The Coinspondent

Kritisches und Konstruktives zu Bitcoin und der Zukunft des Geldes

coldcard titel

Coldcard – Die kompromisslose Hardware-Wallet

Lange waren Trezor und Ledger die beiden großen dominierenden Anbieter, wenn es um Hardware-Wallets ging. Den Rest des Marktes, meist nur minimal veränderte Trezor-Klone, konnte man unter ferner liefen abhaken Doch mittlerweile ist der Markt gewachsen und immer neue Konzepte für die sichere Verwaltung von Bitcoins sind verfügbar.

Eines dieser Konzepte ist die Coldcard des kanadischen Unternehmens Coinkite und sie ist in vielerlei Hinsicht anders. Einer Security-First-Maxime folgend aufs Minimale reduziert wird niemals der Eindruck erweckt, dass diese Hardware-Wallet Bitcoins verwaltet. Sie schützt Schlüssel.

Design, Funktionalität und Nutzerfreundlichkeit sind dementsprechend einem Form-follows-function-Ansatz untergeordnet. Die Coldcard soll nicht schön sein. Sie soll den sicheren Zugriff auf die eigenen Bitcoins kontrollieren. Ohne Kompromisse.

Ein „hässlicher kleiner Taschenrechner“, der es in sich hat

Richtig eingesetzt ist die Coldcard ein mächtiges und praktisches Werkzeug. Doch wie so oft bei Werkzeugen können Profis damit besser umgehen als Einsteiger. Insbesondere wenn diese nicht immer ganz genau wissen, was sie eigentlich gerade tun. Dann könnten sich Bitcoin-Neulinge mit einer Coldcard womöglich sogar mehr schaden als nutzen.

Die Coldcard richtig einzusetzen, setzt Verständnis voraus über Bitcoin und dessen technische Zusammenhänge und Abläufe „unter der Haube“. Wer dieses Wissen nicht mitbringt, muss es sich selbst aneignen oder läuft Gefahr, etwas falsch zu machen. Die Konsequenz kann dann der unwissentliche Verlust der Privatsphäre sein, dass man sich eine neue Coldcard kaufen muss oder, im schlimmsten Fall, dass die eigenen Bitcoins zwar gut absichert sind, man aber auch selbst den Zugriff darauf verliert.

Auch diese Kompromisslosigkeit ist letztlich konsequent. Bitcoin bietet denen die größte Freiheit und Unabhängigkeit, die sich ihre damit einhergehenden Verantwortung bewusst sind und entsprechend handeln.

Wer sich daher die Zeit nimmt, sich mit der der Herausforderung einer guten Cold Storage-Lösung und der berechtigten Kritik an bestehenden Hardware-Wallet-Konzepten auseinanderzusetzen, der wird verstehen, warum die Coldcard so kompromisslos ist, wie sie ist. Und ihre Möglichkeiten zu schätzen lernen, die so bisher keine andere Hardware-Wallet liefert.

Coinkite und ihre Coldcard sind keine Unbekannten

Zunächst zu den Basics. Der Coincard-Hersteller Coinkite ist kein Unbekannter, sondern gehört schon seit Jahren zum Bitcoin-Ökosystem. Mit dem Opendime hat das kanadische Unternehmen eine physische USB-Bitcoin-Wallet entwickelt, die bereits in der 4. Generation vorliegt.

Auch die Coldcard ist nicht neu, sondern in der aktuellsten Version aktuell bereits zweimal verbessert worden. Beständigkeit und transparente Weiterentwicklung, das zeigt die Erfahrung, sind im Bitcoin-Ökosystem aber prinzipiell gute Eigenschaften. Diese Review bezieht sich allerdings nicht auf das aktuelle Mk3-Modell, sondern noch auf ein Mark 2-Modell der zweiten Generation. Die Unterschiede sind aber nicht grundlegend.

Coldcard 02
Minimalistisch: Mehr als eine Tüte, ’nen Sticker, die Coldcard und einen Merkzettel gibt’s nicht
Minimale Angriffsfläche durch Minimalismus

Das minimalistische Konzept der Coldcard zeigt sich direkt beim Auspacken. Wo andere Hardware Wallet-Hersteller Wert auf ansprechende Haptik, umfangreiches Zubehör und eine schön gestaltete Verpackung legen, kommt die Coldcard in einer stabilen durchsichtigen Plastiktasche. Darin außerdem: ein Sticker und ein Papierkärtchen für das Notieren des Schlüssels. Das war’s.

