sind die Gefahren von KYC und dem Übermitteln personenbezogener Daten übers Internet so ziemlich allen bekannt - außer euch oder seht ihr das nicht so eng, weil Schutz vor Identitätsdiebstahl euer Geschäftsmodell schädigt?

---

Ich finde es erstaunlich, dass ihr es als "ach ja, nicht so schlimm" runterspielt, falls sensible, personenbezogene Daten doch mal abhanden kommen sollten. Vermutlich niemand halbwegs intelligentes wird es gut finden, dass ein Bild des eigenen Passes in die Hände von Kriminellen gelangt ...
Allein diese Argumentation zeigt schon, dass ihr euch des Problems der sensiblen, personenbezogenen Daten in keinster Weise bewusst seid.

Wundert micht, dass es noch keine Scam-Anschuldigung gibt, diverse Projekte haben sie allein durch das Benutzen von Bumping-Services bekommen...
Hier ist auch das Konzept sehr fragwürdig. Zuzüglich Merit-Missbrauch.

Und noch viel Spaß mit den ganzen Scammern, die mit gehackten und gestohlenen Pässen aus ICO-KYCs euer Konzept zusätzlich auseinander nehmen werden.  :P

Ich gebe normal allen Shitcoins erstmal eine Chance aber bei sowas unverantwortlichem auf Kosten der Nutzer gibt es diesen Vorteil nicht.  ;)

Jeder Pass ist digital von der Regierung unterschrieben. Mit der App wird ein Kryptographischer "proof of knowledge" dieser Signatur generiert und auf der Blockchain veröffentlicht (und das ist das Einziege was veröffentlicht wird).
Es ist also nicht möglich eine "Fake ID" zu registrieren oder das geklaute "Foto" eines Passes.
Es ist auch nicht möglich aus dem "proof of knowledge" einer digitalen Signatur ein Namen oder Geburtsdatum zu extrahieren.
Das Leute davor misstrauisch sind den NFC Chip zu lesen kann ich verstehen, die allermeisten wissen gar nicht das der Pass so ein Chip besitzt, deswegen sind diejenigen mit Coding Kompetenzen auch eingeladen sich den Source code anzusehen. Ich lasse jeden sich selber überzeugen.

Unterschätze nicht die kriminelle Energie der Scammer. Vielleicht hält es nur die 0815 Scammer ab aber sobald es nur einen gibt, der eine Lösung gefunden hat und sie auf dem Schwarzmarkt anbietet, wird das gekauft werden. In dem Moment, in dem ihr die Daten aufnehmt, besteht für die Nutzer ebenfalls ein großer Gefahrenpunkt. Und auch Regierungen können gehackt werden.

Weiterhin sollte man sich überlegen: Was passiert bei einer autoritären Regierung? Da diese die Signaturen kennt, könnte sie die öffentliche Blockchain nutzen, um die eigenen Bürger zu überwachen. Ist es wirklich ratsam, autoritären Regierungen diese Möglichkeit zu geben und die Privatsphäre der Leute mit Füßen zu treten? Fragt doch gleich in China nach, vielleicht finanzieren sie euch das Projekt.  ::)

Zudem sammelt ihr persönliche Daten aber eure Identität ist selbst nicht auf der Webseite ersichtlich? Wer sagt denn, dass nicht an der nächsten Ecke ein Scamprojekt lauert, das genau diese Daten abgreift?

Wie sieht es zudem mit einer 51% Attacke aus mit eurem proof? Hier gibt es wieder den Punkt finanzieller Verlust vs. finanzieller Verlust + Identitätsdiebstahl.

Die Leute sind vor allem vorsichtig, weil die meisten Projekte den Leuten so viel Mist erzählen, der am Ende doch nicht stimmt. Und dann hört man von den Entwicklern nix mehr.
Am vorsichtigsten sollte man bei denen sein, die sich hinstellen und sich ihrer Sache 100% sicher sind.

Jede digitale Datensammelei bietet Missbrauchspotential. Daher sollte man das auf ein Minimum begrenzen. Und nicht für einen 0815 Überwachungs-Shitcoin, der als "sicher" angepriesen wird.

