Archive for the ‘Freiheit’ Category

CryptoCoin Wallets – the wind of change

Motivation

Habe ich noch vor kurzem über Wallets die absoluten Basics geschrieben und bin dabei nur davon ausgegangen, dass man seine BitCoins sicher verwahren möchte so hat sich das gerade geändert. Der BitCoin hat zugelegt und die Anzahl der täglichen Transaktionen liegt am Limit. Dann plötzlich Einigkeit, man will was tun und zwar jetzt. Es gibt einen 2 stufigen Kompromis, keiner ist damit zufrieden und es liegt die Gefahr im Raum, dass nach Stufe 1 die 2. einfach boykottiert wird. Dann besteht die Gefahr von Gegenaktionen und einer Hardfork. Bei der ganzen Krise zeigt sich die Konstanz des Ethereum welcher nun so stark gewurden ist und ein Flipping herauf beschwören kann.

Was hat das mit Wallets zu tun? Ok, im Wallet sollen die Coins sicher liegen. Bisher kein Problem es ging um BitCoins und da gab es nur eine Kette. Aber jetzt muss man sich schon die Frage stellen: „Welche Coins“. Sollen es BitCoins sein? Heißen die morgen schon BitCoin classic? Kann ich das Wallet dann noch nutzen? Soll ich lieber komplet in ETH tauschen?Wo kann ich die dann speichern? Wie kann ich überhaupt tauschen? Brauch ich einen Account bei einer Börse wie Kraken? Was ist eigentlich ShapeShift und wozu brauch ich das?  Ne Menge Fragen und die Antworten gibt es schon lange, sie wollen nur gefunden sein.

Ganz klar also der Fall – heute will keiner mehr das Risiko eingehen und nur eine Währung in seiner Wallet verwalten können.

Begriffe im Umfeld von Wallets

  • Full Node Saugt die gesamte Blockchain herunter und validiert diese. Benötigt somit viel Zeit bevor das Wallet genutzt werden kann. Aktuell wird eine Größe von über 1 GB geladen und ausgewertet was durchaus eine Woche laufenden Rechner bedeuten kann.
  • Light Mode Wallet Führ die Validierung der Blockchain durch bestimmte Baumknoten durch. Es wird ein Server gefragt ob er zu bestimmten Knoten Hashes liefern kann. Diese sind speziell gewählt, so dass eine anhängende Transaktion verifiziert werden kann.
  • Asset Wallet Ein Wallet welches verschiedene Coin Arten speichern kann.
  • BitCoin Wallet Im Gegensatz zum Asset Wallet, nur geeignet zur Speicherung von Guthaben in der Währung BTC.
  • Multi-Sig Wallet Unterstützung für Gemeinschaftskonten (z.B. für Firmen oder Vereine). Es kann festgelegt werden wieviele Kontoinhaber existieren und wieviele Unterschriften von der Gruppe für eine gültige Transaktion benötigt werden. 2 von 4 heißt mindestens 2 Leute von den 4 Kontoinhabern müssen gegenzeichnen für eine abgebende Buchung.
  • Seed Es gibt Wallets welche jederzeit und an verschiedenen Orten aus einer festgelegten Anzahl von Wörtern wieder erstellt werden können. Somit sind die Guthaben nie verloren, solange die Wörter (der Seed) bekannt sind. Der Seed sollte niemals irgendjemanden gezeigt werden. Nur der Eigentümer selbst sollte den Seed kennen und die App darf den Seed auch nicht an einen Server senden. Beispiele: Trezor, Jaxx, Electrum, Mycelium, …
  • One-time Backup Das Konto kann jederzeit aus einem Seed wieder hergestellt werden.
  • Transaktion Fee Transaktionsgebühr, fällt in der Regel beim Mining an.
  • Paper Wallet  Ein Stück Papier auf dem sowohl der Private Key als auch der öffentliche Key eines Kontos aufgedruckt wurde. Jeder wer diese Keys besitzt kann über den Betrag des Kontos verfügen. Wer Ausversehen in einem Erklärvideo sein Paperwallet auf youtube veröffentlicht, kann sicher sein dass es binnen Minuten leer sein wird.

Kriterien bei der Wahl des Wallets

  • Node Art Praktikabel sind nur Light Mode Wallets
  • Coin Art In Zeiten in denen nicht klar ist welche Währung das Rennen macht sollte man sich für ein Asset Wallet entscheiden um möglichst viele Coin Arten zu unterstützen und auf Marktänderungen schnell reagieren zu können.
  • ShapeShift Integration Wallets mit ShapeShift Integration sind sehr praktisch da hiermit der Umweg über die Börse wegfällt und das Wechseln eines Coin in einen Anderen zum Kinderspiel wird. Shapeshift benötigt keinen Account sondern einfach nur Quell- und Zieladresse und die Quell- und Ziel Coin Art um den Wechsel durchführen zu können. Shapeshift arbeitet mit fixen Transaktions Feeds.
  • MultiSig für Unternehmen und Gruppen unverzichtbar für Einzelpersonen nice to have. Evtl. gibt es aktuell aber keine Wallet welche MutiSig und Multi Coin (Asset) zugleich unterstützt.
  • Backup veraltete Variante der Sicherung von Wallets bei der eine komplette Datei mit Schlüsseln und Providerzusätzen an einen anderen Ort (z.B. Festplatte) kopiert wird. Sollte nicht mehr benötigt werden und durch One-time Backup ersetzt werden (Wallets mit Seed).
  • Transaktion Fee Das Wallet sollte einen sinnvollen Vorschlag für einen Fee anbieten, evtl. sogar eine 3 stufige Voreinstellung gering, normal, viel. Der Fee sollte aber stets vom User anpassbar sein, falls er mal eine dringende Transaktion sofort durchbringen muss.
  • Dynamischer Fee Das Wallet sollte das nachträgliche Erhöhen des Fees einer Transaktion ermöglichen. Dies ist sinnvoll wenn die Transaktion hängen bleibt weil kein Miner sie will (Miner arbeiten bevorzugt Transaktionen mit hohen Fees ab, da damit ein höherer Gewinn zu erzielen ist).
  • PIN Schutz  Der Schutz des Wallets mit einer PIN ist der minimalste Schutz vor unberechtigten Zugriff. Darauf sollte auf keinen Fall verzichtet werden.
  • Display Keys Das Wallet sollte es ermöglichen die privaten und öffentlichen Keys sowie den Seed anzuzeigen. Nur sinnvoll wenn das Wallet mit einer PIN geschützt werden kann.
  • Import Paper Wallet Um Paperwallets nutzen zu können benötigt man eine Import Möglichkeit. Hat man nicht vor Paper Wallets zu nutzen ist diese Walleteigenschaft belanglos (Jaxx bietet beispielsweise Support).
  • Hardware Wallet Falls man Hardware Wallets (Trezor, etc. ) nutzen möchte sollte die App auch den Zugriff auf diese unterstützen. Da Coins nur im Cold Wallet, Hardwarewallet oder Paperwallet wirklich sicher sind, sollte man diese Option bevorzugen (Mycelium und Electrum bieten beispielsweise Support für Trezor).
  • Betriebsystem  Das gewählte Wallet sollte möglichst viele Betriebssysteme unterstützen, üblich sind: Linux, Windows, Mac, IOS, Android.
  • Open Source Wenn bei einengender Wahl der Wallets noch mehr als eins am Schluß übrig blieb, sollte man sich für das Open Source Wallet entscheiden. Einfach um die Vorteile von Open Source genießen zu können. Jeder kann es später weiterentwickeln falls der Entwickler stirbt und der Code kann von jedermann überprüft werden.

