Die Grundlage des Web3-Ökosystems ist das Wallet, eine App oder Browsererweiterung, mit der Benutzer ihre Webidentitäten verifizieren und Transaktionen autorisieren können. Die Verwendung eines Wallets war jedoch schon immer mit einer steilen Lernkurve verbunden. Neue Benutzer müssen lernen, ihre Seed-Wörter abzuschreiben und an einem sicheren Ort aufzubewahren, ein sicheres Passwort zum Verschlüsseln ihrer Keystore-Datei zu erstellen, Adressen beim Senden von Geld genau zu kopieren und andere Dinge, die sie bei der Verwendung einer Web2-App möglicherweise nie lernen müssen.
Wenn ein neuer Benutzer den Einstieg einfacher gestalten möchte, besteht eine Möglichkeit darin, einen Anbieter von Depot-Wallets zu verwenden, beispielsweise eine zentralisierte Börse. Erfahrene Krypto-Benutzer werden sie jedoch aus gutem Grund fast immer davor warnen. Die Welt hat erlebt, wie zentralisierte Börsen wie Mt. Gox, QuadrigaX und FTX durch Hacks oder regelrechten Betrug bankrott gingen, was dazu führte, dass einige Kunden aufgrund der Verwendung einer Depot-Wallet ihr gesamtes Geld verloren.
Aufgrund dieses Risikos betrachten viele Krypto-Benutzer eine nicht verwahrte Wallet, die durch einen Satz von Seed-Wörtern abgesichert ist, immer noch als die einzige sichere Möglichkeit für einen Benutzer, seine Web3-Identität zu schützen.
Aber müssen sich Benutzer immer zwischen Sicherheit und Komfort entscheiden? Oder gibt es eine Möglichkeit, die Sicherheit einer nicht verwahrten Geldbörse mit dem Komfort einer Börse zu kombinieren?
Einige Web3-Unternehmen versuchen, Wallets zu entwickeln, die einfach zu verwenden sind, aber nicht erfordern, dass der Benutzer sein ganzes Vertrauen in einen zentralen Verwahrer setzt. Unternehmen wie Magic, Dfns, Kresus, Web3Auth, Immutable und andere glauben, dass ein Wallet genauso einfach zu verwenden sein kann wie ein E-Mail-Konto und sicher genug, um die Identität und das Geld des Benutzers zu schützen. Diese Unternehmen verwenden verschiedene Arten neuer Wallet-Infrastrukturen, um diese Idee Wirklichkeit werden zu lassen.
Hier ist eine Übersicht über einige der von Wallet-Entwicklern verwendeten Lösungen:
Magie
Ein neues System ist das Magic Software Developer Kit (SDK) von Magic Labs. Es handelt sich um ein Entwicklerkit und eine Wallet-Infrastruktur, mit der Entwickler Seedless Wallets für Benutzer erstellen können.
Anstatt den privaten Schlüssel auf dem Gerät des Benutzers zu speichern, wird eine verschlüsselte Kopie auf einem Amazon Web Services Hardware Security Module (HSM) aufbewahrt. Die Verschlüsselung erfolgt mithilfe eines Hauptschlüssels, der das HSM nicht verlassen kann. Alle Signaturen werden innerhalb des HSM vorgenommen, wodurch verhindert wird, dass der Schlüssel des Benutzers ins Internet übertragen wird.
Magic Wallets verwenden keine Passwörter. Stattdessen geben Benutzer bei der ersten Anmeldung für ein Magic Wallet ihre E-Mail-Adresse an den Magic-Relayer weiter. Der Relayer sendet dem Benutzer dann per E-Mail ein Token zur einmaligen Verwendung. Dieses Token funktioniert nur, wenn es von dem Gerät verwendet wird, das die Anfrage gesendet hat, und nur für eine begrenzte Zeit.
Das Token wird zur Authentifizierung bei Amazon Web Services verwendet, wenn der Benutzer auf einen Link in der E-Mail klickt. Die privaten und öffentlichen Schlüssel des Blockchain-Wallet-Kontos werden dann auf dem Gerät des Benutzers generiert und an das HSM gesendet. Magic Labs sagt, dass sie den generierten privaten Schlüssel nicht sehen können, da er nie an ihre Server gelangt.
Wenn Benutzer ihre Wallets nicht mehr verwenden und ihren Browser schließen, können sie diese durch Wiederholung des Vorgangs wieder öffnen. Sie übermitteln ihre E-Mail-Adresse erneut an Magic und erhalten ein neues Token zur einmaligen Verwendung. Dieses Mal erhalten sie nach der Authentifizierung wieder Zugriff auf ihre Wallet.
