Simsalabim! So einfach wird eine Abfolge von Wörtern zum Backup von Geld

Bitcoin macht es einfach, ein Backup von Geld zu machen. Wir erklären, wie man mit einer Passphrase Bitcoins speichert, tauchen ein bißchen tiefer in die Technik der hierarchischen deterministischen Wallets ein und bilden, um ganz sicher zu gehen, eine Passphrase offline und mit Hilfe von Würfeln.

Eines der häufigsten Missverständnisse um Bitcoin herum ist, dass man ein Software-Experte sein muss. Eine Menge Leute denken, dass sie dieses Bitcoin-Ding nicht verstehen, und sogar Bitcoin-Fans sagen Sachen wie „Wenn du kein Programmierer bist, ist es besser, du lässt deine Coins auf einer Wallet wie von Bitcoin.de oder von Coinbase, anstatt sie selbst zu verwalten. Das ist sicherer.“

Solche Iden hören sich vernünftig und verantwortungsbewusst an, so, wie man einem Kind sagt, es solle nicht die Straße überqueren, wenn kein Erwachsener dabei ist. Tatsächlich aber könnte kein Statement weniger wahr und „weniger Bitcoin“. Denn, erstens, wenn man einer dritten Partei vertrauen muss, um Geld zu managen, dann braucht man kein Bitcoin; wenn man schon jemandem vertrauen möchte, dann ist es besser, das ist die lokale Bank, anstatt ein Server, der aus dem nirgendwo heraus eine Bitcoin-Wallet betreibt. Außerdem macht es die moderne  Kryptographie zweitens schon längst möglich, Bitcoins überraschend einfach und ohne Hilfe von jemand anderem zu speichern. Falls es den einen, großen Grund gibt, von Bitcoin begeistert zu sein, dann ist es dieser: Jeder hat die volle Kontrolle über sein Geld.

In unserem kurzen Tutorial erklären wir, wir man eine Passphrase nutzt, um Bitcoins zu speichern. Wer fünf Minuten investiert, um den Guide zu lesen, und weitere fünf Minuten, um ihn umzusetzen, darf sich auf einen ruhigen Schlaf freuen, da er weiß, dass seine Bitcoins relativ sicher sind. Wer tiefer gehen will, sollte danach noch weiterlesen, wie die Technologie funktioniert und wie man eine Passphrase offline und mithilfe von Würfeln baut, um ganz sicher zu gehen.

Eine Satz, sie zu sichern, sie alle wiederherzustellen

Starten wir also mit dem nützlichen Teil: Wie kann man mithilfe einer Passphrase Bitcoins sichern und wiederherstellen?

Die meisten Wallets, die heute in Gebrauch sind, haben die Option, das Guthaben mit einer sogenannten Passphrase zu sichern. Eine Passphrase ist eine zufällige Abfolge von Wörtern, meistens 12, manchmal 18, manchmal 24 Wörter. Es sieht etwa so aus:

inspire october ten crop warfare wink game regular alley mimic anchor extra

Eine solche Kette von Wörtern ergibt keinen Sinn. Aber sie kann zur wertvollsten Komination von Wörtern in Ihrem Leben werden. In ihr steckt alles, was man braucht, um eine komplette Wallet wiederherzustellen.

Man kann eine solche Wortkette auf ein Stück Papier schreiben, das Papier in einen Tresor oder ein Schließfach stecken; den Satz in Stein meiseln oder in Metall gravieren; Gedächtniskünste nutzen, um ihn sich zu merken; ihn ins Testament schreiben. Wie auch immer: Wenn man die Phrase in irgendeiner Art gespeichert hat, kann man seine Festplatte formatieren, den Computer verbrennen, das Smartphone in den Mariannengraben werfen. Man wird in der Lage sein, die komplette Wallet wiederherzustellen, egal wie viele Adressen man mit ihr gebildet hat, um Bitcoins zu empfangen.

