viele Wallets klug verwalten dank BIP 39 und BIP 85

[Turbartuluk]

Wieviele Ziffern hat denn der BIP85 Index? Bei 3 Ziffern = 1.000 Möglichkeiten könnte man das ja im Zweifel schon auch durch ausprobieren rausbekommen.
Da braucht es den Seed auf Papier für einzelne Wallets ja wirklich nur, wenn man die wallet aktiv verwendet (das 25. Wort zur Ableitung des Seeds ist ja sehr weit weg und soll ja eben nicht kurzfristig verfügbar sein).

Die parallel notwendige Ableitung des 13. Wortes ist natürlich auch ne starke Idee. +2
Muss aber so gewählt werden, dass wir das ursprünglich 25. Wort dafür nicht brauchen (ist ja weit weg). Auch das mit dem Indexxx001 finde ich nicht ganz unproblematisch, da hier ja implizit auch der Hinweis drin steckt, dass es wohl noch einige Wallets mehr gibt. Die jeweils 12 Wörter müssten dann also trotzdem wieder als Decoy Wallet genutzt werden, damit ein Räuber gar nicht erst nach dem 13. Wort fragt.
Und dann wird es langsam auch echt komplex mit den ganzen Wallets, also vielleicht ist da (im Hinblick auf etwaige Erben) weniger doch manchmal mehr.  

@virginorange: kannst du bitte auch nochmal auf die Index 500-599 für Passwörter eingehen? Wenn ich das richtig verstehe sind das alles nur initiale Passwörter (z.B. Verschlüsselung von Datenträgern, Zugang zum Passwortmanager, etc.).
Andererseits ergibt sich aus deinem Konzept ja, dass da nur Passwörter stehen können die man nicht regelmäßig braucht bzw. die man nicht regelmäßig ableiten muss. Hast du die initialen Passwörter (= jeweils 12 Wörter + Reihenfolge) alle im Kopf und die BIP85 Index 500-599 sind nur als Backup für den Fall des Gedächtnisverlustes gedacht? Oder wie muss man sich das vorstellen?  

[1714491171]

1714491171

[1714491171]

1714491171

[Cricktor]

Wieviele Ziffern hat denn der BIP85 Index?

Da der BIP85-Index Teil eines speziellen gehärteten Ableitungspfades ist, sind für den Index Werte von 0 bis 2³¹-1 möglich, also 0...2.147.483.647, was mehr als ausreichend sein sollte. Siehe auch https://github.com/bitcoin/bips/blob/master/bip-0085.mediawiki (nicht leicht zu verstehen!).

Auch das mit dem Indexxx001 finde ich nicht ganz unproblematisch, da hier ja implizit auch der Hinweis drin steckt, dass es wohl noch einige Wallets mehr gibt. Die jeweils 12 Wörter müssten dann also trotzdem wieder als Decoy Wallet genutzt werden, damit ein Räuber gar nicht erst nach dem 13. Wort fragt.

Es war nur ein Vorschlag für ein irgendwie geartetes Schema. Was auch immer man sich ausdenkt, ich empfehle, es trotzdem gut zu dokumentieren. Ansonsten wahrscheinlich: Rezept für späteres Desaster durch Vergessen wichtiger kleiner Details.

Wenn ein Bösewicht Kenntnis von deiner oder deinen optionalen Mnemonic Passphrasen erlangen kann, hast du echt ein Problem. In einer Risikoanalyse sollte man sowas natürlich nicht unter den Tisch fallen lassen. Aber wenn man es zulässt, stimmt insgesamt etwas nicht mit dem Sicherheitsdesign.

An BIP85-abgeleitete Wallets sollte ein Dieb überhaupt nicht erst herankommen, denn das würde bedeuten, daß die initialen 24 Mnemonic Recovery Wörter und die dazugehörige optionale Mnemonic Passphrase kompromittiert wurden. Beides im Tandem darf nicht passieren, sonst hat man grundlegend etwas verkehrt gemacht und bei der Ortssicherheit geschludert.

[virginorange]

@virginorange: kannst du bitte auch nochmal auf die Index 500-599 für Passwörter eingehen? Wenn ich das richtig verstehe sind das alles nur initiale Passwörter (z.B. Verschlüsselung von Datenträgern, Zugang zum Passwortmanager, etc.).
Andererseits ergibt sich aus deinem Konzept ja, dass da nur Passwörter stehen können die man nicht regelmäßig braucht bzw. die man nicht regelmäßig ableiten muss. Hast du die initialen Passwörter (= jeweils 12 Wörter + Reihenfolge) alle im Kopf und die BIP85 Index 500-599 sind nur als Backup für den Fall des Gedächtnisverlustes gedacht? Oder wie muss man sich das vorstellen?  

BIP85 als Backup für Passwörter

Die meisten Passwörter befinden sich im Passwortmanager.

Aber dein Rechner, deine Festplatten, etc. sind ja auch mit Passwörtern verschlüsselt.

Sollten diese Passwörter verloren gehen, hast du viel Zeit verloren und auch wichtige Unterlagen. Für diese Passwörter brauchen wir daher normalerweise auch mehrere Backups.

Ich bräuchte dann Orte für die 24. Worte, das 25. Wort plus Orte für die sonstigen Passwörter.

Für die sonstigen Passwörter kann ich mir das Backup sparen, wenn ich diese auch per BIP85 ableite.

Im Alltag habe ich natürlich alles im Kopf, die 24 Wörter und ggf. 2x oder 3x 5 Wörter für deine Datenträger.

Sind 5 Wörter genug?