Magic Labs hat eine Demo erstellt, die zeigt, wie das System funktioniert. Damit kann anscheinend jeder ein Wallet erstellen, ohne eine Browsererweiterung herunterladen oder Seed-Wörter kopieren zu müssen. Außerdem können Benutzer ihren Browser schließen und später zu ihrem Wallet zurückkehren und sich erneut bei demselben Web3-Konto anmelden.
Die Demo funktioniert derzeit nur auf Testnetzen wie Goerli, Sepolia und Mumbai.
Geldbörsen basierend auf Magie
Es wurden einige verschiedene Wallets veröffentlicht oder befinden sich derzeit in der Entwicklung, die Magic verwenden. Ein bemerkenswertes Beispiel ist das Kresus-Wallet, eine mobile App, mit der Benutzer Bitcoin (BTC), Ether (ETH), Solana (SOL), Polygon (MATIC) und Token aus diesen Netzwerken speichern und aufbewahren können. Außerdem können Benutzer Kryptowährungen mit .kresus-Domänennamen anstelle von Kryptoadressen senden.
Kresus wurde am 11. Mai im Apple App Store veröffentlicht. Das Team teilte Cointelegraph mit, dass eine Android-Version später im Jahr 2023 erscheinen werde.
Immutable Passport ist ein weiteres Beispiel. Es handelt sich dabei um eine Anwendungsprogrammierschnittstelle (API), die vom Web3-Spieleentwickler Immutable entwickelt wurde. Wenn teilnehmende Spiele ihre Websites in Passport integrieren, können Spieler direkt über die Website des Spiels Wallets erstellen.
Immutable teilte Cointelegraph mit, dass Passport-Wallets mit dem Immutable X-Netzwerk verbunden sind, einem Ethereum-Protokoll der Schicht 2, das es Spielern ermöglicht, alle ihre Immutable-Gaming-Sammlerstücke in einem Konto zu speichern, unabhängig davon, für welches Spiel sie sich ursprünglich angemeldet haben.
Immutable hat Passport vor Kurzem als Standard-Anmeldemethode für sein Entwicklerportal implementiert und plant, diese Methode bis zum Sommer 2023 für mindestens die Anmeldeseite eines Spiels zu verwenden, teilte das Team mit.
Sicherheitsbedenken bei Magic
Das Magic SDK enthält eine bekannte Sicherheitslücke, die die Entwickler jedoch bereits behoben haben. Da es zur Authentifizierung eines Benutzers auf E-Mail-Token angewiesen ist, kann ein Angreifer möglicherweise Zugriff auf das HSM eines Benutzers erhalten, indem er sich in dessen E-Mail-Konto hackt und dann eine Authentifizierung vom eigenen Gerät des Angreifers aus anfordert. Sobald er Zugriff auf das HSM hat, kann er alle Transaktionen vom Konto des Benutzers aus autorisieren.
Aus diesem Grund planen sowohl Immutable Passport als auch Kresus, die Zwei-Faktor-Authentifizierung (2FA) als zusätzliche Sicherheitsebene für den Fall zu verwenden, dass das E-Mail-Konto eines Benutzers kompromittiert wird.
Auf Magic basierende Wallets haben keine Passwörter und können daher nicht mit der üblichen Methode, nämlich dem Stehlen und Knacken eines Passwort-Hashes, gehackt werden.
Web3Auth
Eine weitere neue Wallet-Infrastruktur, die Entwickler häufig verwenden, ist Web3Auth.
Web3Auth ist ein Schlüsselverwaltungsnetzwerk, das auf Multiparty Computation (MPC) basiert, um private Schlüssel wiederherstellbar zu machen. Wenn Benutzer sich mit Web3Auth für ein Konto anmelden, generieren sie wie üblich einen privaten Schlüssel. Dieser Schlüssel wird dann in drei „Anteile“ aufgeteilt.
Die erste Freigabe wird auf dem Gerät des Benutzers gespeichert, die zweite wird über einen Login-Anbieter vom Web3Auth-Netzwerk gespeichert und die dritte ist eine Sicherungsfreigabe, die auf einem separaten Gerät oder offline gespeichert werden sollte. Die dritte Freigabe kann auch aus Sicherheitsfragen generiert werden, wenn der Benutzer dies wünscht.
