Review – BC Vault

Von | 15. November 2019
Lieferumfang

BC Vault gehört zu den Wallets, die hier bei uns im Westen weniger bekannt sind. Um so mehr freut es mich natürlich, dass ich hier die Möglichkeit habe diese Wallet testen zu können und sie mit bekannteren Wallets vergleichen kann.

Bei meiner ersten Recherche stieß ich auf der Webseite des Herstellers sofort auf ein sehr interessantes Zitat:

“BC Vault is unlike any other crypto hardware wallet on the market right now, as it is a truly secure, easy-to-use cryptocurrency vault, which has 9 unique features, currently unavailable on other devices.”

CryptoCasey, Review, www.bc-vault.com

Zusammengefasst soll BC Vault wohl eine wahrhaft sichere und einfach zu benutzende Wallet sein, die neun einzigartige Features hat, welche andere Wallets nicht haben sollen. Leider ist die Quelle nicht festzustellen. Auch war es mir nicht möglich das Datum dieses Zitats herauszufinden.

Ich vermute mit dieser Aussage bezieht sich CryptoCasey auf folgende Features, welche auf der Webseite angegeben sind:

  1. Mehrere Coins innerhalb einer Wallet und einer Software
  2. Mehr als 2000 unterschiedliche Wallets auf einem Gerät
  3. Unterstützung verschiedener Browser
  4. Ein großes Display (2,42″)
  5. Unterstützt alle gängigen Coins
  6. U2F
  7. Sichere Backups
  8. Sichere Transaktionen dank Display
  9. Tamper Evidence

Im Folgenden will ich mir anschauen ob diese Versprechen wirklich erfüllt werden und ob diese Eigenschaften alle ein Alleinstellungsmerkmal des BC Vaults sind.

Verpackung und Versand

Verpackung

Der Versand verlief ziemlich unproblematisch. Es verging weniger als eine Woche zwischen Bestellung und Lieferung.

Geliefert wird der BC Vault in einer sehr schönen eingeschweißten Verpackung. In dieser befindet sich ein weiterer Karton, der etwas stabiler ist. Dieser Karton wurde mit zwei Siegeln versehen. Aufgrund der Oberflächenbeschaffenheit des inneren Kartons sollte es unmöglich sein die Siegel zu entfernen ohne diese zu beschädigen oder Spuren zu hinterlassen. Die Wallet selbst ist an der USB-Schnittstelle ebenfalls mit einem Siegel gesichert. Jedoch lies sich dieses Siegel ohne Rückstände entfernen. Das Siegel selbst wurde hierbei jedoch zerstört.

Tamper Evidence durch Siegel an der Verpackung

Im Lieferumfang ist folgendes enthalten:

  • BC Vault Hardware Wallet
  • 3 Sticker
  • USB-A auf USB-C Kabel
  • Webcam-Abdeckung
  • 1GB microSD Karte
  • Kurzanleitung

An dieser Stelle können wir in der Tat schon das erste Feature beurteilen: Tamper Evidence. Es ist richtig, dass gewisse Vorkehrungen getroffen wurden, die eine Manipulation auf dem Versandweg erschweren.

Siegel am USB-Port

Jedoch ist dies meiner Meinung nach nicht genug. Erfahrungsgemäß ist es relativ einfach Siegel in ähnlicher Qualität für sehr wenig Geld zu erhalten. Leider gibt es auf der Webseite auch kein Foto des Siegels, so dass der Benutzer es bei Erhalt vergleichen könnte. Daher halte ich es für ziemlich einfach die angewandte Tamper Evidence zu umgehen. Andere Hersteller gehen hier sogar noch einen Schritt weiter und lassen solche Siegel komplett weg, da sie keinen wirklichen Schutz bieten. Sie setzen mehr auf Lösungen bei der die Integrität der Hardware und Software geschützt und überprüft werden kann. Diesen Weg halte ich für den sinnvolleren. Die Aussage die Tamper Evidence des BC Vaults sei ein Alleinstellungsmerkmal und würde sonst von keinem Hersteller auf dem Markt gemacht werden erweist sich hier leider als nicht richtig.

Ersteinrichtung

Die Ersteinrichtung ist interessant… Man wird nämlich dazu aufgefordert die Wallet zu schütteln. Das ist kein Scherz!

Schütteln für Entropie?

Das Schütteln wird grafisch auf dem Display dargestellt, dabei steigt das “Protection Level”. Sobald es 100% erreicht ist der erste Schritt der Initialisierung abgeschlossen. Ich vermute in der Wallet ist ein Bewegungssensor verbaut, der die zufällige Bewegung als Entropie verwendet. Ähnliche Verfahren kennt man bereits von anderen Verschlüsselungstools wie VeraCrypt. Da sich ein Computer jedoch nur schwierig schütteln lässt verwendet VeraCrypt stattdessen die zufälligen Bewegungen des Mauszeigers.

