Logo_Letitim.ch

Achtung! Beim Ledger kann dein Private Key gefährdet sein

von | 23. Mai 2023

Ledger stellt Hardware-Wallets her, die damit punkten, dass der Private Key nie den Stick verlässt. Bisher zumindest war das so, denn jetzt hat Ledger den neuen Service Ledger Recover angekündigt, bei dem der Private Key in drei Teilstücken gespeichert wird und bei Bedarf eine Wiederherstellung möglich ist.

Aktualisierung vom 27.5.23: Es haben sich inzwischen durch den Druck der Community positive Entwicklungen ergeben. Hierzu haben wir den Beitrag Sieg der Community: Ledger rudert komplett zurück veröffentlicht.

Ledger beschreibt sich wie folgt auf der eigenen Website:

Ledger wurde 2014 von acht Experten mit komplementärem Hintergrund in den Bereichen eingebettete Sicherheit, Kryptowährungen und Unternehmertum mit dem Ziel gegründet, sichere Lösungen für Blockchain-Anwendungen zu entwickeln. Ledger SAS und seine Tochtergesellschaften beschäftigt jetzt über 800 Mitarbeiter in Paris, Vierzon, New York, Zürich und Singapur.

Ledger

Vertrauenswürdig sieht anders aus

Die primäre Motivation für den Kauf einer Hardware-Wallet sollte sein, dass man der Einzige, der Zugang zum Private Key hat. Dieser sollte möglichst offline gelagert werden, um Risiken, die mit dem Internet einher gehen, vorzubeugen.

Ein bisheriger Nachteil ist bei selbstverwalteten Wallets die Eigenverantwortung. Ist die Seed Phrase einmal weg und geht dann das Gerät kaputt oder man gibt zu oft die falsche PIN (persönliche Identifikationsnummer) ein, gibt es keine Möglichkeit, wieder an seine Coins zu kommen. (Sind dir manche Begriffe neu, so findest du sie im Anschluss an den Artikel.)

Hier bietet nun Ledger mit dem Service Ledger Recover Abhilfe an. Diese Abhilfe hat aber jede Menge Nachteile und Ledger verliert damit das Vertrauen einer wirklich sicheren Verwahrung des Private Keys.

So funktioniert das Ledger Recover

Ledger schreibt in seinen FAQ das Folgende:

Wer hat mit Ledger Recover Zugang zu meiner Wallet?

Kurz gesagt: Nur Sie haben Zugang zu Ihrer Wallet. Wenn Sie sich bei Ledger Recover registrieren, wird eine Prä-BIP39-Version Ihres privaten Schlüssels verschlüsselt, dupliziert und in drei Fragmente zerlegt. Jedes dieser Fragmente von jeweils einem anderen Unternehmen gesichert: von Coincover, Ledger und einem weiteren unabhängigen Sicherungsanbieter. Allein sind diese verschlüsselten Fragmente nutzlos. Wenn Sie Zugang zu Ihrer Wallet erhalten möchten, senden zwei der drei beteiligten Parteien ihre Fragmente an Ihr Ledger-Gerät zurück. Dort werden sie wieder zusammengesetzt, um Ihren privaten Schlüssel zu erstellen.

Ledger

Du hast richtig gelesen: der Private Key wird in drei verschlüsselten Teilen bei Coincover, Ledger und einem nicht genannten unabhängigen Sicherungsanbieter gelagert.

Für eine Wiederherstellung genügen aber bereits zwei der drei Teile.

Welches KYC (Know Your Customer) braucht es für den Service?

Ledger schreibt dazu:

Ihre Identität wird anhand Ihres Ausweises und einer Selfie-Aufnahme verifiziert.

Ledger

Das ist verständlich, weil einer der Unsicherheitsfaktoren darin besteht, dass sich Jemand für einen Anderen ausgibt und somit den Zugang zu den Coins bekommen kann. Hier müsste das System deutlich sicherer sein, als nur der Ausweis und einer Selfie-Aufnahme, stellt man sich vor, Bitcoin erreicht tatsächlich mal die prognostizierten hohen Kurse. Der Anreiz, hier zu betrügen, ist dann enorm hoch.