Ja: Wer die Gedächtniskunst so weit beherrscht, dass er 12 Wörter in sein Gehirn einbrennen kann, der kann durch die ganze Welt reisen, ohne eine Wallet, ohne Münzen, ohne Scheine, ohne einen Laptop, ohne USB-Stick – und er wird dennoch in der Lage sein, mithilfe von nicht mehr als einem Internetanschluss so viel Geld wie er möchte zu rekonstruieren, ohne von Geschäftszeiten, Banken oder sonst jemandem abhängig zu sein. Niemand kann das Geld stehlen, niemand kann einen daran hindern, es zu benutzen. Ist das nicht Magie? Man speichert Geld im Kopf, wortwörtlich.

Wie man ein Backup macht und einspielt

Die Anleitung, ein Backup zu machen, ist sehr kurz und einfach. Ladet eine Wallet herunter, die sogenannte „hierarchische deterministische Wallets“ unterstützt. Da so gut wie jede zeitgemäße Wallet das macht, ist die Liste von möglichen Wallets ziemlich lang und umfasst alle Systeme, sogar das Windows Phone. In alphabetischer Abfolge: Airbitz, Armory, Bither, BreadWallet, Coin.Space, Coinomi, CoPay, Electrum, Exodus, GreenAddress, Jaxx, Ledger, MultiBit, Mycelium, Simple Bitcoin Wallet, Trezor …

Die meisten dieser Wallets fordern einen sogar beim Eröffnen einer Wallet auf, die Passphrase niederzuschreiben; manche, wie Trezor oder GreenAddress, verlangen sogar, zu beweisen, dass man das gemacht hat. In einigen anderen muss man die Option suchen, „Backup Wallet“ oder so, und dann wird üblicherweise nach Eingabe des Passwortes eine Passphrase angezeigt. Wenn man nun die Passphrase abschreibt und speichert, und zwar auf eine Weise, dass sie niemand stehlen kann, also besser nicht in einem Cloud-Speicher, hat man das wichtigste erledigt: Man hat den Zaubersatz, mit dem man seine Bitcoins wieder herstellen kann.

Nun kommt aber der wichtigste und heikelste Teil: Wie kann man die Bitcoins wiederherstellen? Wenn die Festplatte crasht, das Smartphone unter die Räder eines Mähdreschers gerät – wie kann man mithilfe der Passphrase die Bitcoins retten? Dieser Teil der Geschichte ist am spannendsten, es ist der Teil, in dem man mit klopfendem Herzen eine Folge von Wörtern eingibt und gespannt wartet, wie die Wallet lädt. Das erste Mal, wenn man eine Wallet mit einer Passphrase auf einem anderen System rekonstruiert, vielleicht tausende von Kilometern weit weg von dem System, auf dem die eigentliche Wallet ist – dies ist einer der magischen Momente, in dem man begreift, was Bitcoin wirklich bedeutet. Man loggt sich nicht in einem Online-Banking-System ein und bitte die Bank, eine Überweisung vorzunehmen, sondern man rekonstruiert den Pfad, der in der dunklen Unendlichkeit der mathematischen Möglichkeiten zu den Bitcoins führt.

Die einfachste Antwort, wie man vorgeht, wenn man die Coins verloren hat, ist, dass man einfach dieselbe Wallet verwendet, mit der man die Passphrase generiert hat. Wenn ihr ein Backup mit Electrum gemacht habt, spielt es in Electrum ein; habt ihr es mit Trezor erstellt, nutzt Trezor, und so weiter. Auf diese Weise wird man sehr schnell und sehr bequem an seine Bitcoins kommen. In den meisten Wallets gibt es die Option, ein Backup einzuspielen; in manchen anderen muss man eine neue Wallet bilden, um die Option zu finden. So oder so – man gibt die Passphrase ein, und die Bitcoins sind wieder da. Simsalabim!

Die Magie der Mathematik – und das Problem verschiedener Standards

Allerdings ist es nicht immer so einfach. Was, wenn Sie ihr Gerät verloren haben? Wenn der Trezor zerstört, das Smartphone  in der Donau gelandet ist? Und was, wenn die Firma, die die Wallet hostet, etwa Mycelium oder Exodus oder Jaxx, verschwindet?