Meine persönliche Auswahl

Nur zur Info für welche Kombi ich mich entschieden habe – teils auch weil ich die Wallets schon besaß.

  • Hardware Wallet für sichere, langfristige Speicherung meiner Guthaben in BitCoin ist Trezor. Demnächst will ich prüfen ob ich dort auch andere Coin Arten lagern kann. Mit aktuellen Trezors scheint es zu gehen aber meinen hab ich schon ein paar Jahre. Mal schauen ob er upgradefähig ist.
  • Mycelium (Handy) und Electrum (PC und Handy)  um auf Trezor zugreifen zu können.
  • Jaxx ab heute um diverse Coin Arten in einer Wallet speichern zu können und über die Shapeshift Integration schnell wechseln zu können.
  • Zukünftig will ich Exodus für mein Linux Laptop prüfen. Exodus soll besser sein als Jaxx aber nur für PC verfügbar – Jaxx ist dafür nur fürs Handy verfügbar. Also ich bin gespannt.
  • Wirex Debit Card – Prepaid Visa Plastic Card auf Euro. Aufladbar mit diversen Altcoins. Ausgebbar überalls wo Visa akzeptiert wird 🙂

(Eure Auswahl und evtl. Gründe warum ihr Euch so entschieden habt – gern in die Kommentare – nutzt eigentlich jemand duniter als Coin?)

Siehe auch:

Advertisements

BitCoins ausgeben mit der Wirex Debit Card

Motivation

Wer sich für BitCoins interessiert und auch mal probehalber welche auf z.B. bitcoin.de erworben hat, diese wie in BitCoins sicher speichern beschrieben verwahrt, fragt sich relativ schnell: „Wo kann ich damit einkaufen?“. Nach einer Weile finden sich dann schon Möglichkeiten wie Edeka Online aus Hamburg oder MS Points oder man schaut in meinem Post BitCoins in der Praxis nach. Doch so richtig praktisch ist das ganze nicht, da ich nicht einfach sagen kann: „Halt das ist doch woanders billiger da kaufe ich doch lieber dort!“ Dort muss man dann aber wieder mit Fiat Währungen wie dem Euro bezahlen. Da wäre es doch gut wenn man eine Plastekarte hätte welche mit BitCoins aufzuladen geht und die sonst wie eine Prepaid Kreditkarte funktioniert und fast überall akzeptiert wird. Gibts!

Wirex Debit Card

Im Internet finden sich sehr viele Anbieter von BitCoin basierten Kreditkarten. Aus der Fülle gilt es auszuwählen und ich habe nicht sehr viel Zeit (also nur einen Tag) mit Recherche verbracht. Mir begegneten anonyme Visa und Mastercards welche von Zahlungsdienstleistern angeboten und beispielsweise mit einer Bank in Polen verbunden waren. Dort fand ich einen Passus – sorry aber wenn die Karte gesperrt ist bitte an die Bank wenden. Diese Art von Anbietern habe ich aussortiert. Vielleicht lohnt sich später mal ein erneuter Blick wenn ich etwas Erfahrung gesammelt habe. Von den vielen seriösen Anbietern habe ich mich für Wirex entschieden weil die Onlineseiten komplett in Deutsch gehalten waren. Das dürfte bei Problemen ein enormer Vorteil sein, weil ich davon ausgehe, dass der Support vermutlich auch deutsch spricht.

Zunächst haben mich mal die Konditionen interessiert. Also kostenlos ist sie nicht – jeden Monat wird auf jeden Fall ein € fällig und Bargeldabhebungen am Automaten kosten Gebühren – egal fürs erste, ist ja nur zum Ausprobieren. Bei der Auswahl der Karte ist eine Kombination aus folgenden Entscheidungen zu treffen

  • Virtuell (Visa) oder Plastik (Mastercard)
  • Verifiziert (Paypal aufladbar und höhere Limits) oder Nicht Verifiziert (enge Limits)
  • Auszahlungswährung: €, $ oder £

Je nach Kombination gelten andere Regeln und Limits für die Karten. Dabei wichtig zu beachten, die virtuellen Karten sind praktisch nur im Internet einsetzbar – vermutlich erhält man nur Daten zu einer Kreditkarte – die nicht verifizierten haben knappe Limits und wirklich anonym sind sie alle nicht, da man sich am Portal registrieren muss und eine Anschrift für die Zustellung benötigt wird.

Ich habe mich für die nicht verifizierte Version der Plastik Karte mit Auszahlungswährung Euro entschieden. Bei der Bestellung konnte ich den auf der Karte stehenden Namen frei wählen – davon habe ich Gebrauch gemacht und mir einen Phantasiename zugelegt. Unterschrieben habe ich auf der Rückseite mit meinem richtigen Namen und der Unterschrift wie sie auch auf meinem Personalausweis verzeichnet ist. Nun stimmt halt der Name auf der Karte nicht mit der Unterschrift überein. Ein kleiner Feldversuch wird zeigen wie sich das in der Praxis auswirkt.