Will man die Coldcard in Betrieb nehmen, braucht man allerdings noch ein Micro-USB-Kabel und – wenn man die Coldcard für echtes Cold Storage nutzen will – eine Micro-SD-Karte. Wer beides nicht zu Hause hat, muss also noch einmal 10 bis 20 Euro auf die aktuell rund 110 US-Dollar (Vorbestellungspreis Modell Mk3) draufrechnen. Wer die SD-Karte auch als Backup nutzen will, sollte an dieser Stelle jedoch nicht sparen und auf ein auf Langlebigkeit ausgelegtes Markenprodukt zurückgreifen.

Auch beim Kabel muss man eventuell nachkaufen. Nicht jedes Kabel funktioniert an der Coldcard, nur weil es den passenden Anschluss hat. Bei mir war es bspw. erst Kabel Nummer vier, mit dem die Hardware-Wallet schließlich startete.

Unter Strom – die Inbetriebnahme

Was die Coldcard von anderen Hardware-Wallets unterscheidet, ist das namengebende Feature, sie komplett cold, also offline und ohne Verbindung zu einem Computer einsetzen zu können. Daher auch die zwölf robusten, Taschenrechner-ähnlichen Tasten und das Display direkt am Gerät.

Für das initiale Setup muss man die Hardware-Wallet über den USB-Eingang mit Strom versorgen. Dafür soll angeblich eine Powerbank reichen. Wenn man, wie ich, allerdings nur bereits in die Jahre gekommene oder ohnehin schwachbrüstige Werbegeschenk-Powerbanks zur Hand hat, klappt das nicht unbedingt. Mit der Steckdose funktioniert es jedoch problemlos.

Coldcard 04
Die rote LED wird direkt vom Secure Element gesteuert. Leuchtet die Grüne, ist alles okay.
Im Notfall: Erschieße deine Coldcard!

Bei jedem Start überprüft sich die Coldcard selbst und zeigt per roter bzw. grüner LED die Integrität der Firmware und allem, was im Flashspeicher gespeichert ist. Gesteuert wird dieser Prozess vom Secure Element. Die physische Verbindung ist dabei durch Epoxidharz haptisch vor Manipulation geschützt. Daher auch das transparente Gehäuse, das jede Veränderung erkennen lässt und noch einen anderen Vorteil hat.

Durch die Hülle kann nämlich genau die Stelle erkennen, die man mit spitzer Gewalt treffen muss, um die eigene Coldcard final ins Jenseits zu schicken. Das mag drastisch klingen. Es gibt aber denkbare Umstände, unter denen es nötig sein kann, nachvollziehbar sicherzustellen, dass bei einer Coldcard definitiv nichts mehr zu holen ist.

2019 10 22 164158
„Schieß hierhin!“. Falls man die Coldcard unwiederruflich vor Missbrauch schützen will. (Screenshot: coldcardwallet.com)

In einem Interview erklärte Coinkite CEO Rodolfo Novak den Nutzen der Funktion mit dem Argument, dass dir Verbrecher möglicherweise schlimmere Dinge antun, solange sie davon ausgehen, dadurch irgendwann an deine Bitcoins zu kommen, als wenn offensichtlich ist, dass das sehr viel größeren Aufwand erfordert. Zum Beispiel indem erst eine neue Coldcard und das (idealerweise woanders versteckte) Backup besorgt werden muss.

Klingt für unsere Verhältnisse krass. Es gibt jedoch Situationen und Teile der Welt, da kann es sinnvoll sein, sich über so ein Szenario Gedanken zu machen. Insbesondere, wenn man größere Summen Bitcoins sicher verwahren will.

Das Secure Element „zumauern“

Zu viele falsche PIN-Eingaben führen übrigens zu dem gleichen Ergebnis und machen die Coldcard auch ohne Gewalteinwirkung irreparabel betriebsunfähig. Bis zur Mk2-Version verlängerten ähnlich wie beim Trezor falsche PIN-Eingaben die Zeitabstände für neue Versuche immer weiter. Ab Model Mk3 ist die Anzahl der falschen Eingaben auf 13 limitiert. Danach macht das Secure Element unwiderbringlich dicht.

