Bitcoin Forum
December 15, 2017, 07:32:57 AM *
News: Latest stable version of Bitcoin Core: 0.15.1  [Torrent].
 
   Home   Help Search Donate Login Register  
Pages: [1]
  Print  
Author Topic: woher einem wallet vertrauen ???  (Read 199 times)
cupcake888
Newbie
*
Offline Offline

Activity: 4


View Profile
December 06, 2017, 03:35:51 PM
 #1

hallo. ich habe ein verständnisproblem

und zwar wenn ich per electrum,mycellium oder wo auch immer ein wallet und seeds generiere, woher weiß ich dass die entwickeler im hintergrund nicht die seeds speichern (oder sogar einem direkt eine eigene wallet adresse geben) und bei gelegenheit alle wallets leer machen.

vielen dank und grüße
1513323177
Hero Member
*
Offline Offline

Posts: 1513323177

View Profile Personal Message (Offline)

Ignore
1513323177
Reply with quote  #2

1513323177
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
mezzomix
Legendary
*
Offline Offline

Activity: 1932


View Profile
December 06, 2017, 04:39:50 PM
 #2

Entweder Du vertraust den Entwicklern, Du vertraust den anderen Nutzern das der Source Code in Ordnung ist, Du prüfts den Source Code selbst oder DU prüfst den Source Code und baust die Software selbst.

Der letzte Punkt wäre am besten ist aber praktisch nicht zu immer und von jedem zu machen. Ich würde mindestens voraussetzen, dass der Source Code vorhanden und damit überprüfbar ist und dass die Builds der Entwickler signiert und reproduzierbar sind.
cupcake888
Newbie
*
Offline Offline

Activity: 4


View Profile
December 06, 2017, 05:46:19 PM
 #3

ok das mit dem opensource ist schon mal rechtvertrauenswürdig.

das mit dem  "....die Builds der Entwickler signiert und reproduzierbar sind..." verstehe ich nicht so ganz.

könntest du das etwas laienhafter erklären?
qwk
Donator
Legendary
*
Offline Offline

Activity: 1624


Bitcoin Foundation Member


View Profile WWW
December 06, 2017, 06:17:24 PM
 #4

und zwar wenn ich per electrum,mycellium oder wo auch immer ein wallet und seeds generiere, woher weiß ich dass die entwickeler im hintergrund nicht die seeds speichern (oder sogar einem direkt eine eigene wallet adresse geben) und bei gelegenheit alle wallets leer machen.
Wenn du nicht selbst in der Lage bist, den Quelltext zu prüfen, wirst du um ein gewisses Vertrauen nicht herum kommen.
Grundsätzlich ist es in solchen Fällen besser, ältere Software zu verwenden, die schon ein paar Monate lang von anderen getestet werden konnte*.
Die "immer-die-neusten-Updates"-Mentalität, die man dem Normaluser anerzogen hat, ist hier eher schädlich.

Wenn du dann "alte" Software nutzt, ist es sinnvoll, diese offline zu nutzen, also ohne eine Verbindung zum Internet.
Im Idealfall erzeugst du deine wichtigsten Wallets auf Rechnern, die niemals mit dem Internet verbunden werden.

Selbst dann gibt es natürlich noch das Risiko, dass die Software tatsächlich einen vorher dem Entwickler bekannten Key erzeugt.
Insofern bleibe ich dabei, dass für den Normalanwender ein gewisses Maß an Vertrauen notwendig sein wird.

Das Gute an der Sache: je mehr deine Bitcoins einmal wert sind, desto mehr wirst du dich mit der Thematik auseinandersetzen.
Dann verstehst du auch besser, worauf es ankommt, und kannst dich entsprechend besser absichern.

*Mal als kleine Anekdote am Rande, ich verwende teilweise noch immer ca. 6 Jahre alte Software auf einem entsprechend alten Rechner Wink

Yeah, well... I'm gonna go build my own blockchain, with blackjack and hookers. In fact, forget the blockchain!
cupcake888
Newbie
*
Offline Offline

Activity: 4


View Profile
December 06, 2017, 07:30:47 PM
 #5

alles klar. aber wie soll denn eine offline software ein wallet generieren?

ich habe mir die wallets als analogie wie email adressen vorgestellt, nur dass statt emails dort btc´s ankommen. müssen die wallets nicht wie bei emailadressen auf verfügbarkeit überprüft werden.

oder habe ich da einen denkfehler?
mezzomix
Legendary
*
Offline Offline

Activity: 1932


View Profile
December 06, 2017, 09:06:17 PM
 #6

das mit dem  "....die Builds der Entwickler signiert und reproduzierbar sind..." verstehe ich nicht so ganz.

