Jeder, der eine nicht unerhebliche Menge an Bitcoin besitzt, sollte Multisignatursicherheit in Betracht ziehen, einschließlich der Frage, wie potenzielle Angriffe abgeschwächt werden können.
Dies ist ein Meinungsleitartikel von Anant Tapadia, einem Computeringenieur und Mitwirkenden an Bitcoin-Selbstverwahrungsprojekten Bitcoin-Keeper Und Hexa-Wallet.
Multisignatursicherheit oder „Multisig“ bietet andere Sicherheitsgarantien als Single-Signatur-Lösungen (Singlesig). Während ich glaube, dass Singlesig eine großartige Form der Verwahrung ist, wenn man gerade erst mit Bitcoin beginnt oder kleine Beträge verwaltet, sollte meiner Meinung nach jeder, der langfristig eine nicht triviale Menge an Bitcoin hält, eine Multisig-Option in Betracht ziehen.
</figure><h2>Multisig definieren</h2><figure>
<img src="https://news-krypto.de/wp-content/uploads/2023/02/1675690142_757_Warum-Multisig-fuer-jeden-der-an-Bitcoin-glaubt-unerlaesslich-ist.png" height="311" width="620">
<figcaption><em>Ein Drei-aus-Fünf-Multisig mit Beispiel-Signaturgeräten, verwaltet von einer koordinierenden Software</em><br></figcaption>
</figure><p>Es ist unbedingt erforderlich zu verstehen, was wir mit „Brieftasche“ meinen, bevor ich mich für einen Typ gegen einen anderen ausspreche. Eine Multisig-Wallet wird in Apps wie Bitcoin Keeper und Blue Wallet als „Tresor“ bezeichnet, während einige sie auch als „Koordinator“ oder „koordinierende Software“ bezeichnen. Es ist im Grunde eine Brieftasche, die mit mehreren Signiergeräten kommunizieren und zwischen ihnen das Signieren von Transaktionen koordinieren kann (im Allgemeinen im PSBT-Format). Im Vergleich dazu spricht ein Singlesig-Wallet nur mit einem Unterzeichner. Die Singlesig-Wallet ist oft auch der Unterzeichner, was bedeutet, dass die Schlüssel heiß sind.
Die Angriffsfläche, die durch eine Singlesig-Wallet und einen Tresor freigelegt wird, ist also ähnlich, da beide ähnliche Rollen haben. Ein Signiergerät in beiden Fällen erhöht die Sicherheit und führt neue Angriffsflächen ein.
Ein Multisig wird oft als „m-of-n“ bezeichnet. wo Sie „m Schlüssel aus n“ benötigen, um eine Transaktion zu signieren. Ein Ausgabedeskriptor oder Bitcoin Secure Multisig Setup (BSMS) ist ein Format, das verwendet wird, um die Konfiguration einer Multisig zu definieren. Dies kann verwendet werden, um Ihr Setup auf anderen Koordinatoren nachzubilden oder die Multisig mit den Signiergeräten zu registrieren.
Überlegungen zur Bitcoin-Verwahrung
</figure><h3>Vertrauen minimieren </h3><p>Die offensichtlichen Vorteile mehrerer Unterzeichner bestehen darin, einzelne Fehlerquellen zu reduzieren und die Redundanz in Ihrem Setup zu erhöhen. Anhand der unten aufgeführten häufigen Beispiele für Angriffe auf Multisig werde ich erklären, warum diese Angriffe auch bei Singlesig-Verwahrung anwendbar sind. Mit Multisig können Sie jedoch das Vertrauen in eine einzelne Entität minimieren, da mehrere Entitäten beteiligt sind.</p><h3>Operativer Aufwand </h3><p>Das Einrichten und Verwenden von Multisig kann betrieblich zeitaufwändiger sein und mehr Fallstricke beinhalten, wenn es nicht richtig durchgeführt wird. Daher empfehle ich, dass Benutzer Multisig nur für langfristiges HODLing in Betracht ziehen, bei dem keine regelmäßigen Transaktionen erwartet werden.</p><h3>Einrichtungskosten </h3><p>Ein robustes Multisig von mehreren Anbietern (z. B. eines mit Drei-von-Fünf-Verwahrung) kann für irgendwo zwischen 250 und 600 US-Dollar erzielt werden. Wenn Sie also etwa 0,5 BTC (etwa 11.000 US-Dollar zum Zeitpunkt des Schreibens dieses Artikels) haben, ist es keine schlechte Idee, weniger als 10 % für die Sicherung auszugeben, da der Wert dieses Bitcoins sehr schnell steigen kann.
