keys File kompromittiert trotz Nichtnutzung?

[bct_ail]

Auf einem WIN10 PC wurde 2016 ein Wallet (XMR) installiert. Die Walletsoftware wurde etwas später deinstalliert, aber das keys file ist seitdem auf dem Rechner drauf.

Was nicht sicher ist: Vielleicht wurde mal einige Jahre später das keys file geöffnet. Wenn wurde der Download des Monerowallets aber mit hash verifiziert.

Mit dem PC wurde ganz normal im Internet gesurft, Emails geschrieben, Programme installiert und deinstalliert. Bisher gab es nie den Eindruck, dass ein Schadprogramm o.ä  auf dem Rechner drauf ist.

Das keys file soll nun auf einen anderen Rechner kopiert und dort geöffnet werden. Der andere Rechner ist ein Linux und ausser einem Monerowallet ist da nichts drauf.

Könnte das Risiko bestehen, dass das keys file trotzdem kompromittiert sein kann?

[1714977133]

1714977133

[1714977133]

1714977133

[1714977133]

1714977133

[1714977133]

1714977133

[tux1975]

wenn jemand anderes Zugriff auf die Datei gehabt hat kann es schon sein ... aber wenn Geld noch da dann eher unwarscheinlich.
Ich würde auf Nummer sicher gehen und Restore from seed mit den Wörtern und passphrase machen.

[bct_ail]

Ich würde auf Nummer sicher gehen und Restore from seed mit den Wörtern und passphrase machen.

Seed ist nicht vorhanden. Nur das Keys file und das Passwort.

[mole0815]

Seed ist nicht vorhanden. Nur das Keys file und das Passwort.

Was spricht dagegen die Keys zu kopieren und auf dem neun Gerät den Kontostand zu prüfen?
Falls die Datei in der Vergangenheit bereits kompromittiert wurde macht das nun doch keinen Unterschied mehr... oder was übersehe ich hier?
Also kopieren und nach Zugriff auch gleich alle Funds an eine 100%ig-sichere-Wallet senden wäre doch kein Fehler.

//edit: Sorry Denkfehler. Es geht dir nicht um diese Files sondern du möchtest den Linux Client keiner potentiellen Gefahr aussetzen.

[bct_ail]

//edit: Sorry Denkfehler. Es geht dir nicht um diese Files sondern du möchtest den Linux Client keiner potentiellen Gefahr aussetzen.

Ja genau. Das kam in der Ursprungsfrage wohl nicht so richtig rüber.
Am besten ist es wohl, ein neues jungfräuliches System aufzusetzen, Monerowallet drauf, Verifizieren, Netzwerkverbindung aus, Keys importieren, Seed auslesen und auf dem vorhandenen Monerowallet-Linux-System das Wallet über Seed wieder herstellen.

Würde mich trotzdem interessieren, ob die keys Datei auch kompromittiert sein kann. Diese Frage geht also an die IT-Fachleute hier.

[Lakai01]

Würde mich trotzdem interessieren, ob die keys Datei auch kompromittiert sein kann. Diese Frage geht also an die IT-Fachleute hier.

Die Datei hat den Rechner nie verlassen und blieb immer drauf, richtig?

In der Regel sind die Dateien nicht im Klartext abgelegt sondern verschlüsselt (wenn du die mit einem Editor öffnest siehst du unlesbare Zeichen), die Umwandlung in Klartext passiert durch die Wallet-Software indem du das Passwort eingibst -> die Datei wird quasi entschlüsselt.

Würde jetzt jemand Schadcode in diese Datei einbringen wollen würde dieser zumindest folgende Schritte durchführen müssen:

• Den Rechner hacken und die Datei als sinnvollen Angriffsvektor identifizieren. Das halte ich schon mal für unrealistisch, sowohl Ersteres als auch insbesondere Letzteres.
• Die Datei müsste anschließend geknackt werden, also entweder Bruteforce das Passwort erraten oder der Angreifer weiß das Passwort
• Die so entschlüsselte Datei wird nun um Schadcode ergänzt, wieder verschlüsselt und abgespeichert. Spätestens jetzt kann eine Wallet-Software diese aber höchstwahrscheinlich nicht mehr fehlerfrei lesen
• Um in deinem Szenario Schaden anrichten zu können müsste die Datei ausgeführt werden, ein reines lesen über eine Wallet-Software reicht da in der Regel nicht

Dass da jetzt alle Punkte erfüllt werden und die Datei dann am neuen Rechner auch noch ausgeführt wird (das muss man aber dann schon mutwillig wollen) ist jetzt theoretisch natürlich möglich, praktisch halte ich das aber ehrlich gesagt für nahezu ausgeschlossen.