Wer also nicht gut auf seinen PIN aufpasst, hat Pech und muss seine Bitcoins auf einem neuen Gerät wiederherstellen. Ein Factory Reset ist technisch unmöglich. Zitat: „If you forget your Coldcard PIN, there is nothing we can do except remind you to recycle your e-waste responsibly!“

Zusätzlich zum richtigen PIN kann man aber auch einen Spezial-PIN einrichten, der das Secure Element im Ernstfall sofort dicht macht (das Gerät also besser nicht in Kinderhände geben!) und einen Zweit-PIN, der in eine „falsche“ echte Wallet führt. Also eine Wallet lädt, die wie die originale Wallet aussieht und auch soviel Bitcoins enthalten sollte, um einen potentiellen Angreifer zufriedenzustellen. Aber eben nicht die eigentliche Wallet ist, die man in jedem Fall schützen möchte.

Von Würfeln und anderen Sicherheits-Features

Es gibt noch eine Vielzahl von weiteren Sicherheits-Features, die ich hier nicht auflisten kann, mit denen sich auseinanderzusetzen aber unbedingt schon im Vorfeld eines Kaufs lohnt. Sie sind alle auf der offiziellen Website und noch detaillierter im dortigen FAQ zu finden.

Coldcard 03
Jedes Secure Element ist einzigartig und sollte die selbe „Bag Number“ zeigen, wie auf dem Bag steht, in der die jeweilige Coldcard geliefert wurde.

Zum Beispiel, dass man sicherstellen sollte, dass jedes Gerät intern dieselbe „Bag Number“ anzeigt, wie auch auf der Verpackung stand, in der die Coldcard geliefert wurde. Oder wie man den Private Key erwürfeln kann, wenn man dem eingebauten Zufallsgenerator nicht vertraut. Oder wie man seine Backups verschlüsselt. Oder oder oder.

Die Coldcard im praktischen Einsatz

Doch wie funktioniert die Hardware-Wallet in der Praxis? Wie bereits erwähnt, ist die Coldcard weniger, was sich die meisten wohl unter einer Bitcoin-Wallet vorstellen würden. Im Gegensatz zu anderen Hardware-Wallets gibt es nämlich kein eigenes Interface, das als App oder Website das Empfangen oder Versenden von Bitcoins per Coldcard ermöglicht.

Die Coldcard lässt sich nur zusammen mit einer anderen Wallet-Software wie bspw. Electrum betreiben. Das ist prinzipiell kein Problem. Außer man betreibt selbst keinen eigenen Electrum-Server und ist sich auch nicht darüber im Klaren, wie viel Privatsphäre verloren geht, wenn man seine Daten stattdessen von irgendeinem Electrum-Server bezieht.

Wer die Coldcard nutzen will, sollte sich also nicht nur mit der Coldcard, sondern auch mit anderer Software, in dem Fall Electrum, auseinandersetzen. Für Einsteiger eher suboptimal.

2019 09 06 161715
Wird die Coldcard womöglich doch schnell mal am rechner abgeschlossen, wird sie zur „Hot“card

Auch die Möglichkeit, die Electrum Wallet auf dem Rechner mit der Coldcard zu verschlüsseln ist tricky. Um die entsprechende Wallet zu öffnen, muss man die Coldcard dann nämlich jedes Mal mit dem Computer verbinden. Genau das sollte ja mit der Initialisierung per Powerbank/Steckdose ja ursprünglich vermieden werden.

Auf der anderen Seite eröffnet die Kombination aus Electrum und Coldcard aber denen, die sich auskennen und genau wissen, was sie vorhaben, eine Vielzahl von Möglichkeiten. Das ist nicht immer intuitiv, aber unterm Strich mächtig.

2019 09 06 161800
Wer die Coldcard mit Electrum verwendet, sollte vorher wissen, was er/sie machen möchte.
PSBT – Teilsignierte Bitcoin-Transaktion

Zu den Besonderheiten gehört auch die Unterstützung von Partially Signed Bitcoin Transactions (PTSB), ein Feature, das es ermöglicht, eine Transaktion nacheinander von mehreren Institutionen signieren zu lassen bzw. lassen zu müssen, bevor sie gültig ist und vom Netzwerk akzeptiert wird.