Kleine Anmerkung noch warum ich das mit dem Namen gemacht habe. Ich finde es relativ doof wenn man an einer Kasse mit Karte bezahlt und hinterher der Verkäufer durch den halben Laden ruft „Einen schönen Tag noch Herr Schubert“. Persönliche Ansprache mag an anderer Stelle im Leben für Respekt stehen aber in der Öffentlichkeit steht diese Art eher für „Mir ist das Datenschutzgesetz Scheiß egal, ich sag trotzdem allen wie Sie heißen.“.

Noch eine kurze Anmerkung zur Karte. Pro Person dürfen maximal 6 Karten bestellt werden und zwar pro Kombination der Punkte oben exakt nur eine z.B. Plastic/Verifiziert/EUR = 1 Karte.

Einsatz in der Praxis

Als erstes habe ich bei Wirex einen Account erstellt. Obacht die ändern gerade ihr komplettes Corporate Design (vermutlich weil die Zieldomain vergeben war). Also immer schön lesen ob es sich um die richtige Firma handelt – sie haben mehrere Accounts e-coin.io und app.wirexapp.com etc. Die app.wirexapp.com scheint die neue Zieldomain zu sein – zumindest leiten die Anderen inzwischen dorthin.

Danach habe ich von meinem Trezor einige BitCoins auf die BitCoin Adresse meines Wirex Accounts überwiesen. Das ging recht zügig wie man das bei BitCoins halt gewöhnt ist. Ein paar Minuten später habe ich über den Account dann meine Debit Card gekauft. Nun vergingen ein paar Wochen und dann traf meine erste (selbst gewollte und nicht irgendwie von einer Bank hinterher geschmissene) und neue Kreditkarte bei mir ein 🙂 Das allein war ein erhebendes Gefühl weil darauf wirklich mein Phantasiename zu lesen ist.

Jetzt habe ich im Internet nach Signaturgesetzt und Unterschrift etc. gesucht und recherchiert – ok etwas spät aber so war es 🙂 Denn mir war nicht klar wie ich unterschreiben soll: Mit meinem Namen oder mit dem Phantasienamen? Ich habe die Gesetze in Deutschland so interpretiert, dass ich immer wenn es um die Feststellung einer Identität geht mit dem Schriftzug vom Personalausweis unterschreiben muss um keine Urkundenfälschung zu begehen. Also hab ich das getan – mit meinem echten Namen unterschrieben.

Versuch 1 – Laden der Karte

Zunächst wollte ich die Karte mal aufladen. Das funktioniert über eine App im Handy oder auch über den Account der Webseite. In dem Moment in dem ich meine Karte mit BitCoins von meinem Wirex Account lade, werden die BitCoins zum aktuellen Wechselkurs verkauft und in die gewählte Fiat Währung (bei mir Euro) gewechselt. Also auf der Karte sind keine BitCoins mehr sonder nur noch Fiat Währung. Das kann sowohl Nachteil als auch Vorteil sein, weil man ja die Umwandlung von BitCoin zu Euro auch ganz bewußt abhängig vom Wechselkurs durchführen kann. Wenn man sich geschickt anstellt, nimmt man da noch einen kleinen Gewinn von wenigen Cents mit 🙂

Das Laden der Karte habe ich zunächst vorsichtig mit einem Betrag von 11 € durchgeführt (10 € ist der Mindestbetrag zum Betanken der Karte). Danach nochmal mit 16 € und dann war auch schon das Limit erreicht – 2 mal am Tag ist aufladen erlaubt bei nicht verifizierten Karten, mehr geht nicht. Aber die 27 € reichen natürlich um mal zu testen ob der Geldautomat damit schon was anfangen kann.

Die PIN der Karte

Um das aufgeladene Geld auch wieder verbrauchen zu können wird man wohl eine PIN eingeben oder eine Unterschrift leisten müssen. Daher habe ich mir die PIN per eMail zusenden lassen. Das finde ich ein echtes Manko der Karte. Erstens weil ich nicht wie ich das von anderen Karten (z.B. EC Karte) gewöhnt bin meine PIN selbst festlegen kann. Zweitens weil die PIN per eMail – also höchst unsicher – verschickt wird. Eine von mir bevorzugte Alternative wäre die Anzeige der PIN im Browser auf der Webseite nach erneuter Eingabe des Account Passwortes. Nunja ist halt nicht so – sollte aber dringend so werden.

Versuch 2 – Auszahlung am ATM

Ein paar Häuser von meiner Wohnung entfernt befindet sich eine Commerzbank, da bin ich nach dem Aufladen der Karte gleich rein. Im Gepäck die Karte und die PIN und viel Hoffnung. Also Karte rein Auszahlung 20 €, PIN rein und läuft 🙂 Offensichtlich dauert es nicht lange bzw. gar keine Zeit bis die BitCoins auf der Karte als Euro wirklich verfügbar sind.

Versuch 3 – Bezahlen an der Tanke

Es ist Feiertag und nix los an der Tanke also ideal um dort mal Bier zu holen (wir lernten bereit max. 4 Flaschen sind in Bayern erlaubt). Also hin zur Tanke und diesmal im Gepäck meine Debit Card, die PIN und meinen Personalausweis und Bargeld falls es Probleme gibt. Bier gekauft, Zahlung mit Karte, Karte rein, PIN rein – läuft 🙂 Der Name hat hier erstmal keinen interessiert 🙂

Versuch 4 – Zeitungsabo im Internet

Als nächstes habe ich ein Abo der DWN im Internet abgeschlossen. Nach der Eingabe aller Daten – also auch der Kartendaten – ploppte ein modaler Dialog hoch indem ich nochmals die Kartendaten eintragen sollte. Da es nach Cancel tatsächlich nicht weiterging hab ich diesen Dialog ausgefüllt und auf Weiter geklickt. Dann kam die 2. Seite vom Dialog auf der ich irgendwelche AGBs akzeptieren sollte und mich freuen sollte das dies alles kostenlos ist und ich sogar noch eine Sicherheitsnummer vergeben darf, die ich mir total wichtig merken soll und die ich vor allem gar nicht möchte. Das war dann der nächste Punkt an dem ich Cancel drückte. Der Dialog verschwand und oh Wunder, diesmal ging es weiter. Vermutlich irgendein „Sicherheitsfeature“ von MasterCard. Für mich zählt sowas aber zu Phishing und wird prinzipiell nicht bestätigt. Wie auch immer, es dauerte ein paar Tage und die Überweisung erschien in der App. Entweder erst so spät weil das Osterwochenende dazwischen lag und die erst abbuchen mussten oder aber halt weil die Abbuchung von der Zeitung einfach nicht sofort vorgenommen wird. Jedenfalls habe ich das Abo erfolgreich abschließen können. Alles was ich benötigte waren die Daten auf der Karte also Kartennummer, Halter, und Prüfziffern.