Welche Checks könntest du vorab durchführen?

• Ist die Datei nach wie vor verschlüsselt oder liegt diese in Klartext vor? Wenn Klartext, steht dort auffälliger Text drinnen?
• Check der Datei mit einem Virenscanner -> sollten auffällige Routinen verwendet worden sein könnten diese uU. erkannt werden, vermutlich aber eher nicht

Um ganz sicher zu gehen einfach auf einem Rechner ausführen ohne Internetverbindung wie du bereits richtig geschrieben hast, dann kann in der Regel nix passieren.

[Lafu]

Was du machen kannst wenn du dir ganz sicher sein willst ob die Datei geändert wurde in diesem Zeitraum von 2016 bis jetzt ist,
das du unter Eigenschaften nachschaust dort findet sich normalerweise ein hinweis auf das letzte datum wann sie geändert wurde.
Sollte sogar möglich sein mehrere Datums zu sehen wann sie geändert wurde , auch das verschieben in andere Ordner wird als benutzt gezählt.
Aber wie Lakai01 bereits geschrieben hat sollte es keine probleme geben da der aufwand zu groß wäre die Datei zu infizieren.
Bevor sich jemand diese arbeit macht ist es einfacher die datei direkt zu benutzen und die coins abzuheben.

[bct_ail]

Danke für eure Einschätzung.

Welche Checks könntest du vorab durchführen?

• Ist die Datei nach wie vor verschlüsselt oder liegt diese in Klartext vor? Wenn Klartext, steht dort auffälliger Text drinnen?
• Check der Datei mit einem Virenscanner -> sollten auffällige Routinen verwendet worden sein könnten diese uU. erkannt werden, vermutlich aber eher nicht

Um ganz sicher zu gehen einfach auf einem Rechner ausführen ohne Internetverbindung wie du bereits richtig geschrieben hast, dann kann in der Regel nix passieren.

Was du machen kannst wenn du dir ganz sicher sein willst ob die Datei geändert wurde in diesem Zeitraum von 2016 bis jetzt ist,

Das wurde nun auch so gemacht. Der Seed wurde auf einem jungfräulichen internetlosen System extrahiert und auf den Linux-PC übertragen.

Interessanterweise war bei dem mit Editor geöffneten keys-File (wo kein Seed aufgeschrieben wurde), nur chinesische Zeichen drin. Bei anderen keys-file auf dem PC waren Zeichen drin, die typisch für eine verschlüsselte Datei sind.

[Lakai01]

-snip-
Interessanterweise war bei dem mit Editor geöffneten keys-File (wo kein Seed aufgeschrieben wurde), nur chinesische Zeichen drin. Bei anderen keys-file auf dem PC waren Zeichen drin, die typisch für eine verschlüsselte Datei sind.

Das braucht euch nicht weiter zu beunruhigen. Vereinfacht gesagt liegt das an der Codierung der Datei wie der jeweilige Editor das darstellt. Die verschlüsselten Daten sind ja nicht Klartext-lesbar, jetzt nehmen verschiedene Editoren für verschiedene Dateien (oder auch für die gleiche Datei) andere "Encodings" an und stellen die Zeichen nach bestem Wissen und Gewissen dar.

[-doubleU-]

Interessanterweise war bei dem mit Editor geöffneten keys-File (wo kein Seed aufgeschrieben wurde), nur chinesische Zeichen drin.

Vereinfacht gesagt liegt das an der Codierung der Datei wie der jeweilige Editor das darstellt. ~

Ich würde auch denken das die "chinesische Zeichen" nur auf eine Codierung der Datei zurück zu führen sind und in einem Translator (wo man diese selbstverständlich sichereitshalber nicht eingeben sollte) zu keinem sinnvollen Ergebnis führen würden.
Für mich wäre aber auch echtes Chinesisch schon eine ausreichende Verschlüsselung 
Wenn du den Seed extrahieren konntest ist das ja eine gute Nachricht.