Auch die Kosten für Signiergeräte sinken, zB Tapsigner von Coinkite. Außerdem erhalten Sie durch die Verwendung nicht hardwarebasierter Softkeys kostenlose Optionen, aber es wird nicht empfohlen, diese für mehr als eine Taste in einem Multisig-Setup zu verwenden.
Abwehr häufiger Angriffe
Ich werde nun einige Angriffe betrachten, die passieren können, wenn ein Custody Key Coordinator versucht, böswillig zu handeln. Dann werde ich erklären, inwiefern sich dies nicht von den Bedrohungen in einem Singlesig-Setup unterscheidet und was Multisig-Wallets tun können, um diese Risiken zu mindern. Die letztendliche Verantwortung liegt zwangsläufig beim Benutzer, um sicherzustellen, dass er die richtigen Schritte unternimmt, wie unten vorgeschlagen.
Die falsche Empfangsadresse
Der direkteste Angriff, den ich skizziere, ist einer, bei dem der Benutzer versucht, Geld zu erhalten, und die Koordinator-App stattdessen die Adresse eines Angreifers anzeigt. In solchen Szenarien könnte die Software immer noch zeigen, dass das Geld dort angekommen ist, wo der Benutzer es beabsichtigt hat. Dieser Angriff ist theoretisch mit jedem Singlesig-Wallet möglich, da sich der Benutzer darauf verlässt, dass das Wallet eine Adresse für ihn generiert. Es gibt keine Möglichkeit, Adressen manuell aus Ihrem Wiederherstellungssatz mit 12 oder 24 Wörtern abzuleiten.
<figcaption><em>Ein SeedSigner, der eine Bitcoin-Empfangsadresse in QR-Form anzeigt </em><br></figcaption>
</figure><p>Im Fall einer Multisig-Wallet kann dies abgemildert werden, indem die Adresse auf den Signaturgeräten überprüft wird, auf denen die Multisig registriert wurde. Sie könnten auch eine andere Koordinierungssoftware verwenden, dieselbe Konfiguration importieren und die Adresse auf diese Weise überprüfen. </p><h3>Ersetzen der Sendeadresse </h3><p>Wie im vorherigen Angriffsszenario kann ein Multisig-Koordinator die Adresse ersetzen, an die Sie versuchen, Geld zu senden, während Sie das PSBT erstellen. Bei einem normalen Singlesig-Wallet wird die Situation nicht anders sein.</p><figure>
<img src="https://news-krypto.de/wp-content/uploads/2023/02/1675690143_11_Warum-Multisig-fuer-jeden-der-an-Bitcoin-glaubt-unerlaesslich-ist.png" height="265" width="620">
<figcaption><em>Ein Ledger, das eine Sendeadresse zur Bestätigung anzeigt </em><br></figcaption>
</figure><p>Um dieses Risiko zu mindern, wird dem Benutzer immer empfohlen, die Adresse auf den Signiergeräten zu überprüfen. Da die Signiergeräte die Transaktion signieren, die die Adresse des Empfängers (im PSBT-Format) enthält, wird die signierte Adresse angezeigt. Sofern es keine Absprachen zwischen der Koordinator-App und den Signiergeräten gibt, ist dies eine hervorragende Möglichkeit, das Vertrauen in eines von ihnen zu minimieren. </p><h3>Ändern der Änderungsadresse </h3><p>Ein weniger offensichtlicher Angriff ist einer, bei dem eine Koordinator-App die Änderungsadresse in Ihrer Transaktion ersetzt. Das bedeutet, dass die Änderung der Transaktion an die Adresse eines Angreifers geht. Im Gegensatz zur Sendeadresse kann der Benutzer beim Senden von Geldern nicht nach der Änderungsadresse suchen, wodurch dieser Angriff weniger offensichtlich wird. Auch hier gibt es keinen Unterschied, wenn es um eine Singlesig-Lösung geht.</p><figure>
<img src="https://news-krypto.de/wp-content/uploads/2023/02/1675690143_48_Warum-Multisig-fuer-jeden-der-an-Bitcoin-glaubt-unerlaesslich-ist.png" height="949" width="620">
<figcaption><em>Eine Coldcard kann eine Multisig registrieren und die Details zur Überprüfung speichern </em><br></figcaption>
</figure><p>Hier ist die Registrierung von Multisig auf Signiergeräten dringend erforderlich. Wenn die Registrierung erfolgt ist, wird das Signiergerät die Transaktion nicht signieren, wenn es die Änderungsadresse nicht identifiziert.</p><h3>Änderung der Registrierung </h3><p>Da der Koordinator auch den Registrierungsschritt koordiniert, kann ein anderer Multisig registriert werden, sodass der Angreifer „n“ oder mehr Schlüssel kontrolliert. In diesem Fall kann das Signiergerät die Empfangsadresse nicht identifizieren oder die Adresse korrekt ändern. Der Benutzer sieht die gleiche Empfangsadresse (die des Angreifers) auch auf dem Signiergerät, und die Änderungsadresse wird vom Signiergerät als richtig weitergegeben, da es keine Möglichkeit hat zu bestätigen, ob die anderen Mitunterzeichner geändert wurden oder nicht. </p><figure>
<img src="https://news-krypto.de/wp-content/uploads/2023/02/1675690143_981_Warum-Multisig-fuer-jeden-der-an-Bitcoin-glaubt-unerlaesslich-ist.png" height="304" width="620">
<figcaption><em>Ein Drei-von-Fünf-Multisig mit Beispiel-Signaturgeräten, wobei drei Multisig-Registrierungen enthalten </em><br></figcaption>
</figure><p>Es wird daher empfohlen, dass in Ihrem Setup „n“ registrierte Geräte vorhanden sind. Darüber hinaus bestätigen Sie die Einrichtungsdetails auf all diesen Geräten während der Registrierung. Eine andere Möglichkeit, die ordnungsgemäße Registrierung zu überprüfen, besteht darin, dasselbe Multisig auf einer anderen Koordinatorsoftware einzurichten und zu prüfen, ob es die genauen Details anzeigt.
