Mein IOTA Tresor (sicheres Hodlen)

Aktuelle Statusmeldungen des Tangles über die offizielle Webseite: IOTA Status Page
  • Im Angesicht der aktuellen Problematik, will ich hier eine Diskussion über das sichere Hodlen anstoßen. Mir geht es ausdrücklich um das sichere Aufbewahren in einer Art von "Tresor". Diese Token sollen sicher sein. Sie werden nicht in Brieftaschen "spazieren getragen". Aus meinem Tresor nehme ich vernünftige Beträge. Das mag bei einem Trader auch Mal ein größerer Betrag sein, aber der optimistische Hodler zahlt in dieser Phase der Entwicklung meist nur ein. Ob Teil eines Sparplans oder in gelegentlichen Käufen ist egal. In der leicht zugänglichen Brieftasche und auf Börsen verbleibt nur der benötigte Betrag. Hodler jedenfalls können sich das Leben leichter machen...


    Ich erzähle euch jetzt einfach Mal, was ich getan habe und warum ich während der ganzen momentanen Trinity Problematik, zumindest was meinen Bestand angeht, vollkommen sorgenfrei war. Gerade für Neulinge könnte es interessant sein...


    Ich verwende als Hodler einen "Tresor". Den Seed habe ich schon seit 2 Jahren nicht eingegeben. Einzahlungen währenddessen schon veranlasst. Ich kenne das IOTA Konstrukt gut und weiß, dass mein Vorgehen angemessen ist. Und so ist der Ablauf und meine Gedanken dabei...


    Ich habe mir einen günstigen Laptop zugelegt. Jedes saubere System ist in Ordnung. Und ja, ich denke auch Windows bei "gewöhnlicher Nutzung" ist in Ordnung. Fragwürdige Seiten und Downloads oder gar Filesharing geht halt nicht. Ich würde auch keinen Geldautomat in krimineller Umgebung aufsuchen, oder?

    100% Sicherheit gibt es nicht, aber wir können die Wahrscheinlichkeit auf den Verlust deutlich reduzieren.


    Kein System ist wirklich 100% sicher. Spyware könnte Tasten abfangen, den Speicher inkl. Zwischenspeicher auslesen und Manipulation betreiben. Deshalb müssen wir bei unserem Tresor trotzdem umsichtig sein. Wir wollen nicht, dass wir dabei beobachtet werden. Das Gute: Bei IOTA ist nur das Anlegen und Entnehmen kritisch, aber Einzahlungen sind relativ sicher. ^ ^


    Der Seed - you are your own bank!

    Das ist der wichtigste und einzige "Schlüssel" der uns Zugang zu den Token verschafft. Einen für den Tresor. Einen, wenn der Bedarf da ist, für unsere kleine "Heimkasse" und auch unser Geldbeutel hat einen eigenen Seed. Unser Umgang damit entsprechend dem Geldwert. Der Geldbeutel Seed kann in Trinity jederzeit bleiben. Diebstahl ist hier nicht auszuschließen. Ehrlich gesagt ein aus der Hose geklauter Geldbeutel würde mich mehr ärgern. Karten, Personalausweis...der Gedanke an die nötigen Behördengänge. :/

    Es gibt jedoch auch Vorteile zum physischen Geldbeutel. Eigentlich habe ich keine Scheine in der Tasche, sondern IOTAs sind immer im Netzwerk. Die landen nie wirklich in einer Brieftasche. Meine Seeds sind alles was ich brauche und schützen muss. Den Geldbeutel kann ich jederzeit von einer vertrauensvollen Quelle neu laden.


    Seeds erstelle ich mit KeePass. Das Programm ist ein kostenloser Passwort-Manager. Ist nicht speziell für Kryptos und geht auch offline. Hier können Einstellungen fürs Passwort getroffen werden wie...

    - Länge (81 oder 81 - Länge(eigenes Passwort) )

    - welche Zeichen verwendet werden (nur Großbuchstaben anwählen und in den Kasten für "sonstige Zeichen" die 9 noch eintragen)

    - einen Namen und optional Bemerkungen zu diesem Seed eintragen (z.B. IOTA1 oder IOTA_Kindersparbuch^^)

