viele Wallets klug verwalten dank BIP 39 und BIP 85

[virginorange]

Wie kann ich BIP 39 und BIP 85 nutzen, um meine Wallets zu verwalten? Anbei habe ich mir schon ein paar Gedanken gemacht. Aber die klugen Köpfe hier in diesem Forum finden bestimmt noch Schwachpunkte in meinem Konzept.

Anforderungen:

Bitcoin nicht verlieren (weil wir unseren privaten Schlüssel vergessen)
kein Diebstahl (weil Bösewicht unseren privaten Schlüssel findet) und kein Raub (weil Bösewicht weiß, dass wir Bitcoin haben).
Unser Kernproblem ist: Wir haben viele Geheimnisse aber wenige sichere Orte. Dank BIP 85 müssen wir auf weniger Geheimnisse aufpassen. Dank BIP 39 Passphrase müssen die Orte weniger sicher sein.

Warum haben wir viele Geheimnisse?
Ich möchte Bitcoin nicht verlieren, also benötige ich mehrere Backups.
Ich möchte Diebstahl vermeiden also muss ich meinen privaten Schlüssel verstecken (damit er nicht gefunden wird), tarnen (damit der Finder des privaten Schlüssels nicht erkennt, was er gefunden hat) und aufteilen (damit das Finden eines Verstecks nicht ausreichend für den Dieb ist).
Zusätzlich benötige ich mehrere Wallets.

Mehrere Wallets auf jeweils mehrere Teile aufteilen, bei denen jedes Teil mehrfach aufbewahrt wird gibt am Ende viele Geheimnisteile. Z.B. Wir haben 3 Wallets, deren privater Schlüssel in je 3 Teile zerlegt wird und für jedes Teil haben wir 3 Sicherheitskopien. Das macht in Summe 333 = 27 Geheimnisse. Jetzt musst du erst mal 27 sichere Orte finden. Das ist nicht so einfach.

Warum haben wir wenige Orte?
Das wird noch schwieriger, wenn diese Orte nicht dein Gehirn oder dein Haus sein sollten, weil bekannt ist, dass du Bitcoin besitzt.

Wie hilft uns BIP 85 und BIP 39?
BIP 85 und BIP 39 hilft uns weniger Geheimnisteile zu produzieren. Durch BIP 85 können wir 3 Wallets mit einem Seed erstellen. Statt 27 Geheimnisse haben wir nur noch 133 = 9 Geheimnisse.

BIP 39 Passphrase ermöglicht ein beliebiges Passwort zu ergänzen. Weil man diesem Passwort nicht ansieht, dass es zu einer Bitcoin Wallet gehört, kommen nun weniger sichere Orte in betracht.


Drei Gründe für mehrere Wallets:
    •  $5 wrench attack: Verbrecher quält dich solange, bis du ihm deinen privaten Schlüssel verrätst. Wer mehrere Wallets hat, behält einen Teil seines Vermögens.
    • Trennung von Identitäten: 1 Wallet für zentrale Börsen, 1 Wallet für anonym gekaufte Bitcoin, sonst riskierst du eine Vermischung und Verlust der Anonymität. Trennung je nach Verkäufer möglich.
    • Unterschiedliche Sicherheitslevels: Hardware-Wallet vs. Handy-Wallet

Herausforderungen beim Backup:
    • Verlust des privaten Schlüssels = Verlust deiner Bitcoin, daher musst du gut auf deinen privaten Schlüssel aufpassen
    • Viele Backups verwalten ist Zeitaufwändig, Fehleranfällig und dir gehen die Orte aus.
    • 24 Worte lassen sich leicht als privater Schlüssel identifizieren, daher dürfen Fremde diese Worte nicht sehen, sonst können sie dich bestehlen (24 Worte) oder zumindest berauben (sie wissen, dass du Bitcoin hast)
    • Worauf man Zugriff hat, kann man unter Druck herausgeben. Als Schutz lagere Teile vom privaten Schlüssel bei anderen Menschen.
    • Bekanntheit erschwert Backup-Strategie
        ◦ Bitcoin-Eigentum geheim:
            ▪ Gedächtnis = sicherer Ort
                • Gehirn immer dabei
                • Gedächtnis ist für andere nicht einsehbar
            ▪ offensichtliche Orte (z.B. dein Haus) = sicherer Ort
                • dauerhaft Zugriff ermöglicht gute Verstecke
                • fremdes Haus: wenig Zeit und keine Baumaßnahmen
            ▪ durch Kombination von Gedächtnis und offensichtlichen Orten hast du genügend Redundanz für dein Backup
        ◦ Bitcoin-Eigentum bekannt
            ▪ wenn bekannt wirst, dass du Bitcoin hast, werden sichere Orte weniger sicher
            ▪ du & offensichtliche Orte werden zur Zielscheibe für Verbrecher
            ▪ Gedächtnis und offentsichtliche Orte werden zu weniger sicheren Orten
            ▪ Teil deines Geheimnisses musst du woanders lagern, wo du keinen schnellen Zugriff hast
            ▪ Verbrecher bekommt unsere Bitcoin nicht, selbst wenn er unser Haus dauerhaft in Beschlag nimmt oder uns Kidnapped und foltert
            ▪ Alternative Orte
                • Freunde, Familie, Anwalt, Bankschließfach
                • Orte problematisch: einsehbar, wenig Orte

Werkzeuge:
    • BIP 39: Wir erstellen eine neue Wallet indem wir zu den 24 Seed Wörtern ein zusätzliches Passwort ergänzen.
        ◦ 24 Wörter = Wallet 1
        ◦ 24 Wörter + Passwort 1 = Wallet 2
        ◦ 24 Wörter + Passwort 2 = Wallet 3
    • BIP 85: Von Seed 1 leiten wir Seed 2, Seed 3, usw. ab. Von Seed 2, 3, usw. kommen wir aber nicht mehr auf Seed 1 zurück.
        ◦ 24 Wörter = Wallet 1
        ◦ 24 Wörter + Index Nummer -D neue 24 Wörter
        ◦ Anwendungsgebiet: Seed 2 für die Wallet auf dem Handy. Nur 1 Backup nötig für 2 Wallets. Handy-Räuber kann nur Wallet 2 ausräumen aber kennt Existenz von Wallet 1 nicht.

Plan:
    • Verbrecher weiß, dass ich Bitcoin besitze und setzt mich unter Druck: Ich gebe dem Verbrecher eine Wallet mit einem kleinem Betrag
    • Verbrecher kennt eine Wallet mit einer bestimmten Gegenpartei: Verbrecher bekommt nur eine Wallet
    • Entfernte Orte / Personen wissen nicht, worauf sie aufpassen
      

Umsetzung:
    • 24 Seed Wörter:
        ◦ Erstellung:
            ▪ Algorithmus der Hardware-Wallet prüfen
            ▪ Wörter würfeln
        ◦ Lagerung (im persönlichen Bereich):
            ▪ Gedächtnis: 24 Seed Wörter
            ▪ Wohnhaus / Garten: 12 Seed Wörter + 12 Seed Wörter
            ▪ Gartenhütte / Arbeit / Verwandte / Verein: wenn verfügbar je 12 Seed Wörter gut versteckt
        ◦ an vielen Orten (Redundanz) mit gutem Zugriff, nie online
    • 25. Wort mit viel Entropie
        ◦ Erstellung:
            ▪ 20 Zeichen per Keypass auf Tails erstellt
            ▪ zusätzlich ein paar Wörter gewürfelt
        ◦ Lagerung (außerhalb vom eigenen Zugriff):
            ▪ Freunde, Familie
            ▪ Anwalt, Bankschließfach
        ◦ Verstecken
            ▪ Nadel im Heuhaufen
                • Studienunterlagen
                • Buch in Bücherregal
            ▪ falsche Bezeichnung
                • Software mit Freischaltungscode
                • Passwort-Buch unter Zugang zu Onlineshop
                • Passwort-Datenbank einer anderen Person
            ▪ im Bild
                • Stenographisch versteckt
                    ◦ Bild privat aufgenommen (Digitalkamera / GrapheneOS-Handy, nicht iPhone)
                    ◦ Passwort privat ins Bild geschrieben (Tails)
                • liegt im Email-Postfach einer anderen Person
            ▪ Passwort Datenbank
        ◦ Online lagern nicht so schlimm, weil ja noch 24 Seed Wörter offline sind
    • BIP 85 alle Child-Wallets anlegen
        ◦ Basis 24 Wörter plus 25. Wort
        ◦ für jeden Bedarf eine neue Wallet erstellen
        ◦ aufschreiben, welche Wallet welchem Zweck dient

Was können wir hier verbessern?

[1714885640]

1714885640

[1714885640]

1714885640

[1714885640]

1714885640

[Turbartuluk]

Finde ich spannend!
Ich gehöre was das Thema angeht zwar sicher nicht zu den klügeren Köpfen und bin was mein "krypto-Vermögen" angeht weit davon entfernt so einen Aufwand betreiben zu müssen, aber man lernt ja nie aus und Gedankenspiele machen ja auch Spaß....

Was das Verstecken angeht kam mir mal die Idee das in einem (Fake-)QR-Code zu verstecken. Dann kann man es theoretisch auch mitnehmen, ohne dass es groß auffällt (z.B. auf Visitenkarte gedruckt).
https://bitcointalk.org/index.php?topic=5449963.msg62140153#msg62140153

Was das generieren der seed phrase angeht finde ich die Würfelmethode ja ganz cool:
https://bitbox.swiss/blog/wurfle-deine-eigene-bitcoin-wallet/
Laut der Anleitung kann man nur 23 Wörter würfeln, weil für das 24. Wort dann nur noch 8 valide Möglichkeiten infrage kommen.

Jetzt kommen meine Fragen:
Kann man auch irgendwie "händisch" ermitteln welche 8 Möglichkeiten übrigbleiben, um komplett offline und unabhängig von Dritten zu bleiben?
Wie hängt die seed phrase mit public bzw. private keys zusammen? Ist das einfach nur eine "Übersetzung" von binär in alphanumerisch?
Und wie genau geht man vor, um mit dem 25. Wort eine neue Wallet zu erstellen?

[virginorange]

Was das generieren der seed phrase angeht finde ich die Würfelmethode ja ganz cool:
https://bitbox.swiss/blog/wurfle-deine-eigene-bitcoin-wallet/
Laut der Anleitung kann man nur 23 Wörter würfeln, weil für das 24. Wort dann nur noch 8 valide Möglichkeiten infrage kommen.

Jetzt kommen meine Fragen:
Kann man auch irgendwie "händisch" ermitteln welche 8 Möglichkeiten übrigbleiben, um komplett offline und unabhängig von Dritten zu bleiben?
Wie hängt die seed phrase mit public bzw. private keys zusammen? Ist das einfach nur eine "Übersetzung" von binär in alphanumerisch?
Und wie genau geht man vor, um mit dem 25. Wort eine neue Wallet zu erstellen?

