Paperwallet - czym bezpiecznie?

[Yogi77]

Na chwilę obecną zaszyfrowanie kluczy paperwalletów w formacie BIP38 i zapisanie ich (albo mnemoników) jako PDF w szyfrowanym archiwum w formacie VeraCrypt, czy dawny TrueCrypt i trzymanie w kilku kopiach w różnych lokalizacjach wydaje mi się najsensowniejszą opcją, a na pewno lepszą niż trzymanie papieru.

Do szyfrowania pojedynczych plikow najlepiej uzyc GPG, do transparentnego szyfrowania calych partycji najlepszy jest Linux + LUKS

[fusywszklanejkuli]

4. Rozumiem, że mogę sobie wygenerować BIP39 Mnemonic, czyli listę np. 24 słów i te słowa (równoważne seed) pozwolą mi w przyszłości odtworzyć portfel? Ale na podstawie tej jednej listy słów narzędzie generuje mi kilkadziesiąt adresów (adres / klucz publ / klucz prv.) w formacie lgeacy (BIP32) lub segwitt (BIP84) i pozwala kliknięciami w przycisk generować kolejne i kolejne...
I jak to niby działa? Na podstawie tej jednej frazy odtworzy mi potem X adresów wraz z kluczami?

Uruchom poniższy kod w https://go.dev/play/ i sam zobacz, jak przebiega cały proces. Wyniki będą zgodne z https://iancoleman.io/bip39/. Adresy już nieco komplikują sprawę, więc dla przejrzystości poprzestałem na kluczach.

package main

import (
	"encoding/hex"
	"fmt"
	"strconv"
	"strings"

	"github.com/FactomProject/go-bip32"
	"github.com/FactomProject/go-bip39"
	"github.com/btcsuite/btcd/btcec/v2"
	"github.com/btcsuite/btcd/btcutil"
	"github.com/btcsuite/btcd/chaincfg"
)

func main() {
	ekogen(
		"BTC legacy",
		"ticket regret opinion pulse solve dune toy urge horror lake claw remain",
		"",
		"m/44'/0'/0'/0/1",
		"0488ADE4",
		"0488B21E",
		0x80,
	)
	ekogen(
		"BIP39 passphrase, BTC legacy",
		"ticket regret opinion pulse solve dune toy urge horror lake claw remain",
		"A to moja tajemnica: @w$R%4^7^%#",
		"m/44'/0'/0'/0/3",
		"0488ADE4",
		"0488B21E",
		0x80,
	)
	ekogen(
		"BIP39 passphrase, BTC native segwit",
		"ticket regret opinion pulse solve dune toy urge horror lake claw remain",
		"A to moja tajemnica: @w$R%4^7^%#",
		"m/84'/0'/0'/0/5",
		"04B2430C",
		"04B24746",
		0x80,
	)
	ekogen(
		"BIP39 passphrase, ETH",
		"ticket regret opinion pulse solve dune toy urge horror lake claw remain",
		"A to moja tajemnica: @w$R%4^7^%#",
		"m/44'/60'/0'/0/7",
		"0488ADE4",
		"0488B21E",
		0x80,
	)
}

func ekogen(comment, mnemonic, password, path, prvVersion, pubVersion string, privateKeyID byte) {
	fmt.Println(comment)
	fmt.Println(mnemonic, "   ", password, "   ", path, "   ", prvVersion, pubVersion, "   ", privateKeyID)
	seed, _ := bip39.NewSeedWithErrorChecking(mnemonic, password)
	fmt.Println("seed     ", hex.EncodeToString(seed))
	masterKey, _ := bip32.NewMasterKey(seed)
	key := masterKey
	key.Version, _ = hex.DecodeString(prvVersion)
	fmt.Println("master   ", key.String())
	at := 1
	for _, level := range strings.Split(path, "/")[1:] {
		at += 1 + len(level)
		idxStr, hardened := strings.CutSuffix(level, "'")
		idxInt, _ := strconv.Atoi(idxStr)
		idx := uint32(idxInt)
		if hardened {
			idx += bip32.FirstHardenedChild
		}
		key, _ = key.NewChildKey(idx)
		key.Version, _ = hex.DecodeString(prvVersion)
		pub := key.PublicKey()
		pub.Version, _ = hex.DecodeString(pubVersion)
		eckey, _ := btcec.PrivKeyFromBytes(key.Key)
		wif, _ := btcutil.NewWIF(eckey, &chaincfg.Params{PrivateKeyID: privateKeyID}, true)
		fmt.Println(
			path[:at],
			"\n  prv    ", hex.EncodeToString(key.Key),
			"\n      enc", key.String(),
			"\n      WIF", wif.String(),
			"\n  pub    ", hex.EncodeToString(pub.Key),
			"\n      enc", pub.String(),
		)
	}
	fmt.Print("\n\n\n")
}