Anschließend hab ich gemerkt, dass der BitCoin Kurs mal wieder schön hoch stand und hab gleich ein paar BitCoin aus meinem Trezor auf den Wirex BTC Account überwiesen, dann auf die Debit Card transferiert und dabei zum guten Kurs in Euro getauscht 🙂 War ein schönes Gefühl 🙂

Versuch 4 – Einkauf im Norma

In meinem Wohnbezirk finden sich Einkaufsmöglichkeiten von Edeka, Netto, Norma und Marktkauf. Heute brauchte ich Katzenstreu aus dem Norma und das war eine gute Gelegenheit mal die Debit Karte zu erproben. Ging anstandslos wie mit einer EC Karte. PIN Aufforderung, PIN Eingabe und fertig. Die Display Ausschrift ist komischerweise immer in Englisch, liegt vermutlich daran, dass Wirex eine englische Firma ist. Bei der Tanke war auch schon alles in Englisch – ist ja gar nix für mich aber naja – muss man durch.

Versuch 5 – ÖPNV Nürnberg

Tickets lösen am VAG Automaten bisher kein Problem – PIN eingeben und erledigt. Die DB Automaten wollten die Karte allerdings nicht akzeptieren – sie bestanden auf EC Karte. Das finde ich besonders ironisch, da die Bahn im Zug keine EC Karte akzeptiert und ausdrücklich Kreditkarten verlangt – was ich gelinde gesagt als Frechheit empfinde, dass eine deutsche Firma mit 50% Staatsbeteiligung das EU eigene Bazahlsystem nicht akzeptiert und stattdessen auf US / Canadische Systeme setzt. Für die Bahn muss also jeder Bürger eine EC- sowie eine Kreditkarte besitzen wenn er sowohl am Bahnhof als auch im Zug bezahlen möchte.

Versuch 6 – Gesundheitswesen

In Nürnberg in der Erler Klinik und in meiner nahegelegenen Apotheke konnte ich mit der Karte nicht zahlen, diese erfordern EC Kartenzahlung.

Versuch 7 – REWE to Go

Am Nürnberger Hauptbahnhof gibt es einen REWE to Go, dort konnte ich anstandslos mit der Karte bezahlen – PIN eingeben und fertig.

Anmeldung

https://app.wirexapp.com/join/VG_haI1iCE6tauk311EWIQ

Alle Jahre wieder – Handykauf

Motivation

Wie immer bei der heutzutage überall eingebauten Obsoleszenz – nach 2 Jahren ist das Handy spätestens kaputt. Also muss ein Neues her. Genau zum Jahreswechsel 2015/16 war mein Samsung nun dahin. Geplant war also nicht ein Neues zu kaufen aber da es nun notwendig wurde musste ich mich doch mit den aktuell verfügbaren Geräten befassen.

Anforderungen

Über das Vergleichsportal http://www.inside-handy.de/ habe ich mir einen Überblick über die  Eigenschaften aktueller Handies verschafft. Da ich als Betriebssystem Android gewöhnt bin habe ich zunächst geschaut welche Version aktuell ist. Die Version 6 ist bereits herausgekommen aber die Version 5 ist wohl noch am meisten verbreitet. Nach ein bischen hin und her und vielen Vergleichen bin ich also auf die folgende Liste mit Anforderungen gekommen:

  • Display 5 – 6 Zoll Diagonale
  • Android Version 5.1 aufwärts
  • Interner Speicher 16 GB oder höher
  • Ohne Simlock
  • Ohne Vertrag
  • Octa Core 1,2 GHz und höher
  • LTE
  • WLAN mit xxx.n Protokoll Support
  • DLNA Support um das Bild auf einen TV wiedergeben zu können
  • USB-OTG
  • SD Kartenslot für Größen um 128 GByte

Favorisierte Geräte

  1. Huawei G8
  2. Samsung Galaxy S5 neo
  3. Huawei P8

32C3

Der jährliche Weihnachtstress

Jedes Jahr das Gleiche, im Dezember zunächst der Run auf die Geschäfte um schnell noch die benötigten Geschenke zu besorgen. Dann die Sache mit dem Baum, das Geputze und die Familie ist in heller Aufregung. Dann noch das Besorgen der Weihnachtsgans und irgendwann liegen die Nerven blank. Jahr für Jahr die gleiche Leier und man fragt sich ob dies ewig so weiter geht. Und ja genau das wird es wenn man nix aktiv dagegen unternimmt. Dabei würde man sich doch gern auch einfach mal entspannt zurücklehnen und mit Freunden über Computer und drum herum quatschen. Doch welche Freunde haben schon über die Feiertege Zeit? Ganz abgesehen das ja die Familie auch was vom Papa haben will. Da hilft nur eins, ein Plan! Dieses Jahr geht es zu einem Congress von Computerbegeisterten und die Familie bekommt eine Woche Urlaub in der schönen Hansestadt Hamburg spendiert nebst Geld fürs Shopping. Das kann eigentlich nur gut ankommen und Bingo es ist ok.

Der Erstkontakt

Nachdem es dann wirklich geklappt hat und ich im Internet per google die richtige Seite des CCC gefunden habe war ich zunächst etwas verwundert über die spärlichen Informationen. Gut es war Oktober und wie ich aus der Presse wusste wird der Congress erst im Dezember zwischen Weihnachten und Silvester stattfinden. Doch zumindest war schon ein Eintrag zum Zeitraum zu finden. Also die Seite schnell gemerkt und einmal in der Woche besucht. Inzwischen ist es November und endlich gibt es Infos zu Congress doch wo bekommt man die Karten her? Egal, auf jeden Fall ist inzwischen klar es ist Hamburg und nicht Berlin und es findet vom 27.122015 bis 30.12.2015 statt. Damit lässt sich das Hotel schon mal reservieren. Wo genau? Hamburg-Dammtor in der Nähe des CCH. Es gibt sogar Züge die von Nürnberg bis Dammtor ohne Umstieg durchfahren.