12 Seedwörter lassen sich einfach würfeln. Die Checksumme im 12. Wort sind nur 4 Bits. Das bedeutet, du musst nur durchschnittlich 8 Wörter für das 12. Wort ausprobieren, um zulässige Seed Wörter zu erhalten.

So sieht das aus: https://youtu.be/UwicokcZtHs

Bei 24 Seed Wörtern ist die Checksumme 8 Bits, dh. durchschnittlich 128 Versuche. Das ist natürlich zu langwierig das alles manuell durchzuprobieren. Diese Checksumme kannst du aber auch am Computer berechen.

So sieht das aus: https://youtu.be/7oeh7OeSKmc

Der Vorteil der manuellen Berechnung auf Tails ist, dass du keiner Hardware-Wallet vertrauen musst. Der Nachteil ist, dass der Benutzung von Tails (läuft im Arbeitsspeicher) ohne die Benutzung des Internets und der Tastatur trotzdem Informationen der Seed Wörter Generierung ins Internet leaken.
Trotzdem würde ich eine manuelle Rechnung auf Tails machen, allein zum Verständnis.

Deswegen wähle ich einen dritten Weg. Ich verifiziere die Berechnungsmethode auf der Cold Card (Würfel zu Hash, Hash zu Seed und Seed zu Adressen) mit Hilfe des Computers und anschließend benutze ich meine Cold Card (ohne Computer), um mir meine Seed Wörter zu würfeln.

So sieht das aus: [das Video ist noch in Arbeit]

[Cricktor]

12 Seedwörter lassen sich einfach würfeln. Die Checksumme im 12. Wort sind nur 4 Bits. Das bedeutet, du musst nur durchschnittlich 8 Wörter für das 12. Wort ausprobieren, um zulässige Seed Wörter zu erhalten.

Jedes Mnemonic-Wort kodiert 11 Bit vom Seed. Bei zwölf Wörtern mal 11 Bit kodieren diese einen 128-Bit Seed plus 4 Bit des SHA256-Hashes vom Seed. Das letzte Wort hat also noch 7 Bit vom Seed und die 4-Bit Prüfsumme. Somit passen 128 (=2^7) Wörter aus der 2048-BIP-39-Wörterliste zu den 7 Bit-Restteil des Seeds, aber nur ein Wort passt dann mit der richtigen zugehörigen Prüfsumme.
An der Stelle ist ein 12-Mnemonic Worte Seed ungünstig.

Bei 24 Seed Wörtern ist die Checksumme 8 Bits, dh. durchschnittlich 128 Versuche. Das ist natürlich zu langwierig das alles manuell durchzuprobieren. Diese Checksumme kannst du aber auch am Computer berechen.

Bei 24 Mnemonic Worte Seed ist die Situation wesentlich besser. 24 mal 11 Bits kodieren einen 256 Bit Seed plus 8 Bit des SHA256-Hashes vom Seed. Das letzte Wort kodiert nur noch 3 Bits vom 256-Bit Seed und natürlich noch die 8 Bit der Prüfsumme. Drei Bit ergeben dann nur noch 8 passende Worte aus der BIP-39-Wortliste, von denen dann wiederum nur eines die korrekte Prüfsumme enthalten kann. Hier hat man also nur leicht handhabbare acht Wortkandidaten zu prüfen.

Du kannst dir das verifizierbare Iancoleman-Skript von dessen Github in TAILS laden, anschließend TAILS offline setzen, jede Netzwerkschnittstelle deaktivieren. Dann kannst du rechnen, was du möchtest, würfeln, daraus 'nen Seed zaubern, den wiederum bequem mit dem Iancoleman-Skript in Mnemonic Worte gießen. Alles sicher und dann auch zuverlässig offline. Beendest du TAILS, hat es alles vergessen, es bleiben keinerlei Spuren zurück, wenn du auf den persistenten Speicher verzichtest. Dazu ist ja gerade dieses Live-System gebaut worden, damit es vergisst, das A von TAILS steht für Agnostic und keine verräterischen Spuren hinterlässt.

[willi9974]

Interessante Gedankengänge und wenn du deinen Seed dann hast, Denk an das sichere Medium wo du es auch aufbewahren kannst. Zb. Edelstahlplatten, die du auch aufteilen kannst, also zb. einen Seed auf drei Platten aufteilen von denen du min. 2 von 3 brauchst um den Seed zu benutzen.

Details hier in dem Beitrag.
https://bitcointalk.org/index.php?topic=5319811.0

Viele Grüße
Willi

[virginorange]

sichere Medium wo du es auch aufbewahren kannst. Zb. Edelstahlplatten

Deine Edestahlplatten sehen gut aus. Hast du einen Onlineshop?

Jedes Mnemonic-Wort kodiert 11 Bit vom Seed. Bei zwölf Wörtern mal 11 Bit kodieren diese einen 128-Bit Seed plus 4 Bit des SHA256-Hashes vom Seed. Das letzte Wort hat also noch 7 Bit vom Seed und die 4-Bit Prüfsumme.Somit passen 128 (=2^7) Wörter aus der 2048-BIP-39-Wörterliste zu den 7 Bit-Restteil des Seeds, aber nur ein Wort passt dann mit der richtigen zugehörigen Prüfsumme.
An der Stelle ist ein 12-Mnemonic Worte Seed ungünstig.

Ich würfle mir die 128 Bit und rechne dann die Prüfsumme über 128 Bit. Dadurch habe ich ja schon 7 Bit der 11 Bit des 12. Wortes erwürfelt. Es fehlen ja nur noch 4 Bit Prüfsumme. Ich suche also ein Wort von 16 Wörtern (= 4 Bit). Die Restliche BIP 39 Wortliste ist hier gar nicht mehr relevant, weil die ersten 7 Bit ja nicht passen.

Du kannst dir das verifizierbare Iancoleman-Skript von dessen Github in TAILS laden, anschließend TAILS offline setzen, jede Netzwerkschnittstelle deaktivieren. Dann kannst du rechnen, was du möchtest, würfeln, daraus 'nen Seed zaubern, den wiederum bequem mit dem Iancoleman-Skript in Mnemonic Worte gießen. Alles sicher und dann auch zuverlässig offline. Beendest du TAILS, hat es alles vergessen, es bleiben keinerlei Spuren zurück, wenn du auf den persistenten Speicher verzichtest. Dazu ist ja gerade dieses Live-System gebaut worden, damit es vergisst, das A von TAILS steht für Agnostic und keine verräterischen Spuren hinterlässt.

Skripte sind natürlich bequemer, ich wollte allerdings viel manuell machen, damit ich (i) den Prozess verstehe und (ii) "don't trust, verify".

Tails ist sicherlich das beste System für diesen Zweck. Ein kleines Restrisiko bleibt, weil die Hardware eines Laptops viel umfangreicher ist als bei einer Hardwarewallet und einzelne Hardware-Bestandteile ggf. dann noch eine Hintertür haben

[Cricktor]

Das erste Zitat in deinem vorherigen Beitrag, das du mir zusprichst, ist aber von willi9974 und nicht von mir.

Ich dachte, du wolltest würfeln und möglichst alles "zu Fuß" machen und keine extra Software für die Berechnung der SHA256-Prüfsumme vom Seed machen. Von Hand möchtest du einen SHA256-Hash ganz sicher nicht rechnen. Wenn du eh eine Software einsetzt, dann brauchst du eine sichere Plattform zum Arbeiten und dann stelle ich mal das Händische infrage. Händisches Würfeln ist natürlich OK, gute Würfel vorausgesetzt.

Über Jahre erprobte, begutachtete und gepflegte Skripte vertraue ich, zumich ich auch den Code lesen und zum größten Teil verstehen kann. Das schaue ich mir an den kritischen Stellen schon selbst an. Dann ist es aber für mich auch OK, in sicherer Umgebung es zu benutzen, anstatt zuviel selbst händisch zu machen, wo sich leicht Fehler einschleichen können.

[Turbartuluk]

~

+5 für deinen Youtube Kanal. Hab da inzwischen einige Stunden verbracht, super viel gelernt und mich absolut bestätigt gefühlt, dass ich in Sachen Technik/Privatsphäre hier sicher nicht zu den hellsten Köpfen zähle.

Skripte sind natürlich bequemer, ich wollte allerdings viel manuell machen, damit ich (i) den Prozess verstehe und (ii) "don't trust, verify".

Tails ist sicherlich das beste System für diesen Zweck. Ein kleines Restrisiko bleibt, weil die Hardware eines Laptops viel umfangreicher ist als bei einer Hardwarewallet und einzelne Hardware-Bestandteile ggf. dann noch eine Hintertür haben

Bin da voll auf deiner Linie, je einfacher das gehalten wird desto besser. Und alles was manuell gemacht werden kann ist auf jeden fall noch so einfach, dass man die fehlerquellen wohl noch überblicken kann.... Wenn man die Skripte versteht geht das für mich auch in Ordnung, man spart sich ja dann nur die Arbeit das selber zu schreiben (was ja dann im weiteren Sinne auch manuell wäre).

Was ich mich gefragt habe ist ob es wirklich einen Laptop braucht oder ob ggf. auch Kleincomputer wie nen Pi ausreichen würden.

Oder noch ein Schritt weiter USB-Computer wie die USB Armory. Bin jetzt nicht (aus-)gebildet genug um da Möglichkeiten und Potentiale wirklich einschätzen zu können, aber die Zielsetzung scheint ja in die selbe Richtung zu laufen:
https://m.youtube.com/watch?v=bE5licRHMFs (englisch)
https://m.youtube.com/watch?v=JcKRPFTy7M0 (deutsche Übersetzung)

Und die neuere Version MK2 hat soweit ich das verstanden habe nen usb-c und nen micro-sd slot und kann zwischen "computer-modus" und "geräte-modus" wechseln.
Also weiß nicht ob das Gerät für crypto Zwecke was taugt, das könnt ihr wahrscheinlich eher einschätzen.

[Cricktor]

Was ich mich gefragt habe ist ob es wirklich einen Laptop braucht oder ob ggf. auch Kleincomputer wie nen Pi ausreichen würden.

Ich persönlich würde einem Raspberry Pi ausreichend vertrauen, der nicht von zweiter Hand kommt und wo ich zumindest einigermaßen sicher sein kann, daß dessen Firmware in Ordnung und nicht manipuliert wurde. Einer Linux-Distribution und TAILS musst du ja auch trauen. Ich hege allerdings auch kein Mißtrauen zu einem Laptop, solange dort ein Original-BIOS drauf geflasht werden kann. Ein Laptop ist einfach bequem, du hast alles dran, was du zum Benutzen brauchst.