Zugegeben, nun wird die Sache etwas komplizierter. Aber es gehört zur Schönheit der Kryptographie, dass man immer noch die Schlüssel hat, mit der man alle Bitcoins, die man jemals mit dieser Wallet empfangen hat, rekonstruieren kann.  Die Passphrase ist die Basis, von der aus die Schlüssel und Addressen, die die Wallet ausmachen, abgeleitet werden. Wenn die Wallet keinen schweren Fehler macht, leiten sich die Schlüssel zwingend in einer bestimmten Abfolge aus der Passphrase ab.

Lasst uns für ein, zwei Sätze ein wenig technischer werden: Das kryptographische Verfahren mit dem Titel „hierarchische deterministische Wallet“ nimmt eine Passphrase und übersetzt diese in einen Masterkey. Von diesem Masterkey kann man in einer bestimmten Reihenfolge alle weiteren Schlüssel ableiten, mit denen man Bitcoins vewaltet. So wie man in der Mathematik nicht von einem bestimmten Modell eines Taschenrechners oder einem Stück Papier oder einem Computerprogramm abhängig ist, damit dieselbe Formel dasselbe Ergebnis hat, funktioniert die Passphrase unabhängig von der Wallet. Sie haben ein Backup mit, sagen wir, Exodus gemacht, und spielen es in Bither ein.

Das Problem ist nun, dass es zwei Standards und viele verschiedene Implementierungen gibt. Zwar sind Passphrase und Masterkey überall dieselben, doch es gibt zwei Pfade, mit denen die Wallets daraus Adressen bilden. Der eine wird BIP32, der andere BIP44 genannt. Es kann daher vorkommen, dass man mit der einen Wallet eine BIP44-Passphrase erzeugt hat, z. B. mit Bither, und dann versucht, sie in einer anderen Wallet einzuspielen, sagen wir BreadWallet, die aber nur BIP32-Ableitungen kennt, woraufhin man eine leere Wallet erzeugen wird. Man sollte also besser wissen, nach welchem Verfahren ein Backup erstellt wurde, um die richtige Wallet zu finden, mit der man die Bitcoins bergen kann.

Hier zur Hilfestellung eine unvollständige Liste mit Wallets und den Verfahren. Natürlich ohne Gewähr!

Wallet	BIP32	BIP44
AirBitz	x
Bither		x
BreadWallet	x
Coin.Space	x
Coinomi		x
CoPay		x
Electrum	x
Exodus		x
GreenAddress	x
Jaxx		x
Ledger		x
MultiBit	x	x
Trezor		x

Update: Eine viel bessere Tabelle als meine gibt es hier!

Darüber hinaus gibt es verschiedene Implementierungen. So spuckt die Hardware-Wallet Ledger beispielsweise eine Passphrase mit 24 Wörtern aus, während andere Wallets, etwa Exodus oder Coin.Sprace, nur in der Lage sind, eine 12-Wort-Phrase zu lesen. Und nein, es ist keine Lösung, einfach die erten 12 Wörter zu nehmen. Außerdem benutzen nicht alle Wallets dasselbe Wörterbuch, um die Passphrase zu erzeugen und zu verstehen. Manche haben die Ableitung der Schlüssel auch minder optimal implementiert; bei Exodus etwa kann man nur die ersten vier Adressen bergen, alles andere kennt die Wallet nicht, und mit Coin.Space ist es mir gar nicht gelungen, eine Passphrase erfolgreich einzuspielen. Und so weiter. Mit Multibit, immerhin, kann man sowohl BIP32 als auch BIP44 Passphrasen in beliebiger Wortlänge einspielen.

Wenn man Probleme hat, wegen verschiedener Implementierungen ein Backup wiederherzustellen, hat man die Möglichkeit, einen Schritt zurück zu gehen. Man geht auf einen BIP39-Generator, wie den von Ian Coleman, oder auf einen BIP32-Generator. Hier kann man die Passphrase eingeben und wird jede Information finden, die man braucht, um die Bitcoins zu bergen. Erstens kann man sämtliche Adressen und privaten Schlüssel, die von dieser Passphrase abgeleitet werden, sowohl durch BIP32 als auch BIP44, wieder erzeugen, und dann mithilfe des privaten Schlüssels und einer Wallet wie dem Bitcoin-Client oder Electrum die Bitcoins wiederherstellen. Zweitens kann man sich den „BIP32 extended key“ oder den „private master key“ anzeigen lassen, mit denen man etwa bei Electrum die Wallet rekonstruieren kann.

Um es kurz zu machen: Gewöhnlich ist es absolut einfach und unkompliziert, mit einer Passphrase eine Wallet wieder herzustellen. Man braucht dafür keine IT-Weisheit. Aber selbst dann, wenn es Probleme gibt, wegen der verschiedenen Standards und so weiter, ist die Passphrase alles, was man mathematisch braucht, um die Bitcoins zu retten. Im schlimmsten Fall braucht es ein wenig Mühe.

Die Technologie hinter der Magie

Nun wollen wir einen Schritt tiefer gehen. Was passiert? Wie funktioniert das Backup per Passphrase unter der Haube? Und ist der Prozess wirklich sicher – oder doch nur eine Illusion von Sicherheit?

Um zu verstehen, wie eine Passphrase funktioniert, muss man ein ein klein wenig darüber wissen, wie Bitcoins gespeichert werden. Vermutlich wisst ihr bereits, dass ihr Bitcoins durch eine Adresse empfängt. Eine solche Adresse ist eine Ableitung des öffentlichen Schlüssels, der selbst wiederum eine Ableitung des privaten Schlüssels ist. Eure Wallet erzeugt also zuerst einen privaten Schlüssel, dann den öffentlichen Schlüssel und dann die Adresse. Um die Bitcoins zu versenden, die an eine Adresse transferiert worden sind, braucht man nicht mehr als den privaten Schlüssel, von dem diese Adresse abgeleitet wurde.

Eine sehr simple Methode, um eine Wallet zu sichern, ist es also, den privaten Schlüssel zu speichern. Der ist eine zufällige Folge von Zeichen, etwa so: L3GrBerZZXtTDcAVNiULbN84UVGjX7ezypSCsYYroBDdQDKX1E53. Da es aus Gründern der Privatsphäre und auch der Sicherheit vor Kollissionsangriffen empfohlen wird, eine Adresse nur einmal zu verwenden, bilden die meisten Wallets jedoch jedes Mal eine neue Adresse, wenn man „Geld empfangen“ anklickt oder -tippt. Um ein gutes Backupt zu haben, müsste man prinzipiell jedes Mal, wenn man Bitcoins empfängt, die Schlüssel sichern.

Zum Glück hat der Bitcoin Entwickler Peter Wuille im Jahr 2012 ein Verfahren namens „Hierarchical Deterministic Wallets“ entwickelt. Dieses ist auch bekannt als BIP32. Wuille hat darin die Mathematik spezifiziert, mit der man einen Master Key erzeugt, aus dem man alle weiteren Schlüssel in einer deterministischen Reihenfolge ableiten kann. Bei einer guten Implementierung läuft es so ab: Wenn ich einen Master Key A habe, wird dieser immer die Schlüssel a, b, c, d und so weiter erzeugen, in genau dieser Reihenfolge, unabhängig von meinem Gerät und der Software. Marek Palatinus vom tschechischen Startup Satoshi Labs, Hersteller der Hardware-Wallet Trezor, hat ein Verfahren entwickelt, um den Master-Key aus einer Passphrase mit 12 bis 24 Wörtern abzuleiten (BIP39), und er hat die in BIP32 skizzierten Pfade der Ableitung mit BIP44 so modifiziert, dass der Master Key auch Accounts produzieren kann, wie sie in vielen modernen Wallets verwendet werden, um die Privatsphäre der User zu schützen. Sprich: Der Masterkey A erzeugt die Accounts a, b, c und so weiter, und in diesen bildet er jeweils die Schlüssel 1, 2, 3 und so weiter.