Wie es mit Erbschaften aussieht, ist auch so eine Frage, wenn die Coins dann praktisch personalisiert sind.

Datenschutz

Hier fallen zwei Punkte besonders negativ auf:

Logs

  • Datennutzung: Benutzung des Ledger Trust Services Logins und der Ledger Trust Services-Plattform: Fehlerbehebung, Betrugsprävention, Analytik
  • Rechtsgrundlage: Rechtmäßiges Interesse
  • Aufbewahrungszeitraum: 1 Jahr (+ 7 Jahre lang nach Beendigung des Abonnements von Ledger Recover zu Prozesszwecken archiviert)

Identitätsprüfung

  • Die Bestätigung Ihrer Identität vor der Übertragung und nach der Wiederherstellung der geheimen Wiederherstellungsphrase. Bitte beachten Sie: Ledger kann Ihre Daten weitergeben, um Coincover zu ermöglichen, Ihnen den Ledger Recover-Service anzubieten. Weitere Informationen zu den Praktiken von Coincover finden Sie in der Datenschutzrichtlinie von Coincover.
  • Aufbewahrungszeitraum: Solange Ihr Abonnement aktiv ist (+ 7 Jahre lang nach der letzten Identitätsüberprüfung zu Prozesszwecken archiviert.)
Ledger

Insgesamt werden die Logs und deine Identität noch 7 Jahre nach Beendigung des Services gespeichert. So wie sich die Überwachung, neue Regularien und die dafür mögliche Technik entwickelt, ist das eine sehr lange Zeit.

Dazu kommt, dass auch gleich die Datenschutzrichtlinie von Coincover in den Text eingepflegt ist, was im Klartext bedeutet, dass auch hier Einiges zum Zustimmen vorliegt.

Zudem wirft es die Frage auf, wie getrennt die zwei Fragmente bei Ledger und Coincover real verwahrt sind, da es Verstrickungen der beiden Firmen zu geben scheint.

Mit wem teilt Ledger die Informationen?

Wir verkaufen Ihre Daten niemals an Drittparteien, aber wir können Ihre Daten mit anderen teilen:

  • Unseren technischen Serviceanbietern, die bei der Bereitstellung der Dienste helfen (z. B. Anbieter von Online-Zahlungen, Anbieter von Identitätsprüfungen).
  • Unseren Tochtergesellschaften, wenn sie bei der Bereitstellung der Services helfen.
  • Unsere Werbepartner die Ihre Daten verwenden, um Ihnen personalisierte Werbung anzubieten (z. B. soziale Netzwerke). Die Liste dieser Partner finden Sie in unserer Cookie-Richtlinie. Wir geben Ihre Daten niemals ohne Ihre Zustimmung weiter.
  • Unternehmen, an die wir unsere Aktivitäten ganz oder teilweise verkaufen oder abtreten könnten.
  • Verwaltungs- oder Justizbehörden oder sonstige befugte Dritte, wenn dies nach geltendem Recht erforderlich ist oder zur Ausübung, Begründung oder Verteidigung unserer Rechte notwendig ist.
  • Professionelle Berater, einschließlich Rechtsanwälte, Wirtschaftsprüfer und Versicherer.
Ledger

Es erschließt sich mir kein Vorteil, wenn meine Daten nur geteilt und nicht verkauft werden. Vielleicht weniger Marketingmaßnahmen, aber letztendlich sind sie an Stellen, wo sie nicht hin gehören.

Eine weitere Problematik stellt die nächste Aussage dar:

Die Sicherheitskopie Ihrer geheimen Wiederherstellungsphrase wird mit Ihrer verifizierten Identität verknüpft.

Ledger

Mit zwei der drei Fragmente kann also nicht nur der Private Key wiederhergestellt werden, sondern auch der Eigentümer der Coins ermittelt werden!

Ist eine Wiederherstellung auch für Regierungen & Co. möglich?

So erschreckend es ist, ja! Das bestätigt sogar der Ledger-Mitbegründer, ehemalige CEO und ehemaliger Vorsitzende auf Twitter.