Diese USB-Armory-Teile finde ich übrigens sehr interessant, hatte ich nicht auf'm Schirm und finde ich ziemlich klasse. Damit kann man sich sicherlich etwas sehr Schnuckeliges zusammenstellen. Den MK2 muss ich mir mal ansehen. Die Dinger scheinen ausreichend Leistung zu haben, wieviel Speicher da zur Verfügung steht muss ich mir erstmal ansehen. Sollte aber für ein Minimalsystem locker ausreichen.

[Turbartuluk]

Diese USB-Armory-Teile finde ich übrigens sehr interessant, hatte ich nicht auf'm Schirm und finde ich ziemlich klasse. Damit kann man sich sicherlich etwas sehr Schnuckeliges zusammenstellen. Den MK2 muss ich mir mal ansehen. Die Dinger scheinen ausreichend Leistung zu haben, wieviel Speicher da zur Verfügung steht muss ich mir erstmal ansehen. Sollte aber für ein Minimalsystem locker ausreichen.

Hatte mir irgendwann mal überlegt ob ich mir son Teil als "besseren microSD card reader" für den Notfallrucksack zulegen soll, aber die Idee verworfen, weil ich das Teil eh nur zu 1% ausnutzen könnte (quasi als microSD card reader + verschlüsselung  ).

Gestern als ich das Video geschaut habe: https://m.youtube.com/watch?v=ol5a5TdZ9vM&list=PL0t7rT8j2QQDtw9qxHwERl-PPxWtuBWqO&index=3&pp=iAQB
musste ich dann aber wieder dran denken und hab mich gefragt ob das mit sonem Teil auch ginge. Quasi die USB Armory als Rechner, die eingebaute microSD als verschlüsselte Festplatte und nen usb-c-Stick für tails...   

[virginorange]

Was ich mich gefragt habe ist ob es wirklich einen Laptop braucht oder ob ggf. auch Kleincomputer wie nen Pi ausreichen würden.

Oder noch ein Schritt weiter USB-Computer wie die USB Armory.
https://m.youtube.com/watch?v=bE5licRHMFs (englisch)

Ich bin total begeistert von USB Armory. Das hat bestimmt Potential. Ich habe leider nicht so viel Content gefunden, wie man dies praktisch nutzt.

[Turbartuluk]

Freut mich ja, dass hier hier einen wertvollen Hinweis geben konnte, auch wenn ich jetzt ein wenig irritiert bin warum ich den kannte und Ihr nicht.  

Wenn ihr das Teil auch cool findet, dann könnte man ja überlegen ob man damit einfach mal nen kleines Projekt bzw. einen konkreten Usecase durchspielt. Ich wäre da auf jeden fall neugierig darauf noch einiges dazu zu lernen und würde mich dann mit einklinken.... Und wenn man dann als Ergebnis einen "USB-Stick" hat der sensible Daten verschlüsselt/versteckt speichert und mit dem man von überall aus sicher im Netz surfen kann würde sich das für mich ja schon lohnen....  
Und in der Kategorie "Werkezeuge" des OP könnte der sicher auch nen paar aufgaben erfüllen.  

Ich hab mich z.B. gefragt ob es möglich wäre die USB Armory an einen modernen smart TV anzuschließen, über den USB Anschluss Internet zu ziehen, gleichzeitig Video zu Streamen und die Dateneingabe mittels Fernbedienung (mit Tastatur) vom TV zu erledigen.

[Turbartuluk]

Bei 24 Seed Wörtern ist die Checksumme 8 Bits, dh. durchschnittlich 128 Versuche. Das ist natürlich zu langwierig das alles manuell durchzuprobieren. Diese Checksumme kannst du aber auch am Computer berechen.

So sieht das aus: https://youtu.be/7oeh7OeSKmc

Der Vorteil der manuellen Berechnung auf Tails ist, dass du keiner Hardware-Wallet vertrauen musst. Der Nachteil ist, dass der Benutzung von Tails (läuft im Arbeitsspeicher) ohne die Benutzung des Internets und der Tastatur trotzdem Informationen der Seed Wörter Generierung ins Internet leaken.
Trotzdem würde ich eine manuelle Rechnung auf Tails machen, allein zum Verständnis.

Deswegen wähle ich einen dritten Weg. Ich verifiziere die Berechnungsmethode auf der Cold Card (Würfel zu Hash, Hash zu Seed und Seed zu Adressen) mit Hilfe des Computers und anschließend benutze ich meine Cold Card (ohne Computer), um mir meine Seed Wörter zu würfeln.

So sieht das aus: https://m.youtube.com/watch?v=H6pdC56TeIE

Kurze Frage zu den beiden Methoden: wenn ich das richtig verstanden habe wäre es dann ja eigentlich auch egal ob man sich die BitBox bzw. ColdCard fürs 24. Wort gebraucht holt, weil man über das Verfahren Manipulationen ja eh ausschließt, richtig?!

Werkzeuge:
    • BIP 39: Wir erstellen eine neue Wallet indem wir zu den 24 Seed Wörtern ein zusätzliches Passwort ergänzen.
        ◦ 24 Wörter = Wallet 1
        ◦ 24 Wörter + Passwort 1 = Wallet 2
        ◦ 24 Wörter + Passwort 2 = Wallet 3

Umsetzung:
    • 25. Wort mit viel Entropie
        ◦ Erstellung:
            ▪ 20 Zeichen per Keypass auf Tails erstellt
            ▪ zusätzlich ein paar Wörter gewürfelt
        ◦ Verstecken
            ▪ Passwort Datenbank
        ◦ Online lagern nicht so schlimm, weil ja noch 24 Seed

Kann mir bitte nochmal wer erklären wie das mit dem 25. Wort im hinblick auf die technische Umsetzung funktioniert bzw. eine Erklärung verlinken?! Ich steige da noch nicht so ganz dahinter.

[willi9974]

Also wenn dein 25. Seed Wort dein Passwort für die Verschlüsselung ist dann sieht das so aus.

https://bitcointalk.org/index.php?topic=5319811.msg56469835#msg56469835

einfach mal den Beitrag ab da oder auch 4-5 Posting vorher durchlesen, da ist alles erklärt.

Viele Grüße
Willi

[virginorange]

Ich hab meinen Beitrag "Bitcoin BIP 85 nutzen" inzwischen vertont:
  https://www.youtube.com/watch?v=n0BRVn7hjqg&list=PL0t7rT8j2QQDYC_iEF9FitQPLZbg4tOw6

viele Bitcoin Wallets einfach und sicher selbst verwahren - BIP 39 Passphrase und BIP 85
https://youtu.be/n0BRVn7hjqg


Vermögen und Seed Wörter aufteilen - Vorteile und Nachteile - Bitcoin sicher verwahren
So verteilst du deine Bitcoin richtig, um Verlust und Diebstahl zu verhindern. So wählst du den korrekten Ort für deine Bitcoin aus.

 Einleitung
  1. Nutzen Passwörter aufzuteilen
    1a Nutzen mehrerer Wallets
    1b Nutzen mehrerer Passwörter
    1c Nutzen mehrerer Sicherheitskopien
    1d Nutzen Passwörter in Teile aufzuteilen
    1e Nutzen Geheimnis an mehreren Orten lagern
  2. Grenzen verfügbarer Orte
    2a Mangel an sicheren Orten
    2b bei Bekanntheit gehen weitere Orte verloren
  3 Lösungen

https://youtu.be/JNlHcx-JD40


Viele Bitcoin Wallets mit wenig Aufwand sichern - BIP 39 Passphrase und BIP 85
Mit Hilfe von BIP 39 Passphrases und BIP 85 Wallets kannst du Wallets ableiten, die deine Sicherheit erhöhen, während das Backup deines privaten Schlüssels einfach bleibt. Wann eignet sich eine Ableitung per Passphrase eher und wann sollte man eher gemäß BIP 85 ableiten? Wie verbesserst du deine Sicherheit durch solche Ableitungen?

 1. Erklärung
    1a zusätzliche Wallets dank BIP 39 Passphrase ableiten
    1b zusätzliche Wallets dank BIP 85 ableiten
  2. vier Anwendungsgebiete
    2a Handy-Wallet sicher ableiten (am besten mit BIP 85)
    2b mit Decoy-Wallet vor Räubern schützen (am besten mit BIP 39)
    2c eine Wallet pro Verkäufer
    2d privaten Schlüssel tarnen (mit BIP 39 Passphrase)

https://youtu.be/-w67TTwf2rY

Moero Seed Wörter von Bitcoin Seed Wörtern ableiten
Durch BIP 85 leiten wir eine Bitcoin Kinder-Wallet ab, deren Seed Wörter wir in Monero Seed Wörter umwandeln, die uns als Grundlage für unsere Monero Wallet auf dem Handy dienen.

 Moero Seed Wörter von Bitcoin Seed Wörtern ableiten
  Nutzen der Ableitung
  1. Vorbereitung
    1a) Richtige Hardware-Wallet besorgen
    1b) BIP 85 - Indexnummern ordentlich aufteilen
  2. Seedwörter erstellen
    2a) 12 neue Seedwörter per BIP 85 ableiten
    2b) 12 Bitcoin Seed Wörter in 25 Monero Seed Wörter umwandeln
  3. Monero Wallet erstellen
  4. Aufräumen
    4a) Wallet zur Sicherheit erneut
    4b) Anleitung zur Wiederherstellung der Wallets ergänzen

https://youtu.be/7-tfr08s5CU


Auf eine deterministische Ableitung des PGP-Keys vom BIP-85 abgeleiteten Bitcoin-Seed habe ich verzichtet. Die höhere Effizienz beim Backup wird überkompensiert durch hohen Aufwand bei der Ableitung und etwas höherem Risiko für deine Bitcoin.
https://bitcointalk.org/index.php?topic=5459306.msg62529979#msg62529979

+5 für deinen Youtube Kanal. Hab da inzwischen einige Stunden verbracht, super viel gelernt

Danke für deine Motivation.

und mich absolut bestätigt gefühlt, dass ich in Sachen Technik/Privatsphäre hier sicher nicht zu den hellsten Köpfen zähle.

Du gehörst in Sachen Kompetenz mindestens zu den top 2% hier im Land, vielleicht sogar eher zu den top 0.2%. Aber wer gut ist, der schweigt und lässt andere für sich reden.

Leute, die ihren Reichtum zeigen, sind arm. Reiche Leute verbergen ihren Reichtum und schätzen ihre Privatsphäre. Kluge menschen spielen ihre Klugheit herunter. Eine gute Bilanz ist immer noch besser (um Steuern zu sparen), eine schlechte Bilanz ist immer noch schlechter (damit die Banken hoffentlich den Kredit noch einmal verlängern.) Interessant, wie die Worte den IST-Zustand verbergen.

[Cricktor]

...
Moero Seed Wörter von Bitcoin Seed Wörtern ableiten
Durch BIP 85 leiten wir eine Bitcoin Kinder-Wallet ab, deren Seed Wörter wir in Monero Seed Wörter umwandeln, die uns als Grundlage für unsere Monero Wallet auf dem Handy dienen.