5. Widzę, że narzędzie mimo użycia BIP39 pozwala dodatkowo zakodować klucze uzyskanych adresów przy pomocy hasła w BIP38. Jaki to ma sens?

Rzeczywiście pozwala, ale przydatność tego jest ograniczona do szczególnego przypadku, który nas nie interesuje. Przy okazji warto tu wspomnieć o passphrase z BIP39 (mnemoniki dla portfeli deterministycznych), które nie ma nic wspólnego z passphrase z BIP38 (szyfrowanie kluczy prywatnych). BIP39 passphrase umożliwia plausible deniability, na ledgerze może być podpięte pod drugi PIN lub w trybie temporary passphrase podawane przy każdym użyciu, na trezorze musi być podawane przy każdym użyciu, przy czym Model One nie pozwala na robienie tego bezpośrednio na urządzeniu, co ze względów bezpieczeństwa przekreśla jego przydatność w tym zakresie (On-device passphrase entry).

Na chwilę obecną zaszyfrowanie kluczy paperwalletów w formacie BIP38 i zapisanie ich (albo mnemoników) jako PDF w szyfrowanym archiwum w formacie VeraCrypt, czy dawny TrueCrypt i trzymanie w kilku kopiach w różnych lokalizacjach wydaje mi się najsensowniejszą opcją, a na pewno lepszą niż trzymanie papieru.

Niech już to, co nie musi, nie dotyka sprzętu elektronicznego. Zgodne ze standardem BIP39 słowa i passphrase (jeżeli używane) na papier, zalaminować lub zabezpieczyć inną techniką, umieścić kilka kopii w kilku miejscach, raz w roku sprawdzać, czy tam jeszcze są i nie wyblakły. Ewentualnie uprzednio podzielić, przetransformować lub zakodować słowa i passphrase w sobie znany sposób, pod warunkiem, że ten sposób będzie po latach jasny dla posiadacza portfela, co nie jest wymogiem prostym do spełnienia.

[rav3n_pl]

4. Rozumiem, że mogę sobie wygenerować BIP39 Mnemonic, czyli listę np. 24 słów i te słowa (równoważne seed) pozwolą mi w przyszłości odtworzyć portfel?

Dokładnie tak.
Oczywiście pobierz z Githuba i odpalaj offline, albo użyj mojego generatora z talii kart, a samym toolem wygeneruj sobie X adresów i je wydrukuj z QR-kami, na które chcesz wpłacać.

Masz wtedy tylko kopię mnemonika i adresy, nie robisz kopii kluczy ani nic nie szyfrujesz.
Adresów możesz mieć ile tylko chcesz.

Dodatkowo możesz dołożyć passphrase, wtedy nawet jakby mnemonik wyciekł, to nadal jesteś bezpieczny (oczywiście NIE zapisuj passphrase razem z mnemonikiem xD)

Robienie paper-walleta na jeden adres jest ryzykiem prywatności jeżeli robisz/planujesz wiele wpłat.
Ma sens jedynie, gdy robisz jedną wpłatę.

[ekonokomik]

Masz wtedy tylko kopię mnemonika i adresy, nie robisz kopii kluczy ani nic nie szyfrujesz.