Sie könnten also eine Multisig mit einem Registertresor-Signaturgerät und zwei blinden Unterzeichnern haben. Wiederholen Sie den gleichen Vorgang mit einem anderen Koordinator. Überprüfen Sie nun die Konfiguration sowohl auf den Koordinatoren als auch auf dem Multisig-registrierenden Signiergerät. Sie können dem Mix weitere Koordinatoren hinzufügen, um Absprachen auszuschließen.
Lösegeldangriff
Diese Art von Angriff ähnelt der obigen, aber der Angreifer kontrolliert weniger als „n“ Schlüssel, sodass er die Gelder nicht kontrollieren kann. Aber in einer Situation, in der Sie einige der Schlüssel verlieren, kann der Angreifer Sie für Lösegeld halten, da Sie jetzt nicht über das erforderliche Mindestquorum verfügen. Dieser Angriff kann auch durch Einfügen eines Schlüssels durchgeführt werden, wobei dem Setup zusätzliche Mitunterzeichner hinzugefügt werden. Dies hat den gleichen Effekt wie das Ersetzen einiger Mitunterzeichner.
<figcaption><em>Ein Foundation Devices Passport, der die Multisig-Registrierung bestätigt </em><br></figcaption>
</figure><p>Auch hier verringert die Überprüfung der Mitunterzeichnerdetails bei mehreren Koordinatoren, die eine Registrierung benötigen, die Wahrscheinlichkeit dieser Angriffe.</p><h2>Nutzung der Multisig-Verwahrung für Ihr Bitcoin</h2><p>Um es noch einmal zu wiederholen: Ein Mindestquorum an Multisig-registrierten Signiergeräten zu haben und Transaktionsdetails zu überprüfen (wenn Sie sie machen müssen), wäre eine gute Faustregel bei der Verwendung von Multisig.
Überprüfen Sie bei der Suche nach Adressen oder Einrichtungsdetails des Tresors nicht nur den Anfang und das Ende der Zeichenfolge, da der Angreifer möglicherweise eine ähnlich aussehende Zeichenfolge hat.
Für einige ist es auch eine gute Idee zu überprüfen, ob die Sorgerechts-App Open Source ist, und ihren Code zu überprüfen (wenn möglich). Die Unterstützung gängiger Standards wie BSMS und PSBT stellt sicher, dass die Multisig-Einrichtung oder -Transaktion zur Verifizierung auf andere Apps portiert werden kann.
Ich glaube auch, dass man beim Testen des Setups nie etwas falsch machen kann. Sobald Sie Ihr Multisig bereit haben, duplizieren Sie das Setup auf mehr Koordinatoren. Erhalten Sie einen kleinen Betrag mit einer App und senden Sie einen Teil davon mit einer anderen. Überprüfen Sie nach jedem Schritt, ob die Salden bei allen Koordinatoren angemessen wiedergegeben werden.
<figcaption><em>Duplizieren eines Multisig-Setups auf einer anderen koordinierenden Software </em><br></figcaption>
</figure><p>Literaturhinweise und weiterführende Literatur:</p><ul><li>„10x Sicherheits-Bitcoin-Leitfaden“</li><li>„Wie fast alle persönlichen Hardware-Wallet-Multisig-Setups unsicher sind“</li></ul><p><em>Dies ist ein Gastbeitrag von Anant Tapadia. Die geäußerten Meinungen sind ausschließlich ihre eigenen und spiegeln nicht unbedingt die von BTC Inc oder Bitcoin Magazine wider.</em></p><script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>