Protection Level

Anschließend wird der RNG (Random Number Generator) mit der soeben gesammelten Entropie gefüttert und initialisiert. Ich empfehle die Wallet möglichst zufällig zu schütteln und nicht durchgehend mit der gleichen Bewegung. Das sorgt für eine zufälligere Entropie.

Firmwareupdate

Nach der Initialisierung des RNG wird die Software des Herstellers benötigt. Diese ist für Linux, macOS und Windows verfügbar. Die Software ist sowohl Wallet wie auch Management Software für die Hardware zugleich.

Zu Anfang wird geprüft ob es ein Firmware-Update gibt um dieses sogleich auch einzuspielen. Das Update ist über eine Progress-Bar auf dem Display des BC Vault sehr schön visualisiert. Die Software fragt beim ersten Start auch nach der Berechtigung die Webcam nutzen zu dürfen. Diese wird wohl verwendet um QR-Backups einzuspielen.

Abgeschlossen wird die Ersteinrichtung durch die Eingabe eines globalen Passworts, womit die Wallet entsperrt wird. Gefolgt wird dies von der Eingabe einer globalen PIN. Die PIN wird für weniger sicherheitsrelevante Bestätigungen benötigt. Ich war am Anfang verwirrt, da ich die PIN-Eingabe nicht sofort verstanden habe. Unter einer PIN versteht man üblicherweise eine Folge von Zahlen. Also habe ich versucht über das D-Pad eine Zahlenfolge einzugeben. Da jedoch sofort Sternchen auf dem Display angezeigt werden verwirrte mich das zunächst. Kurz daraufhin wurde mir jedoch bewusst, dass die PIN nicht aus Zahlen sondern aus Richtungspfeilen besteht. Eine PIN könnte demnach zum Beispiel “← ↑ → ↓” lauten.

Funktionsweise

Wer es schafft die Wallet zu knacken bekommt aktuell 1,1 BTC

Wenn man die Software anschließend startet und die Hauptmaske sieht sticht einem als Erstes eine vorinstallierte Wallet ins Auge, die etwa 1,1 BTC beinhaltet. Dabei handelt es sich um eine Challenge. Angeblich befindet sich der private Schlüssel dieser Wallet auf jedem BC Vault. Wer es schafft die Wallet zu knacken darf sich diese 1,1 BTC nehmen. Leider konnte ich keine Möglichkeit eines Beweises finden, die die Existenz dieses Private Keys auf dem Gerät bestätigt. Hier würde sich die Möglichkeit anbieten einen vom Benutzer vordefinierte Texte mit der passenden Bitcoin-Adresse signieren lassen zu können. Bis solch ein Beweis möglich ist gehe ich von der Annahme aus, dass es sich lediglich um eine Watch-Only-Adresse handelt. Denn auch hier gilt stets: Don’t trust. Verify.

Wenn man eigene Wallets haben will muss man diese explizit hinzufügen. Eingangs habe ich erwähnt, dass sich BC Vault damit schmückt, mehr als 2000 Wallets verwalten zu können. Ob es wirklich 2000 Wallets werden können habe ich nicht geprüft. Fakt ist jedoch, dass die Wallets einzeln auf der Hardware Wallet gespeichert werden. Das ist eigentlich gar keine gute Idee und widerspricht komplett dem Prinzip von HD-Wallets. Wenn die Wallet nach dem BIP39-Standard aufgebaut wäre, wären theoretisch unendlich viele Wallets möglich. Dies ist zwar ein Alleinstellungsmerkmal von BC Vault, jedoch leider kein positives. Hier würde ich mir wünschen, dass man sich mehr an allgemein-gültige Standards hält.

Aktuell unterstützt der BC Vault folgende Coins:

BNBBTCBCH
DashDogeEOS
ETH (inkl. ERC20)GroestlcoinLTC
XRPStellarTron

Abgesehen von den ERC20 Token, sind das gerade einmal 12 Coins. Die Aussage, BC Vault würde mehrere Coins unterstützen ist zwar richtig aber dies ist keinesfalls ein Alleinstellungsmerkmal. Die gängigen und großen Hardware-Wallets unterstützen teilweise viel mehr Coins. Zudem bietet BC Vault aktuell nur Bitcoin Legacy-Adressen und P2SH-Adressen an. Schön wären hier noch BECH32-Adressen. In der Übersicht wird zudem nur die Legacy-Adresse angezeigt, was sehr verwirrend sein kann. Hier sollte zumindest die P2SH-Adresse standardmäßig angezeigt werden.

