BtcFrankenstein

Bildlich verdeutlicht wie der Specter DIY die Malware abwehrt. Und extrem sicher ist.

Ist der Specter DIY sicher? Mögliche Sicherheitsrisiken und wie man diese beseitigt

Specter DIY ist ein beliebtes, Opensource Hardware-Wallet, das Nutzern ermöglicht, ihre Bitcoin sicher aufzubewahren, indem es von Standardkomponenten zusammengebaut wird. Doch ist der Specter DIY sicher? In diesem Artikel werfen wir einen detaillierten Blick auf die Sicherheitsmerkmale von Specter DIY und untersuchen mögliche Angriffsvektoren.

Air-Gap-Technologie und Kommunikation über QR-Codes

Eine der wichtigsten Sicherheitsfunktionen des Specter DIY ist die Air-Gap-Technologie. Dies bedeutet, dass das Gerät nicht mit dem Internet verbunden ist und somit keine Netzwerkangriffe möglich sind. Der Datenfluss zwischen dem Wallet und der Blockchain erfolgt über QR-Codes. Diese Art der unidirektionalen Kommunikation minimiert das Risiko, dass Malware auf das Gerät übertragen wird​. Da keine Kabelverbindungen erforderlich sind, bleibt das Gerät vollständig isoliert.

Ein Bild von jemandem der mit dem Specter DIY Airgapped den X-Pub kommuniziert.

Schwachstellen bei der QR-Kommunikation

Obwohl QR-Codes als sicher gelten, besteht theoretisch das Risiko, dass eine bösartige Software auf einem mit dem Wallet verbundenen Gerät gefälschte QR-Codes generiert. Ein Benutzer könnte unbewusst einen kompromittierten QR-Code scannen, der gefälschte Transaktionen oder Adressen enthält. Dies lässt sich jedoch durch zusätzliche Sicherheitsprüfungen auf der Benutzeroberfläche des Specter DIYs minimieren, die vor der Transaktionsbestätigung angezeigt werden

Seederstellung: Zufallsalgorithmen und Benutzerkontrolle

Eine weitere Kernfunktion von Specter DIY ist die Möglichkeit, den Seed (die 12 oder 24 Wörter, die zur Wiederherstellung eines Wallets erforderlich sind) ohne vertrauenswürdige Zufallsalgorithmen zu erstellen. Dies reduziert das Risiko von Manipulationen durch bösartige Zufallszahlengeneratoren. Automatisch werden die Touchscreen-Interaktionen zur Seed-Erzeugung verwenden, zusätzlich mit einem guten Zufallsgenerator. Zudem kann spielerisch einfach Real Life Zufall transparent in die Seed-Generation mit eingemischt werden.

jemand der mit Münzwürfen Real Life Zufall in die SeedGenerierung mit einbaut. Hierfür verwendet er den Specter DIY.

Firmware-Sicherheit und offene Entwicklung

Da Specter DIY der vollständig Open Source ist, kann jeder den Code überprüfen. Dies stellt sicher, dass keine versteckten Backdoors oder Schwachstellen im Code vorhanden sind. Ein wichtiger Punkt ist jedoch, dass Benutzer den Bootloader und die Firmware selbst installieren müssen, was einen gewissen Grad an technischer Kompetenz erfordert. Es wird empfohlen, die PGP-Signaturen der Firmware zu überprüfen, um sicherzustellen, dass die Firmware nicht manipuliert wurde​.

Angriffe auf den Bootloader und Firmware

Ein potenzielles Risiko besteht während der Erstinstallation der Firmware, wenn der Bootloader manuell installiert wird. Falls Benutzer die PGP-Signaturen nicht ordnungsgemäß überprüfen, könnte ein Angreifer eine manipulierte Firmware installieren und so das Hardware Wallet beeinflussen. Obwohl das extrem unwahrscheinlich ist, sollte man dem entgegenwirken indem man die Signatur prüft und die Offizielle Software von GitHub herunterlädt. Zudem wird bei jedem Upgrade, die alte Version komplett gelöscht. Zur Sicherheit kann immer eine Frische im Optimalfall geprüfte Software installiert werden.

Speicher und PIN-Schutz

Specter DIY bietet verschiedene Optionen zur Verwaltung von Seeds und Schlüsseln. Der sicherste Modus, der reine Signing Modus speichert keine privaten Schlüssel auf dem Gerät und erfordert die manuelle Eingabe der Seed-Phrase bei jedem Gebrauch. Alternativ können die Geheimnisse im Flash-Speicher abgelegt werden, was jedoch ein höheres Risiko bei physischem Diebstahl des Geräts birgt.

Die PIN-Schutzfunktion schützt das Gerät vor unbefugtem Zugriff. Eine weitere Sicherheitsmaßnahme besteht darin, dass beim Sperren des Geräts der Hauptschlüssel gelöscht wird. Wenn ein Angreifer versucht, eine modifizierte Firmware zu installieren, wird der Schlüssel gelöscht und der Benutzer kann dies anhand der Änderung der PIN-Authentifizierungswörter erkennen​.

Ein Foto vom Specter DIY im Snapcase. Der Specter DIY ist ein extrem sicheres Hardware Wallet.

Physische Angriffe und Supply Chain Angriffe

Da Specter DIY aus Standardkomponenten gebaut wird, minimiert dies das Risiko von “Supply Chain”-Angriffen, bei denen bösartige Hardware in das Gerät eingebaut werden könnte. Benutzer können die Komponenten von vertrauenswürdigen Quellen erwerben und das Gerät selbst zusammenbauen. Dies bietet ein hohes Maß an Sicherheit, da es unmöglich ist, die Hardware zu manipulieren, ohne dass der Benutzer dies bemerkt​.

Wenn wir denn Specter DIY versenden versenden wir ihn immer in einer Debasafe Sicherheitstüte, was eine Supply Chain Attacke ausschließt.

Angriffe auf den physischen Speicher

Wenn ein Angreifer physisch auf das Gerät zugreift, könnte er versuchen, den auf dem Gerät gespeicherten Seed oder die PIN zu extrahieren. Dies ist jedoch nur möglich, wenn der Benutzer den Seed auf dem Gerät speichert. Im reiner Signiermodus ist dies nicht der Fall, da keine sensiblen Daten dauerhaft gespeichert werden.

Fazit: Ist Specter DIY sicher?

Specter DIY bietet eine robuste Sicherheitsarchitektur, die auf Air-Gap-Technologie, QR-Code-Kommunikation und eine offene, überprüfbare Firmware setzt. Angriffsvektoren wie bösartige QR-Codes, unsachgemäße Firmware-Installationen oder physische Angriffe lassen sich durch bewährte Sicherheitspraktiken minimieren. Für technisch versierte Benutzer, die ihre Hardware und Software vollständig kontrollieren möchten, stellt Specter DIY eine der sichersten Optionen auf dem Markt dar.

Schreibe einen Kommentar