    KeePass verwaltet sicher Passwörter. Und bietet Funktionen drumherum. Beim Öffnen der App wird auch ein Passwort verlangt, denn KeePass ist ja ein Manager dafür. 1 Master Passwort um die anderen wie IOTA Seed, Logindaten für andere Services oder 2FA Master Schlüssel (auch immer notieren...). KeePass erstellt auch eine einfach zu kopierende Datei mit diesen Passwörtern, aber ohne Master ist die nicht zu entschlüsseln. Praktisch für eine Kopie auf einem Stick wenn gewünscht. Wir haben also nun unsere Seed(s) offline generiert. Jetzt drucken wir sie auch aus. Ein Stück Papier gibt mir Sicherheit. Ich kenne mich mit Computern aus und denke trotzdem so. Das ist auch ein Statement. ^^'

    Wir können alle 81 Zeichen ausdrucken oder nur 73 Zeichen und heften ganz hinten ein eigenes 8 Zeichen Passwort später an. Das was in KeePass hinterlegt wurde. Wir speichern die Datei zum Drucken nicht. Unnötiges Risiko. Nur KeePass bitte speichern. Habt ihr nur die 73 Zeichen Variante gewählt, dann ist es noch sicherer. Wir starten ein beliebiges Textprogramm, rechtsklicken in KeePass den Seed Eintrag und wählen "Passwort in den Zwischenspeicher". KeePass macht das nicht wie z.B. Windows. Der Seed liegt für 30 Sekunden im Zwischenspeicher und Einfügen wird innerhalb dieser Zeit auch von KeePass sicher durchgeführt. Der Seed liegt auch nicht offen im Zwischenspeicher. Keylogger und Spyware blocken ist in der Entwicklung dieser App von professionellen Entwicklern berücksichtigt worden. Den Seed oder die Seeds innerhalb der 30 Sekunden in die Textdatei kopieren und ausdrucken. Besser mehr als eine Kopie (2-3). Brandgefahr ist nicht zu unterschätzen im Haushalt. Das ist der nicht digitale Zugang zu all euren Token. Das Paper Wallet. Bei der 73 Zeichen Variante (bei mir nur für den Tresor) solltet ihr dafür sorgen, dass im Falle des Falles ein anderer Mensch Zugang hat. Schreibt die letzten 8 Zeichen auf ein Blatt und hinterlegt es doppelt separat oder vertraut auf 1-2 engste Vertraute, dass sie nur das Seed Dokument erlangen müssen und verratet es ihnen. Eure Entscheidung. Ihr wisst worum es geht. Am Ende muss ein "Erbe" den vollständigen Seed auch ohne euer Zutun eingeben können. Viel oder nichts wert ist beides noch drin. ^^'

    KeePass gespeichert und Textdokument gedruckt und ohne Speicherung geschlossen? Startet jetzt neu, wenn ihr absolut sicher gehen wollt. Die offline Zeit ist damit vorbei.


    Jetzt geht es an Adressen. Aus euren Seeds werden Adressen erstellt. Jeder Seed erzeugt in der gleichen Reihenfolge dieselben Adressen. Adressen sind nichts Geheimes mehr. Öffentlich einsehbar und auf Adressen darf beliebig oft eingezahlt werden, solange ihr nicht von der Adresse etwas ausgebt. Stellt sie euch wie Sparschweine vor. Ihr könnt Geld reinwerfen so oft ihr wollt, aber wollt ihr Geld entnehmen, dann wird das Sparschwein zerschlagen und das Geld entnommen. Die offiziellen IOTA Wallets machen das automatisch. Liegen auf einer Adresse 3 Mi und ihr zahlt 1 Mi, dann geht 1 Mi an den Empfänger und 2 Mi auf die nächste Adresse in eurem Seed. Das alte Sparschwein ist zerstört und 2 Mi in dem Neuen. Mit dem Seed habt ihr Zugang zu allen Sparschweinchen - alle Zerstörten, alle mit Guthaben und jederzeit Zugang zu den nächsten Benötigten. Tresore werden selten zerstört. Heimkassen ab und an. Beim Geldbeutel zählen wir wohl besser nicht mit. Trinity macht das zuverlässig. Aber ein Tresor ist Trinity für mich nicht. Braucht ein Tresor denn Erweiterungen von Drittanbietern? Lade ich "Apps" auf den Tresor? :'D

    Meine Tresor Adresse habe ich mit der guten, alten Light Wallet erstellt. Die aktuelle Version 2.5.7 würde ich heute nehmen. Kein Schnickschnack, keine Erweiterungen und sehr spartanisch. Benutzerfreundlichkeit sieht anders aus, aber sie ist "stateless" (speichert keine Informationen dauerhaft ab) und erfüllt ihren Zweck - wir brauchen Adressen für den Tresor (und die Heimkasse). Hier auf GitHub downloaden. Wir nehmen nur die offizielle Version von dort. Kein manipulierter Mist von freundlichen, unbekannten Drittanbietern. Im Prinzip solltet ihr, wenn ihr meinen Link genutzt habt, zumindest die URL nun genau prüfen oder selber aktiv zum Download navigieren. Bei höchstem Misstrauen darf gerne die angegebene Checksumme des Downloads geprüft werden, aber ehrlich gesagt beschränken sich Diebe eher auf erfolgreichere Angriffe als einen unbemerkten GitHub Hack, nur um die Light Wallet zu manipulieren.


