Verbesserung des Ökosystems: Offenlegung von Trezor Sicherheitslücke
Geposted von Julian Truniger am
Die Sicherheitsexperten vom Ledger Donjon arbeiten konsequent an der Verbesserung der Sicherheit der Kryptowelt. Während sich Ledger hauptsächlich auf die Verbesserung der Sicherheit der eigenen Produkte konzentriert, versuchen die auch, die Sicherheitsstandards aller Kryptowährungsdienstleister zu verbessern.
Eine gemeinsame Verantwortung
In der Welt der Kryptowährung wollen wir als letztes sehen, dass Menschen ihr wertvolles Vermögen durch Hacks verlieren. Immer wenn grosse Hacks wie der von Mt.Gox stattfinden, hat dies enorme Auswirkungen auf den gesamten Markt für Kryptowährungen - vom Preisverfall bis hin zu schweren Vertrauens- und Reputationsschäden. Daher müssen wir alle unseren Beitrag zur Sicherung des gesamten Kryptowährungs-Ökosystems leisten.
Bei Ledger hat ein Team von erstklassigen Sicherheitsexperten namens Ledger Donjon zusammengestellt. Ihr primäres Ziel ist es, weiterhin zu versuchen, in die eigenen Geräte einzudringen, um Schwachstellen zu finden und die Sicherheit der Hardware-Wallets zu verbessern. Ein sekundäres Ziel ist es, auch einen Blick auf die Sicherheit anderer Kryptowährungsdienstleister zu werfen, da eine Sicherheitslücke in einem grossen Kryptounternehmen letztendlich uns alle betreffen kann.
Wenn das Ledger Donjon etwas entdeckt, wendet es sich natürlich an das betreffende Unternehmen, um sie zu informieren und ihnen ausreichend Zeit zu geben, um das Problem zu beheben. Dieser Prozess wird als verantwortungsvolle Offenlegung bezeichnet. Auf diese Weise können sie das Problem beheben, bevor jemand mit böswilliger Absicht es missbrauchen kann. Wenn keine Lösung gefunden wird oder möglich ist, ist das Ledger Donjon leider dafür gezwungen, alle zu informieren.
Die Sicherheitslücke
Bei einem Blick auf Trezor Hardware-Wallets stellte das Donjon-Team eine physische Sicherheitslücke fest. Die gute Nachricht ist, dass es sich nicht um eine handelt, die remote ausgeführt werden kann: Es wird physischen Zugriff auf Ihr Gerät benötigt.
Die schlechte Nachricht ist, dass jemand, der Ihr Gerät in die Hände bekommen hat, innerhalb weniger Minuten auf Ihre Wiederherstellungsphrase zugreifen kann. Das für diesen Angriff erforderliche Material kostet nur ungefähr 100 US-Dollar und es funktioniert in 100% der Fälle und die Sicherheitsanfälligkeit scheint nicht vollständig behebbar zu sein. Es geht nicht nur um Trezor Hardware-Wallets: Geräte, die auf ähnliche Weise entworfen wurden (z. B. Keepkey), sind gleichermassen betroffen. Wie schnell dies ausgenutzt werden kann, sehen Sie im folgenden Video:
https://www.youtube.com/watch?v=q8jednQQFx4&feature=youtu.be
Da der Angriff so schnell, effizient und konsistent zu sehr geringen Kosten ausgeführt werden kann, haben wir beschlossen, nicht offen zu zeigen, wie genau die Extraktion der Wiederherstellungsphrase funktioniert. Wir möchten die Gelder der Trezor-Benutzer nicht gefährden, sondern die Benutzer lediglich über das potenzielle Risiko und dessen Minderung informieren. Seien Sie versichert, dass Ledger Hardware-Wallets von dieser Sicherheitsanfälligkeit nicht betroffen sind, da bei Ledger Secure Element-Chips verwendet werden.
Die Problemumgehung
Wenn Sie derzeit eine Trezor Hardware-Wallet besitzen, ist nicht alle Hoffnung verloren. Erstens muss tatsächlich jemand in der Lage sein, Ihr Trezor-Gerät in die Hände zu bekommen. Es wäre eine Option, es so sicher und versteckt wie Ihre Wiederherstellungsphrase zu halten.
Es gibt noch eine andere Problemumgehung, um Ihre Kryptowährungen weiterhin sicher zu halten. Ähnlich wie bei Ledger Geräten kann eine Trezor Hardware-Wallet mit einer Passphrase eingerichtet werden. Dies ist ein zusätzliches Wort Ihrer Wahl, das Sie zusätzlich zu Ihrer Wiederherstellungsphrase hinzufügen können. Um sicherzustellen, dass es fast unmöglich ist, Ihre Passphrase zu Brute forcen, wird dringend empfohlen, eine lange (vorzugsweise über 37 Zeichen), zufällige und sichere Passphrase hinzuzufügen.
Die Passphrasenlösung ist in der Tat eine gute Lösung, um Ihre Krypto sicher zu halten. Sie müssen sie jedoch jedes Mal in Ihr Trezor One- oder Trezor-Modell T eingeben, wenn Sie sie verwenden möchten. Für das Modell T ist dies nur eine geringfügige Unannehmlichkeit, da Sie es sicher direkt auf dem Gerät selbst eingeben können. Der Trezor One gibt jedoch Anlass zur Sorge: Um Ihre Passphrase verwenden zu können, müssen Sie sie über die Trezor-Brieftasche auf Ihrem Computer eingeben. Wenn Ihr Computer kompromittiert ist, ist dies wahrscheinlich auch Ihre Trezor One-Passphrase.