Dann endlich ist es auch möglich Tickets im Internet zu ordern. Die Preisgestaltung ist vielfältig, jeder soll so viel zahlen wie er möchte. Nicht subventionierte Tickets beginnen bei 130€ Als Jugendlicher kommt man auch schon mal kostenlos rein. Inzwischen ist es Ende November – ich hätte nie gedacht das so ein riesiges Event so kurz vor Termin erst seine Tickets verkauft. Nun gut mein Ticket ist schnell bestellt aber der Download ist wohl erst kurz vor Beginn möglich. Also wieder warten. Nach ca. einer Woche sind die Tickets ausverkauft. Wenn später der Download nicht funktioniert habe ich keins 😦

Auch diese Seite war sehr schlicht gehalten. Langsam kommen mir Zweifel? War das wirklich die richtige Seite? War es ein Phishing? Ich prüfe den URL – da steht eindeutig ccc hinten aber das heißt ja nix. Jetzt muss noch die Domain stimmen. Ist es org, de, net oder welche ist die offizielle? Ich bin ratlos und hoffe einfach auf mein Glück. Im schlimmsten Fall habe ich 130€ verloren – das werde ich überleben!

Inzwischen habe ich das Hotel mehrmals umgebucht und bin so von insgesamt 1500€ auf etwa 1000€ gekommen. Zu meiner Freude funktioniert jetzt auch der Download Link für das Ticket. Inzwischen sind es nur noch 2 Wochen bis Weihnachten. Unsere beiden Katzen haben für die Zeit des Kongresses auch eine Unterkunft gefunden. Leider zwei Einzelzimmer für insgesamt 360€. Hoffentlich behagt ihnen der Luxus. Es war die einzige Pension in Nürnberg welche überhaupt noch Plätze frei hatte. Zwischenzeitlich habe ich im Netz auch eine Abfrage gefunden in welcher man sich für die einzelnen Sessions registrieren kann. Das ganze nennt sich Fahrplan. Das Ergebnis meiner Auswahlen habe ich vorsichtshalber mal ausgedruckt.

Es geht los

Gestern sind wir in Hamburg Dammtor angekommen und haben unser Hotel bezogen. Heute geht es nun also los. Meine Familie will sich den Hafen anschauen und ich gehe rüber zum Congress. Es ist gegen 09:00 als wir einen kurzen Blick ins CCH werfen. Es wuseln viele Leute durch die Gegend und auch eine schon etwas längere Schlange hat sich gebildet. Ich vermute das sind die Leute welche keine Tickets mehr bekommen haben und nun noch auf den Vorortverkauf hoffen. Wir gehen wieder und ich schlendere noch eine Weile mit meiner Familie in Richtung Bahnhof. Letztlich verabschieden wir uns und ich gehe zurück zum CCH.

Hier ist die Schlange inzwischen stark angewachsen und nein die Leute in der Schlange wollen keine Tickets kaufen. Sie haben alle genau wie ich bereits ihre Tickets und benötigen nun die konkrete Eintrittskarte – ein Bändchen. Also stelle ich mich an. Entgegen meiner Erwartungen geht es recht zügig voran und nach ca. 15 Minuten bekomme ich mein Bändchen. Dieses wird mir von einem Engel auch gleich so angetackert das es die nächsten 3 Tage durchhält. Ab jetzt heißt es sich in die Atmosphäre einleben und das Vokabular herausfinden. Den ersten wichtigen Begriff habe ich gerade erwähnt – Engel. Davon scheint es hier eine Menge zu geben und ihre Aufgaben scheinen vielfältig zu sein. Zum einen sorgen sie für Ordnung zum anderen helfen Sie Leute die ihre Sachen nicht mehr finden oder verloren haben oder auch bei anderen Problemen. Sie kennen sich im Gebäude aus und wissen auch wo die Toiletten zu finden sind. Wenn Engel selbst Hilfe benötigen finden sie sich im Heaven (Himmel) ein. Die Beschilderung erfolgt hier häufig in English aber man kommt auch ohne English durch. Im Bedarfsfall sucht man den Infodesk einfach etwas öfter auf. Als erstes wird mir dort geraten 2 Apps aus dem Android App Store zu installieren. Einmal den 32c3 Navigator und den 32c Fahrplan. In Letzterem findet man die geplanten Vorträge, Ersterer berechnet die Routen von einem Raum zum Nächsten – mit Bildchen welche aber nicht ganz intuitiv sind. Damit läuft der erste Tag wie am Schnürchen. Die 32 so erfahre ich steht für den 32. Congress.

Das Defragmentieren

Da mich niemand hetzt suche ich mir für den ersten Tag diverse Vorträge  aus meinem heimischen Fahrplanausdruck die ich besuchen wollte und gehe dort hin. Das erste woran man sich bei Vorträgen gewöhnen muss ist das defragmentieren. Ich bin ein Mensch der sich nicht gern in Menschenmengen befindet sowie immer eine Toilette in der Nähe wissen muss um sich wohl zu fühlen. So  suche ich in allen Veranstaltungen immer Randplätze welche direkt an einem Gang oder Fluchtweg liegen. Daher war das Defragmentieren für mich gar nix und ich brauchte eine Strategie wie ich einen stabilen Platz bekam. Zum Hintergrund sei gesagt, die Veranstaltungen werden erwartungsgemäß sehr gut besucht. Deshalb ist meist auch kein Platz mehr frei und aus Sicherheitstechnischen Gründen sind die Gänge und Fluchtwege natürlich frei zu halten – darum kümmern sich auch wieder Engel. Beim Defragmentieren werden nun also die Randbereiche eines Raumes gebeten sich zu erheben und solange in Richtung Zentrum zu gehen bis jeder einen Platz hat ohne einen leeren Nebenplatz. Irgendwann werden dann die Türen geschlossen – jetzt lassen die Engel keinen mehr rein. Alle die noch einen leeren Platz neben sich finden heben dauerhaft die Hand bis die Leute welche noch durch die Gänge irren den Platz besetzen. Wenn keine Hand mehr oben ist werden die Leute aus den Gängen gebeten den Raum zu verlassen. Nun beginnt die Veranstaltung. Erstaunlicherweise meist sogar pünktlich oder höchstens 2 Minuten verspätet. Die Organisation ist wirklich perfekt. Der mittlere Bereich wird übrigens auch defragmentiert aber hier kann man vorher nicht sagen in welche Richtung geshiftet wird. Nach meiner ersten Veranstaltung wusste ich also welche Plätze nicht defragmentiert werden – Sitzordnung gehackt würde ich sagen 😉

Und nun wohin?