OKHotshot: Der Mitbegründer und ehemalige CEO von Ledger gibt zu, dass Regierungen den Zugang zu Ihren Geldern vorladen können, wenn Sie den Ledger Recover-Dienst nutzen.

redbullandranch: Um des Teufels Advokat zu spielen, wenn eine Vorladung an Ledger oder die zwei anderen Beteiligten Parteien (2 third parties) von der Regierung ausgestellt wurden, könnten sie Recover benutzen, um auf Ledger zuzugreifen, ohne dass der Kunde einen Knopf drückt oder davon weiß?

murzika: Ledger-Mitbegründer, ehemaliger CEO und ehemaliger Vorsitzender: Wenn Sie ein Recover-Benutzer sind und Ihren Shard durch Dritte sichern lassen, dann ja, eine Regierung kann sie vorladen und Zugang zu Ihren Geldern erhalten.

Die Verwendung von Recover bietet Ihnen eine einfache Wiederherstellungsoption und mildert den Verlust von Sicherungskopien, aber Ihr Vermögen könnte von der Regierung eingefroren werden (theoretisch, ich bin kein Anwalt und ich habe keine Rechtsmeinung zu diesem Thema gesehen).

Wir wissen alle, wie viele Gesetze schon von dem einen zum anderen Tag geändert wurden. Ist Bedarf angesagt, wird es für die Regierenden ein Einfaches sein, die Grundlage dafür zu schaffen, dass die Private Keys freigegeben werden müssen.

Was tun?

Den Service wird es erst mal nur für das Nano X geben und nur nach einer Aktivierung, da er kostenpflichtig ist.

Nachdem Ledger aber nicht open source ist, weiß keiner, welche Daten bereits jetzt oder von anderen Modellen übertragen werden.

Im Moment ist keine Panik angesagt, es macht aber sicher Sinn, zeitnah nach alternativen Hardware-Wallets Ausschau zu halten und die Coins zu diesen zu transferieren.

Dann liegen sie auf einer anderen Wallet mit einem anderen Private Key, womit die Verbindung zum Ledger Hardware-Wallet, mit den genannten Risiken, gekappt ist.

Gut zu wissen:

  • Der Private Key ist ein privater Schlüssel, die es einem Benutzer ermöglicht, Kryptowährungstransaktionen in einer Blockchain zu autorisieren.
  • Eine Seed Phrase ist eine Liste von Wörtern, die einen privaten Schlüssel in einer leichter zugänglichen Weise wiedergeben. Sie dient als Backup-Methode zur Wiederherstellung eines Wallets, falls der Zugriff darauf verloren geht.
  • BIP steht für Bitcoin Improvement Proposal. BIP39 ist ein spezielles BIP, das ein Verfahren zur Erzeugung einer Mnemonic Phrase (Seed Phrase) für die Generierung deterministischer Wallets definiert.
  • Logs (Protokolldateien) sind Aufzeichnungen von Ereignissen, die in einem System stattfinden. Sie können viele verschiedene Arten von Daten enthalten, abhängig vom spezifischen System oder Prozess, einschließlich (aber nicht beschränkt auf) Benutzeraktivitäten, Systemereignisse, Netzwerkaktivitäten und Fehlermeldungen.
  • Sharding teilt die Daten in einer Blockchain in kleinere Teile (genannt „Shards“), die dann unabhängig voneinander verarbeitet werden können.
  • Open Source bezieht sich auf eine Software, deren Quellcode öffentlich zugänglich ist und von jedem eingesehen, modifiziert und verteilt werden kann.

Telegram Logo „Bye Bye Staat & Hallo Freiheit“
Abonniere jetzt LegitimCrypto auf Telegram!

Informationen

Redaktion

Impressum

Datenschutzerklärung

Newsletter abonnieren

Social Media

Rumble

Telegram

Youtube

Legitim-Newsletter

 

Abonniere den Newsletter,


um die wichtigsten Updates per E-Mail zu erhalten!

Du hast dich erfolgreich angemeldet - danke!

Legitim berichtet über Themen, die der Mainstream verschweigt!