Aufgrund der Funktionsweise der Mehrparteienberechnung kann ein Benutzer den privaten Schlüssel generieren und Transaktionen mit nur zwei der drei Shares bestätigen. Dies bedeutet, dass der Benutzer seine Brieftasche immer noch wiederherstellen kann, wenn sein Gerät abstürzt oder er seinen Backup-Schlüssel verliert. Gleichzeitig kann der Anmeldeanbieter keine Transaktionen ohne die Erlaubnis des Benutzers durchführen, da der Anbieter nur über einen Share verfügt.
Der Anbieter kann Transaktionen auch nicht zensieren. Wenn der Anbieter sich weigert, dem Benutzer seinen zweiten Share zu geben, nachdem er sich korrekt authentifiziert hat, kann der Benutzer seinen privaten Schlüssel mithilfe einer Kombination aus dem auf seinem Gerät gespeicherten Share und dem Backup-Share generieren.
Bei Web3Auth wird der Login-Provider-Share weiter in neun verschiedene Shards aufgeteilt und über ein Netzwerk von Speicherknoten verteilt, wobei fünf Shards erforderlich sind, um den Provider-Share wiederherzustellen. Dies verhindert, dass der Login-Provider seine Shares auf seiner eigenen Infrastruktur speichert.
Web3Auth-Geldbörsen
Web3Auth wurde in mehrere Retail-Wallets integriert, darunter Binance Wallet und eine geschlossene Betaversion von Trust Wallet. In der Erweiterungsversion von Binance Wallet können Benutzer Wallet-Konten mit ihren Google-Anmeldedaten erstellen. In der Trust Wallet-Version sind laut einem offiziellen Video vom Twitter-Konto von Web3Auth Google, Apple, Discord und Telegram als Anmeldeanbieteroptionen verfügbar.
In beiden Fällen muss der Benutzer die Seed-Wörter abschreiben. Das Konto kann jedoch auch dann wiederhergestellt werden, wenn diese Wörter verloren gehen, solange der Benutzer weiterhin Zugriff auf sein Gerät und sein Login-Provider-Konto hat.
Im Gespräch mit Cointelegraph argumentierte Zhen Yu Yong, CEO von Web3Auth, dass der Übergang zur Verwendung mehrerer Schlüsselfreigaben in Web3 der Entwicklung von 2FA auf Web2-Sites ähnelt, und erklärte:
„Benutzernamen und Passwörter waren Anfang der 2000er oder Ende der 1990er unglaublich leicht zu verlieren. Damals dachten wir, dass Finanz-Apps nie im Internet entwickelt werden würden.“
„Mit Benutzernamen und Passwörtern sind wir schließlich zur Zwei-Faktor-Authentifizierung übergegangen“, fuhr Yong fort. „Ich denke, das ist derselbe Übergang, den wir hier vorantreiben wollen […] Anstatt eine einzelne Faktor-Seed-Phrase zu verwenden, teilen wir dies in mehrere verschiedene Faktoren auf […] und tun dies so, dass es alle Ihre Zugangspunkte sind, also bleibt alles weiterhin selbstverwaltet.“
Dfns
Dfns, ausgesprochen „Defense“, ist ein MPC-Schlüsselverwaltungsnetzwerk, das es Institutionen, Entwicklern und Endbenutzern ermöglicht, passwort- und seedlose Wallets zu erstellen. Es hält den privaten Schlüssel jeder Blockchain als mehrere Shards, die über Knoten im gesamten Dfns-Netzwerk verteilt sind.
Um eine Transaktion zu autorisieren, müssen die Dfns-Knoten gemeinsam mit jedem Shard eine Signatur erstellen.
Anders als Web3Auth speichert Dfns keinen Anteil des privaten Blockchain-Schlüssels auf dem Gerät des Benutzers oder als Backup. Alle Shards werden im Netzwerk selbst gespeichert.
Die Dfns-Knoten verwenden ein Protokoll namens „WebAuthn“, um zu überprüfen, ob ein Benutzer eine Transaktion autorisiert hat. Dieses Protokoll wurde vom World Wide Web Consortium entwickelt, um Benutzern die Anmeldung bei Websites ohne Kennwort zu ermöglichen. Bei Dfns sind die Knoten so programmiert, dass sie eine Transaktion mit ihrem Shard nur dann signieren, wenn sich der Endbenutzer mit diesem Protokoll authentifiziert hat.
Wenn sich ein Benutzer mit WebAuthn für eine Website registriert, erstellt die Site einen privaten Schlüssel auf dem Gerät des Benutzers. Dieser private Schlüssel wird in keiner Blockchain verwendet. Er dient nur dazu, dem Benutzer die Anmeldung bei der Site zu ermöglichen.