12 Wörter brauchen wir (denke ich) nicht. EFF schlägt 6 Wörter mit in Summe 2*10^23 Entropie vor. https://www.eff.org/dice
Das entspricht ca. 7 Bitcoin Seed Wörtern. 5 Wörter plus ein paar Besonderheiten wäre für mich in Ordnung. Was ist denn auf dem Datenträger? Deine Anleitung und deine Anschaffungskosten oder Steuerunterlagen. Plus der Verbrecher braucht noch physischen Zugriff auf den Datenträger.

[Turbartuluk]

Für die sonstigen Passwörter kann ich mir das Backup sparen, wenn ich diese auch per BIP85 ableite.

Im Alltag habe ich natürlich alles im Kopf, die 24 Wörter und ggf. 2x oder 3x 5 Wörter für deine Datenträger.

Sind 5 Wörter genug?

12 Wörter brauchen wir (denke ich) nicht. EFF schlägt 6 Wörter mit in Summe 2*10^23 Entropie vor. https://www.eff.org/dice
Das entspricht ca. 7 Bitcoin Seed Wörtern. 5 Wörter plus ein paar Besonderheiten wäre für mich in Ordnung. Was ist denn auf dem Datenträger? Deine Anleitung und deine Anschaffungskosten oder Steuerunterlagen. Plus der Verbrecher braucht noch physischen Zugriff auf den Datenträger.

Ok, d.h. mittels BIP85 und dem Index leitest du zwar 12 Wörter ab, als Passwort für die Verschlüsselung der Datenträger nutzt du aber nicht alle 12, sondern nur 5 davon?

Ja, das ist für das auswendig lernen von 2-3 Passwörtern natürlich dann schon nen bissl einfacher....

[Turbartuluk]

Ich habe das heute alles mal in der Praxis durchexerziert und muss sagen, dass ich immer noch ein wenig begeistert bin und son paar kleine AHA-Momente hatte.


Im Folgenden möchte ich mein Vorgehen mit der BITBOX02 - BTC only Edition dokumentieren um:
a) andere ggf. zu ermutigen das auch mal zu probieren
b) die wachsamen Augen des Forums drüber schauen lassen, ob ich nicht doch irgendwo einen Fehler gemacht habe

1. TailsOS vorbereiten:
- mit persistentem Speicher (fürs WLAN-Passwort) und Administratorpasswort starten
- BitBoxApp downloaden und installieren
- Wörtertabelle öffnen

2. fleißig würfeln:
- um Wiederholungswürfen vorzubeugen habe ich solange gewürfelt bis ich 141 Würfelwerte von 1-4 hatte (5+6 wurde ignoriert), welche ich auf Papier notiert habe. Die Anzahl der Würfel ist dabei egal aber bei mehr Würfeln geht es schneller und etwaige "Produktionsfehler" einzelner Würfel werden abgemildert.  
- die 141 Werte wurden nun Blöcke unterteilt, je 6 Werte für die ersten 23 Wörter und die restlichen 3 für das 24. Wort
- mithilfe der Wörtertabelle wurden die ersten 23 Seed Wörter ermittelt und notiert, für das letzte Wort wurde mit den letzten 3 Würfelwerten eine Zahl zwischen 1-8 ermittelt

3. zurück zur BitBoxApp
- BitBox02 angeschlossen, Wallet über Recovery Wörter wiederherstellen, 23 Wörter eingeben, das 24. Wort entsprechend der Zahl 1-8 auswählen
- der Kontostand wurde nicht geladen, weil BitBoxApp kein Netz hatte, also über "erweiterte Einstellungen" den "Tor Proxy Server" aktiviert und die IP:Port eingegeben die ich in der /etc/tor/torsocks.conf gefunden habe
- außerdem noch bei "Gerät verwalten" die Passphrase aktiviert

4. "rumspielen" mit dem Mnemonic Code Converter v0.5.6
- 24 Wörter eingeben, den Ableitungspfad auf BIP84 stellen und beim "erweiterten Public Key" schauen ob der selbe auch bei BitBoxApp angezeigt wird -> Herzlichen Glückwunsch: die BitBox02 ist offenbar nicht manipuliert!
- dasselbe auch nochmal mit optionaler Passphrase probiert
- nun mit BIP85 über verschiedene Indizes unterschiedliche Kinderwallets abgeleitet
- BitBox02 auf Werkseinstellungen zurück gesetzt und die 12 Wörter der Kinderwallet eingegeben, auch hier mit der Passphrase rumgespielt
- mit dem Mnemonic Code Converter v1.1.0 schließlich nochmal XMR Mnemonic abgeleitet
- und mich schlussendlich gefreut, dass alles so vergleichsweise einfach funktioniert hat...


Bevor es jetzt an den scharfen Durchgang geht hätte ich da aber doch noch ein paar Fragen:

1. Internet trennen indem WLAN deaktiviert bzw. LAN Stecker abgezogen wird oder lieber die Dateien im persistenten Speicher ablegen und TailsOS im Offline-Modus neu starten? Was ist besser?
2. Wie sicherst du den/die Mnemonic Code Converter ab (der ist ja gefühlt genauso wichtig wie die Seed Wörter und die Passphrase selbst)? Wie kann man sich bei Tails eine Website als .html abspeichern?
3. Zumindest bei der BitBox02 ist immer nur 1 Mnemonic + ggf. mehrere Passphrasen zeitgleich nutzbar, sprich man richtet sich die Wallet ein von der man Auszahlungen tätigt. Gibt es für Wallets bei denen nur eingezahlt wird (z.B. durch Signatur Kampagne) eine Möglichkeit sich den Kontostand einfach "online" bzw. "in der Blockchain" anzeigen zu lassen?!
4. Wie machst du die "Buchhaltung" der Unterkonten? Hast du eine Liste deiner Indizes und hinter jedem ruhenden Konto steht dann ein fester BTC Betrag? Oder hast du das im Kopf? Oder machst 1x pro Jahr ne "Inventur" bei der du alle Indizes ableitest und nachschaust ob alles passt?  