  Moero Seed Wörter von Bitcoin Seed Wörtern ableiten
  Nutzen der Ableitung
  1. Vorbereitung
    1a) Richtige Hardware-Wallet besorgen
    1b) BIP 85 - Indexnummern ordentlich aufteilen
  2. Seedwörter erstellen
    2a) 12 neue Seedwörter per BIP 85 ableiten
    2b) 12 Bitcoin Seed Wörter in 25 Monero Seed Wörter umwandeln
  3. Monero Wallet erstellen
  4. Aufräumen
    4a) Wallet zur Sicherheit erneut
    4b) Anleitung zur Wiederherstellung der Wallets ergänzen

https://youtu.be/7-tfr08s5CU

...

Gibt es eigentlich einen Grund, außer versehentlicher Schreibfehler, daß du hier und auch in einem deiner Youtube-Clips Moero anstelle von Monero geschrieben hast? Besonders beim Youtube-Clip-Titel sieht das nicht besonders gut aus und vielleicht magst du das doch besser noch korrigieren.

Auf jeden Fall erstmal "Daumen hoch" dafür, daß du dich mit diesen Themen auseinandersetzst und es auch für andere aufarbeitest, sei es hier im Forum oder auf deinem Youtube-Kanal.

[Turbartuluk]

~

Mal sehen ob ich es verstanden habe:

Mit 24 Seed Wörtern erstellst du die Wallet, wo du soviel drauf liegen hast, dass Räuber sich damit zufrieden geben.
Mit dem 25. Wort kommst du dann auf deine richtige (Hardware) Wallet.
Mit einer zusätzlichen Indexnummer erstellst du dann Kinder-Wallets als "Unterkonten" für alle möglichen zwecke.
Aus einigen dieser Unterkonten leitest du dann noch weitere Wallets für XMR ab.

Frage 1:
nutzt du dieses Verfahren als einzigen weg oder legst du dir alle einzelnen Seeds auch nochmal ab und BIP39 + BIP85 dienen nur als Redundanz?

Frage 2: Bei diesem Verfahren wären aus meiner Sicht sowohl die ersten 24 Wörter als auch das 25. Wort single points of failure, wie gehst du damit um, bzw. wie hast du die Redundanzen dazu ausgelegt? 3x3 für die 24 und steghide o.Ä. fürs 25. ?

+5 für deinen Youtube Kanal. Hab da inzwischen einige Stunden verbracht, super viel gelernt

Danke für deine Motivation.

Ich kenne das aus dem Tradingbereich von meinen Beiträgen, da denkt man ewig auf ner Sache rum und schreibt dann nochmal genauso lange und wenn man fertigt ist dann passiert erstmal ne Woche lang nichts. Wenig Resonanz kann schon mal ernüchternd sein, auch wenn so ein guide ja nicht unbedingt darauf ausgelegt ist ne heiße Diskussion anzuzetteln. Aber lass dir einfach gesagt sein, dass das nicht bedeutet, dass die Beiträge nicht gelesen und wertgeschätzt werden. Ein Blick in mein BPIP zeigt mir jedenfalls, dass deine Beiträge bei mir hoch im Kurs stehen...

[virginorange]

Mal sehen ob ich es verstanden habe:

Mit 24 Seed Wörtern erstellst du die Wallet, wo du soviel drauf liegen hast, dass Räuber sich damit zufrieden geben.
Mit dem 25. Wort kommst du dann auf deine richtige (Hardware) Wallet.
Mit einer zusätzlichen Indexnummer erstellst du dann Kinder-Wallets als "Unterkonten" für alle möglichen zwecke.
Aus einigen dieser Unterkonten leitest du dann noch weitere Wallets für XMR ab.

Frage 1:
nutzt du dieses Verfahren als einzigen weg oder legst du dir alle einzelnen Seeds auch nochmal ab und BIP39 + BIP85 dienen nur als Redundanz?

Frage 2: Bei diesem Verfahren wären aus meiner Sicht sowohl die ersten 24 Wörter als auch das 25. Wort single points of failure, wie gehst du damit um, bzw. wie hast du die Redundanzen dazu ausgelegt? 3x3 für die 24 und steghide o.Ä. fürs 25. ?

hast du richtig verstanden

24 Wörter = kleiner Betrag
24 Wörter + 25. Wort = nix
24 Wörter + 25. Wort + BIP85 Indexnummer 0 = 12 WörterT1 = Teil 1 vom großen Betrag
24 Wörter + 25. Wort + BIP85 Indexnummer 1 = 12 WörterT2 = Teil 2 vom großen Betrag
24 Wörter + 25. Wort + BIP85 Indexnummer 2 = 12 WörterT3 = Teil 3 vom großen Betrag
optional: 24 Wörter + 25. Wort + BIP85 Indexnummer 101 = 12 WörterT101 = 25 Monero Wörter = Teil 1 von Monero

Richtig gut aufpassen würde ich auf die 24. Wörter und das 25. Wort.
24. Wörter -> 4 Sicherheitskopien in je 2 Teilen
25. Wort -> 4 Sicherheitskopien.

Bei den einzelnen abgleiteten Seeds muss man dann weniger aufpassen, weil wir uns diese Seeds sowieso immer wieder herleiten können. Da reicht dann eine Sicherheitskopie auf Papier.

Sagen wir mal du hast den großen Betrag in 10 Teile geteilt:
6 Teile -> hier findet kein Handel statt = abgeschlossene Wallet
3 Teile -> hier empfängst du Bitcoin aber verschickst keine Bitcoin
1 Teil -> hier verschickst du Bitcoin aus der Wallet "Teil 7 vom großen Betrag"

Setup:
24 Wörter liegen in der Nähe
25. Wort liegt weit weg
12 WörterT7 liegt bei dir in der Nähe
Für die 12 WörterT1, T2 ... T6, T8 .. T10 gibt es kein Backup.

Du hast die 12 WörterT7 in der Nähe solange du vor hast, Überweisungen aus der Wallet "Teil 7 vom großen Betrag" zu tätigen. Sonst müsstest du für jede ausgehende Überweisung auf dein 25. Wort zugreifen, das ja weit weg ist. Sind deine Tätigkeiten abgeschlossen, vernichtest du das Backup 12 WörterT7

Frage 2: Bei diesem Verfahren wären aus meiner Sicht sowohl die ersten 24 Wörter als auch das 25. Wort single points of failure,

richtig
Wobei in der Praxis ist eher das 25. Wort problematisch.
Die 24. Wörter lagern ja mit vielen Sicherheitskopien in deiner Nähe und nur mit wenigen Kopien weiter weg. In deiner Nähe kontrollierst du ja genügend Orte.
Beim 25. Wort bist du angewiesen auf weniger gute Orte.

wie gehst du damit um, bzw. wie hast du die Redundanzen dazu ausgelegt? 3x3 für die 24 und steghide o.Ä. fürs 25. ?

Schlüssel ist eine Analyse der Orte und Personen. Dazu werde ich nochmal einen genaueren Artikel schreiben.

Bis dahin geben folgende beiden Videos schon mal Gedankenanstöße:

großes Bitcoin-Vermögen sicher verwahren - Fallstudie Unternehmer
https://youtu.be/NSz9FqhAg6g

Bitcoin sicher aufbewahren - 7 Strategien analysiert
So kombinierst du Orte, Personen und Datenträger, um deine Bitcoin zu sichern.
https://youtu.be/Z1NXfdpsALw

[Turbartuluk]

Ok, danke für die nochmals detailliertere Aufstellung!

Auch das "24 Wörter + 25. Wort = nix" finde ich clever, weil selbst wenn das im worst case mal wer ausprobiert, der das dann wohl als Sackgasse interpretieren wird.

Die beiden Videos kenne ich natürlich schon, sind aber auch wirklich gute Anleitungen um für sich selbst mal eine gescheite Risikoanalyse durchzuführen.

[Cricktor]

...
24 Wörter = kleiner Betrag
24 Wörter + 25. Wort = nix
24 Wörter + 25. Wort + BIP85 Indexnummer 0 = 12 WörterT1 = Teil 1 vom großen Betrag
24 Wörter + 25. Wort + BIP85 Indexnummer 1 = 12 WörterT2 = Teil 2 vom großen Betrag
24 Wörter + 25. Wort + BIP85 Indexnummer 2 = 12 WörterT3 = Teil 3 vom großen Betrag
...
Richtig gut aufpassen würde ich auf die 24. Wörter und das 25. Wort.
24. Wörter -> 4 Sicherheitskopien in je 2 Teilen
25. Wort -> 4 Sicherheitskopien.

Bei den einzelnen abgleiteten Seeds muss man dann weniger aufpassen, weil wir uns diese Seeds sowieso immer wieder herleiten können. Da reicht dann eine Sicherheitskopie auf Papier.

Hervorhebung ist von mir.
Die Mnemonic Recovery Wörter T1, T2, T3, ...Tx muss und sollte man sich überhaupt nicht, allenfalls temporär, auf Papier notieren, denn sie sind ja durch BIP85 deterministisch aus den Ursprungs-24-Wörtern und Mnemonic Passphrase und BIP85 Indexnr. wiederherstellbar.
(Natürlich auf einem sicheren Offline-System, das idealerweise nichts speichern kann und rückstandsfrei entsorgt werden kann, z.B. TAILS ohne Netzwerkverbindung.)

Ich hielte es sogar für einen Sicherheitsverlust im obigen Beispiel, ein Drittel "eines großen Betrags" dann nur durch ein für einen Dieb zugängliches Papier-Mnemonic-Backup zu "schützen" (was nur bedingt einen Schutz darstellt, allenfalls, weil man ein Stück Papier im Allgemeinen gut verstecken kann).

Die abgeleiteten 12 WörterT1 (oder T2, T3, ...) stellen ja die Basis für eine eigenständige Wallet dar. Um diese wiederherzustellen, benötigt man eben nur diese 12 Recovery WörterT1. Stiehlt oder sieht Jemand das Papier-Backup dieser Worte, dann ist diese Wallet vollständig kompromittiert.
(Man kann natürlich hier auch wieder zum weit stärkeren Schutz der Wallet eine optionale, hier "13te", Mnemonic Passphrase benutzen, dann wäre ein Papier-Backup kein Problem. Damit man sich keine neue optionale Mnemonic Passphrase merken muss, könnte man die ursprüngliche nehmen und z.B. mit einem Zusatz ergänzen a la "....+BIP85-Indexxx001" ("...." ist die Ursprungs-Mnemonic Passphrase).)

[Turbartuluk]

Wieviele Ziffern hat denn der BIP85 Index? Bei 3 Ziffern = 1.000 Möglichkeiten könnte man das ja im Zweifel schon auch durch ausprobieren rausbekommen.
Da braucht es den Seed auf Papier für einzelne Wallets ja wirklich nur, wenn man die wallet aktiv verwendet (das 25. Wort zur Ableitung des Seeds ist ja sehr weit weg und soll ja eben nicht kurzfristig verfügbar sein).