Mir scheint, dass auf dem Congress für jeden etwas dabei ist, allerdings muss man sich erstmal in die Begrifflichkeiten einfinden.  Da gibt es also Vorträge – das war einfach herauszufinden.

Dann gibt es Shared Tables – also Tische die von jedem genutzt werden können und an denen sich auch Stromverteiler befinden. Diese füllten sich so nach und nach mit Leuten von denen ich immer das Gefühl hatte, sie würden sich irgendwie schon kennen. Das stimmte aber nur zum Teil.

Denn offensichtlich gab es auch Chaospatinnen welche dem Neuling erste Hinweise gaben was wie funktioniert und dabei gleich mehrere Neulinge zusammen brachten. Leider war für mich nicht zu erkennen wer eine solche Patin war und ich musste irgendwelche Leute fragen die eigentlich ganz andere Dinge tun wollten als einen Neuling beraten und auch die Engel waren für mich nicht besonders kenntlich – außer der Eine der die Bänder antackert 🙂 der hatte rosa Häschenohren auf das fand ich cool 🙂 Naja die Leute vom InfoDesk kannten mich dann auch bald persönlich 🙂  

Am zweiten Tag sass ich dann auch bei den Shared Tables und bemerkte das die Leute am Tisch noch zu Workshops gingen. Diese waren wohl im Wiki findbar welches ich aber nicht aufrufen konnte. Da auch der InfoDesk meinte, dass das Wiki schon den ganzen Tag offline ist wunderte ich mich sehr, dass die Anderen lesenden Zugriff erhielten. Später im Hotel beim nächsten Frühstück erfuhr ich von jemanden, dass das Wiki wohl auch gespiegelt wurde und so Zugriff möglich war.

Gut mir nutzte das erstmal nix und ich suchte nun die Workshopräume direkt auf und fand vor jedem einen Zeitplan. Bald musste ich erkennen das ich nicht der Einzige war der sich für Verschlüsselung interessierte und befand mich plötzlich in einem zum Bersten gefüllten Raum mit Sitzplatz im Gang an der Erde – das letzte Mal sass ich vor ca. 20 Jahren so in einer Vorlesung. Ich wusste nicht wie lange die Veranstaltung gehen würde, meine Nachbarn sprachen erwartungsgemäß wieder nur english und ich wusste die Art zu sitzen halten ich ca. 30 Minuten aus. Also hab ich meinem rechten Nachbarn einfach immer wieder das Wort duration an den Kopf gewurfen bis er nach diversen Antworten eine kurze fand in der nur two hours enthalten war. Ich konnte den Platz noch vor Beginn der Veranstaltung jemanden anders überlassen 🙂

Als Letztes vielen mir noch viele Assemblies auf. Aus meiner Sicht waren das so eine Art Bastelstände. Jemand beschäftigte sich zu Hause offensichtlich mit einer Idee und fing an dabei etwas zu basteln. Dann schleppte er es zum 32C3 und zeigte es anderen Interessierten oder bastelte mit Anderen daran weiter. Im Prinzip stellt sich die Situation wie auf einer Messe es bedarf anfangs ein wenig Mut die Leute anzusprechen, da man zunächst ein Einstiegsthema braucht und nicht an jedem Stand das Thema direkt erkennbar ist aber dann läufts 🙂

Zusammenfassend lässt sich sagen für einen über 40 jährigen Neuling ist der Einstieg nicht gerade leicht aber machbar. Es geht immer irgendwie weiter, da die Leute alle sehr hilfbereit sind. Problematisch für mich war natürlich das viele gar kein Deutsch reden und ich kein English aber gut das ist kein Massenproblem 🙂 Auf jeden Fall werde ich wieder mal hinfahren aber dann nehme ich mir auch was zum basteln mit. Wenn man selbst was zeigt findet man vermutlich noch viel leichter gezielten Gedankenaustausch über interessierende Themen.

Meine Highlights

(Erst ab 15:09 gibt es wieder Ton)


 

 

BitCoins sicher speichern

Flattr this

Motivation

Wer wie ich eine Weile mit BitCoins herumgespielt und alles mögliche ausprobiert hat fängt an die Art des Bezahlens zu mögen. Doch bisher ging es nur um Spielgeld. Hier mal 10 € und dort mal 20 € und monatlich an der Börse evtl. 50 € in BitCoins getauscht. Jetzt aber, wenn man richtig einsteigt, seine Geschäfte gefunden hat bei denen man bezahlen kann dann häufen sich die BitCoins langsam im Wallet z.B. um auf einen neuen Laptop zu sparen. Dabei stellt man sich unweigerlich die Frage – wie sicher bin ich aktuell eigentlich schon unterwegs? Am Ende wird man feststellen: „Ich brauche ein sicheres Wallet“. Dieser Artikel beschreibt meine ausprobierten Lösungen dazu. 

Sicherheitsaspekte

Wie sicher bin ich also unterwegs.  Gehen wir das doch mal durch. Die BitCoins kaufe ich auf http://www.bitcoin.de. Dort melde ich mich über 2 Phasen Authentication an. Zunächst Nutzername/Passwort und dann die Zahl (timepad)  aus dem google Authenticator. Um Transaktionen sehr schnell durchführen zu können habe ich ein physisches Konto bei der Fidor Bank und habe BitCoin.de mit Fidor über ein entsprechendes API im Portal verbunden. Technisch kümmern sich da Bank und Börse drum, ich muss nix tun außer Geld auf dem Fidor Konto zur Verwendung auf bitcoin.de freischalten. Mir stellt sich der Vorgang wie beim Reservieren von Beträgen auf einer Kreditkarte dar. Anschließend kaufe ich die BitCoins auf bitcoin.de. Minuten später liegen diese auf bitcoin.de. Letzteres ist eine Online-Börse mit Servern in Deutschland und hohen Sicherheitsauflagen aber dennoch technisch gesehen das Gleiche wie Mt. Gox und kann damit also jederzeit vom Netz genommen werden ohne einen BitCoin auszuzahlen. Daher sollten die erworbenen BitCoins in einem eigenen sicheren Wallet abgelegt werden.