[virginorange]

1. Internet trennen indem WLAN deaktiviert bzw. LAN Stecker abgezogen wird oder lieber die Dateien im persistenten Speicher ablegen und TailsOS im Offline-Modus neu starten? Was ist besser?

Ich würde Tails ohne persistenten speicher starten,
mit LAN mit dem Internet verbinden und mir alles besorgen, was ich brauche,
LAN trennen
Konvertierung durchführen
Tails herunter fahren

2. Wie sicherst du den/die Mnemonic Code Converter ab (der ist ja gefühlt genauso wichtig wie die Seed Wörter und die Passphrase selbst)? Wie kann man sich bei Tails eine Website als .html abspeichern?

Ich habe u.a. 2 Datensilos, auf die ich aufpasse:
(i) offenes Datensilo mit allen KYC dingen, Steuerunterlagen, Bankunterlagen, Immobilienunterlagen, Familienfotos und
(ii) verstecktes Datensilo mit Anschreiben an die Erben, Anleitung, Sparrow Wallet files, Kaufbelegen für Bitcoin und Gold, sowie dem Monero Mnemonic Code Converter.

Der Monero Mnemonic Code Converter (notwendig für Monero) ist weniger wichtig als die Passphrase (Notwendig für Bitcoin und Monero).

Backup Strategie:
1) Liste erstellen "Welche Daten sind dir wichtig?"
2) Daten in Datensilos zusammen fassen (z.B. Immobilienunterlagen und Steuerunterlagen kommen in ein Silo, Sparrow Wallet Files und Monero Mnemonic Code Converter kommen in ein zweites Silo)

Kurzbezeichnung / Langbezeichnung
B24:T1   24 Bitcoin Seed Worte (Teil 1)
B24:T2   24 Bitcoin Seed Worte (Teil 2)
B25:A   Passwort A
Psw:B   Passwort B
o:Daten   Dateisilo offen
v:Daten   Dateisilo versteckt
Q:Daten   Qubes Daten
o:Daten:Psw   Passwort offen
v:Daten:Psw:ich   Passwort versteckt für normale Nutzung
v:Daten:Psw:Erbe   Passwort versteckt für Erben
o:Bitw:DB   KYC-Passwörter Bitwarden
o:Bitw:Psw   Masterpasswort für Zugang zu KYC-Passwörtern
v:Tails:DB Non-KYC-Passwörter Keypass   
o:Tails:Psw Masterpasswort für Zugang zu non-KYC-Passwörtern
job:Bitw:DB   Job-Passwörter
job:Bitw:Psw   Masterpasswort für Zugang zu Job-Passwörtern
job:PC   Arbeitslaptop
job:PC:Psw   Zugang zum Firmennetzwerk

Dann reduzieren wir die nötigen Backups, teilweise durch Lagerung von Passwörtern in einer übergeordneten Datenbank job:PC:Psw lagert z.B. in v:Tails:DB oder durch BIP85-Ableitungen.
v:Tails:DB kommt in v:Daten. So haben wir weniger Pakete auf die wir aufpassen müssen:

B24:T1   24 Bitcoin Seed Worte (Teil 1)
B24:T2   24 Bitcoin Seed Worte (Teil 2)
B25:A   Passwort A
o:Daten   Dateisilo offen
v:Daten   Dateisilo versteckt
Q:Daten   Qubes Daten

Hier machen wir dann Backups mit Redundanz.

3. Zumindest bei der BitBox02 ist immer nur 1 Mnemonic + ggf. mehrere Passphrasen zeitgleich nutzbar, sprich man richtet sich die Wallet ein von der man Auszahlungen tätigt. Gibt es für Wallets bei denen nur eingezahlt wird (z.B. durch Signatur Kampagne) eine Möglichkeit sich den Kontostand einfach "online" bzw. "in der Blockchain" anzeigen zu lassen?!

Für meine Transaktionen nutze ich Sparrow Wallet. Zum erstmaligen Einrichten der Wallet benötige ich meine Hardware Wallet. Von da an benötige ich die Hardware Wallet nur für ausgehende Transaktionen. Eingehende Transaktionen lassen sich ohne Hardware Wallet beobachten.

Eine Wallet kann bei mir 3 Zustände haben:
1.) aktuell nicht aktiv, d.h. sie wird auf ein externes Laufwerk archiviert
2.) Geld wird empfangen, d.h. die Wallet befindet sich in der Virtuellen Maschine von der Sparrow Wallet im Wallet Ordner.
3.) Geld wird versendet, d.h. die Wallet befindet sich in der Virtuellen Maschine von der Sparrow Wallet im Wallet Ordner und die 12 Seed Wörter für die Kinderwallet befinden sich in meiner Reichweite.

4. Wie machst du die "Buchhaltung" der Unterkonten? Hast du eine Liste deiner Indizes und hinter jedem ruhenden Konto steht dann ein fester BTC Betrag? Oder hast du das im Kopf?

Es gibt Unterkonto-Gruppen
z.B. 1-100 für einen Zweck-Kategorie z.B. Käufe über Bisq,
101-200 für den 2. Zweck z.B. Käufe billateral,
201-300 für Käufe auf zentralen Börsen
301-400 abgeleitete hot Wallets fürs Handy
401-500 Monero Wallets, usw.

Die Trennung auf verschiedene BIP85-Unterkonten erfolgt nicht nach einem bestimmten BTC Betrag sondern durch eine Trennung auf der Blockchain und/oder einen anderen Verkäufer. Grund: Wenn ein Bösewicht mir eine bestimmte UTXO zuordnen kann, findet er über die Blockchain alle verbundenen UTXOs oder über den Verkäufer alle verbundenen Verkäufe.
Die Trennung von Unterkonten verhindert eine versehentliche Vermischung der Transaktionen und ermöglicht die Aufgabe eines Unterkontos an einen Bösewicht ohne andere Unterkonten in Gefahr zu bringen.

Innerhalb eines Unterkontos lege ich dann verschiedene Subaccounts an je nach Quelle der Bitcoin (gleiche Seedwörter aber andere Deviation). Dies verhindert eine Vermischung von Bitcoinquellen.

Jedes Unterkonto hat folgende Eigenschaften.
- Kurzbezeichnung Sub-Account
- Fingerprint der Wallet
- Name Verkäufer
- Quelle Coins:
- Betrag: X.XX BTC
- aktiv: ja / nein
- Grund: Warum ist die Wallet aktiv / nicht mehr aktiv
- Plan: was möchte ich mit dieser Wallet zukünftig machen?

Die einzelnen UTXOs sind dann nochmal in der Sparrow Wallet beschrieben.

Oder machst 1x pro Jahr ne "Inventur" bei der du alle Indizes ableitest und nachschaust ob alles passt?  

Für jede(n) Ort / Datenträger / Wallet gibt es ein Wartungs- bzw. Backupintervall. alle 3 Monate, 1 Jahr oder 3 Jahre.

[Cricktor]

2. fleißig würfeln:
- um Wiederholungswürfen vorzubeugen habe ich solange gewürfelt bis ich 141 Würfelwerte von 1-4 hatte (5+6 wurde ignoriert), welche ich auf Papier notiert habe. Die Anzahl der Würfel ist dabei egal aber bei mehr Würfeln geht es schneller und etwaige "Produktionsfehler" einzelner Würfel werden abgemildert.  
- die 141 Werte wurden nun Blöcke unterteilt, je 6 Werte für die ersten 23 Wörter und die restlichen 3 für das 24. Wort
- mithilfe der Wörtertabelle wurden die ersten 23 Seed Wörter ermittelt und notiert, für das letzte Wort wurde mit den letzten 3 Würfelwerten eine Zahl zwischen 1-8 ermittelt

Zu 2.:
Wenn Würfel, dann nur wirklich Casino-Qualität mit ausgefüllten "Augen", am besten zertifizierte Casino-Würfel (nicht bei Amazon gekauft). Allerdings muss man hier auch immer noch darauf vertrauen, daß die Würfel wirklich fair sind. Ist man paranoid und geht von nicht-fairen Würfeln aus, dann kann man jeden Bias auch durch ein XOR mit einer unabhängigen Zufallsquelle kompensieren, von der man weiß, daß sie keinen oder nur sehr wenig Bias hat.
Für Letzteres kann man z.B. eine Münze oft genug werfen nach folgendem Schema (K=Kopf, Z=Zahl): KK und ZZ werden verworfen, KZ=0 und ZK=1 (man kann auch KZ=1 und ZK=0 nehmen, muss sich nur vorher auf ein Schema festlegen). Man erzeugt sich also ein Zufallsbit durch einen Doppelwurf einer beliebigen Münze, die sich nett schnippen lässt. Das Schema, daß zwei gleiche Seiten verworfen werden und nur eine Änderung der Seiten berücksichtigt wird, kompensiert auch eine etwas unehrliche Münze oder einen Bias durch die Art des Münzwerfens.

Das Münzwurf-Schema kann man auch verwenden, wenn man sich die Anschaffung von Casino-Würfeln sparen möchte. Man muss die Münze nur eben so oft werfen, bis man die Anzahl an benötigter Bits erreicht hat.

Ich bin nicht paranoid genug, um z.B. dem /dev/hwrng eines Raspi 4B zu misstrauen. Den sähe ich auch als eine unabhängige und gute Zufallsquelle an, die man für die XOR-Biaskompensation verwenden kann.

Nachteil von XOR und Ausgangsbasis mit Entropie durch Münzwurf ist, daß man ggf. Schritte offline und auf sicherer Basis vorher durchführen muss, bevor man sicher auf der BitBox02 mit den Mnemonic Wiederherstellungswörtern loslegen kann.

4. "rumspielen" mit dem Mnemonic Code Converter v0.5.6
- 24 Wörter eingeben, den Ableitungspfad auf BIP84 stellen und beim "erweiterten Public Key" schauen ob der selbe auch bei BitBoxApp angezeigt wird -> Herzlichen Glückwunsch: die BitBox02 ist offenbar nicht manipuliert!
- dasselbe auch nochmal mit optionaler Passphrase probiert
- nun mit BIP85 über verschiedene Indizes unterschiedliche Kinderwallets abgeleitet
- BitBox02 auf Werkseinstellungen zurück gesetzt und die 12 Wörter der Kinderwallet eingegeben, auch hier mit der Passphrase rumgespielt
- mit dem Mnemonic Code Converter v1.1.0 schließlich nochmal XMR Mnemonic abgeleitet

Vor 4. Rumspielen mit den Mnemonic Wiederherstellungswörtern hast du hoffentlich jegliche Internetverbindung wieder getrennt! Das geht bei Tails OS recht einfach, wenn man die Tor-Verbindung beendet, LAN-Kabel absteckt und sicherheitshalber auch WLAN abschaltet.
Ebenso hätte ich Tails neu gestartet, bevor ich das Coinomi-Github besucht hätte.

Wenn man eine potentielle Verseuchung seines Tails mit persistentem Speicher durch Internetzugang vermeiden möchte, kann man ja ein zweites Tails ohne persistenten Speicher benutzen, mit dem nichtausführbare Dateien geladen werden, die man dann über einen dritten Datenträger ins Tails mit persistenten Speicher transferiert.

1. Internet trennen indem WLAN deaktiviert bzw. LAN Stecker abgezogen wird oder lieber die Dateien im persistenten Speicher ablegen und TailsOS im Offline-Modus neu starten? Was ist besser?

Mir genügt die Trennung der Tor-Verbindung und Abziehen von LAN-Kabel bzw. Abschalten von WLAN aus, um mich sicher zu fühlen, daß das Tails dann isoliert ist. Arbeite ich dann mit den Mnemonic Wiederherstellungswörtern oder anderen sehr sensitiven Daten, bleibt Tails bis zum Shutdown offline, ohne Wenn und Aber.
Oder man hat vielleicht noch einen 100%-offline Rechner, der immer "kalt" bleibt, wo man solche Sachen machen kann.

2. Wie sicherst du den/die Mnemonic Code Converter ab (der ist ja gefühlt genauso wichtig wie die Seed Wörter und die Passphrase selbst)? Wie kann man sich bei Tails eine Website als .html abspeichern?

Den Seiten-Code ausschließlich vom Github holen und per Hash/Signatur verifizieren. Das finde ich sicherer als HTML-Seiten aus dem Browser zu speichern, deren Hash ich dann womöglich nicht prüfen kann. Sollte das doch gehen, dann OK.

3. Zumindest bei der BitBox02 ist immer nur 1 Mnemonic + ggf. mehrere Passphrasen zeitgleich nutzbar, sprich man richtet sich die Wallet ein von der man Auszahlungen tätigt. Gibt es für Wallets bei denen nur eingezahlt wird (z.B. durch Signatur Kampagne) eine Möglichkeit sich den Kontostand einfach "online" bzw. "in der Blockchain" anzeigen zu lassen?!

Watch-only Wallet einrichten, sähe ich als eine mögliche sichere und komfortable Lösung auf einem Online-Alltagsrechner oder Smartphone an, wenn Letzteres erwünscht ist.
Für eine einzelne Adresse kannst du https://mempool.space benutzen, am besten selbst gehostet und mit eigenem Electrum-Server verbunden, dann bleibt deine Adresse privat. Kontostand kannst du damit leicht ermitteln, insbesondere wenn die Adresse nur Zufluss hat.

[virginorange]

Wenn Würfel, dann nur wirklich Casino-Qualität mit ausgefüllten "Augen", am besten zertifizierte Casino-Würfel (nicht bei Amazon gekauft). Allerdings muss man hier auch immer noch darauf vertrauen, daß die Würfel wirklich fair sind.

Ich würde auch Casino-Würfel nutzen, aber super fair müssen die Würfel gar nicht sein.

Das Problem bei nicht fairen Würfeln wird sein, dass wir weniger Entropie erzeugen als gedacht. In der Praxis müsste die Entropie dann immer noch hoch genug sein.

Wir streben 2^256 = ca. 10^77 Entropie an. Das erreichen wir mit ca. 99 perfekten Würfen.

Ein perfekter Würfel wirft 1 bis 6 mit einer Wahrscheinlichkeit je 16,666%.

Ein perfekt schlechter Würfel landet immer auf der 6. Das wäre gar keine Entropie. Aber so schlechte Würfel würden einem ja auffallen.

In der Praxis wird ein schlechter Würfel eher so aussehen:
1: 14%
2: 19%
3: 22%
4: 12%
5: 17%
6: 16%
Das gibt immer noch genügend Entropie.

Sagen wir mal unser Würfel wirft nie die 1 und dafür alle anderen zahlen etwas häufiger. Unsere Entropie ist dann 5^99 = ca. 10^69. Das ist immer noch sehr gut.

Sagen wir mal unser Würfel wirft nie die 1, nie die 2 und nie die 3, und dafür alle anderen zahlen doppelt so häufig. Unsere Entropie ist dann 3^99 = ca. 10^47. 12 Seed Wörter, die ja auch ausreichend sind, haben nur 2^128 = ca. 10^38 Entropie.

Und hier habe ich noch nicht mal die Entropie aus dem 25. Wort eingerechnet.

Man sollte schon vernünftige Würfel verwenden, aber Perfektion brauchen wir hier bei weitem nicht.

[Turbartuluk]

Danke mal wieder für eure Anmerkungen!

Internet hatte ich nicht getrennt, da ich ja nur "rumgespielt" habe und für den scharfen Durchgang (=Erstellung des echten Seeds) nochmal gründlich von vorne anfangen wollte, sprich auch checken von Hash/Signatur angefangen beim Tails Image bis zum Mnemonic Code Converter. Auf dem Schirm hatte ich das mit der Internetverbindung aber schon.

Danke auch nochmal für die Entropie-Betrachtung der Würfel (ich hab nämlich auch keine Casino-Würfel genommen).