Die parallel notwendige Ableitung des 13. Wortes ist natürlich auch ne starke Idee. +2
Muss aber so gewählt werden, dass wir das ursprünglich 25. Wort dafür nicht brauchen (ist ja weit weg). Auch das mit dem Indexxx001 finde ich nicht ganz unproblematisch, da hier ja implizit auch der Hinweis drin steckt, dass es wohl noch einige Wallets mehr gibt. Die jeweils 12 Wörter müssten dann also trotzdem wieder als Decoy Wallet genutzt werden, damit ein Räuber gar nicht erst nach dem 13. Wort fragt.
Und dann wird es langsam auch echt komplex mit den ganzen Wallets, also vielleicht ist da (im Hinblick auf etwaige Erben) weniger doch manchmal mehr.  

@virginorange: kannst du bitte auch nochmal auf die Index 500-599 für Passwörter eingehen? Wenn ich das richtig verstehe sind das alles nur initiale Passwörter (z.B. Verschlüsselung von Datenträgern, Zugang zum Passwortmanager, etc.).
Andererseits ergibt sich aus deinem Konzept ja, dass da nur Passwörter stehen können die man nicht regelmäßig braucht bzw. die man nicht regelmäßig ableiten muss. Hast du die initialen Passwörter (= jeweils 12 Wörter + Reihenfolge) alle im Kopf und die BIP85 Index 500-599 sind nur als Backup für den Fall des Gedächtnisverlustes gedacht? Oder wie muss man sich das vorstellen?  

[Cricktor]

Wieviele Ziffern hat denn der BIP85 Index?

Da der BIP85-Index Teil eines speziellen gehärteten Ableitungspfades ist, sind für den Index Werte von 0 bis 2³¹-1 möglich, also 0...2.147.483.647, was mehr als ausreichend sein sollte. Siehe auch https://github.com/bitcoin/bips/blob/master/bip-0085.mediawiki (nicht leicht zu verstehen!).

Auch das mit dem Indexxx001 finde ich nicht ganz unproblematisch, da hier ja implizit auch der Hinweis drin steckt, dass es wohl noch einige Wallets mehr gibt. Die jeweils 12 Wörter müssten dann also trotzdem wieder als Decoy Wallet genutzt werden, damit ein Räuber gar nicht erst nach dem 13. Wort fragt.

Es war nur ein Vorschlag für ein irgendwie geartetes Schema. Was auch immer man sich ausdenkt, ich empfehle, es trotzdem gut zu dokumentieren. Ansonsten wahrscheinlich: Rezept für späteres Desaster durch Vergessen wichtiger kleiner Details.

Wenn ein Bösewicht Kenntnis von deiner oder deinen optionalen Mnemonic Passphrasen erlangen kann, hast du echt ein Problem. In einer Risikoanalyse sollte man sowas natürlich nicht unter den Tisch fallen lassen. Aber wenn man es zulässt, stimmt insgesamt etwas nicht mit dem Sicherheitsdesign.

An BIP85-abgeleitete Wallets sollte ein Dieb überhaupt nicht erst herankommen, denn das würde bedeuten, daß die initialen 24 Mnemonic Recovery Wörter und die dazugehörige optionale Mnemonic Passphrase kompromittiert wurden. Beides im Tandem darf nicht passieren, sonst hat man grundlegend etwas verkehrt gemacht und bei der Ortssicherheit geschludert.

[virginorange]

@virginorange: kannst du bitte auch nochmal auf die Index 500-599 für Passwörter eingehen? Wenn ich das richtig verstehe sind das alles nur initiale Passwörter (z.B. Verschlüsselung von Datenträgern, Zugang zum Passwortmanager, etc.).
Andererseits ergibt sich aus deinem Konzept ja, dass da nur Passwörter stehen können die man nicht regelmäßig braucht bzw. die man nicht regelmäßig ableiten muss. Hast du die initialen Passwörter (= jeweils 12 Wörter + Reihenfolge) alle im Kopf und die BIP85 Index 500-599 sind nur als Backup für den Fall des Gedächtnisverlustes gedacht? Oder wie muss man sich das vorstellen?  

BIP85 als Backup für Passwörter

Die meisten Passwörter befinden sich im Passwortmanager.

Aber dein Rechner, deine Festplatten, etc. sind ja auch mit Passwörtern verschlüsselt.

Sollten diese Passwörter verloren gehen, hast du viel Zeit verloren und auch wichtige Unterlagen. Für diese Passwörter brauchen wir daher normalerweise auch mehrere Backups.

Ich bräuchte dann Orte für die 24. Worte, das 25. Wort plus Orte für die sonstigen Passwörter.

Für die sonstigen Passwörter kann ich mir das Backup sparen, wenn ich diese auch per BIP85 ableite.

Im Alltag habe ich natürlich alles im Kopf, die 24 Wörter und ggf. 2x oder 3x 5 Wörter für deine Datenträger.

Sind 5 Wörter genug?

12 Wörter brauchen wir (denke ich) nicht. EFF schlägt 6 Wörter mit in Summe 2*10^23 Entropie vor. https://www.eff.org/dice
Das entspricht ca. 7 Bitcoin Seed Wörtern. 5 Wörter plus ein paar Besonderheiten wäre für mich in Ordnung. Was ist denn auf dem Datenträger? Deine Anleitung und deine Anschaffungskosten oder Steuerunterlagen. Plus der Verbrecher braucht noch physischen Zugriff auf den Datenträger.

[Turbartuluk]

Für die sonstigen Passwörter kann ich mir das Backup sparen, wenn ich diese auch per BIP85 ableite.

Im Alltag habe ich natürlich alles im Kopf, die 24 Wörter und ggf. 2x oder 3x 5 Wörter für deine Datenträger.

Sind 5 Wörter genug?

12 Wörter brauchen wir (denke ich) nicht. EFF schlägt 6 Wörter mit in Summe 2*10^23 Entropie vor. https://www.eff.org/dice
Das entspricht ca. 7 Bitcoin Seed Wörtern. 5 Wörter plus ein paar Besonderheiten wäre für mich in Ordnung. Was ist denn auf dem Datenträger? Deine Anleitung und deine Anschaffungskosten oder Steuerunterlagen. Plus der Verbrecher braucht noch physischen Zugriff auf den Datenträger.

Ok, d.h. mittels BIP85 und dem Index leitest du zwar 12 Wörter ab, als Passwort für die Verschlüsselung der Datenträger nutzt du aber nicht alle 12, sondern nur 5 davon?

Ja, das ist für das auswendig lernen von 2-3 Passwörtern natürlich dann schon nen bissl einfacher....

[Turbartuluk]

Ich habe das heute alles mal in der Praxis durchexerziert und muss sagen, dass ich immer noch ein wenig begeistert bin und son paar kleine AHA-Momente hatte.


Im Folgenden möchte ich mein Vorgehen mit der BITBOX02 - BTC only Edition dokumentieren um:
a) andere ggf. zu ermutigen das auch mal zu probieren
b) die wachsamen Augen des Forums drüber schauen lassen, ob ich nicht doch irgendwo einen Fehler gemacht habe

1. TailsOS vorbereiten:
- mit persistentem Speicher (fürs WLAN-Passwort) und Administratorpasswort starten
- BitBoxApp downloaden und installieren
- Wörtertabelle öffnen

2. fleißig würfeln:
- um Wiederholungswürfen vorzubeugen habe ich solange gewürfelt bis ich 141 Würfelwerte von 1-4 hatte (5+6 wurde ignoriert), welche ich auf Papier notiert habe. Die Anzahl der Würfel ist dabei egal aber bei mehr Würfeln geht es schneller und etwaige "Produktionsfehler" einzelner Würfel werden abgemildert.  
- die 141 Werte wurden nun Blöcke unterteilt, je 6 Werte für die ersten 23 Wörter und die restlichen 3 für das 24. Wort
- mithilfe der Wörtertabelle wurden die ersten 23 Seed Wörter ermittelt und notiert, für das letzte Wort wurde mit den letzten 3 Würfelwerten eine Zahl zwischen 1-8 ermittelt

3. zurück zur BitBoxApp
- BitBox02 angeschlossen, Wallet über Recovery Wörter wiederherstellen, 23 Wörter eingeben, das 24. Wort entsprechend der Zahl 1-8 auswählen
- der Kontostand wurde nicht geladen, weil BitBoxApp kein Netz hatte, also über "erweiterte Einstellungen" den "Tor Proxy Server" aktiviert und die IP:Port eingegeben die ich in der /etc/tor/torsocks.conf gefunden habe
- außerdem noch bei "Gerät verwalten" die Passphrase aktiviert

4. "rumspielen" mit dem Mnemonic Code Converter v0.5.6
- 24 Wörter eingeben, den Ableitungspfad auf BIP84 stellen und beim "erweiterten Public Key" schauen ob der selbe auch bei BitBoxApp angezeigt wird -> Herzlichen Glückwunsch: die BitBox02 ist offenbar nicht manipuliert!
- dasselbe auch nochmal mit optionaler Passphrase probiert
- nun mit BIP85 über verschiedene Indizes unterschiedliche Kinderwallets abgeleitet
- BitBox02 auf Werkseinstellungen zurück gesetzt und die 12 Wörter der Kinderwallet eingegeben, auch hier mit der Passphrase rumgespielt
- mit dem Mnemonic Code Converter v1.1.0 schließlich nochmal XMR Mnemonic abgeleitet
- und mich schlussendlich gefreut, dass alles so vergleichsweise einfach funktioniert hat...


Bevor es jetzt an den scharfen Durchgang geht hätte ich da aber doch noch ein paar Fragen:

1. Internet trennen indem WLAN deaktiviert bzw. LAN Stecker abgezogen wird oder lieber die Dateien im persistenten Speicher ablegen und TailsOS im Offline-Modus neu starten? Was ist besser?
2. Wie sicherst du den/die Mnemonic Code Converter ab (der ist ja gefühlt genauso wichtig wie die Seed Wörter und die Passphrase selbst)? Wie kann man sich bei Tails eine Website als .html abspeichern?
3. Zumindest bei der BitBox02 ist immer nur 1 Mnemonic + ggf. mehrere Passphrasen zeitgleich nutzbar, sprich man richtet sich die Wallet ein von der man Auszahlungen tätigt. Gibt es für Wallets bei denen nur eingezahlt wird (z.B. durch Signatur Kampagne) eine Möglichkeit sich den Kontostand einfach "online" bzw. "in der Blockchain" anzeigen zu lassen?!
4. Wie machst du die "Buchhaltung" der Unterkonten? Hast du eine Liste deiner Indizes und hinter jedem ruhenden Konto steht dann ein fester BTC Betrag? Oder hast du das im Kopf? Oder machst 1x pro Jahr ne "Inventur" bei der du alle Indizes ableitest und nachschaust ob alles passt?  