Die Börse ist Ihr Bankautomat

Ab jetzt geht es also nur noch um die Sicherheit des Wallets selber. Der komplette Workflow bislang kann als sicher angesehen werden, da die Unternehmen in der Regel ihr Bestes geben aber vor allem da es sich bei diesem Workflow um den temporären Transfer kleiner Beträge handelt. Selbst wenn hier etwas schiefgeht ist nicht das ganze Geld verloren sondern nur das gerade erworbene – von daher ist es natürlich sinnvoll nicht gleich große Mengen von BitCoins an der Börse zu erwerben sondern lieber mehrmals kleine Beträge zu kaufen. Welches Risiko man bei der Höhe der Geldbeträge eingeht hängt von einem selbst ab. Vergleichbar ist die Situation mit dem Abheben am Bankautomaten. Heben Sie vor dem Einkauf 100 € ab oder das gesamte Budget für den Monat? Und falls Sie ein Haus kaufen wollen – holen Sie das Geld vom Bankautomaten und bringen es persönlich zum Verkäufer oder organisieren Sie die Übergabe bargeldlos? Also genauso ist es beim Kauf von BitCoins an einer OnlineBörse. Die Börse ist Ihr Bankautomat und Sie werden und sollten dort keine riesigen Summen kaufen – zumindest nicht auf ein Mal und nicht bevor die zuvor gekauften Coins in Ihrem sicheren Wallet gelandet sind.

Clientarten und ihre Wallets

Jede BitCoin App mit der sich Überweisungen und Käufe tätigen lassen bringt bisher auch ein eigenes Wallet mit.

bitcoin core

Nun meine erste BitCoin Anwendung auf dem Computer war bitcoin core, heruntergeladen von bitcoin.org. Das Wallet der Anwendung lässt sich an einen sicheren Ort wegspeichern und mit einer Passphrase schützen. Gut das genügt generell, dennoch sah ich folgende Probleme. Die Anwendung arbeitet als Full Node Client. Das bedeutet das die komplette Blockchain erstmal heruntergeladen wird und das sind inzwischen mehr als 17 GByte! Das dauert teilweise einige Tage – vorher ist das Wallet nicht sicher einsatzbereit. Möglicherweise wird auch der Platz auf dem Rechner dann etwas knapp. Wie auch immer jedenfalls wenn die Anwendung einige Tage oder gar Wochen nicht gestartet wird, muss diese beim ersten Start die fehlenden Deltas der Blockchain herunterladen – das dauert schon wieder. Da ist mal nix mit ein Jahr nicht nutzen und dann mal eben schnell überweisen. Full Node Clients sind für das Netzwerk notwendig aber für den Nutzer nur hinderlich. Von daher ist es mir egal wie sicher es wirklich ist es wird gekickt. Auch ist ein Punkt zu beachten. Falls das Backup vom Wallet mal zerstört, gelöscht oder anderweitig verloren geht und das Original evtl. auch ist kein Recovering möglich – alles ist futsch. Den gleichen Effekt hat auch eine vergessene Passphrase – niemand wird das Wallet wieder öffnen können.

SPV Clients

Mein nächster BitCoin Client war das bitcoin Wallet von Andreas Schildbach auf Android. Hierbei handelt es sich um einen SPV (Simplified Payment Verification) Client. Dieser saugt nun nicht mehr die komplette Blockchain aus dem Netz sondern bedient sich der Header aus der Blockchain. Er filtert aus allen Headern der Chain die heraus welche die eigenen Walletadressen betreffen (Bloom Filter). Dies kann er nur tun indem er Kontakt zu Full Node Clients aufnimmt, weshalb diese im Netz möglichst zahlreich vertreten sein sollen. Auch dieser Client kann sein Wallet mit einer Passphrase schützen und exportieren. Als Exportort kann man dropbox wählen besser wäre aber irgendwas mit Verschlüsselung wie wuala (war sehr gut und vermutlich deshalb abgeschaltet) oder Tresorit (geht so als temporäre Lösung). Was bleibt ist genau diese fade Nachgeschmack: „Jetzt liegt mein ganzes Geld im Wallet und das Wallet auf Wuala, Tresorit oder dropbox und was wenn die mal crashen oder gehackt werden?“. Also war das wohl noch nicht die angestrebte Lösung. Außerdem ist Recovering des Wallets glaube auch hier noch nicht möglich.

Serverabhängige Clients

Also suchte ich weiter. Der nächste Client war Elektrum. Dieser Client ist auf eine Serverfarm im Internet angewiesen. Diese Server stellen die Full Node Clients bereit und der Client kann effizient auf deren Informationen zugreifen. Somit muss auch Elektrum die Blockchain nicht erst herunterladen. Daher ist der Client sofort einsatzbereit und natürlich lässt sich das Wallet per Passphrase schützen und es lässt sich auch ein Backup exportieren. Allerdings ist man darauf festgelegt den dedizierten Servern zu trauen. Da diese Open Source sind ist die Hürde schnell genommen. Was jetzt als enormer Pluspunkt hinzukommt ist das Recovering. Jedes Wallet gibt nach seiner Erstellung einen sogenannten Seed von sich Preis. Das ist eine Folge von z.B. 24 Wörtern. Diese Wörter sollte man aufschreiben und an einem sicheren Ort hinterlegen. Nun benötigt man eigentlich kein Backup mehr, denn das Wallet kann jederzeit aus dem Seed wiederhergestellt werden. Nach der Wiederherstellung sind auch alle BitCoins noch da selbst wenn das Wallet einem jetzt ganz andere Adressen als Empfangsadressen anzeigt. Das liegt ein bisl an der Magic von Public Key Verfahren und deren Verknüpfung mit den BitCoin Adressen und deren Beschreibung in der Blockchain. Den Teil dürfen wir einfach mal als technisch sicher annehmen, da genau das den Kern der BitCoin Verwaltung darstellt und dieser genügend öffentlich diskutiert wurde (Wer Details sucht befasse sich mit dem Problem „Die Byzantinischen Generäle“). Also was haben wir jetzt noch an Sicherheitsbedenken? Ein Backup brauchen wir nicht, nur die 24 Wörten müssen in einen physischen Safe gelegt werden, auf jedem Gerät auf dem ich Elektrum installieren kann ist es mir möglich mit diesen Wörtern mein aktuelles Wallet (wieder)herzustellen. Das Wallet selber kann und sollte ich mit einer Passphrase schützen. Einzig wenn die Serverfarm ausfällt oder behördlich abgeschaltet wird sitze ich dumm da, da mein Wallet evtl. nicht mehr funktioniert. Selbst wenn es noch funktioniert kann ich ohne Serverfarm keine Transaktionen mehr durchführen und die BitCoins können mein Wallet nicht mehr verlassen.