Die Passphrase wird also zum magischen Satz, mit dem man eine ganze Welt von Schlüsseln und Adressen öffnen kann. Man kann sogar mit derselben Passphrase die Schlüssel für andere Kryptowährungen, für Litecoin, Monero, Ethereum und so weiter erzeugen, weshalb Multicoin-Wallets wie Exodus oder Jaxx mit einer einzigen Passphrase ein Backup für eine Vielzahl von Coins machen können. All dies macht es, selbstverständlich, extrem wichtig, dass niemand außer Ihnen die Passphrase kennt.

Und damit stehen wir vor einem Problem. In der Theorie ist die Ableitung von Schlüsseln aus einer Passphrase extrem sicher. Doch in der Praxis braucht man nur ein kleines bißchen Paranoia, um zu zweifeln: Woher weiß ich, dass ich der einzige bin, der die Passphrase, die auf meinem Computer erzeugt wurde, kennt? Wenn eine Wallet wie Electrum, Mycelium oder MultiBit die Passphrase erzeugt – woher weiß ich, dass es nicht einen versteckten Code gibt, der die Passphrase im selben Moment, in dem sie erzeugt wurde, an einen räuberischen Server sendet? Woher weiß ich, dass ich keine Malware auf meinem Rechner habe, die nur darauf wartet, die Passphrase im Arbeitsspeicher zu finden und zu stehlen? Und woher schließlich weiß ich, dass mein Computer eine ausreichend zufällige Grundlage für weitere Berechnungen gebildet hat? Immerhin sind Computer nicht eben gut darin, Zufälligkeit zu produzieren.

Wie stets gilt, dass das Niveau an Sicherheit adäquat zur Menge des gespeicherten Reichtums sein sollte. Wer auf einer Wallet nur Spielgeld hat, 50-100 Euro, der muss sich um solche Fragen nicht allzu viele Sorgen machen. Wer hingegen mehrere tausend, oder gar zehn- oder hunderttausend Euro in Bitcoin aufbewahrt, sollte sich diesen Fragen stellen.

Im nächsten Teil erklären wir daher, wie man zumindest einige der Risiken minimieren kann. Es wird niemals vollständige Sicherheit geben. Aber man kann eine Passphrase offline erzeugen und mit Würfeln echte Entropie, also echte Zufälligkeit, benutzen, die besser ist als alles, was ein Computer leisten kann.

Wie man offline eine Passphrase auswürfelt

Gehen wir nochmal zurück zum BIP39 oder BIP32 Generator. Man kann diese Webseiten offline speichern, die Internetverbindung trennen und öffnen. Nun hat man ein Software-Tool, um eine Passphrase gemäß BIP32 zu generieren, offline, so dass keine Malware die Passphrase abgreifen und versenden kann.

Man kann dies entweder mit der Entropie machen, die der Computer selbst hat, oder man kann, zumindest mit Ian Colemans BIP39-Generator, eigene Entropie benutzen. Dies funktiniert am besten, indem man Würfel auspackt. Man würfelt, tippt das Ergebnis in ein Feld ein, würfelt wieder, und so weiter, bis man nach etwa 54 Würfen genügend Entropie hat. Wer auf Nummer sicher gehen will, kann auch gerne 60 oder 70 Mal würfeln. Dies ist immer eine bessere, da echte, Entropie, als das, was der Computer erzeugt.

Das Programm generiert nun, ohne in Kontakt zum Internet zu stehen, aus diesen zufälligen Zahlen eine Passphrase, und aus dieser einen BIP39 Masterkey. Beides kann und sollte man aufschreiben. Dann kann und sollte man herunterscrollen und sich einige Adressen aufschreiben. Colemans Generator kann sowohl BIP32 als auch BIP44 Adressen erzeugen; welche man benutzt, hängt von der Wallet ab, mit der man die Bitcoins wiederherstellen möchte.

Die Adressen kann man auf seinem Computer speichern. Die Passphrase oder der Masterkey aber auf keinen Fall, und wenn, dann mit einem guten Programm und einem starken Passwort verschlüsselt. Danach schließt man die Seite, startet den Computer neu, um den Arbeitsspeicher zu leeren, geht online und überweist Bitcoins an die gespeicherten Adressen. Damit haben sie eine nettes Paperwallet.