[virginorange]

1. Internet trennen indem WLAN deaktiviert bzw. LAN Stecker abgezogen wird oder lieber die Dateien im persistenten Speicher ablegen und TailsOS im Offline-Modus neu starten? Was ist besser?

Ich würde Tails ohne persistenten speicher starten,
mit LAN mit dem Internet verbinden und mir alles besorgen, was ich brauche,
LAN trennen
Konvertierung durchführen
Tails herunter fahren

2. Wie sicherst du den/die Mnemonic Code Converter ab (der ist ja gefühlt genauso wichtig wie die Seed Wörter und die Passphrase selbst)? Wie kann man sich bei Tails eine Website als .html abspeichern?

Ich habe u.a. 2 Datensilos, auf die ich aufpasse:
(i) offenes Datensilo mit allen KYC dingen, Steuerunterlagen, Bankunterlagen, Immobilienunterlagen, Familienfotos und
(ii) verstecktes Datensilo mit Anschreiben an die Erben, Anleitung, Sparrow Wallet files, Kaufbelegen für Bitcoin und Gold, sowie dem Monero Mnemonic Code Converter.

Der Monero Mnemonic Code Converter (notwendig für Monero) ist weniger wichtig als die Passphrase (Notwendig für Bitcoin und Monero).

Backup Strategie:
1) Liste erstellen "Welche Daten sind dir wichtig?"
2) Daten in Datensilos zusammen fassen (z.B. Immobilienunterlagen und Steuerunterlagen kommen in ein Silo, Sparrow Wallet Files und Monero Mnemonic Code Converter kommen in ein zweites Silo)

Kurzbezeichnung / Langbezeichnung
B24:T1   24 Bitcoin Seed Worte (Teil 1)
B24:T2   24 Bitcoin Seed Worte (Teil 2)
B25:A   Passwort A
Psw:B   Passwort B
o:Daten   Dateisilo offen
v:Daten   Dateisilo versteckt
Q:Daten   Qubes Daten
o:Daten:Psw   Passwort offen
v:Daten:Psw:ich   Passwort versteckt für normale Nutzung
v:Daten:Psw:Erbe   Passwort versteckt für Erben
o:Bitw:DB   KYC-Passwörter Bitwarden
o:Bitw:Psw   Masterpasswort für Zugang zu KYC-Passwörtern
v:Tails:DB Non-KYC-Passwörter Keypass   
o:Tails:Psw Masterpasswort für Zugang zu non-KYC-Passwörtern
job:Bitw:DB   Job-Passwörter
job:Bitw:Psw   Masterpasswort für Zugang zu Job-Passwörtern
job:PC   Arbeitslaptop
job:PC:Psw   Zugang zum Firmennetzwerk

Dann reduzieren wir die nötigen Backups, teilweise durch Lagerung von Passwörtern in einer übergeordneten Datenbank job:PC:Psw lagert z.B. in v:Tails:DB oder durch BIP85-Ableitungen.
v:Tails:DB kommt in v:Daten. So haben wir weniger Pakete auf die wir aufpassen müssen:

B24:T1   24 Bitcoin Seed Worte (Teil 1)
B24:T2   24 Bitcoin Seed Worte (Teil 2)
B25:A   Passwort A
o:Daten   Dateisilo offen
v:Daten   Dateisilo versteckt
Q:Daten   Qubes Daten

Hier machen wir dann Backups mit Redundanz.

3. Zumindest bei der BitBox02 ist immer nur 1 Mnemonic + ggf. mehrere Passphrasen zeitgleich nutzbar, sprich man richtet sich die Wallet ein von der man Auszahlungen tätigt. Gibt es für Wallets bei denen nur eingezahlt wird (z.B. durch Signatur Kampagne) eine Möglichkeit sich den Kontostand einfach "online" bzw. "in der Blockchain" anzeigen zu lassen?!

Für meine Transaktionen nutze ich Sparrow Wallet. Zum erstmaligen Einrichten der Wallet benötige ich meine Hardware Wallet. Von da an benötige ich die Hardware Wallet nur für ausgehende Transaktionen. Eingehende Transaktionen lassen sich ohne Hardware Wallet beobachten.

Eine Wallet kann bei mir 3 Zustände haben:
1.) aktuell nicht aktiv, d.h. sie wird auf ein externes Laufwerk archiviert
2.) Geld wird empfangen, d.h. die Wallet befindet sich in der Virtuellen Maschine von der Sparrow Wallet im Wallet Ordner.
3.) Geld wird versendet, d.h. die Wallet befindet sich in der Virtuellen Maschine von der Sparrow Wallet im Wallet Ordner und die 12 Seed Wörter für die Kinderwallet befinden sich in meiner Reichweite.

4. Wie machst du die "Buchhaltung" der Unterkonten? Hast du eine Liste deiner Indizes und hinter jedem ruhenden Konto steht dann ein fester BTC Betrag? Oder hast du das im Kopf?

Es gibt Unterkonto-Gruppen
z.B. 1-100 für einen Zweck-Kategorie z.B. Käufe über Bisq,
101-200 für den 2. Zweck z.B. Käufe billateral,
201-300 für Käufe auf zentralen Börsen
301-400 abgeleitete hot Wallets fürs Handy
401-500 Monero Wallets, usw.

Die Trennung auf verschiedene BIP85-Unterkonten erfolgt nicht nach einem bestimmten BTC Betrag sondern durch eine Trennung auf der Blockchain und/oder einen anderen Verkäufer. Grund: Wenn ein Bösewicht mir eine bestimmte UTXO zuordnen kann, findet er über die Blockchain alle verbundenen UTXOs oder über den Verkäufer alle verbundenen Verkäufe.
Die Trennung von Unterkonten verhindert eine versehentliche Vermischung der Transaktionen und ermöglicht die Aufgabe eines Unterkontos an einen Bösewicht ohne andere Unterkonten in Gefahr zu bringen.

Innerhalb eines Unterkontos lege ich dann verschiedene Subaccounts an je nach Quelle der Bitcoin (gleiche Seedwörter aber andere Deviation). Dies verhindert eine Vermischung von Bitcoinquellen.

Jedes Unterkonto hat folgende Eigenschaften.
- Kurzbezeichnung Sub-Account
- Fingerprint der Wallet
- Name Verkäufer
- Quelle Coins:
- Betrag: X.XX BTC
- aktiv: ja / nein
- Grund: Warum ist die Wallet aktiv / nicht mehr aktiv
- Plan: was möchte ich mit dieser Wallet zukünftig machen?

Die einzelnen UTXOs sind dann nochmal in der Sparrow Wallet beschrieben.

Oder machst 1x pro Jahr ne "Inventur" bei der du alle Indizes ableitest und nachschaust ob alles passt?  

Für jede(n) Ort / Datenträger / Wallet gibt es ein Wartungs- bzw. Backupintervall. alle 3 Monate, 1 Jahr oder 3 Jahre.

[Cricktor]

2. fleißig würfeln:
- um Wiederholungswürfen vorzubeugen habe ich solange gewürfelt bis ich 141 Würfelwerte von 1-4 hatte (5+6 wurde ignoriert), welche ich auf Papier notiert habe. Die Anzahl der Würfel ist dabei egal aber bei mehr Würfeln geht es schneller und etwaige "Produktionsfehler" einzelner Würfel werden abgemildert.  
- die 141 Werte wurden nun Blöcke unterteilt, je 6 Werte für die ersten 23 Wörter und die restlichen 3 für das 24. Wort
- mithilfe der Wörtertabelle wurden die ersten 23 Seed Wörter ermittelt und notiert, für das letzte Wort wurde mit den letzten 3 Würfelwerten eine Zahl zwischen 1-8 ermittelt

Zu 2.:
Wenn Würfel, dann nur wirklich Casino-Qualität mit ausgefüllten "Augen", am besten zertifizierte Casino-Würfel (nicht bei Amazon gekauft). Allerdings muss man hier auch immer noch darauf vertrauen, daß die Würfel wirklich fair sind. Ist man paranoid und geht von nicht-fairen Würfeln aus, dann kann man jeden Bias auch durch ein XOR mit einer unabhängigen Zufallsquelle kompensieren, von der man weiß, daß sie keinen oder nur sehr wenig Bias hat.
Für Letzteres kann man z.B. eine Münze oft genug werfen nach folgendem Schema (K=Kopf, Z=Zahl): KK und ZZ werden verworfen, KZ=0 und ZK=1 (man kann auch KZ=1 und ZK=0 nehmen, muss sich nur vorher auf ein Schema festlegen). Man erzeugt sich also ein Zufallsbit durch einen Doppelwurf einer beliebigen Münze, die sich nett schnippen lässt. Das Schema, daß zwei gleiche Seiten verworfen werden und nur eine Änderung der Seiten berücksichtigt wird, kompensiert auch eine etwas unehrliche Münze oder einen Bias durch die Art des Münzwerfens.

Das Münzwurf-Schema kann man auch verwenden, wenn man sich die Anschaffung von Casino-Würfeln sparen möchte. Man muss die Münze nur eben so oft werfen, bis man die Anzahl an benötigter Bits erreicht hat.

Ich bin nicht paranoid genug, um z.B. dem /dev/hwrng eines Raspi 4B zu misstrauen. Den sähe ich auch als eine unabhängige und gute Zufallsquelle an, die man für die XOR-Biaskompensation verwenden kann.

Nachteil von XOR und Ausgangsbasis mit Entropie durch Münzwurf ist, daß man ggf. Schritte offline und auf sicherer Basis vorher durchführen muss, bevor man sicher auf der BitBox02 mit den Mnemonic Wiederherstellungswörtern loslegen kann.

4. "rumspielen" mit dem Mnemonic Code Converter v0.5.6
- 24 Wörter eingeben, den Ableitungspfad auf BIP84 stellen und beim "erweiterten Public Key" schauen ob der selbe auch bei BitBoxApp angezeigt wird -> Herzlichen Glückwunsch: die BitBox02 ist offenbar nicht manipuliert!
- dasselbe auch nochmal mit optionaler Passphrase probiert
- nun mit BIP85 über verschiedene Indizes unterschiedliche Kinderwallets abgeleitet
- BitBox02 auf Werkseinstellungen zurück gesetzt und die 12 Wörter der Kinderwallet eingegeben, auch hier mit der Passphrase rumgespielt
- mit dem Mnemonic Code Converter v1.1.0 schließlich nochmal XMR Mnemonic abgeleitet

Vor 4. Rumspielen mit den Mnemonic Wiederherstellungswörtern hast du hoffentlich jegliche Internetverbindung wieder getrennt! Das geht bei Tails OS recht einfach, wenn man die Tor-Verbindung beendet, LAN-Kabel absteckt und sicherheitshalber auch WLAN abschaltet.
Ebenso hätte ich Tails neu gestartet, bevor ich das Coinomi-Github besucht hätte.

