Axiom0815 Geschrieben 29. August 2015 Teilen Geschrieben 29. August 2015 (bearbeitet) Gestern ist mir wieder mal die MultiSig über den Weg gelaufen. Eine geniale Geschichte, ob wohl die meisten vielleicht nur wissen, dass die öffentlichen Adressen mit einer 3 beginnen. Aber jede Mediale hat zwei Seiten. Und ich will mal die „dunkle Seite“ beleuchten. Hier zwei MultiSig 2/3 Adressen: 3N8PUCD6rMuFcN8YMx37abFCB64D4BYxjA 39cv1Qs2eu1BNsDh6FkE4oWALJZDNerhC3 Bei einer stimmt was nicht! Und wer sieht es sofort? Bitcoin ist kryptografisch sicher. Trotzdem gibt es nach diversen MtGox-Fällen weitere Verbesserungen der Sicherheit. Hoch gepriesen ist da die Multisignatur. Zum Beispiel eine öffentliche Adresse, aber 3 private Schlüssel und man braucht mindestens 2 um an die Bitcoin zu kommen. Einer ist dann auf den Server beim Anbieter, ein hat der Nutzer lokal und ein dritter hat ebenfalls der Nutzer offline im Safe gesichert. Der Anbieter (z.B. Cryptocorp) hat ein Sicherheitsmanagement mit 2-fach Authentifizierung und je nach Größe der Summe auch noch Sicherheitsfragen oder ein Agent ruft zurück, bevor die Überweisung ausgeführt wird. Mit den Key auf den Server und den lokalen Key des Anwenders kann die Überweisung ausgeführt werden. Nur mit einem Key geht nicht. Wird der lokale Key geklaut oder ein Mitarbeiter des Anbieters will mit den Key Bitcoin stehlen, so klappt es nicht. Sollte der Anbieter aus irgendwelchen Grund mal verschwinden, hat der Anwender noch einen zweiten Key im Safe und kommt an seine Bitcoin. Schöne sichere Welt! Wirklich? Die meisten Anwender verstehen nicht, was sie dort tun. Und man bekommt auch keinen Einblick außer Gutachten und Audits. Und warum habe ich bei solchen Beispielen Bauchschmerzen? Kommen wir zur oben gestellten Frage zurück. Was stimmt an einer der Adressen nicht? … So, ich muss jetzt erst mal los. Heute Nacht bzw. Morgen früh gibt es die Auflösung, wenn nicht schon einer vorher hier die Antwort postet. Viel Spaß beim knobeln. Axiom Bearbeitet 30. August 2015 von Axiom0815 2 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Gast Geschrieben 29. August 2015 Teilen Geschrieben 29. August 2015 (bearbeitet) vergessen Bearbeitet 6. September 2015 von Gast Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Axiom0815 Geschrieben 30. August 2015 Autor Teilen Geschrieben 30. August 2015 (bearbeitet) Dem Dativ magst du nicht? Ja, mein Problem aus Norddeutscher. Also um das ganze deutlich zu machen, hier die Erzeugung der beiden Adressen im Bitcoin Client: bitcoin-cli createmultisig 2 "[\"1AN6iwi9A7nLSpZQ4fMJZ8MKFT6tUhctYp\",\"1KAFHP7JFyqAwtN2vJWAjLLebUb3uKRev6\",\"1LncgR1yPxVpxN9MRvN5srfJaBW8QWaXdN\"]" { "address" : "39cv1Qs2eu1BNsDh6FkE4oWALJZDNerhC3", ... } Und bitcoin-cli createmultisig 2 "[\"1AN6iwi9A7nLSpZQ4fMJZ8MKFT6tUhctYp\",\"1KAFHP7JFyqAwtN2vJWAjLLebUb3uKRev6\",\"1LncgR1yPxVpxN9MRvN5srfJaBW8QWaXdN\",\"18KEy3coKayDEhhEhijP7po3maQYRnpk8b\]" { "address" : "3N8PUCD6rMuFcN8YMx37abFCB64D4BYxjA", ... } Bei einer Adresse ist ein zusätzlicher Key mit drin. Bei PGP nannte man das seinerzeit "Government Key". Mit diesem zusätzlichen Schlüssel kann das Bitcoin-Vermögen „beschlagnahmt“ werden. Dass so etwas noch nicht aus der Welt ist, haben wir gerade bei Wikileaks gesehen. Und kann mit Kriminalität und „Nationale Sicherheit“ begründet werden. Also ist blindes Vertrauen nicht angebracht! Bearbeitet 30. August 2015 von Axiom0815 2 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