Das Display ist angenehm groß und wird natürlich dazu genutzt um Transaktionen verifizieren zu können um Manipulationen auf dem Computer des Anwenders zu erkennen. Wenn ich jedoch ehrlich bin gibt es heute fast keine Hardware-Wallet mehr die kein Display zur Bestätigung von Transaktionen besitzt. Zudem gibt es einige Hersteller die sogar größere Displays anbieten, die teilweise sogar eine Touch-Funktionalität haben. Daher sehe ich auch in diesem Bereich leider keinen Vorteil zu anderen Herstellern.

Erwähnt wird ebenfalls noch der Browsersupport. Ich bin mir nicht ganz sicher was hiermit gemeint ist. Leider führt der Link auf der Webseite des Herstellers ins Leere und spezifiziert auch nicht weiter was genau mit diesem Feature gemeint ist. Zusätzlich wird U2F dem BC Vault unterstützt und funktioniert auch erwartungsgemäß. Jedoch muss man auch hier leider erwähnen, dass dieses Feature absoluter Standard ist und von nahezu jeder Hardware-Wallet unterstützt wird. Andere Hersteller gehen sogar noch einen Schritt weiter und integrieren weitere Funktionen wie eine OpenPGP-Karte.

Sicherheit

Laut Aussage des Herstellers ist es möglich sichere Backups zu machen. Dabei gibt es die Möglichkeit binäre verschlüsselte Backups und Backups in Form mehrerer QR-Codes zu erstellen. Die QR-Codes waren leider in keiner Weise funktionsfähig. Die binären Backups ließen sich problemlos auf der SD-Karte erstellen und es war auch problemlos möglich einen zurückgesetzten BC Vault aus einem Backup vollständig wiederherzustellen. Leider funktionieren diese binären Backups nur mit einem BC Vault. Sollte das Gerät abhanden kommen oder kaputt gehen gäbe es KEINE andere Möglichkeit an die Coins zu kommen. Es existiert lediglich die Option einen neuen BC Vault zu bestellen und das Backup dort wiederherzustellen. Der Hersteller behauptet zwar, es wird ein Tool geben um Backups zu entschlüsseln und die private Keys zu extrahieren, jedoch ist das nur ein Versprechen. Es soll wohl auf GitHub verfügbar sein, sobald der Hersteller vom Markt geht. Was ich zudem auch sehr bedenklich finde ist, dass der Benutzer keine Aufforderung oder keinen Hinweis darauf erhält die SD-Karte nach einem Backup zu entfernen und sicher aufzubewahren. Sollte die Wallet geklaut werden, wären somit auch alle Backups weg.

Auf dem GitHub-Account des Herstellers befindet sich leider auch kein Code der Firmware. Somit ist der BC Vault nicht als Open Source einzustufen.

Ein interessantes Feature ist, dass jede einzelne Wallet zusätzlich mit einem Passwort und einer PIN geschützt werden kann. Wenn man jedoch nach dem BIP39-Standard gearbeitet hätte wäre solch ein Sicherheitsfeature nicht notwendig gewesen, da diese Aufgabe von den Passphrasen übernommen wird. Dementsprechend ist es auch nicht möglich überhaupt Passphrasen zu nutzen. Dies ist leider auch als sehr kritisch einzustufen. Warum Passphrasen gerade bei Hardware-Wallet so essentiell wichtig sind kann hier nachgelesen werden. Durch das Fehlen dieser Möglichkeit verzichtet man komplett auf den Schutz vor Rubber-Hose-Attacken.

Ein weiteres Sicherheitsfeature, das ich beim BC Vault vermisse, ist Multi-Sig. Laut dem Hersteller sei dies aber durch die Kombination von Geräte-PIN, Geräte-Passwort, Wallet-PIN und Wallet-Passwort gelöst. Wenn man diese vier Informationen unter mehreren Teilnehmern aufteile hätte man eine Art Multi-Sig. Ich bin jetzt nicht sicher ob das ein schlechter Scherz ist oder ob der Hersteller das ernst meint. Diese Möglichkeit ist weder besonders Elegant, noch funktioniert sie für ausreichend Fälle. Zudem erfordert sie, dass die Teilnehmer sich physisch treffen müssen. Der Grundgedanke bei Multi-Sig ist, dass man eine beliebig festlegbare Anzahl an Benutzern aus einer beliebig festlegbaren Anzahl an Gesamtnutzern wählen kann, die benötigt werden um eine Transaktion zu signieren. Zudem funktioniert Multi-Sig komplett unabhängig vom Standort der Teilnehmer. Ich glaube, ich muss hier nicht weiter erklären, warum diesem Grundgedanken der BC Vault keinesfalls gerecht werden kann.