    Nachdem wir die Wallet gestartet haben, wählen wir "Lightnode" (wir sind kein Fullnode) und wir müssen einen Fullnode wählen. Es gibt eine vorhandene Liste, aber die ist wohl nicht sonderlich aktuell. Ich suche mir mit dem Handy eine öffentliche der ich vertraue, das war bisher meist eine von unserem Forumsmitglied Dr.M oder ihr nehmt eine von dieser öffentlichen Liste. Euren Seed bekommt der Fullnode ohnehin nicht, da gibt es keine Gefahr. Wir brauchen nur irgendeinen Zugang zum Tangle, damit die Wallet funktioniert. Oben im Reiter unter "Tools" findet ihr den Punkt "Edit Node Configuration". Ihr könnt unter Host aus der Liste probieren (https haben mehr Chance aktiv zu sein) oder "Custom" wählen und euren selbst Gesuchten eingeben.

    Die Oberfläche ist spartanisch in gewöhnungsbedürftigem Grün. Ihr sollt euren Seed eingeben. Die Wallet behält ihn nur zur Laufzeit. Kein speichern. Er steht auch nicht in Klarschrift im Feld. Öffnet KeePass und ladet mit der KeePass Funktion den Seed in den Zwischenspeicher und fügt ihn in die Wallet ein. Bei der 73 Zeichen Variante tippt ihr das Passwort zusätzlich hinten an und notiert euch die angezeigte Checksumme des Seeds (3 Zeichen) rechts daneben (z.B. in KeePass unter Bemerkungen; gleiche Checksumme = gleicher Seed). Ein Keylogger kennt jetzt das Passwort, aber dank KeePass fehlen 73 weitere Zeichen. Wir sind in der Hinsicht also gut aufgestellt. Nach dem Einloggen (etwas Geduld bei der Light Wallet...stateless... alle Infos werden abgerufen, wobei zu dem Seed erstmal nichts gefunden werden sollte). Sobald du eingeloggt bist, gehe auf "Recieve". Die erste Adresse des Seeds wird auch direkt angezeigt. Ein Klick darauf kopiert sie in den Zwischenspeicher. Das darf ganz offen da rein. Für den Tresor habe ich 5 Adressen zusätzlich in KeePass und ein Textdokument gespeichert. Mit jedem Klick auf "Attach to Tangle" wird eine null value Transaktion ausgelöst. Die ist uns eigentlich vollkommen egal, den die Adresse ist auch so schon verwendbar, aber leider erscheint nach dem erfolgreichen "anhängen" und einem Klick auf "Address attached" erst der "Generate new address" Button an dieser Stelle. Manchmal hakt der Vorgang auch. Ist nervig, aber egal. Wir wollen einfach nur Adresse 1 bis 5 sehen und speichern. Haben wir alle zusammen, dann melden wir uns oben rechts (Pfeilsymbol) nochmal ab und versuchen uns erneut mit dem Seed einzuloggen. Sehen wir in History unten wieder die Adressen? Dann sind wir sicher den Seed korrekt eingegeben zu haben und prüfen jeweils die letzten 9 Zeichen der Adressen mit unseren Notizen (KeePass, Memo Apps, Papier...wo auch immer Hauptsache die Adressen sind bequem zugänglich).


    Unser "Tresor Seed" und die "Tresor Adressen" sind fertig. Seed und Passwort wird sicher verwahrt, Tresor Adressen gespeichert wo nötig. KeePass Datei auf einen Stick oder löschen, weil wir auch den Seed auf Papier haben (abtippen ist jedoch immer eine Qual^^).


    Ihr könnt nun jederzeit einfach die erste Tresoradresse eingeben, wenn ihr eine Überweisung in den Tresor machen wollt. Dazu checkt ihr erst die Adresse in theTangle.org (alles noch da und mit der Menge an Token und Zeitstempel seht ihr, dass sie nicht manipuliert wurde) und vor jedem Transferstart noch die letzten 9 Zeichen prüfen (dass die Überweisung wirklich auf eure Adresse geht). Wobei ich gestehe, dass mir auch die letzten 6 Zeichen reichen. Nun, die volle Checksumme sind die letzten 9 Zeichen.