24 Wörter = kleiner Betrag
24 Wörter + 25. Wort = nix
24 Wörter + 25. Wort + BIP85 Indexnummer 0 = 12 WörterT1 = Teil 1 vom großen Betrag
24 Wörter + 25. Wort + BIP85 Indexnummer 1 = 12 WörterT2 = Teil 2 vom großen Betrag
24 Wörter + 25. Wort + BIP85 Indexnummer 2 = 12 WörterT3 = Teil 3 vom großen Betrag
optional: 24 Wörter + 25. Wort + BIP85 Indexnummer 101 = 12 WörterT101 = 25 Monero Wörter = Teil 1 von Monero

Richtig gut aufpassen würde ich auf die 24. Wörter und das 25. Wort.
24. Wörter -> 4 Sicherheitskopien in je 2 Teilen
25. Wort -> 4 Sicherheitskopien.

...

Wobei in der Praxis ist eher das 25. Wort problematisch.
Die 24. Wörter lagern ja mit vielen Sicherheitskopien in deiner Nähe und nur mit wenigen Kopien weiter weg. In deiner Nähe kontrollierst du ja genügend Orte.
Beim 25. Wort bist du angewiesen auf weniger gute Orte.

Dazu kam mir heute noch eine Idee, wie man das etwas anders aufteilen könnte:

24 Wörter = kleiner Betrag
geteilt in 3 Teile a 16 Wörter = 3x 12 Wörter + 4 Wörter als Passwort = Backup der Masterpasswörter zu den versteckten Datensilos
-> die Versteckten Datensilos können bereits ein Backup des 25. Wortes und/oder die Anleitung enthalten
-> das jeweils 12. Wort in den 3 Teilen sowie das 24. Wort sind nicht rein zufällig, aber auch bei 20 zufälligen Wörtern sollte die Entropie ausreichen

24 Wörter + 25. Wort = nix
(alternativ 3x 12 Wörter + 4 Wörter als 13. Wort = nix)
24 Wörter + 25. Wort + BIP85 Indexnummer 0 = 12 Wörter T1-10
(alternativ 3x 12 Wörter + 4 Wörter als 13. Wort + BIP85 Indexnummer 0 = 3x 12 Wörter T1-10 / T11-20 / T21-30)   
12 Wörter T1-10 + PW1 = Teil 1 vom großen Betrag
12 Wörter T1-10 + PW2 = Teil 2 vom großen Betrag
12 Wörter T1-10 + PW3 = Teil 3 vom großen Betrag
-> Unterkonten-Gruppen haben nur 1 Seed und können daher auch mit BIP39 fähigen Hardware-Wallets verwaltet werden
-> bei BIP39 erhält man einen kryptischen Seed, bei BIP85 dagegen eine Mnemonic Wörterliste die deutlich einfacher zu handhaben ist
-> ansonsten dürften BIP85 Index oder BIP39 Passwort ja ähnliche Funktionen erfüllen

Da ich mir hinsichtlich der Sinnhaftigkeit einer solchen Aufteilung selber unschlüssig bin freue ich mich schon auf euer kritisches Feedback.

[virginorange]

24 Wörter = kleiner Betrag
geteilt in 3 Teile a 16 Wörter = 3x 12 Wörter + 4 Wörter als Passwort = Backup der Masterpasswörter zu den versteckten Datensilos
-> die Versteckten Datensilos können bereits ein Backup des 25. Wortes und/oder die Anleitung enthalten
-> das jeweils 12. Wort in den 3 Teilen sowie das 24. Wort sind nicht rein zufällig, aber auch bei 20 zufälligen Wörtern sollte die Entropie ausreichen

24 Wörter + 25. Wort = nix
(alternativ 3x 12 Wörter + 4 Wörter als 13. Wort = nix)
24 Wörter + 25. Wort + BIP85 Indexnummer 0 = 12 Wörter T1-10
(alternativ 3x 12 Wörter + 4 Wörter als 13. Wort + BIP85 Indexnummer 0 = 3x 12 Wörter T1-10 / T11-20 / T21-30)   
12 Wörter T1-10 + PW1 = Teil 1 vom großen Betrag
12 Wörter T1-10 + PW2 = Teil 2 vom großen Betrag
12 Wörter T1-10 + PW3 = Teil 3 vom großen Betrag

Geheimhaltung der 24 Wörter gefährdet
Die 24 Wörter führen zu deinem kleiner Betrag. Und du gibst jeweils 16 deiner 24 Wörter zur Entschlüsselung von Daten auf deinem Rechner ein. Für die Entschlüsselung aller drei Datenträger gibst du also insgesamt alle 24 Wörter in einen Rechner ein.

Dies führt zu einem etwas höheren Risiko für deine kleine Wallet.

Dies wäre problematisch, wenn deine kleine Wallet eine lohnenswerte Beute darstellt oder das 25. Wort zu wenig Entropie hat.

Das Ziel der kleinen Wallet ist einen Räuber zu befriedigen. Max Mustermann hat 10 Mio. Gesamtvermögen, davon 1 Mio. in Bitcoin, davon 40.000€ in der kleinen Wallet. Mit 40.000€ gibt sich der Räuber auch zufrieden und läuft weg. Wenn in der kleinen Wallet nur 50€ drin sind foltert der Räuber weiter.
Aber 40.000€ in der kleinen Wallet wären aber meiner Meinung nach zu viel, um hier die Seed Wörter dauernd am Rechner einzugeben.

Dein 25. Wort muss hier unbedingt viel Entropie haben, weil die 24 Wörter häufiger im Rechner eingegeben werden.

"12 Wörter T1-10 + PW1 = Teil 1 vom großen Betrag"
Ich frage mich, ob diese Methode den Aufwand für dich mehr steigert als für den Bösewicht.

