Wieviel Paranoia ist angebracht

[qwk]

Die Frage ist halt wirklich wo das falsche Passwort abgefangen wird: Schon auf Ebene des Masterkeys, dann wuerde schon der Versuch einer Signierung einer Nachricht einen Fehler werfen. Oder auf einer tieferen Ebene, Privatekey vs. Publickey, dann sollte die Pruefung der signierten Nachricht einen Fehler werfen.
[...]
Angenommen bei der Signierung durch einen verschluesselten Bitcoinqt-Privatekey geht was bei der Entschluesselung des Privatekeys schief und aus dem Ergebnis wird der Publickey, ohne einen Fehler zu werfen, erzeugt, so hilft die vorgeschlagene Methode nicht. Da so garantiert ist, dass der Publickey Umkehrfunktion vom Privatekey ist. Hier stellt sich die Frage ob das Ergebnis mit der zugehoerigen Adresse abgeglichen wird. Ist alles konsistent, dann waere der potentielle Bug praktisch keiner mehr, weil trotzdem alles funktionieren wuerde: Adresse aus Publickey aus Privatekey.

Du bist wirklich paranoid.
Aber vielleicht beruhigt es dich, wenn du die Signatur einfach nochmal in einem anderen Client, bspw. Electrum überprüfst.

[curiosity81]

Du bist wirklich paranoid.

Ich seh das einfach mal als Kompliment  .

Nochmals zu meinen Gruenden die zwei Threads aufzumachen: Es geht mir auch darum zu definieren, wann eine Coldwallet GARANTIERT nicht kompromitiert sein kann und man spaeter Zugriff auf die Coins hat. Eine

   (i) Internetverbindung bei Erstellung,
   (ii) ein Abbild einer spaeter verschluesselten Plaintextwallet, selbst wenn spaeter geloescht, auf einem nichtfluechigem Datentraeger
   (iii) oder gar die weitere Nutzung des fuer die Erstellung der Wallet benutzten Betriebssystem

wuerden diese Garantie schon zunichte machen.

Ich lasse hier natuerlich Methoden aussen vor, wo jemand die Prozessorgeraeusche abhoert um auf Schluessel zu schliessen, oder irgendwie die Tastatureingaben vom Nachbarraum abfaengt um Passwoerter zu stehlen. Deren Einsatz ist dann doch zu unwahrscheinlich fuer die paar Coins und mich unwichtigen Person.

[qwk]

Nochmals zu meinen Gruenden die zwei Threads aufzumachen: Es geht mir auch darum zu definieren, wann eine Coldwallet GARANTIERT nicht kompromitiert sein kann. Eine Internetverbindung bei Erstellung, ein Abbild einer spaeter verschluesselten Plaintextwallet, selbst wenn spaeter geloescht, oder gar die weitere Nutzung des fuer die Erstellung der Wallet benutzten Betriebssystem wuerden diese Garantie schon zunichte machen.

Naja, ist doch eigtl. ganz einfach.
1. der Rechner, auf dem sie erzeugt wird, sollte idealerweise spätestens ab dem Moment der Erstellung niemals mehr in Verbindung mit dem Internet kommen, auch nicht indirekt. Theoretisch ließe sich sonst immer irgendwie Information weiter übermitteln, die bei der Generierung genutzt wurde.
2. die Software, mit der die Coldwallet erzeugt wird, sollte verbreitet, Open Source und alt sein. Alt, um die Wahrscheinlichkeit zu erhöhen, dass evtl. Fehler darin bereits gefunden worden wären.
3. Der Zufallsgenerator des Rechners muss zuverlässig sein.

[curiosity81]

Nochmals zu meinen Gruenden die zwei Threads aufzumachen: Es geht mir auch darum zu definieren, wann eine Coldwallet GARANTIERT nicht kompromitiert sein kann. Eine Internetverbindung bei Erstellung, ein Abbild einer spaeter verschluesselten Plaintextwallet, selbst wenn spaeter geloescht, oder gar die weitere Nutzung des fuer die Erstellung der Wallet benutzten Betriebssystem wuerden diese Garantie schon zunichte machen.

