Wie erstellt man eine Brieftasche in Ledger Nano S?

Question

Wie erstellt man eine Brieftasche in Ledger Nano S?

- 4
- 445 2019-03-18
Kontext dieser Frage hier .

Ichmöchteeine Brieftascheerstellen (um,mit dericheine TZ1 Adresse habe)mit meinem Ledger Nano S. Alles,wasich onlinefinde,ist,wiemaneine Brieftaschemit Software (z. B. Galleon Wallet) oder Weberstellt Anwendung (zB Tezbox). Wieiches verstehe,ist dergesamte Punkteiner hardwarebasierten Brieftasche,dass die Tastenerstellt undin der Hardwarebleiben. Ein von der Softwareerstellte Taste kannmit der Software abgefangen oder (mehr unheimlicher) von der Softwaregespeichert oder sogar aneinen Drittengesendet werden.

Jetzt,wennichmein Ledgerinitialisiert habe,habeich den Schlüsselerstellt (Einstellungeiner PIN und dann die Sicherheit der 24-Wörter). Soist der Schlüsselgrundsätzlichin der Hardware. Nichts versichertmir,dass der Schlüsselnicht von der Softwaregesehen wird,mit der die Brieftascheerstellt undmit dem Ledger verbundenist.

Also,wie kannicheine Brieftaschemit der Ledger-Hardware sichererstellen? Vielleichtmit dem CLI-Code> Tezos-Client ? (Aber das letzterebedeutet,dassicheinen Knoten ausführenmuss?).

update:

Wie obengesagt,habeichmein Ledger voreinigen Wocheneingerichtet,mit den 24 Wiederherstellungswörtern und -Nin und das alles. Ich hatte den Eindruck,denichbrauchte,umeine Anschrift TZ1 zuerstellen,die die Antwort von BlindRipperempfohlen hat,umeinen Knoten zu leiten. Das habeichnichtgetan undnichts anderesgetan. Vorein paar Tagen habeichgerademein Ledger an die Galleon Wallet verbunden (mit derin dieser Softwareenthaltenen Option),undeine tz1 -Adresse (öffentlicher Schlüssel)erschienim Ledger undin der Software. War vielleichteine solche Adresse,diebeim Konfigurieren des Ledgerserstellt wurde? Mein Ledgerist legitim. Kauftees vom Hersteller. Esist also unwahrscheinlich,dassesbereitsmit einer Adresse kam.

Context of this question here.

I want to create a wallet (by which I mean a tz1 address) using my Ledger Nano S. All I find online is how to create a wallet using software (e.g. Galleon Wallet) or web application (e.g. Tezbox). However, as I understand it, the whole point of a hardware-based wallet is that the keys are created and stay in the hardware. A key created via software can be intercepted or (more sinister) stored by the software or even sent to a third party.

Now, when I initialised my Ledger, I did create the key (setting a PIN and then the 24-words security). So, in principle, the key is in the hardware. However, nothing assures me the key is not being seen by the software by which the wallet is created and linked to the Ledger.

So, how can I create a wallet securely using the Ledger hardware? Perhaps using the CLI tezos-client? (but the latter means I need to run a node?).

UPDATE:

As said above, I set up my ledger a few weeks ago, with the 24 recovery words and pin and all that. I had the impression I needed to create a tz1 address, which the answer by Blindripper suggested required running a node. I did not do that, and did not do anything else. Yet, a few days ago, I just connected my ledger to Galleon Wallet (with the option included in that software), and a tz1 address (public key) appeared in the ledger and the software. Was perhaps such address created when configuring the ledger? My ledger is legit. Bought it from the manufacturer. So it's unlikely it already came with an address.

ledger wallets

- Esgibt keine Möglichkeit,Ihren Schlüssel zuextrahieren und zumissbrauchen,derin der Hardware-Wallet-Gerätegespeichertist,es sei denn,Sie setzen Ihre Samenwörter aus.
  
  There is no way for apps to extract and misuse your key that is stored within the hardware wallet device unless you expose your seed words.
  - 0
  - 2019-03-19
  - Stephen Andrews
- @Stephenandrews danke.Wiegenau wissen Sie,dass dies der Fallist?Wasist zum Beispiel,was,wenn Ledger Live Sudo-Zugang hat?
  