Die Passwörter PW1, PW2 und PW3, sind ja Teil der 24 Wörter. Wer Zugriff auf deine 24 Wörter hat, für den ist die Passphrase auf Ebene der Kinderwallet keine zusätzliche Hürde mehr.
Zusätzlich hast du diese 3 Passwörter ja schon mehrfach am Rechner eingegeben. Am Ende hängt alles am 25. Wort.

Jetzt kannst du operative Einwände haben und sagen: "der Räuber kennt meinen Prozess ja nicht". Aber komplexe Prozesse treffen dich, diene Erben und den Bösewicht symmetrisch und machen das Leben jedem schwerer. Generell suchen wir asymmetrische Sicherheitsbausteine, die es für den Bösewicht wesentlich schwieriger machen aber für dich nur ein bisschen schwieriger.


Variante Wallet nur auf 25. Wort basieren
Wenn sowieso alles mit dem 25. Wort steht und fällt
und wir deswegen ein 25. Wort mit sehr viel Entropie würfeln,
können wir unsere 24 Wörter auch komplett alleine lassen.
Das heißt wir leiten unsere 24 Wörter vom Hash einer stabilen öffentlichen Datenquelle ab (z.B. wir hashen einen Bitcoin-Blockchain Block, oder einen Cryptopunk NFT, oder ein Gedicht von Goethe oder den Koran oder die Informationen auf der Voyager Sonde).
Dann benötigen wir weniger Orte für ein Backup, um Verlust zu vermeiden, weil ja andere Menschen auf unser Backup aufpassen.
Unser Backup sind keine Seed Wörter, die man Bitcoin zuordnen kann, sondern einfache eine Folge von Buchstaben und Zahlen. Damit vermeiden wir, dass man unser Geheimnis als Wertvoll erkennt.

Was hält ihr davon, nur mit 25. Wort zu arbeiten?

-> bei BIP39 erhält man einen kryptischen Seed, bei BIP85 dagegen eine Mnemonic Wörterliste die deutlich einfacher zu handhaben ist
-> ansonsten dürften BIP85 Index oder BIP39 Passwort ja ähnliche Funktionen erfüllen

Wer deine BIP 85 Elternwallet findet, findet mit minimaler Rechenleistung alle Kinderwallets.
Wer deine 24 BIP39 Seed Wörter findet, aber deine BIP39 Passphrase mit hoher Entropie nicht kennt, hat keine Chance deine Wallets zu finden.

Diese BIP 39 Passphrase muss nicht kryptisch sein sondern könnte theoretisch auch ein einfacher Satz sein.
Meine BIP 39 Passphrase ist aus zwei Gründen kryptisch:
1.) Die Eingabe der Passphrase auf der HW-Wallet ist mühselig. Ich möchte viel Entropie pro Zeiteinheit eintippen können.
2.) Die Passphrase wirst du mehrfach eingeben, damit riskierst du dir deine Passphrase zu merken. Ich möchte, dass ein Räuber meine Bitcoin nicht bekommen kann, selbst wenn er mich UND mein Haus in seine Gewalt bringen sollte, weil das 25. Wort nicht in meinem Gehirn gespeichert ist sondern an mehreren entfernten Orten liegt.
Allein diese Orte zu erreichen kostet Zeit und die Orte lassen sich zu komischen Zeiten entweder nicht erreichen oder nicht unauffällig erreichen ohne dass es Alarm gibt.

Da ich mir hinsichtlich der Sinnhaftigkeit einer solchen Aufteilung selber unschlüssig bin freue ich mich schon auf euer kritisches Feedback.

Wenn ich etwas falsch verstanden haben sollte und dir mit meinem Feedback unrecht getan haben sollte, kannst du mich gerne korrigieren.

[Turbartuluk]

Ein Teil habe ich tatsächlich anders gemeint, an manchen Stellen habe ich aber eher den Eindruck, dass ich es noch nicht ganz verstanden habe.
Da ich gestern aber ohnehin nochmal einen Test gemacht habe, packe ich es mal beides zusammen, dann wird das detaillierter und damit hoffentlich auch verständlicher.

Ok, also was habe ich gemacht?

Vorbereitung:
- TailsOS image ziehen, hash validieren und mit balenaEtcher einen nigelnagelneuen Tails USB Stick aufsetzen
- Rechner neu starten, TailsOS starten mit Administratorkennwort ohne persistenten Speicher, mit LAN-Kabel, damit kein WLAN code eingegeben (=gespeichert) werden muss
- Mnemonic Code Converter von Github laden, Hash überprüfen
- BitBoxApp herunterladen, Hash überprüfen und installieren
- BIP39 Wörterliste fürs würfeln öffnen
- LAN-Kabel entfernen / Internet trennen

Frage: Sind Hash und PGP-Signatur redundant, also reicht das Prüfen des Hashes aus? Falls nein, wie Prüft man die Signatur unter Tails (hab das mit Kleopatra irgendwie nicht hinbekommen, kennt ihr ein gutes Tutorial?)?

