Was ist ein Air-Gaped Wallet und wie erreicht es maximale Sicherheit?

Definition und Kernkonzept

1. Eine Air-Gap-Wallet ist eine Kryptowährungsspeicherlösung, die vollständig offline funktioniert, ohne physische oder drahtlose Verbindung zum Internet oder einem vernetzten Gerät.

2. Es speichert private Schlüssel in einer isolierten Umgebung und verhindert so, dass Remote-Angreifer durch Phishing, Malware oder Netzwerk-Exploits auf sie zugreifen.

3. Transaktionen werden auf einem Online-Gerät initiiert und dann über Wechselmedien wie USB-Sticks oder QR-Codes zum Signieren auf die Air-Gap-Wallet übertragen.

4. Sobald die Transaktion unterzeichnet ist, wird sie zur Übertragung an die Blockchain zurück auf das Online-Gerät übertragen. Dadurch wird der Vorgang abgeschlossen, ohne dass die Schlüssel Konnektivitätsrisiken ausgesetzt werden.

5. Der Begriff „Air-Gap“ stammt aus physischen Sicherheitspraktiken, bei denen kritische Systeme buchstäblich durch Luft getrennt sind – keine Kabel, kein WLAN, kein Bluetooth.

Hardware-Implementierungsvarianten

1. Dedizierte Hardware-Wallets wie bestimmte Modelle von Coldcard und BitBox02 unterstützen den Air-Gap-Betrieb, wenn sie während der Schlüsselgenerierung und Signierung ohne microSD- oder USB-Verbindungen konfiguriert werden.

2. Maßgeschneiderte Raspberry Pi- oder Odroid-Geräte, auf denen Electrum oder Sparrow Wallet im Headless-Modus ausgeführt werden, können als Air-Gap-Unterzeichner dienen, wenn die Verbindung nach der Einrichtung getrennt wird.

3. Papiergeldbörsen gelten als Air-Gap-Geldbörsen, wenn sie offline erstellt und niemals in Software importiert werden, die eine Verbindung zu Netzwerken herstellt.

4. Einige Firmware-basierte Lösungen verwenden eine Dual-Chip-Architektur: Ein Chip übernimmt die Anzeige und Eingabe, während der andere kryptografische Vorgänge verwaltet – beide bleiben nicht mit externen Schnittstellen verbunden.

5. Air-Gap-Setups basieren häufig auf microSD-Karten, die ausschließlich für die Übertragung von Transaktionsdaten formatiert sind und über einen Schreibschutz verfügen, um das Einschleusen von Malware während des Dateiaustauschs zu verhindern.

Workflow zur Transaktionssignierung

1. Ein Benutzer erstellt eine nicht signierte Transaktion auf einem verbundenen Computer mithilfe einer Wallet-Software, die mit Air-Gap-Protokollen kompatibel ist.

2. Die nicht signierte Transaktion wird als PSBT-Datei (Partially Signed Bitcoin Transaction) exportiert oder als QR-Code codiert.

3. Das PSBT wird per microSD auf das Air-Gap-Gerät geladen oder über die Kameraschnittstelle visuell gescannt.

4. Das Air-Gap-Gerät überprüft Eingaben, Ausgaben, Gebühren und Änderungsadressen, bevor es die digitale Signatur mithilfe seines gespeicherten privaten Schlüssels anwendet.

5. Das signierte PSBT wird entweder per microSD- oder QR-Code-Scanning zurück zum Online-Gerät exportiert und dann an das Netzwerk gesendet.

Möglichkeiten zur Bedrohungsabwehr

1. Remote-Codeausführungsangriffe können private Schlüssel nicht erreichen, da auf dem Gerät kein ein- oder ausgehender Netzwerkstapel aktiv ist.

2. Kompromisse in der Lieferkette werden reduziert, wenn Benutzer ihre eigene Air-Gap-Umgebung mit Open-Source-Firmware und überprüfbaren Binärdateien erstellen.

3. Physische Manipulationserkennungsmechanismen – wie Epoxidharzdichtungen, manipulationssichere Schrauben oder Spannungsspitzensensoren – bieten zusätzlichen Schutz vor unbefugtem Zugriff.

4. Seitenkanalangriffe wie elektromagnetische Leckage oder Leistungsanalyse erfordern Nähe und spezielle Ausrüstung, was sie für die meisten Bedrohungsakteure, die auf einzelne Inhaber abzielen, unpraktisch macht.

5. Firmware-Integritätsprüfungen beim Booten stellen sicher, dass nur vertrauenswürdiger, signierter Code auf dem Gerät ausgeführt wird, und blockieren Persistenzversuche auch nach physischem Zugriff.

Häufig gestellte Fragen

F: Kann Malware auf dem Online-Computer das Air-Gap-Wallet gefährden? Malware kann private Schlüssel nicht direkt extrahieren, aber sie kann Transaktionsdetails – wie Zieladresse oder Gebührenhöhe – manipulieren, bevor sie den PSBT exportiert. Benutzer müssen alle Felder auf dem Bildschirm des Air-Gap-Geräts überprüfen, bevor sie unterschreiben.

F: Ist die Übertragung von QR-Codes sicher? Ja, bei richtiger Anwendung. QR-Codes enthalten nur die unsignierten oder signierten Transaktionsdaten – niemals rohe private Schlüssel. Kameras auf Geräten mit Luftspalt speichern keine Bilder; Sie dekodieren und verwerfen Frames unmittelbar nach der Verarbeitung.

F: Was passiert, wenn das Air-Gap-Gerät ausfällt oder verloren geht? Die Wiederherstellung hängt ausschließlich von der Backup-Seed-Phrase ab, die offline generiert und sicher auf Metall oder Papier gespeichert wurde. Keine Cloud-Backups oder Passwort-Manager sollten diese Informationen jemals speichern.

F: Unterstützen Air-Gap-Wallets Multi-Signatur-Setups? Ja. Air-Gap-Geräte werden häufig als Unterzeichner in 2-von-3- oder 3-von-5-Multisig-Konfigurationen verwendet, wobei jeder Teilnehmer über eine unabhängige Offline-Signaturfähigkeit verfügt und so die Widerstandsfähigkeit gegenüber Einzelpunktausfällen erhöht wird.