Jeśli dobrze rozumiem zapamiętywanie czy dodatkowe szyfrowanie (przez BIP38) kluczy prywatnych nie ma sensu, bo mnemonik zawsze pozwoli mi je odtworzyć?

Co do generowania adresów, to jest aż 5 opcji: BIP32, BIP44, BIP49, BIP84, BIP141.
Której najlepiej używać do wpłat? Rozpoznaję tylko BIP84 jako segwittowe (od bc1...).

Dodatkowo możesz dołożyć passphrase, wtedy nawet jakby mnemonik wyciekł, to nadal jesteś bezpieczny (oczywiście NIE zapisuj passphrase razem z mnemonikiem xD)

Mówimy tu o polu "BIP39 Passphrase (optional)" w narzędziu https://iancoleman.io/bip39/ ? (oczywiście to tylko dla przykładu, rozumiem należy że używać bezpieczniej wersję offline). Jak długie może / powinno być to passphrase?

Czy "BIP32 Root Key" będzie do czegoś potrzebny?

I ostatnie, najważniejsze pytanie: rozumiem, że to "narzędzie colemana" to jedynie popularna implementacja pewnego standardu / algorytmu w BTC i zawsze można sobie napisać kolejne (np. tak jak @fusywszklanejkuli.
Ale czy nie ma niebezpieczeństwa, że za rok, dwa, czy pięć zmienią się jakieś standardy, wejdą kolejne BIP... i zostanę z tym moim 24 wyrazowym mnemonikiem w ciemniej... za to bez bitów?


PS. Powiem Wam, że po 2 dniach zgłębiania tematu bezpiecznego przechowywania BTC jakoś się nie dziwię, że dotąd krypto nie trafiły "pod strzechy" A piszę to jako informatyk z 30 letni stażem

[fusywszklanejkuli]

czy nie ma niebezpieczeństwa

Przecież nierealne jest zerwanie takiej kompatybilności wstecznej, to by w jednej chwili podważyło kompetencje i zrujnowało reputację zespołu pracującego nad Bitcoinem. Ponadto jest to niemożliwe również dlatego, że z tych samych standardów korzystają wszystkie inne liczące się blockchainy, także te nowsze:

Solana provides a key generation tool to derive keys from BIP39-compliant seed phrases.

But Kaspa's wallet is BIP-39 compliant HD wallet, and this means that from that master key you can create almost infinite number of public addresses to which you can mine and receive coins, and that you ought to create at least one such address.

To support both of these use cases, the Aptos wallet standard uses a Bitcoin Improvement Proposal (BIP44) to derive path for mnemonics to accounts.

[akos]

Powiem Wam, że po 2 dniach zgłębiania tematu bezpiecznego przechowywania BTC jakoś się nie dziwię, że dotąd krypto nie trafiły "pod strzechy"

Cóż, nikt nie mówił, że bycie własnym bankiem będzie łatwe Już się kiedyś z tego nabijaliśmy. Pozostaje jeszcze łże-krypto...

A tak serio, jeśli nie chce Ci się doktoryzować, to zawsze można podejść łopatologicznie, wygenerować co trzeba choćby przy pomocy Electrum na kompie offline, zrobić backupy, na wszelki wypadek wszystkiego (seed, wyeksportowane klucze, plik wallet.dat) i charaszo. Zależy jaki poziom paranoi bezpieczeństwa potrzebujesz.

Do szyfrowania pojedynczych plikow najlepiej uzyc GPG, do transparentnego szyfrowania calych partycji najlepszy jest Linux + LUKS

Ja bym jednak polecał Veracrypt, z uwagi choćby na to:

LUKS uses single-layer AES-256 encryption.

VeraCrypt can use AES-256, as well as various combinations up to triple-layer Serpent(Twofish(AES)) or AES(Twofish(Serpent)) encryption.

A number of industry standard papers have cited multiple layers of cascading encryption, when done correctly, does make decryption much more difficult.

A także ze względu na uniwersalność - archiwum VC można odczytać na różnych systemach, oraz feature w postaci "hidden volume".

Co do przechowywania czegokolwiek na papierkach, pozostaję sceptykiem, raz, że może się zniszczyć lub zgubić a dwa, zwykły włam do chałupy może zniweczyć cały misterny plan opracowany podczas wielu godzin studiowania kolejnych BIPów o ile złodzieje zorientują się co to za zapiski z tymi słowami i dlaczego ktoś zadał sobie trud by to jeszcze laminować Możemy wrócić z urlopu i zorientować się, że z domu zniknął nie tylko sprzęt elektroniczny, ale dużo więcej...
Backup archiwum VC w paru miejscach typu skrzynka pocztowa protonmaila itp. wydaje mi się bezpiecznym podejściem.

[fusywszklanejkuli]

do chałupy zwykły włam
i misterny pada plan

Dlatego należy niezwykle starannie wybierać miejsca przechowywania, a w ostateczności wykorzystać kaloryfer:



Byle tylko nie pokazywać innym:

[BitBoy]

Powiem Wam, że po 2 dniach zgłębiania tematu bezpiecznego przechowywania BTC jakoś się nie dziwię, że dotąd krypto nie trafiły "pod strzechy"

Do obsługi dzisiejszej bankowości elektronicznej, standardowy zestaw to: login, hasło oraz telefon do haseł jednorazowych.
W przypadku krypto: zabezpieczony seed + stary telefon(zbędny gdy nie ruszamy krypto).
W obu przypadkach można to wybitnie i niepotrzebnie skomplikować

Obstawiam że miażdżąca większość z nas, jeśli kiedykolwiek traciła krypto, to nie z powodu słabych zabezpieczeń a raczej z powodu złego rozporządzania bitkami. Bez udziału osób trzecich i katastrof

[ekonokomik]

Obstawiam że miażdżąca większość z nas, jeśli kiedykolwiek traciła krypto, to nie z powodu słabych zabezpieczeń a raczej z powodu złego rozporządzania bitkami. Bez udziału osób trzecich i katastrof

Cóż, ja nigdy nie straciłem bitów przez złe zabezpieczenie zimnego portfela, bo... nigdy go nie miałem No dobra, od jakichś 3 lat mam portfel na kompie na małe i średnie kwoty. A wcześniej trzymałem bity wyłącznie na giełdach, bo ciągle grałem.
Nie zliczę za to, na ilu giełdach straciłem kasę Również przez "złe rozporządzanie".

A jeśli teraz niejako zmuszony jestem do założenia portfeli to chciałbym to zrobić dobrze. Zabezpieczyć się na wszelkie sposoby również przeciw takim zdarzeniom jak demencja, przyłożenie mi pistoletu do głowy albo wpadnięcie pod tramwaj

PS. Po co "stary telefon"???

[Yogi77]

@ekonokomik 1. Pobierasz zaufany system w formie Linux Live, ja polecam jedna z dwoch dystrubucji:

Debian (jeden z najpopularnejszych, opiera sie na nim masa innych dystrybucji):

https://cdimage.debian.org/debian-cd/cu ... bt-hybrid/

Fedora (rowniez bardzo bezpieczny, SELinux, nietylko OpenSource ale i rozwijany przez zespol Red Hata, ktory jest systemem do zastosowan komercyjnych):

https://fedoraproject.org/pl/workstation/download

I robisz z tego pendrive bootowalnego

2. Na drugim pendrive tworzysz zaszyfrowana partycje:

Bootujesz sie z Linux Live, wpinasz drugiego pendriva i postepujesz zgodnie z poradnikiem:

https://devconnected.com/how-to-encrypt ... -on-linux/

(uwazaj tylko zeby nie nadpisac sobie glownej partycji z podstawowym system, ktora jest zazwyczaj pod /dev/sda)

3. Pobierasz electrum z zaufanej strony i zapisujesz w tej zaszyfrowanej partycji

Uruchamiasz i generujesz portfel ktory zapisujesz na zaszyfrowanej partycji. Mozesz tez spisac na kartke seed i adresy, jesli masz gdzie to bezpiecznie przechowac

OD TERAZ ZELAZNA ZASADA: TO CO MA DOSTEP DO KLUCZY NIGDY NIE PODLACZASZ DO INTERNETU

Jesli kiedykolwiek chcesz wyplacic BTC to po prostu eksportujesz plik transakcji z podpisem, wysylasz na drugiego kompa z aktualnym electrum, wczytujesz i rozglaszasz w sieci.