    Wenn ihr Geld vom Tresor ausgeben solltet, dann macht das wieder sehr sicher wie beim Anlegen und der Restbetrag wandert automatisch auf die nächste Adresse. Löscht und streicht eure erste verbrauchte, alte Adresse von der Liste. Die nächste in der Liste ist jetzt eure sichere "Tresor Adresse". Die könnt ihr jederzeit bedenkenlos bei theTangle.org prüfen.



    Ich hoffe, dass die IF bequemere offline Tools noch für uns Hodler bereitstellt. Prinzipiell könnte der gesamte Vorgang offline erledigt werden, aber ich traue den Generatoren von Drittanbietern nicht. Trinity offline Modus vielleicht? Ich werde es bei Gelegenheit in Discord ansprechen.



    Danke, dass du bis hier durchgehalten hast. :'D

    Ich hoffe, es hilft dir beim Verständnis was du darfst, was vermieden werden sollte und wie es erledigt werden könnte. Vor allem ist hoffentlich dein Verständnis von Seeds und Adressen gestiegen. :D

  • Bei der Erstbetriebnahme der Tresor Adresse empfehle ich Neulingen eine geringere Testüberweisung (Checksumme der Zieladresse immer prüfen!). Kommt das an, dann wisst ihr, dass alles sicher dort ankommen wird. Den nötigen Seed habt ihr ja nun sicher verwahrt und braucht ihr nicht gleich wieder.


    Das Befüllen der Trinity Brieftasche kann auch direkt aus Zukäufen veranlasst werden. Teil auf die Trinity Adresse und der Rest direkt in den deutlich sichereren Tresor. So verzögert ihr Ausgaben von Tresor Adressen weiter.


    Wüsste ohnehin nicht warum da heute viel sein muss, wenn IOTAs im Alltag noch nicht nötig sind. Ich habe nur Test Accounts mit ein paar Token zum Spielen in Trinity. Trade ja auch nicht. Auch Trinity Käufe mit MoonPay können einfach in den Tresor geschickt werden. Das ist vollkommen unproblematisch. Trinity kennt den Seed dazu nicht und ihr braucht nur eure sichere (, öffentliche) Tresor Adresse.


    Mein Tresor wird hoffentlich in ein paar Jahren wieder interessant. ^^'

  • ShyGuy ,

    herzlichen Dank.

    Kleiner Tipp noch:

    Wer Keepass am PC nicht vertraut un dennoch die Passwörter abspeichern möchte, kann einen kleinen USB-Stick mit z.B. Veracrypt verschlüsseln, darauf dann Keepass mit den Passwörtern speichern und ab damit auf den Schlüsselbund. Keepass läuft damit auf dem Stick. Damit habt ihr alle Passwörter mit dabei und könnt sie auf mehreren Rechnern verwenden. Voraussetzung ist nur mehr das Veracrypt installiert ist.

    Das Ganze in mehrfacher Ausführung und sicher verwahren.


    BG

    G.

  • Klasse Beitrag!

    Ich habe mir einen günstigen Laptop zugelegt. Jedes saubere System ist in Ordnung.

    Alternativ: Eine Ubuntu Live CD (Linux) brennen (SHA256 checksum prüfen) und den Computer mit dieser Live-CD virenfrei starten.


    Get Ubuntu | Download | Ubuntu


    Unter Ubuntu den Passwort-Manger KeePassXC nutzen, um den Seed zu generieren.


    KeePassXC ist ein Fork von KeePass und in der offiziellen Ubuntu-Paketquelle enthalten.

  • Herzlichen Dank für den super hilfreichen und ausführlichen Post. :) Auch herzlichen Dank für die Ergänzungen und das Anpinnen. Nach den letzten Erfahrungen genau das Richtige für mich. Klasse Zusammenhalt der Community in den letzten Tagen. Schön hier zu sein. LG und ein schönes Wochenende. :)

  • Ich habe mal gegoogelt: Bam: offline Address Gen, den man mal testen könnte: GitHub - ixuz/iota-offline: A very simple html page that signs IOTA transaction bundles.

    Wenn man Linux hat kann man einfach diese Zeile eingeben



    Code
    1. cat /dev/urandom |LC_ALL=C tr -dc 'A-Z9' | fold -w 81 | head -n 1

    Jeder Mensch hat durchschnittlich 600.000 Gedanken pro Tag – wovon nur etwa drei Prozent positiv sind.

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account
Sign up for a new account in our community. It's easy!
Register a new account
Sign in
Already have an account? Sign in here.
Sign in Now