2019 10 10 222906 copy
Erst durch die Coldcard als zweite Instanz wird aus der .psbt eine final-txn erzeugt.

Dabei wird zum Beispiel in Electrum eine PTSB vorbereitet. Diese wird dann auf eine Micro-SD-Karte kopiert und in die Coldcard gegeben, die die Transaktion offline fertig signiert. Zurück im Rechner kann Electrum die finalisierte Transaktion von der SD-Karte dann ins Netzwerk geben.

2019 10 10 223414
Erst wenn die Coldcard die Transaktion fertig signiert hat, kann sie propagiert werden.

Durch den Einsatz von PSBTs lässt sich die Coldcard komplett offline verwenden. Das ist für kleinere Summen nicht unbedingt praktisch, erhöht aber die Sicherheit (auch die gefühlte), wenn es um große Beträge geht.

Noch mehr, wenn PSBTs künftig zu einem Standard-Feature von Hardware-Wallets werden und sich eine Bitcoin-Wallet dann über die Hardware-Wallet-Modelle mehrere Hersteller hinweg sichern lässt.

Bisher kann allerdings nur die Coldcard mit PSBTs umgehen und auf Rechnerseite muss entweder Electrum oder Bitcoin Core laufen. PSBTs einzusetzen, ist also schon möglich, bislang aber eben noch eine sehr exotische Erfahrung, an der vor allem Nerds ihre Freude haben werden.

Twitter

Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren

Inhalt laden

Ich hatte zum Beispiel keinen passenden SD-Kartenleser und musste meine Test-PSBT kurzerhand durchs Audiointerface schleusen. Pay per mic, quasi. Klappt, wird den bequemen Endnutzer so aber noch nicht überzeugen.

psbt per audiointerface
Pay per mic: Wenn die PSBT vor dem Bitcoin-Netzwerk erst noch durchs Audiointerface muss
Fazit

Unterm Strich kann die Coldcard aufgrund ihrer kompromisslosen Fokussierung auf Sicherheit und Bitcoin (es wird nichts anderes unterstützt) die wohl beste Hardware-Wallet sein, die man derzeit kaufen kann. Vorausgesetzt man ist bereit, sich auf sie einzulassen.

Denn die Coldcard ermöglicht sehr viel, sie fordert dafür aber auch Einiges. Vor allem muss man wissen, was man eigentlich genau machen will und ob bzw. wie man die Coldcard einsetzen kann, um dieses Ziel zu erreichen. Das kostet Zeit und mitunter einiges an Hirnschmalz. Aber es lohnt sich. Denn je besser man sich auskennt, desto sicherer kann man die Coldcard verwenden.

Wer es hingegen einfach und bequem haben will, der wird mit der Coldcard vermutlich nicht glücklich werden. Gerade wenn es „nur“ um kleinere Summen geht, die im Cold Storage verwahrt werden sollen, auf die aber regelmäßig und schnell zurückgegriffen werden soll, ist die Coldcard im Gegensatz zur Konkurrenz vergleichsweise unhandlich.

Dessen ungeachtet füllt sie aber eine Lücke. Bequeme Hardware-Wallets sind potentiell weniger sicher. Wer größere Summen sichern möchte, technisch allerdings keine noch sehr viel aufwändigere Lösung wie bspw. das Glacier-Protokoll umsetzen kann oder will, der findet in der Coldcard eine sehr gute Lösung, die eben gerade wegen ihrer Kompromisslosigkeit in Hinblick auf den Fokus auf Sicherheit punktet. Dass sie dabei trotzdem sehr gut bedienbar bleibt, liegt an dem gut durchdachten Konzept, das man diesem unscheinbaren kleinen „Taschenrechner“ allerdings nicht auf den ersten Blick ansieht.

Und auch das ist letztlich ja kein Manko, sondern ein potentielles Sicherheits-Feature.

Beitrag veröffentlicht

von

Friedemann Brenneis

Schlagwörter:

, ,

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert