Genauso ist es möglich, dass die Website von Electrum gehackt wird und zusätzlich zu den Dateien auch die Signatur dort ausgetauscht wird. Da bringt der Vergleich der Signatur dem Laien auch nichts mehr.
Nein.
Das ist nicht wie digitale Signaturen funktionieren. Sonst wären die ja sinnlos..
Hier der dazugehörige Wikipedia Artikel. Ich würde dir empfehlen ihn mal zu lesen.
Wieso denn zwischen Source Code und ausführbarer Datei? Ich rede ja von Webseiten, zwei HTML-Dateien kann ich mit etlichen Tools vergleichen.
Weil dein Statement war, dass das mit ausführbaren Dateien und Source Code funktioniert.
Scroll mal hier im Thread hoch.
Dieses Statement von dir bezog sich auf:
Ist es.
Da die Builds aber deterministisch sind (ich rede hier ausschließlich von Open Source Software wie z.B. electrum), lässt sich einerseits so eine Änderung im Source code schnell entdecken und andererseits, falls nur die Binärdatei geändert wurde, herausfinden, dass Source Code und Binärdatei nicht übereinstimmen.
Bei Webseiten lässt sich das nicht so einfach herausfinden.
Es gibt etliche Tools, um Änderungen festzustellen, dafür bedarf es keiner Signatur.
Korrekt. Und wenn mein Rechner sauber ist, ist eine Website, die offline verwendet wird, nicht mehr gefährlich als andere Software.
Uff.. Du hast es immer noch nicht verstanden.
Es gibt mehr Angriffspunkte als nur der eigene Rechner. Und eine Website zu besuchen um so ein Paper Wallet zu erstellen, ist per Definition riskanter und
bad practice.
Das ist eine Annahme, die du triffst. Auf bitaddress.org selbst ist das ZIP-Archiv von GitHub verlinkt und auch in fast jeder Anleitung ist es vernünftig erklärt.
Gut, und wie verifiziert du, dass du tatsächlich auf der echten Website bist?
Wie kannst du sicher sein, dass der Webserver nicht kompromittiert wurde?
Ein kompromittierter Webserver bei Electrum zum Beispiel kann einfach erkannt werden.
Die Signatur der Datei wird überprüft (nicht änderbar, so wie du es beschrieben hast) und man kann sich sicher sein, dass man die originale Version hat die vom Entwickler signiert wurde. Egal ob kompromittierter Webserver oder nicht. Bei bitaddress oder ähnlichen Seiten hast du ein Problem wenn der Webserver kompromittiert ist.
Das deckt sich aber nicht mit deiner Aussage, dass man für diesen Zweck niemals eine Website verwenden sollte. Für erfahrene User stellt es nicht unbedingt eine größere Gefahr dar.
Doch, tut es.
Finde es auch nicht so angemessen, wenn sich jemand erkundigen will, wie er eben ein Private Key von bitaddress.org überprüfen kann, zu sagen es sei falsch und der einzig richtige Weg für ihn sei über Electrum. Das ist dann einfach keine Antwort auf die gestellte Frage und schreckt eventuell ab.
Ich sagte nie, dass der einzig richtige Weg über Electrum sei.
Komplett ohne Software außer den eingebauten Linux Tools funktioniert auch.
Genauso gut funktionieren andere Wallets.
Aber Webseiten zu verwenden ist ein schlechter Weg der viel mehr Angriffspunkte liefert als die von mir genannten Möglichkeiten.
Ich find es ja schön, dass du versuchst hier für Paper Wallet Webseiten zu argumentieren.
Aber klassische Informatiker sollten in Ihrem Fachgebiet bleiben. Und Sicherheit in der IT gehört definitiv nicht dazu. Nimm es mir bitte nicht böse.
Alles was du hier erreichst ist neue Nutzer zu verwirren.