Is the Specter DIY safe? Potential safety risks and how to eliminate them

Specter DIY ist ein weit verbreitetes Open-Source Hardware-Wallet, das es Nutzern erlaubt, ihre Bitcoin durch den Zusammenbau von Standardkomponenten sicher zu speichern. Doch wie sicher ist Specter DIY tatsächlich? In diesem Beitrag analysieren wir die Sicherheitsfunktionen des Specter DIY eingehend und beleuchten potenzielle Schwachstellen.

Air-gap technology and communication via QR codes

One of the most important security features of the Specter DIY is its air-gap technology. This means the device is not connected to the internet, preventing network attacks. Data flows between the wallet and the blockchain via QR codes. This type of unidirectional communication minimizes the risk of malware being transferred to the device. Since no wired connections are required, the device remains completely isolated.

Weaknesses in QR communication

Although QR codes are considered secure, there is a theoretical risk that malicious software on a device connected to the wallet could generate fake QR codes. A user could unknowingly scan a compromised QR code containing fake transactions or addresses. However, this risk can be mitigated by additional security checks on the Spectre DIY's user interface, which are displayed before transaction confirmation.

Seeding: Random algorithms and user control

Eine weitere Kernfunktion von Specter DIY ist die Möglichkeit, den Seed (die 12 oder 24 Wörter, die zur Wiederherstellung eines Wallets erforderlich sind) ohne vertrauenswürdige Zufallsalgorithmen zu erstellen. Dies reduziert das Risiko von Manipulationen durch bösartige Zufallszahlengeneratoren. Automatisch werden die Touchscreen-Interaktionen zur Seed-Erzeugung verwenden, zusätzlich mit einem echten Zufallsgenerator. Zudem kann spielerisch einfach Real Life Zufall transparent in die Seed-Generation mit eingemischt werden.

Firmware security and open development

Da Specter DIY der vollständig Open Source ist, kann jeder den Code überprüfen. Dies stellt sicher, dass keine versteckten Backdoors oder Schwachstellen im Code vorhanden sind. . Ein entscheidender Aspekt ist allerdings, dass die Nutzer den Bootloader sowie die Firmware eigenständig aufspielen müssen, was ein Mindestmaß an technischem Know-how verlangt. Es wird empfohlen, die PGP-Signaturen der Firmware zu überprüfen, um sicherzustellen, dass die Firmware nicht manipuliert wurde​.

Attacks on the bootloader and firmware

Ein potenzielles Risiko während der Erstinstallation der Firmware besteht, wenn der Bootloader manuell installiert wird. Wenn die PGP-Signaturen nicht ordnungsgemäß überprüft werden, könnte ein Angreifer manipulierte Firmware installieren und somit das Hardware-Wallet kompromittieren. Obwohl die Wahrscheinlichkeit hierfür sehr gering ist, kann man dies verhindern, indem man die Signaturen prüft und die offizielle Software ausschließlich von GitHub herunterlädt. Bei jedem Upgrade wird die alte Version vollständig gelöscht. Zur Gewährleistung der Sicherheit sollte stets eine neue, im Idealfall verifizierte Software installiert werden.

Memory and PIN protection

Für die Verwaltung von Seeds und Schlüsseln stellt Specter DIY verschiedene Optionen zur Verfügung. Der reinste und sicherste Modus, der sogenannte „Signing Modus“, speichert keine privaten Schlüssel lokal auf dem Gerät. Daher ist bei jeder Nutzung die manuelle Eingabe der Seed-Phrase erforderlich.

Alternativ können die vertraulichen Daten im Flash-Speicher des Geräts hinterlegt werden, was jedoch das Risiko bei physischem Diebstahl erhöht.

Um unbefugten Zugriff zu verhindern, ist das Gerät durch eine PIN-Schutzfunktion gesichert. Eine zusätzliche Sicherheitsvorkehrung sieht vor, dass der Hauptschlüssel beim Sperren des Geräts gelöscht wird. Wird eine modifizierte Firmware zu installieren versucht, führt dies ebenfalls zur Löschung des Schlüssels. Der Nutzer erkennt dies an den sich ändernden Wörtern für die PIN-Authentifizierung.

Physical attacks and supply chain attacks

Because Specter DIY is built from off-the-shelf components, this minimizes the risk of supply chain attacks, where malicious hardware could be embedded into the device. Users can purchase the components from trusted sources and assemble the device themselves. This provides a high level of security, as it's impossible to tamper with the hardware without the user's knowledge.

Wenn wir denn Specter DIY versenden, versenden wir ihn immer in einer Debasafe security bag, which rules out a supply chain attack.

Attacks on physical memory

If an attacker physically accesses the device, they could attempt to extract the seed or PIN stored on the device. However, this is only possible if the user saves the seed on the device. This is not the case in sign-only mode, as no sensitive data is permanently stored.

Additional security features

We have a whole page with all the security features of the Specter DIY. You can find it here.

Conclusion: Is the Specter DIY safe?

Specter DIY offers a robust security architecture that leverages air-gap technology, QR code communication, and open, verifiable firmware. Attack vectors such as malicious QR codes, improper firmware installations, or physical attacks can be minimized through best security practices. For tech-savvy users who want complete control over their hardware and software, Specter DIY represents one of the most secure options on the market.