Wenn man eine potentielle Verseuchung seines Tails mit persistentem Speicher durch Internetzugang vermeiden möchte, kann man ja ein zweites Tails ohne persistenten Speicher benutzen, mit dem nichtausführbare Dateien geladen werden, die man dann über einen dritten Datenträger ins Tails mit persistenten Speicher transferiert.

1. Internet trennen indem WLAN deaktiviert bzw. LAN Stecker abgezogen wird oder lieber die Dateien im persistenten Speicher ablegen und TailsOS im Offline-Modus neu starten? Was ist besser?

Mir genügt die Trennung der Tor-Verbindung und Abziehen von LAN-Kabel bzw. Abschalten von WLAN aus, um mich sicher zu fühlen, daß das Tails dann isoliert ist. Arbeite ich dann mit den Mnemonic Wiederherstellungswörtern oder anderen sehr sensitiven Daten, bleibt Tails bis zum Shutdown offline, ohne Wenn und Aber.
Oder man hat vielleicht noch einen 100%-offline Rechner, der immer "kalt" bleibt, wo man solche Sachen machen kann.

2. Wie sicherst du den/die Mnemonic Code Converter ab (der ist ja gefühlt genauso wichtig wie die Seed Wörter und die Passphrase selbst)? Wie kann man sich bei Tails eine Website als .html abspeichern?

Den Seiten-Code ausschließlich vom Github holen und per Hash/Signatur verifizieren. Das finde ich sicherer als HTML-Seiten aus dem Browser zu speichern, deren Hash ich dann womöglich nicht prüfen kann. Sollte das doch gehen, dann OK.

3. Zumindest bei der BitBox02 ist immer nur 1 Mnemonic + ggf. mehrere Passphrasen zeitgleich nutzbar, sprich man richtet sich die Wallet ein von der man Auszahlungen tätigt. Gibt es für Wallets bei denen nur eingezahlt wird (z.B. durch Signatur Kampagne) eine Möglichkeit sich den Kontostand einfach "online" bzw. "in der Blockchain" anzeigen zu lassen?!

Watch-only Wallet einrichten, sähe ich als eine mögliche sichere und komfortable Lösung auf einem Online-Alltagsrechner oder Smartphone an, wenn Letzteres erwünscht ist.
Für eine einzelne Adresse kannst du https://mempool.space benutzen, am besten selbst gehostet und mit eigenem Electrum-Server verbunden, dann bleibt deine Adresse privat. Kontostand kannst du damit leicht ermitteln, insbesondere wenn die Adresse nur Zufluss hat.

[virginorange]

Wenn Würfel, dann nur wirklich Casino-Qualität mit ausgefüllten "Augen", am besten zertifizierte Casino-Würfel (nicht bei Amazon gekauft). Allerdings muss man hier auch immer noch darauf vertrauen, daß die Würfel wirklich fair sind.

Ich würde auch Casino-Würfel nutzen, aber super fair müssen die Würfel gar nicht sein.

Das Problem bei nicht fairen Würfeln wird sein, dass wir weniger Entropie erzeugen als gedacht. In der Praxis müsste die Entropie dann immer noch hoch genug sein.

Wir streben 2^256 = ca. 10^77 Entropie an. Das erreichen wir mit ca. 99 perfekten Würfen.

Ein perfekter Würfel wirft 1 bis 6 mit einer Wahrscheinlichkeit je 16,666%.

Ein perfekt schlechter Würfel landet immer auf der 6. Das wäre gar keine Entropie. Aber so schlechte Würfel würden einem ja auffallen.

In der Praxis wird ein schlechter Würfel eher so aussehen:
1: 14%
2: 19%
3: 22%
4: 12%
5: 17%
6: 16%
Das gibt immer noch genügend Entropie.

Sagen wir mal unser Würfel wirft nie die 1 und dafür alle anderen zahlen etwas häufiger. Unsere Entropie ist dann 5^99 = ca. 10^69. Das ist immer noch sehr gut.

Sagen wir mal unser Würfel wirft nie die 1, nie die 2 und nie die 3, und dafür alle anderen zahlen doppelt so häufig. Unsere Entropie ist dann 3^99 = ca. 10^47. 12 Seed Wörter, die ja auch ausreichend sind, haben nur 2^128 = ca. 10^38 Entropie.

Und hier habe ich noch nicht mal die Entropie aus dem 25. Wort eingerechnet.

Man sollte schon vernünftige Würfel verwenden, aber Perfektion brauchen wir hier bei weitem nicht.

[Turbartuluk]

Danke mal wieder für eure Anmerkungen!

Internet hatte ich nicht getrennt, da ich ja nur "rumgespielt" habe und für den scharfen Durchgang (=Erstellung des echten Seeds) nochmal gründlich von vorne anfangen wollte, sprich auch checken von Hash/Signatur angefangen beim Tails Image bis zum Mnemonic Code Converter. Auf dem Schirm hatte ich das mit der Internetverbindung aber schon.

Danke auch nochmal für die Entropie-Betrachtung der Würfel (ich hab nämlich auch keine Casino-Würfel genommen).

24 Wörter = kleiner Betrag
24 Wörter + 25. Wort = nix
24 Wörter + 25. Wort + BIP85 Indexnummer 0 = 12 WörterT1 = Teil 1 vom großen Betrag
24 Wörter + 25. Wort + BIP85 Indexnummer 1 = 12 WörterT2 = Teil 2 vom großen Betrag
24 Wörter + 25. Wort + BIP85 Indexnummer 2 = 12 WörterT3 = Teil 3 vom großen Betrag
optional: 24 Wörter + 25. Wort + BIP85 Indexnummer 101 = 12 WörterT101 = 25 Monero Wörter = Teil 1 von Monero

Richtig gut aufpassen würde ich auf die 24. Wörter und das 25. Wort.
24. Wörter -> 4 Sicherheitskopien in je 2 Teilen
25. Wort -> 4 Sicherheitskopien.

...

Wobei in der Praxis ist eher das 25. Wort problematisch.
Die 24. Wörter lagern ja mit vielen Sicherheitskopien in deiner Nähe und nur mit wenigen Kopien weiter weg. In deiner Nähe kontrollierst du ja genügend Orte.
Beim 25. Wort bist du angewiesen auf weniger gute Orte.

Dazu kam mir heute noch eine Idee, wie man das etwas anders aufteilen könnte:

24 Wörter = kleiner Betrag
geteilt in 3 Teile a 16 Wörter = 3x 12 Wörter + 4 Wörter als Passwort = Backup der Masterpasswörter zu den versteckten Datensilos
-> die Versteckten Datensilos können bereits ein Backup des 25. Wortes und/oder die Anleitung enthalten
-> das jeweils 12. Wort in den 3 Teilen sowie das 24. Wort sind nicht rein zufällig, aber auch bei 20 zufälligen Wörtern sollte die Entropie ausreichen

24 Wörter + 25. Wort = nix
(alternativ 3x 12 Wörter + 4 Wörter als 13. Wort = nix)
24 Wörter + 25. Wort + BIP85 Indexnummer 0 = 12 Wörter T1-10
(alternativ 3x 12 Wörter + 4 Wörter als 13. Wort + BIP85 Indexnummer 0 = 3x 12 Wörter T1-10 / T11-20 / T21-30)   
12 Wörter T1-10 + PW1 = Teil 1 vom großen Betrag
12 Wörter T1-10 + PW2 = Teil 2 vom großen Betrag
12 Wörter T1-10 + PW3 = Teil 3 vom großen Betrag
-> Unterkonten-Gruppen haben nur 1 Seed und können daher auch mit BIP39 fähigen Hardware-Wallets verwaltet werden
-> bei BIP39 erhält man einen kryptischen Seed, bei BIP85 dagegen eine Mnemonic Wörterliste die deutlich einfacher zu handhaben ist
-> ansonsten dürften BIP85 Index oder BIP39 Passwort ja ähnliche Funktionen erfüllen

Da ich mir hinsichtlich der Sinnhaftigkeit einer solchen Aufteilung selber unschlüssig bin freue ich mich schon auf euer kritisches Feedback.

[virginorange]

24 Wörter = kleiner Betrag
geteilt in 3 Teile a 16 Wörter = 3x 12 Wörter + 4 Wörter als Passwort = Backup der Masterpasswörter zu den versteckten Datensilos
-> die Versteckten Datensilos können bereits ein Backup des 25. Wortes und/oder die Anleitung enthalten
-> das jeweils 12. Wort in den 3 Teilen sowie das 24. Wort sind nicht rein zufällig, aber auch bei 20 zufälligen Wörtern sollte die Entropie ausreichen

24 Wörter + 25. Wort = nix
(alternativ 3x 12 Wörter + 4 Wörter als 13. Wort = nix)
24 Wörter + 25. Wort + BIP85 Indexnummer 0 = 12 Wörter T1-10
(alternativ 3x 12 Wörter + 4 Wörter als 13. Wort + BIP85 Indexnummer 0 = 3x 12 Wörter T1-10 / T11-20 / T21-30)   
12 Wörter T1-10 + PW1 = Teil 1 vom großen Betrag
12 Wörter T1-10 + PW2 = Teil 2 vom großen Betrag
12 Wörter T1-10 + PW3 = Teil 3 vom großen Betrag

Geheimhaltung der 24 Wörter gefährdet
Die 24 Wörter führen zu deinem kleiner Betrag. Und du gibst jeweils 16 deiner 24 Wörter zur Entschlüsselung von Daten auf deinem Rechner ein. Für die Entschlüsselung aller drei Datenträger gibst du also insgesamt alle 24 Wörter in einen Rechner ein.

Dies führt zu einem etwas höheren Risiko für deine kleine Wallet.

Dies wäre problematisch, wenn deine kleine Wallet eine lohnenswerte Beute darstellt oder das 25. Wort zu wenig Entropie hat.

Das Ziel der kleinen Wallet ist einen Räuber zu befriedigen. Max Mustermann hat 10 Mio. Gesamtvermögen, davon 1 Mio. in Bitcoin, davon 40.000€ in der kleinen Wallet. Mit 40.000€ gibt sich der Räuber auch zufrieden und läuft weg. Wenn in der kleinen Wallet nur 50€ drin sind foltert der Räuber weiter.
Aber 40.000€ in der kleinen Wallet wären aber meiner Meinung nach zu viel, um hier die Seed Wörter dauernd am Rechner einzugeben.

Dein 25. Wort muss hier unbedingt viel Entropie haben, weil die 24 Wörter häufiger im Rechner eingegeben werden.

"12 Wörter T1-10 + PW1 = Teil 1 vom großen Betrag"
Ich frage mich, ob diese Methode den Aufwand für dich mehr steigert als für den Bösewicht.

