Wie speichert man seine Bitcoins sicher? Spätestens wenn man mehrere Bitcoins hat, sollte man sich diese Frage stellen. Das tschechische Unternehmen SatoshiLabs hat mit der Hardware-Wallet TREZOR ein kleines Stück Technik herausgebracht, das besorgten Bitcoin-Haltern einen ruhigen Schlaf verspricht.
Der TREZOR ist etwa 6 Zentimeter lang und 3 Zentimeter breit. Das kleine Gerät hat ein zwei-Farben-Display, zwei Knöpfe und einen Anschluss für ein Kabel zum USB-Port des Rechners. Dieses kleine Ding soll also Bitcoins absolut sicher speichern.
Das Prinzip ist relativ einfach: Wenn man nur mit dem privaten Schlüssel Bitcoins versenden kann, dann sollte dieser private Schlüssel am besten keinen Kontakt zum Internet haben. Denn nur Schlüssel, die das Netz berühren, können von Hackern abgefangen werden. Der TREZOR speichert nun also die privaten Schlüssel in einer vom Netz getrennten Umgebung und signiert mit ihnen Transaktionen.
In der Praxis läuft das so ab: TREZOR bestellen, TREZOR an den USB-Port anschließen, Software auf mytrezor.com runterladen und bei mytrezor eine Wallet eröffnen. Dazu muss man zunächst einen SEED aus 24 englischen Wörtern aufschreiben, der nur im TREZOR gebaut und dort auf dem Display angezeigt wird. Da man für jedes einzelne Wort bestätigen muss, dass man es korrekt aufgeschrieben hat, kann das einige Minuten dauern.
Danach wählt man noch eine PIN. Für diese hat sich SatoshiLabs etwas Besonderes einfallen lassen: Die Zahlen für die PIN (1-9) werden auf dem Display des TREZOR in einer jedesmal neu ausgewürfelten Reihenfolge angezeigt. Auf der Webseite mytrezor werden dann nur die Felder, aber keine Ziffern dargestellt. So kann ein Hacker selbst mit einem Keylogger nicht herausfinden, wie die PIN für den TREZOR ist.
Anschließend benutzt man die Wallet auf mytrezor, um Transaktionen zu erstellen, die dann vom TREZOR offline signiert werden. Die Wallet ist relativ funktional und schlicht, hat aber alles, was man braucht: man kann Transaktionen senden, neue Adressen nach Belieben bilden und auch mehrere Sender einstellen. Sehr hübsch ist auch die Funktion, eine Art Tasche in der Wallet zu verstecken. Solange der TREZOR nicht angeschlossen ist, ist die Wallet eine Watch-Only-Wallet zum Empfangen von Transaktionen und zum Überprüfen des Kontostandes. Sehr praktisch.
Viele Apps für den TREZOR
Mittlerweile gibt es für das kleine TREZOR-Gerät zahlreiche Apps. Mehrere Wallets und Zahlungsdienstleister unterstützen den TREZOR und einige Webseiten nutzen ihn bereits für ein sicheres Login. So kann man sich etwa bei Coinmap und Osclass mit dem TREZOR einloggen, es gibt eine Chrome-App für den TREZOR, man kann mit ihm auch Wallets wie Multibit, Electrum, Mycelium, Coinprism und Encompass sichern und sich bei Zahlungsdienstleistern wie Cashila, Coinsimple und Coinpayments einloggen.
Am interessantesten war für mich die Option, eine andere Wallet mit dem TREZOR zu verbinden. Leider scheint der TREZOR-Support für Electrum nicht zu funktionieren, wenn man die Windows-Startdatei benutzt. Wer ein wenig Python kann, kommt wohl sehr gut um diesen Fehler herum. Bei Coinprism, einer Online-Wallet, mit der man auch Colored Coins herausgeben kann, hat das Erstellen einer TREZOR-Wallet leider gar nicht funktioniert. Lediglich bei Multibit HD habe ich es geschafft, eine TREZOR-Wallet zu bilden. Seitdem kann ich über Multibit die Wallet verwalten, für die der TREZOR die privaten Schlüssel speichert.
Im Prinzip kann mit einem Gerät wie dem TREZOR jede Online-Wallet sicher sein. Indem die Betreiber von Online-Wallets die Sicherheit der Schlüsselverwaltung einfach auf den TREZOR auslagern, können sie sich nach Herzen und ohne den Ballast der sicheren Umgebung der Gestaltung einer benutzerfreundlichen Wallet widmen. Oder, anders gesagt: Für den Nutzer kann die Sicherheit einer Wallet, sofern sie TREZOR unterstützt, zweitrangig sein.
Auch als Hardware für Logins kann der TREZOR mit der Erzeugung von PINs und Schlüsseln dienen. Allerdings unterstützen bislang nur wenige Webseiten dieses Login, und die Umsetzung erschien mir bei meinen Versuchen nicht immer flüssig.
Performance und Stabilität
Ein Tresor muss, wie jeder weiß, aus Stahl sein. Der TREZOR ist aus Hartplastik, eine eiserne Version gab es wohl mal, aber sie ist nicht mehr im Programm. An sich wirkt das Gerät recht passabel verarbeitet. Es wird kaum kaputtgehen, wenn es auf den Boden fällt, zumal es recht leicht ist. SatoshiLabs empfiehlt den Nutzern, den TREZOR nicht Temperaturen von unter -20 und über +60 Grad Celsius auszusetzen und ihn nicht ins Wasser zu werfen – obwohl der TEZOR hitze-, kälte- und wasserfest sei. Man kann ihn auf jeden Fall von einigen Metern Höhe auf den Boden werfen, man kann auf ihn drauftreten, und man kann ein Feuerzeug einige Sekunden unter ihn halten – ohne dass es dem TREZOR etwas ausmacht.
Der TREZOR nach einigen Tests – bis auf leichte Spuren hat er das Herumwerfen, Drauftrampeln und leichtes Ankockeln gut überstanden.
Selbst wenn man den TREZOR verliert, sind die Bitcoins damit noch nicht gestorben. Mit dem Seed aus 20 Wörtern (und einem neuen TREZOR oder auch einer Python-Version von Electrum) kann man die Wallet bergen. Wenn jedoch der TREZOR und der Seed weg ist, gibt es für die Bitcoins keine Hoffnung mehr.
Auch der Diebstahl eines TREZORs ist nicht weiter schlimm – gibt es doch einen PIN-Code, den der Dieb nicht hat. Wenn man einen falschen PIN eingibt, muss man ein wenig warten, bis man einen neuen PIN eingeben darf. Bei jedem Missversuch verdoppelt sich die Wartezeit. Allein 30 PINs einzugeben würde so 17 Jahre dauern.
Da verschiedene Wallets den TREZOR unterstützen, dürfte das Gerät auch dann noch funktionieren, wenn Satoshi-Labs und damit auch mytrezor schließt.
All dies verleiht dem TREZOR ein Maß an Sicherheit, das bei gleichbleibendem Komfort nur schwer zu überbieten ist. Und wenn einmal die Apps für den TREZOR durchstarten, wird das Gerätchen zum sicheren Internet in der Hosentasche. Wer mit dem Gedanken spielt, einen TREZOR zu bestellen, kann dafür gerne den Affiliate-Link des Bitcoinblogs benutzen.

