Die sogenannte „Brain Wallets“ gelten für die Aufbewahrung von Bitcoin als sicher. Allerdings haben die Untersuchungen von BitMEX Research Schwächen bei der Sicherheit der „Brain Wallets“ ergeben.

Das Fazit ist, dass das Ableiten privater Schlüssel aus gehashten Phrasen unter Verwendung populärkultureller Referenzen nicht für die sichere Speicherung geeignet ist. Die Forscher testeten Phrasen aus dem Bitcoin-Whitepaper, klassischen Literatur und beliebten Songtexten.

Popkultur „Brain Wallets“ in Sekunden weggefegt

Eine viel gepriesene Vorteile von Bitcoin ist, dass BTC nicht konfisziert werden kann. Diejenigen, die sich für die digitale Währung einsetzen, behaupten oft, dass ein BTC-Halter mit gesundem Menschenverstand das Halten der Coins verschleiern können.

Das einfache Erinnern an einen privaten Schlüssel, eine pneumatische Keimphrase oder Daten, um einen privaten Schlüssel allein im Kopf abzuleiten, wird als „Brain Wallet“ bezeichnet. Viele Bitcoin-Befürworter begründen, dass eine solche Speichermethode schutzbedürftigen Menschen auf der ganzen Welt – insbesondere Flüchtlingen – finanzielle Sicherheit bieten kann.

Das Problem ist jedoch, dass ein privater Schlüssel nicht das ist, woran sich Menschen gut erinnern können. Eine Startphrase (Liste mit 12 oder 24 zufälligen Wörtern) ist etwas einfacher, aber immer noch nicht perfekt. Das Niederschreiben des Keys ermöglicht eben auch den Fremdzugriff auf die Gelder.

Eine mögliche Lösung besteht darin, einen privaten Schlüssel aus vorhandenem Text abzuleiten. Ein Lieblingslied oder die ersten Worte des Lieblingsromans können in Verbindung mit SHA-256 bieten auf den ersten Blick einen starken privaten Schlüssel.

Wenn eine Person BTC verwenden möchte, kann sie den Text erneut hashen, ihren privaten Schlüssel finden und eine Transaktion durchführen. Eine BitMEX-Studie hat jedoch gezeigt, dass so gebildete private Schlüssel tatsächlich unglaublich schwach sind.

In einem Fall dauerte es ungefähr zwei Drittel einer Sekunde, um Geld aus einer „Brain Wallet“ mit einem Key, abgeleitet aus einem populären fiktionalen Roman, zu stehlen.

Ziel der Hacker: Popkultur-Hinweise

Die BitMEX-Forschungsstudie umfasste die Erstellung von acht privaten Bitcoin-Schlüsseln. Jeder verwendete den Hash einer populären Kulturreferenz, um zu seinem privaten Schlüssel zu gelangen. Der Forscher formte die Wallet mit Hashes von Moby Dick von Herman Melville, den Chortexten zu Bob Dylans „Blowin ‘in the Wind“, einer Passage aus der Bibel und sogar einem Zitat aus dem BTC-Whitepaper.

Jede der Wallet enthielt für den Sicherheitstest 0,005 BTC. Allerdings währte die Sicherheit nicht lange. Der schwächste der privaten Schlüssel wurde vom Anfang von Moby Dick abgeleitet. Der Hash der berühmten Eröffnungszeile „Call me Ishmael“ dauerte nur 0,67 Sekunden. Hacker leerten zwei weitere Wallets, bevor die Blockchain die Einzahlungstransaktion überhaupt bestätigte. Das Entleeren der restlichen fünf Wallets dauerte weniger als einen Tag.

Die Analyse ergab, dass für die Transaktionen überdurschnittlich hohe Gebühren anfielen. Die Forscher vermuten, dass hie die Hacker dahinterstecken. Diese könnten die Gebühren erhöht haben, um das Hacken der Transaktion zu vereinfachen. Die Geschwindigkeit, mit der die Gelder aus den „Brain Wallet“ verschwanden, lässt darauf schließen, dass Server das Netzwerk ständig nach schwachen Wallets durchsuchen.

Dabei stützen sich die Hacker möglicherweise auf eine umfangreiche Liste privater Schlüssel in Bezug auf eine Popkultur-Datenbank. Die Software der Hacker testet diese Phrasen an Wallets, die im Bitcoin-Transaktionsspeicherpool auftauchen.

Sind Brain Wallets nutzlos?

Die BitMEX-Studie kommt zu dem Schluss, dass die Verwendung von unverändertem Text aus der Populärkultur eine sehr schlechte Methode zur Generierung eines privaten Schlüssels ist. Allerdings haben die Forscher auch überraschende Einsichten über Wallets mit Schlüsseln aus Bestseller-Romanen. Diese Wallets blieben auch mehr als ein Jahr nach der Erstellung unberührt.

Die Forscher verwendeten unveränderte Texte aus Büchern. Dies erhöhte zwar die Sicherheit der Wallets, stellt aber immer noch keine absolut lückenhafte Absicherung dar.

Die Einführung zusätzlicher Zufälligkeit kann jedoch die Schaffung einer sicheren „Brain Wallet“ ermöglichen, die aus Referenzen der Popkultur abgeleitet wird, wenn sie von jemandem eingesetzt wird, der die Vorgehensweise von Hackern genau kennt.

Kombinationen von Textquellen, die mit persönlichen Daten wie Geburtsdaten und zusätzlichen zufälligen Zeichen verwendet werden, können die Sicherheit erhöhen.

Die Forscher kommt zu dem Schluss:

… Wenn Sie eine Brain Wallet verwenden müssen, die auf den Daten in diesem Bericht basiert, wählen Sie nichts Einfaches oder Poetisches. Ich habe es auf die harte Tour herausgefunden.

Auf Englisch geschrieben von Rick Delaney, übersetzt von Markus Wald.