Hardwarewallets

Die Hardwarewallets (Trezor) welche ich bislang kenne sind komplett vom Client getrennt. Das heißt sie sind nur noch Wallets und man kann sie über beliebige Clients ansprechen welche natürlich das Protokoll verstehen müssen. Das Hardwarewallet generiert bei Inbetriebnahme einen Seed und damit auch diverse private Schlüssel für die zukünftigen BitCoin Empfangsadressen. Den Seed schreiben wir wieder auf und legen ihn im physischen Safe ab. Dann vergeben wir noch eine PIN welche später zur Bestätigung von Transaktionen benötigt wird.Die privaten Schlüssel werden das Hardwarewallet nie verlassen. Transaktionen die zu bestätigen sind werden vom Client z.B. Elektrum (ja das kann auch mit Hardwarewallets) oder Mycelium an das Hardwarewallet als unsignierte Transaktion gesendet. Das Hardwarewallet signiert die Transaktion und gibt sie an den Client zurück. Dies ist möglich da das Wallet selbst über eine CPU verfügt. Zur Bestätigung der Tranaktion ist natürlich Ihre PIN einzugeben. Diese PIN Eingabe ist bei Tresor richtig gut gelöst. Auf dem PC erscheint das Eingabefeld welches aussieht wie ein Telefonziffern Feld bei dem alle Ziffern durch Sterne ersetzt wurden. Auf dem Display des Hardwarewallets erscheint das gleiche Eingabefeld aber mit Ziffern. Sie müssen nun auf dem PC die richtigen Sterne drücken um ihre PIN einzugeben. Bei der nächsten Transaktion befinden sich die Ziffern natürlich an ganz anderen Stellen so das Keylogger und Capture Replay Tools keine Chance haben die PIN zu erraten oder erneut einzugeben. Mit dieser Kombination sind wir nun wie ich denke recht sicher unterwegs. Persönlich habe ich noch eine kleine zusätzliche Sicherung eingebaut um a die Bequemlichkeit zu erhöhen und b meine stets nach weiterer Sicherheit lechsende Magengrube zu befrieden. Ich habe mir noch ein 2. Hardwarewallet gekauft (Ledger) und nutze diese für die täglichen Transaktionen wie eine Geldbörse. Die monatlich gekauften BitCoins werden stets an das 1. Hardwarewallet gesendet. Der Vorteil diese muss nicht mal am Computer angeschlossen werden um diese zu empfangen. Erst wenn ich BitCoins ausgeben will schließe ich mein Trezor (1. Wallet) an den PC an und überweise einen kleinen Betrag für den heutigen Tag oder die aktuelle Woche z.B. 0,3 BTC auf mein Ledger (2.) Wallet. Mein Trezor geht danach wieder in den Safe und Ledger kommt in die Hosentasche. Klar ist hoffentlich das ich Ledger nie verlieren sollte. Aber auch in dem Fall gibt es Abhilfe welche in der Praxis aber evtl. so lange dauert das die Wallet bereits geknackt und geleert wurde. Aber auch dann ist nur ein kleiner Betrag verloren der Rest liegt immer noch schön auf meinem 1. Wallet auf Trezor.

Cold Wallets

Die einzigen Gefahren die ich jetzt noch sehe sind Schadprogramme wie Keylogger welche versuchen die PIN Eingaben mit zu schreiben, Trojaner und andere Programme welche versuchen an Kopien meiner Client Wallets zu kommen. Wenn es einem Angreifer gelingen sollte meinen Rechner so zu infiltrieren, dass er anschließend meine Client Wallet (Hot Wallet) und die eingegebene PIN bekommt dann kann er meine BitCoins aus der HotWallet ausgeben. Dies kann aus meiner Sicht nie passieren wenn gerade ein Hardwarewallet genutzt wird. Allerdings sonst schon. Daher kann man auch eine Wallet auf einem Rechner erstellen der niemals online geht (Cold Wallet). Von dieser lässt sich dann eine Watch-Only Wallet exportieren und auf dem Internetrechner im Hot-Walletbereich nutzen. Zum Signieren von Transaktionen ist jedoch der export einer unsignierten Transaktion z.B. per USB an die Cold Wallet notwendig, diese signiert dann offline und mit die signierte Transaktion geht per USB Stick wieder urück zur HotWallet welche diese dann im Netz bekannt gibt und diese in die Blockchain einarbeiten lässt.

Prinzipiell sind Cold Wallets der sicherste Weg seine BitCoins zu speichern aber eben auch der Umständlichste. Daher ist er bei größeren Beträgen auf jeden Fall zu gehen aber wer keine Ersparnisse in BTCs ablegt wird ihn vermutlich nie gehen müssen. Bitte auch beachten das es noch die Möglichkeit gibt Paper Wallets anzulegen. Letzlich muss das jeder für sich selbst entscheiden. Ich bleibe erstmal bei meiner Kombination aus Hardwarewallets.

Allen die bis jetzt noch Angst vorm BitCoin hatten weil sie nicht verstehen konnten wie das System funktioniert und denen daher auch die Sicherheit fehlte – all denen hoffe ich geholfen zu haben die Sicherheitsaspekte etwas besser zu verstehen. Abschließend noch ein paar Regeln die immer gelten sollten:

  • Jedes Wallet ist mit einer Passphrase oder zumindest mit einer PIN zu schützen, niemals das Öffnen einer Wallet ohne Sicherheitscode erlauben.
  • Tranaktionen müssen immer per PIN bestätigt werden, niemals Transaktionen ohne PIN Eingabe zulassen.
  • Ein Seed muss aufgeschrieben und an sicherem Ort verwahrt werden.

 

Nützliche Literatur