Ihr bewegt euch insgesamt echt auf dünnem Eis und dann wollt ihr für euren Überwachungs-Coin sensible, persönliche Daten sammeln?

Ich finde es gut wenn ein Projekt technisch auseinander genommen wird und die Punkte die ansprichst sind auch diesmal relevanter.
Also Affirmation 1. die "Scammer", die wird es wohl auch leider geben, so wie es schon Pass Diebstahl gibt, das wichtige dabei ist das dieser Prozentsatz gering bleibt, würde man eine Stichprobe am Flughafen machen würde nur ein sehr geringer Prozentsatz der Pässe gestohlen sein. UBIC basiert halt auf das Sicherheitssystem des Reisepasses und kann dementsprechend nicht sicherer als dieses sein.

Affirmation 2. "Kann eine Regierung die Adresse seiner Mitbürger identifizieren?" Die Antwort ist ja, davon ist auszugehen. Es wurde nie behauptet das dies nicht der Fall ist und sogar darüber Informiert. Davor kann man sich aber auch schützen, denn es ist keine Pflicht ein Pass zu registrieren um eine neue Adresse zu generieren.

Affirmation 3. "Eine Regierung könnte auch Fake accounts generieren". Das würde dann aber nur die Pässe dieser Regierung betreffen, also dann nur diese bestimmte Kryptowährung, wenn es ein Problem mit dem Chinesischen Coin gibt dann sind die anderen nicht betroffen. Ich halte es aber für ziemlich ausgeschlossen dass eine Regierung so ein Weg gehen würde. Meiner Meinung nach wäre das Risiko aufzufliegen zu groß und würde zu viele Konsequenzen mit sich ziehen.

Ausgelesen wird die Elektronische Signatur der Regierung, und ein proof of knowledge davon wird auf der Blockchain veröffentlicht. Nicht ausgelesen bei der Registrierung werden Personenbezogene Daten wie der Name oder das Passbild. Das ist auch alles so im Quellcode umgesetzt, dieser ist öffentlich.

Warum der User bisher auf Fragen wie "Was ist mit dem Impressum, wer seit ihr eigentlich" nicht eingeht, erschließt sich mir nicht, da die Information zu beschaffen sind.

Das Unternehmen UbiNext wurde am 09.03.2020 vom Amtsgericht Hannover erstmalig eingetragen. Geschäftsführer ist Jan Moritz Lindemann:
https://www.unternehmensregister.de/ureg/result.html;jsessionid=90F4CAB62BE020CC05951AB40F622D2F.web03-1?submitaction=showDocument&id=25685815
https://archive.is/rXTZG

Der Unternehmenssitz ist in diesem beigen Haus (rechts): https://www.google.com/maps/@52.3919784,9.7186128,3a,75y,8.97h,101.37t/data=!3m6!1e1!3m4!1suL7yugy7PMGKaFNTi3I9tA!2e0!7i13312!8i6656 (https://www.google.com/maps/@52.3919784,9.7186128,3a,75y,8.97h,101.37t/data=!3m6!1e1!3m4!1suL7yugy7PMGKaFNTi3I9tA!2e0!7i13312!8i6656)
https://archive.is/7Y5vM

Jan Lindemann hat ein linkedin Profil:
https://de.linkedin.com/in/janmoritzlindemann
https://archive.is/P5A3g

Dort ist ein Link zum Github account
https://github.com/rgex
https://archive.is/5zgWW
wo unter anderem UBIC ersichtlich ist

Hast jemand Lust auf eine Runde Schach?
http://ratings.fide.com/card.phtml?event=20686960
https://archive.is/tPrN9

Dann ist ja die Impressum Sache auch geklärt ;)

Dann bleibt euch ja jetzt nur noch den Quellcode unter die Lupe zu nehmen  ;D
Node: https://github.com/UBIC-repo/core
Android: https://github.com/rgex/UBIC-android-wallet
iOS: https://github.com/rgex/UBIC-Wallet-for-iOS