Paper Wallet

[DMI81]

Hallo zusammen,

ich möchte btc und eth paper wallets erstellen. Habe auf btc-Echo und etherbasics Anleitungen gefunden. Wie vertrauenswürdig sind dieses? Gibt es bessere Anleitungen? Wie stelle ich sicher, dass der generierte Private Key nicht jemand Drittes mitliest ( zb der Ersteller der Instanz, die die paper wallet erzeugt).

Danke & Grüße,
D

[Chris601]

Ich kann nur für BTC sprechen.

Möglichjkeit 1:
www.bitaddress.org gilt als seriös und sicher wenn:
- du den Download dieser Seite nutzt
- den Download verifizierst
- auf einem offline-Rechner nutzt, der danach nie wieder online geht (z.B. VM oder Linux-Live-CD)

Möglichkeit 2:
- du benötigst gar keinen externen Service (dem du vertrauen musst)
- du lädst bitcoin Core runter (Referenzsoftware)
- du verifizierst den Download
- du öffnest Core auf einem Offline-Rechner, der danach nie wieder online geht (z.B. VM oder Linux-Live-CD)
- du erzeugst eine (oder mehrere) Adressen und notierst/druckst diese samt des dazugehörigen Privatkeys

Beides ist schon sehr sicher.

www.bitaddress.org online zu besuchen und Paperwallets drucken geht prinzipiell auch und es ist gar nicht so leicht zu hacken, bringt aber eben ein paar Unsicherheitsfaktoren mit, die man umgehen könnte.

[Ckjnow]

wie verifiziert man einen Download? (bitte für einen Laien leicht erklären   )

was mich interessieren würde: wie bekomme sprich, wie sende ich meine Coins wieder von einer Paper Wallet auf eine Exchange? Muss ich da eine Software runterladen? oder gebe ich da nur im Internet die Keys ein und es geht automatisch?

Du kannst deinen BTC Private Key z.B. bei Bitcoin Core importieren und von dort aus deine BTCs an eine Exchange senden.

[Chris601]

Wenn du deinen privat-key irgendwo im Internet einklimperst, kannste dir vorher den Sicherheitszirkus auch ersparen. Gute Idee.

[Ckjnow]

Jetzt besser?

[DMI81]

Ich hab irgendwie nen geistigen Klemmer: wenn ich mir über eine Website diese keys erstelle, dann weiß doch die Seite, welche die keys sind!? Oder nicht?
Die werden doch über den dort geschreiebenen code erzeugt!?

Ergänzende Frage: ist denn ein ledger (über chrome extension) oder ein TREZOR endgültig safe? Auch dort vertraue ich doch auf die Hersteller, dass sie die keys nicht rekonstruieren können?

Bitcoin-eigner werden ist nicht schwer, bitcoins sicher halten dagegen sehr..
Vielleicht stelle ich mich auch einfach nur zu doof an?

Bitte um Aufklärung. Danke euch

[Chris601]

Du bist auf einem guten Weg.

Ich hab irgendwie nen geistigen Klemmer: wenn ich mir über eine Website diese keys erstelle, dann weiß doch die Seite, welche die keys sind!? Oder nicht?

Könnte sie. Oder du könntest "belauscht" werden. Oder du hast schon irgend ein Schnüffelprogramm auf dem PC, dass die Daten weitergibt.
Deshalb steht in meiner ersten Antwort: offline. Das machst du eben mit einem Rechner, der danach nie wieder online geht. Das ist schon ziemlich sicher.

Die werden doch über den dort geschreiebenen code erzeugt!?

Genau, und dieser Code ist offen einsehbar und bisher hat noch niemand eine Schwachstelle gefunden, die problematisch wäre.
Trotzdem solltest du vorsichtig sein, schließlich ist da ja wieder eine andere Partei im Boot und irgendwo versteckt sich im Code vielleicht doch eine Schwachstelle.

Ergänzende Frage: ist denn ein ledger (über chrome extension) oder ein TREZOR endgültig safe? Auch dort vertraue ich doch auf die Hersteller, dass sie die keys nicht rekonstruieren können?

Exakt. Aus genau diesem Grund ist ein Hardware-Wallet nicht sicherer als ein ordentlich erzeugtes Paperwallet.

[DMI81]

Danke, Chris, für Deine geduldigen Antworten!
Opa hat’s gleich gerafft ;-))

Wenn ich richtig verstehe, dann brauche ich einen extra-Rechner?
Kann ich das irgendwie umgehen, also zb den Rechner solange offline halten, bis ich den private Key und sagen wir 10 Public keys erschaffen habe und danach die zur Erzeugung genutzte Software lösche?
Geht das so? Oder muss ich mir dafür wirklich einen extra-Rechner anschaffen?

Also: entweder Hardware wallet oder paper wallet. Bei beidem vertraue ich einem Externen?

Und noch eine Frage: kann der Drucker irgendwie kompromittiert werden? Sollte den Cache dort auch löschen?

Achso: die Beschreibung gilt ja nun für btc. Wie mach ich das für eth und erc20 tokens?

Viele Grüße,
D

[Chris601]

Man landet da in Kompromisslösungen. Ja, klar, über die Sicherheit eines eigenen nie online gewesenen und nie online gehenden Rechners geht nichts hinaus.

Ein Kompromiss kann aber sein, das ganze in einer VM (virtuellen Maschine) oder mit einer Linux-Live-DVD zu basteln, die jeweils keine Netzwerkverbindung haben. Die VM kann man anschließend einfach löschen und die Live-Session beenden.

Als wirkliche offline-Maschine könnte man über einen RaspberryPi nachdenken. Der sollte zumindest bitadresss.org ordentlich nutzbar machen können.

[DMI81]

Aber den Insel-Rechner müsste ich ja zb mit einem usb Stick mit Daten füttern. Und dann wäre er ja auch wieder kompromittierbar... oder nicht?

Ich frage mich noch, was ich mit dem Drucker mache.. da sind die Daten ja auch drübergerutscht.

Wie hast Du es gemacht? So wie beschrieben mit dem offline Rechner?

[Chris601]

Ich habe es mit einem verifizierten Core-Download in einer offline-Linux VM gemacht, die ich danach gelöscht hatte.

Mein Drucker ist so alt und dumm, dass ich mir da keine Sorgen mache. Du bekommt so aber eben nur Zahlen und Buchstaben. Das ist nicht so schön bunt wie die Papiere von bitaddress.

Vielleicht bastel ich mir aber auch noch eine extra Speicherkarte für den RaspPi.

[mezzomix]

Man sollte zwar sorgfältig sein, muss es aber nicht übertreiben. Ich habe einfach im Offline Browser mit der lokalen Kopie von bitaddress.org die Paper Wallet erzeugt, abgespeichert (BIP38!), ausgedruckt und danach den Browser geschlossen.

Wer seinem Rechner nicht grundsätzlich trauen kann, der sollte als zusätzlichen Schritt von einer Live CD oder von einem USB Stick booten. Den USB Stick könnte man dann aus dem laufenden System mit 0 füllen, falls das Live System aus dem RAM läuft. Danach den Rechner und den Drucker ausschalten und am besten ein paar Stunden / über Nacht aus lassen. Ganz Paranoide können während der Prozedur noch die Platte(n) im Rechner abziehen.

Vollständige Sicherheit gibt es mit heutigen Rechnern durch Backdoors wie Intel ME und Co leider gar nicht mehr.