blubblibla Geschrieben 30. August 2015 Teilen Geschrieben 30. August 2015 (bearbeitet) Ja und? Das ist ein bekanntes Problem, das technisch nicht lösbar ist. Dazu fallen mir nur drei meiner Standardphrasen ein: Technik kann das Vertrauen in Menschen nicht ersetzen.Technik kann soziale Probleme nicht lösen.100 Prozent Sicherheit gibt es nicht.Lösbar ist die Sache nur, wenn sich alle Inhaber der Keys zu einer MultiSig-Creation-Party einfinden, vergleichbar mit den Keysigning-Parties bei PGP. Und selbst dann würd ich nicht von 100% Sicherheit sprechen, es kann ja immer noch die Software im Vorfeld manipuliert worden sein.Die Paranoid-Ente hat jedenfalls gerade ihre helle Freude. Bearbeitet 30. August 2015 von blubblibla 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
maximal Geschrieben 30. August 2015 Teilen Geschrieben 30. August 2015 (bearbeitet) Das es reines MultiSig und unreines MultiSig gibt, hab ich mir schon erlesen. Mit Deiner Ausführung hast Du es mir aber klarer gemacht. Noch halte ich es bei nur einem privaten Schlüssel, solange ich nicht unterscheiden kann, ob die mir angebotene Adresse einen weiteren Zugriffsschlüssel besitzt. Gibt es denn einen Weg, dies anhand der Adresse herauszufinden ? Ich glaube doch eher nicht. Also bleibt da nur das Vertrauen in die Wallet die die Schlüssel generiert. Habt Ihr einen Tipp wie vorgegangen werden soll ? Bearbeitet 30. August 2015 von maximal 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Axiom0815 Geschrieben 30. August 2015 Autor Teilen Geschrieben 30. August 2015 Mein Ziel war diese Risiken aufzuzeigen. Gerade in der neueren Zeit wird ja Multisig als die „Alles-Lösung“ verkauft. Problemlösung? Bei einem Anbieter, musst Du den Vertrauen. Ob man das sollte, wenn die staatlichen Zugriffen (nationale Sicherheit) unterliegen oder bei entsprechenden Summen die Gier kommt….? Beispiele sind Email- und Handyüberwachung flächendeckend. Wenn man einigermaßen in der Materie steckt, bzw. es erklärt bekommt, kann man wie folgt vorgeben: Drei Keys werden festgelegt. Zum Beispiel hier 1AN6iwi9A7nLSpZQ4fMJZ8MKFT6tUhctYp, 1KAFHP7JFyqAwtN2vJWAjLLebUb3uKRev6, 1LncgR1yPxVpxN9MRvN5srfJaBW8QWaXdN. Alle der Besitzer signieren eine vorgegebene Nachricht (Zufallszahl und Zeit), um den Besitz zu beweisen. Der Multisig-Key wird mit bitcoin-cli createmultisig erzeugt. (siehe oben) Das Ergebnis kann von jedermann mit bitcoin-cli createmultisig kontrolliert werde. (Achtung auf die Reinfolge. Dadurch ändern sich die Ergebnisse.) Ohne den Spaß höchste Vorsicht, oder man verwendet Multisig nur zum Eigengebrauch, wo man die Key zur Eigensicherung genutzt werden. Ich sehe da die Unabhängigkeit des Bitcoin gefährdet, wenn unkontrollierbare Lösungen „in Mode kommen“. Andere Vorschläge? 2 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
... Geschrieben 30. August 2015 Teilen Geschrieben 30. August 2015 Hast durchaus Recht und es ist sehr gut die Leute auf diese Moeglichkeit aufmerksam zu machen aber Ich sehe da die Unabhängigkeit des Bitcoin gefährdet, wenn unkontrollierbare Lösungen „in Mode kommen“. soweit wuerde ich nicht gehen. Am Ende werden die meisten Menschen sowieso wieder einer Institution vertrauen. Banken sterben auch durch Bitcoin nicht aus. Und die Staaten werden ihre Finger im Spiel halten. Bitcoin gibt aber Menschen die Moeglichkeit (solange alle die Blockchain nutzen koenen) sich unabhaengig zu machen und ihr Geld so zu verwalten wie sie es fuer richtig halten. Man ist nicht gezwungen einer Institution zu vertrauen aber man kann. Und da werden sich vertrauenswuerdige heraus kristallisieren. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Axiom0815 Geschrieben 30. August 2015 Autor Teilen Geschrieben 30. August 2015 Man ist nicht gezwungen einer Institution zu vertrauen ... Richtig! Deshalb muss man die Leute klug machen und Wissen vermitteln. 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
.thumb.webp.e030f675ee0e67b9153d954f47dcf361.webp)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden