ClavaStack

Menü
Menü

🌍Weltweiter Versand

Sicherheit auch für Paranoide

Specter DIY Sicherheit. Ohne Virus, Hacker und Internet. Airgapped Sicher und Transparent.

Das Specter DIY Hardware Wallet wurde im Jahr 2019 von Stepan Snigirev ins Leben gerufen, da die damals erhältlichen Geräte seinen strengen Sicherheitsansprüchen nicht genügten. Mit Specter entstand ein vollständig Open-Source Bitcoin-only Wallet, das von jedem selbst nachgebaut und dessen Code unabhängig überprüft werden konnte. Seitdem findet ein erheblicher Teil der Software auch im SeedSigner- sowie im Krux-Projekt Verwendung

Sicherheitsfunktionen

Sicherheit von Firmware und Software

Opensource

Die Firmware des Specter DIYs ist vollständig Opensource und frei für andere auch kommerzielle Projekte verwendbar. Ein großer Teil des Codes wird deswegen vom SeedSigner und Krux Projekt verwendet, was die Sicherheit und Robustheit des Codes unterstreicht.

Hier ist der gesamte Code

Reproduzierbare Builds

Don’t trust, verify! Die Firmware von Specter DIY ist vollständig reproduzierbar. Das bedeutet, dass jeder den Opensource-Code eigenständig kompilieren und sicherstellen kann, dass die erzeugte Software mit der offiziellen Version übereinstimmt. Detaillierte Anleitungen und zusätzliche Informationen zu den reproduzierbaren Builds sind auf dem offiziellen GitHub verfügbar.
 

Du kannst außerdem die Software selbst signieren und so sicherstellen, dass du die offizielle Version von Specter verwendest. Dies ist deutlich unkomplizierter, hier findest du eine Anleitung

Secure Boot

Die Firmware des Specter DIY wird ausschließlich von den offiziellen Entwicklern der Specter Association signiert. Bei jedem Update prüft das Gerät die digitale Signatur, um sicherzustellen, dass nur verifizierte und authentische Versionen installiert werden. Dadurch ist gewährleistet, dass keine kompromittierte oder manipulierte Software unbemerkt auf dein Gerät gelangt.

Anti-Phishing-Wörter

Beim ersten Start des Geräts wird auf dem Haupt-Mikrocontroller ein einzigartiges Geheimnis generiert. Dieses Geheimnis ermöglicht es dir zu überprüfen, ob das Gerät durch ein manipuliertes ersetzt wurde – wenn du deinen PIN-Code eingibst, wird dir eine Liste von Wörtern angezeigt, die immer gleich bleibt. Solange diese Wortliste gleich bleibt kannst du dir sicher sein, dass das Gerät in dieser Zeit nicht manipuliert wurde.

Seedphrase Verwaltung

Seed Verwahrung

Seedphrase auf dem internen Gerät-Speicher speichern (nicht empfohlen)

Dein PIN-Code und das einzigartige Geheimnis (vgl. Anti-Fishing Wörter) werden verwendet, um einen Entschlüsselungsschlüssel für deine Bitcoin Seedphrase zu generieren (falls du sie speicherst). Selbst wenn ein Angreifer den PIN-Bildschirm umgehen könnte, würde die Entschlüsselung trotzdem fehlschlagen.

Wenn du die Firmware gesperrt hast (eine Anleitung dazu folgt), wird auch das geheime Schlüsselmaterial effektiv gesperrt. Sollte ein Angreifer versuchen, eine andere Firmware auf das Gerät zu spielen, wird dieses Geheimnis gelöscht. Du erkennst dies daran, dass die Wortsequenz beim Eingeben des PIN-Codes abweicht. Diese Methode wird dennoch nicht empfohlen, da es theoretisch möglich ist, die Seedphrase mithilfe von Techniken wie Lasern oder Säure zu extrahieren.

Seedphrase außerhalb des Gerätes speichern: Temporary Seed

Deshalb wird die Bitcoin-Seedphrase normalerweise nur während der aktiven Nutzung im Arbeitsspeicher (RAM) gespeichert und beim Ausschalten des Geräts gelöscht. Die Seedphrase wird somit außerhalb des Specter DIY aufbewahrt. Üblicherweise werden die 12 bzw. 24 Seed-Wörter auf Papier notiert und bei der Verwendung des Geräts über den großen Touchscreen eingegeben, bequem als Seed-QR-Code eingescannt oder von einer SD-Karte importiert.

Empfehlung: Es sollten mehrere Kopien der Seedphrase erstellt und an verschiedenen sicheren Orten aufbewahrt werden. Es wird empfohlen, diese in manipulationssicheren Beuteln (Tamper Evident Bags) bzw. im Backup Stack zu lagern. Zusätzlich sollte eine Passphrase oder ein Multi-Signatur-Setup verwendet werden. Auf diese Weise lässt sich ein möglicher Diebstahl der Seedphrase erkennen und der Zugriff auf die Bitcoin durch die weiteren Backups und/oder die Passphrase verhindern.

Seed Verwahrung auf dem Secure Element der Smartcard

Der Specter Shield sowie der Specter Shield Lite bietet alle Funktionen des Specter DIY und zusätzlich eine Smartcard-Option. Damit kannst du die Bitcoin Seedphrase verschlüsselt auf dem Secure Element der austauschbaren Smartcard speichern. Damit ein potenzieller Dieb, auf die Bitcoin Seedphrase zugreifen kann, würde er drei verschiedene Geheimnisse benötigen: ein zufälliges Geheimnis auf dem Secure Element (Smartcard), ein zufälliges Geheimnis auf dem Mikrocontroller (Specter Shield) und ein von dir gewähltes Geheimnis, den Gerät-PIN. Hierbei wird wenn 10 falsche Gerät-PINs eingegeben werden, die Smartcard mit dem Secure Element unbrauchbar und diese Seedphrase kann nicht mehr vom Secure Element hergestellt werden. So wird das Brute-Forcing (mehrfaches raten) des PINS auf 10 Versuche limitiert. 

Wallet-Seed Erzeugung

Die Sicherheit des Specter DIY basiert auf einer robusten Generierung der privaten Seedphrase durch Kombination mehrerer Entropiequellen:

  1. Zufallsgenerator: Ein hardwarebasierter True-Random-Number-Generator (TRNG) auf dem Mikrocontroller erzeugt echte Zufallszahlen.
  2. Touchscreen-Interaktionen: Zeitpunkt und Position jeder Berührung des Touchscreens werden gemessen. Die daraus resultierende Entropie wird in einem Hash gesammelt und bei jeder weiteren Berührung aktualisiert.

Diese Quellen werden kombiniert und gehasht, um eine hochentropische Seedphrase zu erzeugen, die sicherer ist als jede einzelne Quelle allein.

Optional lässt sich auch noch spielerisch einfach und transparent Real Life Zufall in Form von Münzwürfen in die Seedphrase Generierung einmischen, wobei für jeden einzigen Bit eine Münze geworfen werden kann. 

Weitere Sicherheitsfunktionen

Nur Bitcoin und Liquid Unterstützung

Der Specter DIY kann nicht nur mit dem Bitcoin-Mainnet, sondern auch mit dem Liquid-Mainnet (einer Second-Layer-Lösung für Bitcoin) betrieben werden. Zusätzlich unterstützt er verschiedene Testnetzwerke: Testnet, Signet, Regtest, Liquid Testnet und Liquid Regtest. Da ausschließlich Bitcoin und keine Altcoins unterstützt werden, bleibt der Code schlank und reduziert damit mögliche Angriffsflächen. Die Netzwerke sind strikt voneinander getrennt – jedes Wallet ist stets einem bestimmten Netzwerk zugeordnet. Das bedeutet: Ein Wallet, das im Testnet importiert wurde, ist weder im Mainnet noch in Regtest verfügbar. Soll ein Wallet in einem anderen Netzwerk genutzt werden, muss zuerst zu diesem Netzwerk gewechselt und das Wallet dort separat importiert werden.

Sicheres Display

Der Specter DIY wurde für Szenarien entwickelt, in denen dein Computer möglicherweise kompromittiert ist und somit kein Vertrauen verdient. Über das große Touch-Display kannst du alle wichtigen Informationen – wie Transaktionen, Empfangsadressen, Gebühren und weitere Details – direkt und sicher überprüfen.

Regeln für Transaktionen, die Specter DIY signiert

  • Warnung bei gemischten Inputs: Werden Inputs aus verschiedenen Wallets in einer Transaktion erkannt, wird der Benutzer auf dem Display gewarnt. Dies schützt vor möglichen Angriffen, die auf Manipulationen abzielen.
  • Warnung bei ungewöhnlicher Change-Adresse: Erkennt der Specter DIY eine verdächtige oder ungewöhnliche Change-Adresse, wird der Benutzer deutlich auf dem Display gewarnt. Diese Prüfung erfolgt sowohl bei Single-Sig- als auch bei Multisig-Transaktionen, um maximale Sicherheit zu gewährleisten.
  • Change-Outputs: Change-Adressen (Rückgabe-Outputs) zeigen auf dem Display den Namen der Wallet, an die sie gesendet werden. Dies sorgt für volle Transparenz und Kontrolle.
  • Multisig- oder Miniscript-Nutzung: Um Multisig- oder Miniscript-Transaktionen zu verwenden, muss zunächst die entsprechende Wallet importiert werden. Dies geschieht durch Hinzufügen des Wallet-Deskriptors über QR-Code, USB oder SD-Karte.

Kommunikations-Möglichkeiten

Der Specter DIY bietet drei verschiedene Methoden, um mit der Companion-App auf dem internetverbundenen Gerät zu kommunizieren.

Air-Gapped

Zwei dieser Kommunikationsmethoden sind vollständig Air-Gapped, das heißt, es besteht keinerlei physische Verbindung zum anderen Gerät. Diese Art der Kommunikation ist zudem besonders transparent, da der Nutzer jederzeit genau nachvollziehen kann, welche Informationen übertragen werden.

per QR-Code (empfohlen)

Dies ist die sicherste Form der Kommunikation: Die Daten werden vollständig air-gapped und transparent über QR-Codes mit der Companion-App ausgetauscht. Für das Scannen der QR-Codes kommt ein separater Mikrocontroller zum Einsatz, sodass die Bildverarbeitung außerhalb des sicherheitskritischen Haupt-Mikrocontrollers erfolgt.

per SD-Karte (nicht empfohlen)

Auch die Kommunikation über die SD-Karte erfolgt Air-Gapped: Dabei wird die Karte zwischen dem Specter DIY und dem internetfähigen Gerät hin- und hergesteckt. Allerdings ist bietet diese Methode mehr Angriffsfläche, da der Datenaustausch direkt über den sicherheitskritischen Mikrocontroller erfolgt und somit eine größere Angriffsfläche bietet.

nicht Air-Gapped (nicht empfohlen)

Diese Kommunikationsweise ist nicht ganz so sicher, da die Kommunikation intransparenter ist. 

per Kabel (nicht empfohlen)

Die Kommunikation über Mini oder Micro USB Kabel ist, ebenfalls möglich. Dies ist sehr praktisch, aber weniger Transparent und nicht ganz so sicher wie per QR-Codes.

Privatsphäre-Funktionen

mehrere Accounts

Der Specter DIY ermöglicht die sichere Verwaltung mehrerer Accounts durch Speicherung ihrer xPubs auf dem Gerät. Wallet-Deskriptoren werden über QR-Code, USB oder SD-Karte importiert. Für Übersichtlichkeit können Accounts individuell benannt werden.

Coin Control

Mit dem Specter DIY kannst du problemlos für jede Transaktion genau auswählen, welche UTXOs du verwenden möchtest.

Hinweis

Der Specter DIY ist für selbstsouveräne Bitcoiner gebaut, die wissen oder lernen möchten, wie sie ihre Bitcoin sicher selbst verwahren können. Der Specter DIY bietet eine maximale Freiheit bei deiner Bitcoin Aufbewahrung und besitzt keine eingebaute „Kindersicherung“, deswegen unterstützt er auch manche Features, die unter der falschen Verwendung, keine maximale Sicherheit gewährleisten. Diese optionalen Features werden auf dieser Seite mit „nicht empfohlen“ gekennzeichnet.

Der Vollständigkeit halber findest du hier die Sicherheitsseite des Specter DIY GitHub. Auch wenn sich dort vieles wiederholt.

Seiten

Startseite

Specter DIY Funktionen

Specter DIY Sicherheit

Uncle Jim Wallet

Über uns

 

Produkte

Specter DIY

Specter Shield

Sicherheitsgespräch

Backup Stack

Sicherheitsbeutel

Richtlinien

Impressum

Datenschutzerklärung

Widerrufsbelehrung

AGB

Social Media
X-twitter Instagram Youtube
Newsletter

Abonnieren