Ist der Specter DIY sicher? Mögliche Sicherheitsrisiken und wie man diese beseitigt

Specter DIY ist ein weit verbreitetes Open-Source Hardware-Wallet, das es Nutzern erlaubt, ihre Bitcoin durch den Zusammenbau von Standardkomponenten sicher zu speichern. Doch wie sicher ist Specter DIY tatsächlich? In diesem Beitrag analysieren wir die Sicherheitsfunktionen des Specter DIY eingehend und beleuchten potenzielle Schwachstellen.

Air-Gap-Technologie und Kommunikation über QR-Codes

Eine der wichtigsten Sicherheitsfunktionen des Specter DIY ist die Air-Gap-Technologie. Dies bedeutet, dass das Gerät nicht mit dem Internet verbunden ist und somit keine Netzwerkangriffe möglich sind. Der Datenfluss zwischen dem Wallet und der Blockchain erfolgt über QR-Codes. Diese Art der unidirektionalen Kommunikation minimiert das Risiko, dass Malware auf das Gerät übertragen wird​. Da keine Kabelverbindungen erforderlich sind, bleibt das Gerät vollständig isoliert.

Schwachstellen bei der QR-Kommunikation

Obwohl QR-Codes als sicher gelten, besteht theoretisch das Risiko, dass eine bösartige Software auf einem mit dem Wallet verbundenen Gerät gefälschte QR-Codes generiert. Ein Benutzer könnte unbewusst einen kompromittierten QR-Code scannen, der gefälschte Transaktionen oder Adressen enthält. Dies lässt sich jedoch durch zusätzliche Sicherheitsprüfungen auf der Benutzeroberfläche des Specter DIYs minimieren, die vor der Transaktionsbestätigung angezeigt werden

Seederstellung: Zufallsalgorithmen und Benutzerkontrolle

Eine weitere Kernfunktion von Specter DIY ist die Möglichkeit, den Seed (die 12 oder 24 Wörter, die zur Wiederherstellung eines Wallets erforderlich sind) ohne vertrauenswürdige Zufallsalgorithmen zu erstellen. Dies reduziert das Risiko von Manipulationen durch bösartige Zufallszahlengeneratoren. Automatisch werden die Touchscreen-Interaktionen zur Seed-Erzeugung verwenden, zusätzlich mit einem echten Zufallsgenerator. Zudem kann spielerisch einfach Real Life Zufall transparent in die Seed-Generation mit eingemischt werden.

Firmware-Sicherheit und offene Entwicklung

Da Specter DIY der vollständig Open Source ist, kann jeder den Code überprüfen. Dies stellt sicher, dass keine versteckten Backdoors oder Schwachstellen im Code vorhanden sind. . Ein entscheidender Aspekt ist allerdings, dass die Nutzer den Bootloader sowie die Firmware eigenständig aufspielen müssen, was ein Mindestmaß an technischem Know-how verlangt. Es wird empfohlen, die PGP-Signaturen der Firmware zu überprüfen, um sicherzustellen, dass die Firmware nicht manipuliert wurde​.

Angriffe auf den Bootloader und Firmware

Ein potenzielles Risiko während der Erstinstallation der Firmware besteht, wenn der Bootloader manuell installiert wird. Wenn die PGP-Signaturen nicht ordnungsgemäß überprüft werden, könnte ein Angreifer manipulierte Firmware installieren und somit das Hardware-Wallet kompromittieren. Obwohl die Wahrscheinlichkeit hierfür sehr gering ist, kann man dies verhindern, indem man die Signaturen prüft und die offizielle Software ausschließlich von GitHub herunterlädt. Bei jedem Upgrade wird die alte Version vollständig gelöscht. Zur Gewährleistung der Sicherheit sollte stets eine neue, im Idealfall verifizierte Software installiert werden.

Speicher und PIN-Schutz

Für die Verwaltung von Seeds und Schlüsseln stellt Specter DIY verschiedene Optionen zur Verfügung. Der reinste und sicherste Modus, der sogenannte „Signing Modus“, speichert keine privaten Schlüssel lokal auf dem Gerät. Daher ist bei jeder Nutzung die manuelle Eingabe der Seed-Phrase erforderlich.

Alternativ können die vertraulichen Daten im Flash-Speicher des Geräts hinterlegt werden, was jedoch das Risiko bei physischem Diebstahl erhöht.

Um unbefugten Zugriff zu verhindern, ist das Gerät durch eine PIN-Schutzfunktion gesichert. Eine zusätzliche Sicherheitsvorkehrung sieht vor, dass der Hauptschlüssel beim Sperren des Geräts gelöscht wird. Wird eine modifizierte Firmware zu installieren versucht, führt dies ebenfalls zur Löschung des Schlüssels. Der Nutzer erkennt dies an den sich ändernden Wörtern für die PIN-Authentifizierung.

Physische Angriffe und Supply Chain Angriffe

Da Specter DIY aus Standardkomponenten gebaut wird, minimiert dies das Risiko von „Supply Chain“-Angriffen, bei denen bösartige Hardware in das Gerät eingebaut werden könnte. Benutzer können die Komponenten von vertrauenswürdigen Quellen erwerben und das Gerät selbst zusammenbauen. Dies bietet ein hohes Maß an Sicherheit, da es unmöglich ist, die Hardware zu manipulieren, ohne dass der Benutzer dies bemerkt​.

Wenn wir denn Specter DIY versenden, versenden wir ihn immer in einer Debasafe Sicherheitstüte, was eine Supply Chain Attacke ausschließt.

Angriffe auf den physischen Speicher

Wenn ein Angreifer physisch auf das Gerät zugreift, könnte er versuchen, den auf dem Gerät gespeicherten Seed oder die PIN zu extrahieren. Dies ist jedoch nur möglich, wenn der Benutzer den Seed auf dem Gerät speichert. Im reiner Signiermodus ist dies nicht der Fall, da keine sensiblen Daten dauerhaft gespeichert werden.

Weitere Sicherheitsfeatures

Wir haben eine ganze Seite mit allen Sicherheitsfeatures vom Specter DIY. Die findest du hier.

Fazit: Ist der Specter DIY sicher?

Specter DIY bietet eine robuste Sicherheitsarchitektur, die auf Air-Gap-Technologie, QR-Code-Kommunikation und eine offene, überprüfbare Firmware setzt. Angriffsvektoren wie bösartige QR-Codes, unsachgemäße Firmware-Installationen oder physische Angriffe lassen sich durch bewährte Sicherheitspraktiken minimieren. Für technisch versierte Benutzer, die ihre Hardware und Software vollständig kontrollieren möchten, stellt Specter DIY eine der sichersten Optionen auf dem Markt dar.