Fazit

Leider schafft es der BC Vault in nahezu keinem der neun angeblichen Alleinstellungsmerkmale zu brillieren. Sie sind bestenfalls standard, jedoch in den meisten Fällen sogar weit unter dem allgemein bei Hardware-Wallets geltenden Standards. Ich schätze diese Wallet auch nicht als besonders sicher ein, da es ebenfalls nicht möglich ist auf der Wallet hinterlegte Coins anderweitig zugänglich zu machen. Zum Beispiel durch den Import in andere Wallets. Knapp 130€ exkl. Mehrwertsteuer für ein Gerät zu bezahlen, dessen Hersteller einfachste Grundprinzipien von Bitcoin und Kryptowährungen nicht verstanden hat ist absolut unangebracht. Leider antwortete mir der Hersteller auch nicht auf meine Fragen bezüglich der bemängelten Punkte. Lediglich die Art und Weise, wie Entropie für den RNG durch Schütteln erzeugt wird, finde ich bei dieser Wallet innovativ. Alles Andere sollte überarbeitet oder komplett überdacht werden.

Vielen Dank an BC-Vault für die Bereitstellung eines Testgeräts.

Update 30. November 2019

Vor wenigen Tagen gab es ein Update für die Software und die Firmware des BC-Vault. Dadurch wird es möglich private Schlüssel für einzelne Wallets zu extrahieren. Diese werden in Raw-Format (HEX) angezeigt und müssen zuerst in “Compressed Wallet Import Format” kurz “compressed WIF” umgewandelt werden, bevor man sie zum Beispiel in Electrum importieren kann. Das kann wie folgt aussehen:

Exportierter Private Key (HEX) 0C60093B02F7C8D0F51042598ECE816D1F6EF96C767D016E458DFEB82BB89558
Compressed WIF KwdmQtQtLXNqm6P2UthXuFirBM6j9Z4hLz9qbEQeETKyARxRorCU
P2PKH (Legacy) Adresse 1J1VPCPX6SAHYqbFrehSSpyaZMgRrEtxHu
P2WPKH-P2SH (Compatible SegWit) Adresse 3LqQtjzWjfTFserKm2GDS8JrzMrAQabN8p
P2WPKH (SegWit, BECH32) Adresse bc1qh2gaf0x9txxu32qtuxeu4dfd9l3m5zuaa6jtk5

Wichtig: Diesen private Key bzw. diese Adresse nicht benutzen, da sie durch die Veröffentlichung als unsicher gilt.

Dank dieser Funktion ist es nun endlich möglich seine Wallets auch wiederherzustellen ohne sich dabei auf den Hersteller zu verlassen. Leider muss man sich selbst um die Konvertierung in die entsprechenden Formate kümmern um eine Kompatibilität mit gängigen Software-Wallets wie Electrum zu erreichen. Zudem werden Wallets, deren private Schlüssel gesichert wurden als “unsicher” markiert. Meiner Meinung nach ist aber genau das Gegenteil der Fall. Erst nach einem unabhängigen Backup kann man sich sicher fühlen.

Mehr dazu gibt es unter kann hier nachgelesen werden.

Mit folgendem Python-Script kann man den privaten Schlüssel in WIF umwandeln:

import hashlib
import base58
import binascii

private_key_static = "0C60093B02F7C8D0F51042598ECE816D1F6EF96C767D016E458DFEB82BB89558"
extended_key = "80"+private_key_static+"01"
first_sha256 = hashlib.sha256(binascii.unhexlify(extended_key)).hexdigest()
second_sha256 = hashlib.sha256(binascii.unhexlify(first_sha256)).hexdigest()

final_key = extended_key+second_sha256[:8]

WIF = base58.b58encode(binascii.unhexlify(final_key))

print (WIF)

Quelle: https://bitcoin.stackexchange.com/questions/58114/convert-wif-to-private-key

BC Vault

130 €
7.5

Usability

7.5/10

Sicherheit

7.0/10

Verarbeitung

8.5/10

Alltagstauglichkeit

7.0/10

Pros

  • Entropie durch Schütteln

Cons

  • Keine HD Wallet / Keine Passphrasen
  • Backups nur bedingt nutzbar
  • Sehr teuer für wenig Funktionsumfang

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Ich bin damit einverstanden, dass gemäß der Datenschutzbestimmungen meine eingegebenen Daten gespeichert werden.