Die Passwörter PW1, PW2 und PW3, sind ja Teil der 24 Wörter. Wer Zugriff auf deine 24 Wörter hat, für den ist die Passphrase auf Ebene der Kinderwallet keine zusätzliche Hürde mehr.
Zusätzlich hast du diese 3 Passwörter ja schon mehrfach am Rechner eingegeben. Am Ende hängt alles am 25. Wort.

Jetzt kannst du operative Einwände haben und sagen: "der Räuber kennt meinen Prozess ja nicht". Aber komplexe Prozesse treffen dich, diene Erben und den Bösewicht symmetrisch und machen das Leben jedem schwerer. Generell suchen wir asymmetrische Sicherheitsbausteine, die es für den Bösewicht wesentlich schwieriger machen aber für dich nur ein bisschen schwieriger.


Variante Wallet nur auf 25. Wort basieren
Wenn sowieso alles mit dem 25. Wort steht und fällt
und wir deswegen ein 25. Wort mit sehr viel Entropie würfeln,
können wir unsere 24 Wörter auch komplett alleine lassen.
Das heißt wir leiten unsere 24 Wörter vom Hash einer stabilen öffentlichen Datenquelle ab (z.B. wir hashen einen Bitcoin-Blockchain Block, oder einen Cryptopunk NFT, oder ein Gedicht von Goethe oder den Koran oder die Informationen auf der Voyager Sonde).
Dann benötigen wir weniger Orte für ein Backup, um Verlust zu vermeiden, weil ja andere Menschen auf unser Backup aufpassen.
Unser Backup sind keine Seed Wörter, die man Bitcoin zuordnen kann, sondern einfache eine Folge von Buchstaben und Zahlen. Damit vermeiden wir, dass man unser Geheimnis als Wertvoll erkennt.

Was hält ihr davon, nur mit 25. Wort zu arbeiten?

-> bei BIP39 erhält man einen kryptischen Seed, bei BIP85 dagegen eine Mnemonic Wörterliste die deutlich einfacher zu handhaben ist
-> ansonsten dürften BIP85 Index oder BIP39 Passwort ja ähnliche Funktionen erfüllen

Wer deine BIP 85 Elternwallet findet, findet mit minimaler Rechenleistung alle Kinderwallets.
Wer deine 24 BIP39 Seed Wörter findet, aber deine BIP39 Passphrase mit hoher Entropie nicht kennt, hat keine Chance deine Wallets zu finden.

Diese BIP 39 Passphrase muss nicht kryptisch sein sondern könnte theoretisch auch ein einfacher Satz sein.
Meine BIP 39 Passphrase ist aus zwei Gründen kryptisch:
1.) Die Eingabe der Passphrase auf der HW-Wallet ist mühselig. Ich möchte viel Entropie pro Zeiteinheit eintippen können.
2.) Die Passphrase wirst du mehrfach eingeben, damit riskierst du dir deine Passphrase zu merken. Ich möchte, dass ein Räuber meine Bitcoin nicht bekommen kann, selbst wenn er mich UND mein Haus in seine Gewalt bringen sollte, weil das 25. Wort nicht in meinem Gehirn gespeichert ist sondern an mehreren entfernten Orten liegt.
Allein diese Orte zu erreichen kostet Zeit und die Orte lassen sich zu komischen Zeiten entweder nicht erreichen oder nicht unauffällig erreichen ohne dass es Alarm gibt.

Da ich mir hinsichtlich der Sinnhaftigkeit einer solchen Aufteilung selber unschlüssig bin freue ich mich schon auf euer kritisches Feedback.

Wenn ich etwas falsch verstanden haben sollte und dir mit meinem Feedback unrecht getan haben sollte, kannst du mich gerne korrigieren.

[Turbartuluk]

Ein Teil habe ich tatsächlich anders gemeint, an manchen Stellen habe ich aber eher den Eindruck, dass ich es noch nicht ganz verstanden habe.
Da ich gestern aber ohnehin nochmal einen Test gemacht habe, packe ich es mal beides zusammen, dann wird das detaillierter und damit hoffentlich auch verständlicher.

Ok, also was habe ich gemacht?

Vorbereitung:
- TailsOS image ziehen, hash validieren und mit balenaEtcher einen nigelnagelneuen Tails USB Stick aufsetzen
- Rechner neu starten, TailsOS starten mit Administratorkennwort ohne persistenten Speicher, mit LAN-Kabel, damit kein WLAN code eingegeben (=gespeichert) werden muss
- Mnemonic Code Converter von Github laden, Hash überprüfen
- BitBoxApp herunterladen, Hash überprüfen und installieren
- BIP39 Wörterliste fürs würfeln öffnen
- LAN-Kabel entfernen / Internet trennen

Frage: Sind Hash und PGP-Signatur redundant, also reicht das Prüfen des Hashes aus? Falls nein, wie Prüft man die Signatur unter Tails (hab das mit Kleopatra irgendwie nicht hinbekommen, kennt ihr ein gutes Tutorial?)?

Würfeln:
- Ich habe mit 5 Alltags-Würfeln (Nicht-Casino-Standard) solange gewürfelt bis ich 180 Zahlen 1..4 hatte, 5+6 wurden ignoriert
- Wollte man das Verfahren verbessern könnte man jeweils 30 Zahlen, 1-4 / 2-5 / 3-6 / 4-1 / 5-2 / 6-3, ermitteln und das umrechnen oder einfach mehr würfel nehmen, ich hab es für den Versuch einfach gehalten
- jeweils 6 Würfelwerte wurden zusammengefasst, sodass man mittels der Wörterliste 30 Wörter bestimmen könnte  

Aufteilung der 24 Wörter:
- dabei muss darauf geachtet werden, dass bei den 3 Teilen das jeweils 12. Wort nicht auf die selbe Stelle fällt (z.B. 2x 16. der 24 Wörter)

Wörter	|	1.	2.	3.	4.	5.	6.	7.	8.	9.	10.	11.	12.	13.	14.	15.	16.	17.	18.	19.	20.	21.	22.	23.	24.
________	|	___	___	___	___	___	___	___	___	___	____	____	____	____	____	____	____	____	____	____	____	____	____	____	____
T1	|	1	1	1	1	1	1	1	1	1	1	1	1	0	0	0	0	0	0	0	0	1	1	1	1
T2	|	1	1	1	1	0	0	0	0	1	1	1	1	1	1	1	1	1	1	1	1	0	0	0	0
T3	|	0	0	0	0	1	1	1	1	0	0	0	0	1	1	1	1	1	1	1	1	1	1	1	1

Ermitteln der Wörter:
- 4 Wörter (hier 12. + 16. + 20. + 24.) enthalten Bits vom SHA256-Hash und werden somit nicht rein zufällig erzeugt
- alle anderen Wörter können aus der Wörterliste entnommen werden
- das 12. Wort wird über T1 ermittelt, die ersten 11 Wörter werden in den Mnemonic Code Converter eingegeben, die ersten 4 Würfelwerte des 12. Wortes bestimmen den Startpunkt in der Wörterliste, die Wörter werden solange einzeln durchgegangen (max. 16 Wörter) bis ein valider Mnemonic gefunden wurde
- die Wörter 16. und 20. werden analog aus den Teilen T2 und T3 bestimmt
- für das 24. Wort werden die ersten 3 Würfelwerte in Binär umgewandelt und ergeben zusammen einen Wert 1-8 (bzw. 0-7), mithilfe der BitBox02 und der ersten 23. Wörter kann dementsprechend das 24. Wort ausgewählt werden
- die Wörter 25-30 werden durch Leerzeichen getrennt zusammengefasst und ergeben das 25. Wort
- Mittels BIP85 und Index wird ein Unterkonto abgeleitet (=Handywallet mit noch kleineren Beträgen als auf der Mutterwallet mit 24 Wörtern ohne Pw)
- Von diesem Konto werden dann mittels BIP39 weitere Unterkonten erstellt (die BIP39 Passwörter könnten ja z.B. einfach den ursprünglichen BIP85 Indexnummern 1-500 entsprechen)  

Idee:
- Im Falle eines Raubes hat man eine Handywallet (deren Seed man nicht kennt / nicht gesichert hat) und einer Decoy-Wallet mit 24. Wörtern auf einer Metallplatte und der dazugehörigen Hardwarewallet in einer Kiste bei sich im Schrank liegen -> wirkt unprofessionell und plausibel
- Außerhalb der Sichtweite des Räubers hat man aber noch 3 Notfallverstecke mit den Teilen T1 - T3 und Datensilos D1 - D3 analog der Dokumentenmappe eines Notfallrucksackes, im versteckten Teil der Datensilos befindet sich auch ein Backup des 25. Wortes
- Das Passwort zu den Datensilos lässt sich aus den versetzt gelagerten Teilen ableiten, T1 und Datensilo D1 lagern zusammen, aus T1 lässt sich das Passwort für D2 und D3 ableiten, mit 2/3 Verstecken lassen sich die 24 Wörter + das 25. Wort rekonstruieren, selbst wenn ein Datenträger beschädigt ist (vorausgesetzt man kennt die Anleitung)
- von der Handywallet lassen sich mittels Indizes bzw. BIP39 Passwörtern (können komplexer=sicherer sein, müssen aber nicht) alle notwendigen Unterkonten ableiten und mittels BIP39-fähiger Hardwarewallet zusammen verwalten (nur ein Seed)
- hier können auch die Master-Passwörter für den täglichen Bedarf abgeleitet werden, welche als Backup aber auch bereits im "übergeordneten" Datensilo D1 - D3 gespeichert sein können

-> bei BIP39 erhält man einen kryptischen Seed, bei BIP85 dagegen eine Mnemonic Wörterliste die deutlich einfacher zu handhaben ist
-> ansonsten dürften BIP85 Index oder BIP39 Passwort ja ähnliche Funktionen erfüllen

Wer deine BIP 85 Elternwallet findet, findet mit minimaler Rechenleistung alle Kinderwallets.
Wer deine 24 BIP39 Seed Wörter findet, aber deine BIP39 Passphrase mit hoher Entropie nicht kennt, hat keine Chance deine Wallets zu finden.

Hmm... Wenn es für BIP85 Indizes insgesamt 2^32 Möglichkeiten gibt muss man seine Indizes ja nicht auf die Plätze 1-500 legen... Wenn ich die selben Indizes (z.B. 1-500) als Passwörter für BIP39 nehme dürfte der Schutz da auch nicht wesentlich höher sein, oder?
Mehr Sicherheit erhalte ich ja nur wenn die BIP39 Passwörter mehr Entropie bekommen was den Prozess insgesamt verkompliziert?!

Was ich meinte ist, dass man bei BIP85 einen schönen einfach zu handhabenden Mnemonic bekommt mit dem man ein Konto wieder herstellen kann. Das mittels kryptischen private Key zu machen dürfte nicht mehr standard sein (weil fehleranfälliger) und ich selbst wüsste auf Anhieb auch gar nicht wie ich das machen müsste.