Der Benutzer wird beim Erstellen des Schlüssels aufgefordert, den Schlüssel mit einem PIN-Code oder einem biometrischen Schloss zu schützen. Auf einem Windows-PC kann dieses Schloss über Windows Hello erstellt werden, das Teil des Betriebssystems ist, oder über ein separates Gerät wie ein Mobiltelefon oder Yubikey. Auf einem Mobilgerät wird das Schloss mithilfe der integrierten Sicherheit des Geräts generiert.
Beispiel einer WebAuthn-Registrierungsaufforderung. Quelle: WebAuthn.io
Auf einer Website, die die WebAuthn-Registrierung implementiert, benötigt der Benutzer zur Registrierung weder eine E-Mail-Adresse noch ein Passwort. Stattdessen verwendet das Gerät sein eigenes Sicherheitssystem, um den Benutzer zu identifizieren.
Wenn ein Wallet-Entwicklungsteam ein Wallet mit Dfns erstellt, kann es diese Authentifizierungsmethode an den Endbenutzer weitergeben. In diesem Fall gilt das Wallet als nicht verwahrt, da der Wallet-Anbieter weder über das Gerät noch den PIN-Code oder die biometrischen Daten des Benutzers verfügt und daher keine Transaktionen autorisieren kann.
Der Endbenutzer kann einer Brieftasche auch Geräte hinzufügen, wenn das erste abstürzt.
Wallet-Entwickler können auch Custodial Wallets mit Dfns erstellen. In diesem Fall muss sich der Wallet-Entwickler mit WebAuthn beim Netzwerk authentifizieren. Sie können jede Methode verwenden, um einen Benutzer bei sich selbst zu authentifizieren, sogar Benutzernamen und Passwörter.
Geldbörsen, die Dfns verwenden
Im Gespräch mit Cointelegraph erklärte Dfns-Gründerin Clarisse Hagège, dass viele der Kunden der Plattform Institutionen und Entwicklungsteams im Business-to-Business-Markt seien.
Das Team hat jedoch in letzter Zeit begonnen, mehr Business-to-Consumer-Wallet-Anbieter anzuziehen. Die Krypto-Spar-App für Privatkunden SavingBlocks verwendet Dfns, und das Unternehmen befindet sich in Gesprächen mit einigen dezentralen Börsen, um ebenfalls Wallets für ihre Kunden zu erstellen, sagte sie.
Hagège argumentierte, dass die breite Akzeptanz von Kryptowährungen es ermögliche, wenn die Benutzer bei Transaktionen nicht einmal wissen sollten, dass ein privater Blockchain-Schlüssel vorhanden ist.
„Wir zielen auf Hunderttausende von Entwicklern ab, die Anwendungsfälle für die Massenanwendung von Blockchain entwickeln, auf Menschen ausgerichtet, die nicht wissen wollen, dass sie einen privaten Schlüssel haben“, erklärte sie. „Wir haben ein Netzwerk von Servern, die diese Schlüsselgenerierung betreiben […], und wichtig ist nicht, den privaten Schlüssel oder den Schlüsselanteil tatsächlich zu besitzen, sondern den Zugriff auf die API zu besitzen.“
Wird die neue Wallet-Technologie von der breiten Masse angenommen?
Ob diese neuen Wallet-Technologien zu einer breiten Akzeptanz führen oder von den derzeitigen Nutzern überhaupt akzeptiert werden, bleibt abzuwarten. Trotz ihrer Einfachheit sind sie möglicherweise immer noch zu komplex für Benutzer, die ihre Kryptowährungen lieber in einer Börse aufbewahren. Auf der anderen Seite könnten Benutzer, die an das Mantra „Nicht deine Schlüssel, nicht deine Kryptowährung“ glauben, misstrauisch sein, wenn sie einem MPC-Netzwerk oder einem Hardware-Sicherheitsmodul von Amazon vertrauen, um Transaktionen für sie zu autorisieren.
Dennoch könnten einige Benutzer zu dem Schluss kommen, dass die Vorteile von MPC oder Magic Links einfach zu gut sind, um darauf zu verzichten. Das wird sich erst mit der Zeit herausstellen.
In der Zwischenzeit werden diese neuen Technologien wahrscheinlich Diskussionen darüber auslösen, wie sichergestellt werden kann, dass die Benutzer die Kontrolle über ihre Gelder behalten, und was „Selbstverwahrung“ wirklich bedeutet.