Es gibt Methoden, die Software so zu bauen, dass der gleiche Quellcode nach der Übersetzung immer zum identischen ausführbaren Programm führt. Damit kann eindeutig nachgewiesen werden, dass das genutzte Program aus der entsprechenden Quelle stammt.

Kryptosoftware sollte immer so gebaut werden. Mehr als Taschengeld würde ich einer anders gebauten Software nicht anvertrauen.

Die ausführbaren Dateien werden danach von den Entwicklern signiert. Damit wird nochmal kryptpgraphisch sichergestellt, dass das Programm von den Entwicklern selbst freigegeben wurde. Verändert jemand die Software oder versucht, eine andere Software unterzuschieben, dann stimmt die Signatur nicht mehr. Ebenfalls ein zwingendes Verfahren bei Kryptosoftware.

Hier die passende Signatur für den aktuellen Core Client 0.15.1. Diese kann mit jeder PGP/GPG Implementierung überprüft werden.

Code:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

d64d2e27cad78bbd2a0268bdaa9efa3f1eca670a4fab462b5e851699c780e3a0  bitcoin-0.15.1-aarch64-linux-gnu.tar.gz
ceba092c9a390082ff184c8d82a24bc34d7f9b421dc5c1e6847fcf769541f305  bitcoin-0.15.1-arm-linux-gnueabihf.tar.gz
231e4c9f5cf4ba977dbaf118bf38b0fde4d50ab7b9efd65bee6647fb14035a2c  bitcoin-0.15.1-i686-pc-linux-gnu.tar.gz
b6771c5d67fb6b9c4882cc351e579470a008211d76407155e544b28b00fcd711  bitcoin-0.15.1-osx64.tar.gz
0ce5ca1ba424603526d8a40d9321f1f735797a7205a7fbbe39561c078f2a0858  bitcoin-0.15.1-osx.dmg
34de2dbe058c1f8b6464494468ebe2ff0422614203d292da1c6458d6f87342b4  bitcoin-0.15.1.tar.gz
cc7a31d8fece1462955bddef87945420721e42cfe6af589a36547b0940851765  bitcoin-0.15.1-win32-setup.exe
4d2ad1371df1904367955d3f250212d0edd9f338c26d5cd60d7d8ce3f1733f5a  bitcoin-0.15.1-win32.zip
905a5999fb52b083d7e3bedb2dc6704ca641823f81865db58a55a6a20b454d8c  bitcoin-0.15.1-win64-setup.exe
b858521496c0d7699a6916c20767cdb123eb39be70ffc544d6876b08af3b696a  bitcoin-0.15.1-win64.zip
387c2e12c67250892b0814f26a5a38f837ca8ab68c86af517f975a2a2710225b  bitcoin-0.15.1-x86_64-linux-gnu.tar.gz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
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=6mwW
-----END PGP SIGNATURE-----

alles klar. aber wie soll denn eine offline software ein wallet generieren?

Eine Wallet ist letztendlich nur der (einer oder mehrere) Privatschlüssel zum signieren einer Transaktion. Dieser Schlüssel kann Offline mit einem (guten!) Zufallszahlengenerator erzeugt werden. Notfalls kann man diesen mit einem stinknormalen Würfel auswürfeln. Das hier ist eine Wallet (bitte nicht benutzen, denn darauf hat jetzt jeder Zugriff!):
Code:
Kz6rCmHDCChhzjDVT5FXoMb9AZsFk9XK7y3c3eBm1pNrjdYvoLWP

Die zugehörige Adresse kann daraus leicht (https://bitaddress.org/ - Walletdetails) berechnet werden:
Code:
1NZBKMdnuZNZ5c19FiHNo1EcqiJ2KaShxH

Einfach selber ausprobieren. Wissen ist Macht - und nichts wissen macht (auch im Kryptobereich) mindestens arm.
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!