W przypadku krypto: zabezpieczony seed + stary telefon(zbędny gdy nie ruszamy krypto).
W obu przypadkach można to wybitnie i niepotrzebnie skomplikować

A jak z poziomu telefonu zweryfikujesz czy aplikacja ktora na niego pobrales nie jest lewa? Trzymac duza kase na jakims podejrzanym portfelu mobilnym to ja bym sie bal. Jesli aplikacja jest lewa to nie potrzebny nawet dostep do internetu aby zdobyc seed. Wysytarczy ze oszust wymysli jakis pseudolosowy sposob wyboru kluczy, wedlug regul ktore bedzie mogl przewidziec i sobie lokalnie odtworzyc.

[BitBoy]

PS. Po co "stary telefon"???

Oczywiście może też być i nowy Tyle że większość osób ma jakieś używane telefony, które nadają się na do użytku, a złodzieja pociągają mniej niż najnowszy Galaxy.
Mam też od wielu lat starego lapka z linuxem. Pancerny Dell z metalu, który solidnością i wykonaniem bije na głowę dziesiejszą plastikową tandetę.
Przez 11 lat nigdy nie straciłem złotówki na krypto z powodu słabych zabezpieczeń softu/hardwaru czy kryptografii. Jeśli traciłem to tylko przez swoje kiepskie decyzje, które nie miały nic wspólnego z systemami zabezpieczeń.
Czytałem kiedyś biografię znanego hakera. Okazuje się że wcale nie był geniuszem informatyki. Większość włamań dokonał za sprawą "inżynierii społecznej" czyli wyłudzenia danych od nieostrożnych osób. Ludzie piszą elaboraty o krypto zabezpieczeniach a potem puszczają bitki w giełdowym hazardzie lub u "pomocnej azjatki z facebooka". To MY jesteśmy najsłabszym ogniwem a nie portfele i systemy szyfrowania.

Zabezpieczyć się na wszelkie sposoby również przeciw takim zdarzeniom jak demencja, przyłożenie mi pistoletu do głowy

Akurat demencja zabezpiecza przed "przyłożeniem pistoletu do głowy"

[Yogi77]

Do szyfrowania pojedynczych plikow najlepiej uzyc GPG, do transparentnego szyfrowania calych partycji najlepszy jest Linux + LUKS

Ja bym jednak polecał Veracrypt, z uwagi choćby na to:

LUKS uses single-layer AES-256 encryption.

VeraCrypt can use AES-256, as well as various combinations up to triple-layer Serpent(Twofish(AES)) or AES(Twofish(Serpent)) encryption.

A number of industry standard papers have cited multiple layers of cascading encryption, when done correctly, does make decryption much more difficult.

A także ze względu na uniwersalność - archiwum VC można odczytać na różnych systemach, oraz feature w postaci "hidden volume".

LUKS to standard w Linuxie. Ja wszystko szyfruje i nawet tego nie zauwazam. Caly system mam zaszyfrowany non stop

LUKS korzysta z modulu jadra Linuxa dm-crypt:

https://pl.wikipedia.org/wiki/Dm-crypt

co powoduje ze w ogole jest nieodczuwalne, ze wszystko jest caly czas zapisywane na dysk w postaci szyfrowanej

VeraCrypt nie jest tak dobrze zintegrowany z system, uzywalem kiedys na Windowsie i zauwazalnie spowalnia prace systemu

Ostatecznie dla Windowsa mam dysk zabezpieczony sprzetowo i to jedyne zabezpieczenie - i tak malo co uzywam