Würfeln:
- Ich habe mit 5 Alltags-Würfeln (Nicht-Casino-Standard) solange gewürfelt bis ich 180 Zahlen 1..4 hatte, 5+6 wurden ignoriert
- Wollte man das Verfahren verbessern könnte man jeweils 30 Zahlen, 1-4 / 2-5 / 3-6 / 4-1 / 5-2 / 6-3, ermitteln und das umrechnen oder einfach mehr würfel nehmen, ich hab es für den Versuch einfach gehalten
- jeweils 6 Würfelwerte wurden zusammengefasst, sodass man mittels der Wörterliste 30 Wörter bestimmen könnte  

Aufteilung der 24 Wörter:
- dabei muss darauf geachtet werden, dass bei den 3 Teilen das jeweils 12. Wort nicht auf die selbe Stelle fällt (z.B. 2x 16. der 24 Wörter)

Wörter	|	1.	2.	3.	4.	5.	6.	7.	8.	9.	10.	11.	12.	13.	14.	15.	16.	17.	18.	19.	20.	21.	22.	23.	24.
________	|	___	___	___	___	___	___	___	___	___	____	____	____	____	____	____	____	____	____	____	____	____	____	____	____
T1	|	1	1	1	1	1	1	1	1	1	1	1	1	0	0	0	0	0	0	0	0	1	1	1	1
T2	|	1	1	1	1	0	0	0	0	1	1	1	1	1	1	1	1	1	1	1	1	0	0	0	0
T3	|	0	0	0	0	1	1	1	1	0	0	0	0	1	1	1	1	1	1	1	1	1	1	1	1

Ermitteln der Wörter:
- 4 Wörter (hier 12. + 16. + 20. + 24.) enthalten Bits vom SHA256-Hash und werden somit nicht rein zufällig erzeugt
- alle anderen Wörter können aus der Wörterliste entnommen werden
- das 12. Wort wird über T1 ermittelt, die ersten 11 Wörter werden in den Mnemonic Code Converter eingegeben, die ersten 4 Würfelwerte des 12. Wortes bestimmen den Startpunkt in der Wörterliste, die Wörter werden solange einzeln durchgegangen (max. 16 Wörter) bis ein valider Mnemonic gefunden wurde
- die Wörter 16. und 20. werden analog aus den Teilen T2 und T3 bestimmt
- für das 24. Wort werden die ersten 3 Würfelwerte in Binär umgewandelt und ergeben zusammen einen Wert 1-8 (bzw. 0-7), mithilfe der BitBox02 und der ersten 23. Wörter kann dementsprechend das 24. Wort ausgewählt werden
- die Wörter 25-30 werden durch Leerzeichen getrennt zusammengefasst und ergeben das 25. Wort
- Mittels BIP85 und Index wird ein Unterkonto abgeleitet (=Handywallet mit noch kleineren Beträgen als auf der Mutterwallet mit 24 Wörtern ohne Pw)
- Von diesem Konto werden dann mittels BIP39 weitere Unterkonten erstellt (die BIP39 Passwörter könnten ja z.B. einfach den ursprünglichen BIP85 Indexnummern 1-500 entsprechen)  

Idee:
- Im Falle eines Raubes hat man eine Handywallet (deren Seed man nicht kennt / nicht gesichert hat) und einer Decoy-Wallet mit 24. Wörtern auf einer Metallplatte und der dazugehörigen Hardwarewallet in einer Kiste bei sich im Schrank liegen -> wirkt unprofessionell und plausibel
- Außerhalb der Sichtweite des Räubers hat man aber noch 3 Notfallverstecke mit den Teilen T1 - T3 und Datensilos D1 - D3 analog der Dokumentenmappe eines Notfallrucksackes, im versteckten Teil der Datensilos befindet sich auch ein Backup des 25. Wortes
- Das Passwort zu den Datensilos lässt sich aus den versetzt gelagerten Teilen ableiten, T1 und Datensilo D1 lagern zusammen, aus T1 lässt sich das Passwort für D2 und D3 ableiten, mit 2/3 Verstecken lassen sich die 24 Wörter + das 25. Wort rekonstruieren, selbst wenn ein Datenträger beschädigt ist (vorausgesetzt man kennt die Anleitung)
- von der Handywallet lassen sich mittels Indizes bzw. BIP39 Passwörtern (können komplexer=sicherer sein, müssen aber nicht) alle notwendigen Unterkonten ableiten und mittels BIP39-fähiger Hardwarewallet zusammen verwalten (nur ein Seed)
- hier können auch die Master-Passwörter für den täglichen Bedarf abgeleitet werden, welche als Backup aber auch bereits im "übergeordneten" Datensilo D1 - D3 gespeichert sein können

-> bei BIP39 erhält man einen kryptischen Seed, bei BIP85 dagegen eine Mnemonic Wörterliste die deutlich einfacher zu handhaben ist
-> ansonsten dürften BIP85 Index oder BIP39 Passwort ja ähnliche Funktionen erfüllen

Wer deine BIP 85 Elternwallet findet, findet mit minimaler Rechenleistung alle Kinderwallets.
Wer deine 24 BIP39 Seed Wörter findet, aber deine BIP39 Passphrase mit hoher Entropie nicht kennt, hat keine Chance deine Wallets zu finden.

Hmm... Wenn es für BIP85 Indizes insgesamt 2^32 Möglichkeiten gibt muss man seine Indizes ja nicht auf die Plätze 1-500 legen... Wenn ich die selben Indizes (z.B. 1-500) als Passwörter für BIP39 nehme dürfte der Schutz da auch nicht wesentlich höher sein, oder?
Mehr Sicherheit erhalte ich ja nur wenn die BIP39 Passwörter mehr Entropie bekommen was den Prozess insgesamt verkompliziert?!

Was ich meinte ist, dass man bei BIP85 einen schönen einfach zu handhabenden Mnemonic bekommt mit dem man ein Konto wieder herstellen kann. Das mittels kryptischen private Key zu machen dürfte nicht mehr standard sein (weil fehleranfälliger) und ich selbst wüsste auf Anhieb auch gar nicht wie ich das machen müsste.