Naja, ist doch eigtl. ganz einfach.
1. der Rechner, auf dem sie erzeugt wird, sollte idealerweise spätestens ab dem Moment der Erstellung niemals mehr in Verbindung mit dem Internet kommen, auch nicht indirekt. Theoretisch ließe sich sonst immer irgendwie Information weiter übermitteln, die bei der Generierung genutzt wurde.
2. die Software, mit der die Coldwallet erzeugt wird, sollte verbreitet, Open Source und alt sein. Alt, um die Wahrscheinlichkeit zu erhöhen, dass evtl. Fehler darin bereits gefunden worden wären.
3. Der Zufallsgenerator des Rechners muss zuverlässig sein.

Du hast Recht! Mir faellt grad auf, dass das was ich im Kopf habe viel zu kompliziert ist *facepalm*. Fuer 3. kann man sowas wie randomsound nutzen. Wegen 2. immer den Originalclienten nutzen. Und zu 1., wenn das OS und alle daran haengenden Partitionen nach Erstellung der verschluesselten Wallet per dd sowieso ueberschrieben werden und die ganze Geschichte nicht im Internet haengt, dann kann man froehlich auf diesem System arbeiten, alle interessanten Informationen werden gezwungenermassen geloescht.

Trotzdem gut das wir darueber geredet haben

[qwk]

wenn das OS und alle daran haengenden Partitionen nach Erstellung der verschluesselten Wallet sowieso ueberschrieben werden und die ganze Geschichte nicht im Internet haengt, dann kann man froehlich auf diesem System arbeiten, alle interessanten Informationen werden gezwungenermassen geloescht.

Und jetzt muss ich mal den Paranoiden geben

Es ist nicht undenkbar, dass bspw. bestimmte Eigenschaften deiner Hardware eine Rolle bei der Generierung von Zufallszahlen auf deinem Rechner spielen.
Wenn diese Eigenschaften bestimmte Muster erzeugen, und sich diese Muster später in irgendeiner Weise als Information an Andere übertragen lassen, selbst ohne einen Internetzugang, sondern z.B. über Variationen im Output von Druckertreibern, dann könnte es theoretisch möglich sein, deine Wallet zu knacken.
Naja, besonders realistisch ist das nicht.

[curiosity81]

wenn das OS und alle daran haengenden Partitionen nach Erstellung der verschluesselten Wallet sowieso ueberschrieben werden und die ganze Geschichte nicht im Internet haengt, dann kann man froehlich auf diesem System arbeiten, alle interessanten Informationen werden gezwungenermassen geloescht.

Und jetzt muss ich mal den Paranoiden geben

Es ist nicht undenkbar, dass bspw. bestimmte Eigenschaften deiner Hardware eine Rolle bei der Generierung von Zufallszahlen auf deinem Rechner spielen.
Wenn diese Eigenschaften bestimmte Muster erzeugen, und sich diese Muster später in irgendeiner Weise als Information an Andere übertragen lassen, selbst ohne einen Internetzugang, sondern z.B. über Variationen im Output von Druckertreibern, dann könnte es theoretisch möglich sein, deine Wallet zu knacken.
Naja, besonders realistisch ist das nicht.

Wie gesagt, dafuer kann man randomsound vorschalten welches den Entropiepool zusaetzlich fuellt (http://bredsaal.dk/improving-randomness-and-entropy-in-ubuntu-9-10). Deswegen halte ich dies wiederum fuer unbegruendet.

[LiteCoinGuy]

Sorry noch eine Frage von mir:

Meine Paranoia teilt sich in zwei Hauptkategorien:
   (i) Wie gut ist der Originalclient programmiert, d.h. Bugs darin koennten zu Verlust von Coins fuehren
   (ii) Wie gut ist meine Wallet geschuetzt

Zu (i):
Man muss wohl den Programmierern und der Community vertrauen, dass die Coldwallet funktionert, selbst wenn durch sie nie eine Transaktion durchgefuehrt wurde, selbst nach vielen Jahren.

Zu (ii):
Leider weiss ich zuviel von Computern um zu wissen, dass jedes System eine Schwaeche hat und zuwenig um jede Schwaeche ausfindig zu machen und zu fixen bzw. zu ueberwachen. Gerade in letzter Zeit wurden ja wieder einige Schwachstellen in Routern und Browsern entdeckt. Wenn man dann noch miteinbezieht was unsere Volkszertreter von Privatssphaere halten, dann sind neue staatlich gefoerderte Loecher in Computersystemen nur eine Frage der Zeit.

Meine Hauptfrage: Wieviel Paranoia ist angebracht und was ist uebertrieben? Wie macht ihr das?

auch eine hardware wallet wäre möglich:

https://bitcointalk.org/index.php?topic=899253.0