  @StephenAndrews Thanks. How exactly do you know this is the case? For instance, what if Ledger Live has sudo access?
  - 0
  - 2019-03-19
  - luchonacho
- Es verwendetein Hardware-Sicherheitsmodul - Diesistein separater Chip,dernicht die Extraktion Ihresprivaten Schlüsselserlaubt.HSM sindbekannt undin derganzen Weltfür viele sichere Anwendungen verwendet.
  
  It uses a Hardware Security Module - this is a separate chip that does not allow to extraction of your private key. HSM are well known and used around the world for many secure applications.
  - 1
  - 2019-03-19
  - Stephen Andrews
- @Stephenandrewsich sehe.Das klingteher wieeine Antwort alsein Kommentar.CA Fügen Sieesbitte hinzu?Es scheint auchgegen die andere Antwort zugehen.
  
  @StephenAndrews I see. That sound more like an answer than a comment. Ca you add it please? It also seems to go against the other answer.
  - 0
  - 2019-03-20
  - luchonacho
- Esistnicht klar,was Siefragen.Wasgenaumeinen Siemit "Mappeerstellen"?Siemüssen sicherlich _some_-Software an das Ledger anschließen,daesnichtmit einer App vorinstalliert wird,die Tasten auf dem Tezos-Ableitungspfaderzeugt.
  
  It's not clear what you're asking. What exactly do you mean by "create a wallet"? You certainly must connect _some_ software to the Ledger, because it does not come preinstalled with an app which will generate keys at the Tezos derivation path.
  - 0
  - 2019-04-08
  - Tom
- Für Referenz können Sie https://gist.github.com/dakk/bdf6efE42ae920c660b20080A506DD und https://github.com/obsidiansystems/ledger-app-tezos überprüfen
  
  For reference you can check https://gist.github.com/dakk/bdf6efe42ae920acc660b20080a506dd and https://github.com/obsidiansystems/ledger-app-tezos
  - 0
  - 2019-04-09
  - Ezy
- @luchonacho: Ich habe diese Fragejetztgeschlossen,daesjetzt angemessen abgedeckt wurde.Darüber hinausfragen Sienichtmehr aufmehrere Folgemaßnahmenin der Anfrage auf Ihre ursprüngliche Frage.Esistnichtgutin der Praxis.Wenn Sie Folgefragen haben,erstellen Siebitte neue Fragen undfragen Sie sie zueiner Zeit.Andernfallsistes schwierig,Ihre Schwierigkeiten zu verfolgen und auch das Wissenfür den Rest der Gemeinschaft richtig zu organisieren.
  
  @luchonacho : i have now closed this question as it has been appropriately covered now. In addition please refrain from asking multiple follow-up question within comments in the answer to your original question. It is not good SE practice. If you have follow-up questions please create new questions and ask them there, one at a time. Otherwise it is difficult to keep track of your difficulties and also organize properly the knowledge for the rest of the community.
  - 0
  - 2019-04-14
  - Ezy

2 Antworten

Stimmen

adrian · Answer 1 · 2019-04-10

4

2019-04-10

Esgibt mehrere Schritte zu diesem Prozess,von denenichglaube,dass Siebereitsgetan haben,aberichgehe durch,nur um zumarkieren,wiees umsoeinsfunktioniert.

Ledger-Setup

Um das Ledger verwenden zu können,müssen Sieihnmit einem alten Samenphrase von zuvorinitialisieren odererzeugteine neuefür Sie. Sie solltenimmer sicherstellen,dass Sie direkt von der Ledger-Websiteein echtes Ledgergekauft haben.

Wenn Sie Ihr Ledgerinitialisieren,verwendetes die Zufälligkeit von Ihrem Saatgut undgeneriert verschiedeneprivate Tastenfür alle kryptografischen Tasten,die sie unterstützt. Es speichert dieseprivaten Schlüsselinnerhalb des sicheren Elements des Ledgers. Esistpraktisch unmöglich,dieprivaten Tasten vom sicheren Element zuextrahieren,auch wenn Siephysischer oder digitaler Zugriff darauf haben. Dereinzige Weg,um dieselbenprivaten Tasten zuerhalten,ist die Verwendung derselben Samenphrase.

Tezos Brieftasche Ledger-Anwendung

Das Ledger selbst weißnichts darüber,was TZ1,ETH- oder BTC-Adressenist. Um Ihre TZ1-Adresse zuerhalten,müssen Sie die Anwendung "Tezos Wallet" von Ledger Liveinstallieren. Die Anwendung kann die Ledger-Firmwarefür den öffentlichen Schlüssel desprivaten Schlüsselsfür die ED25519-Kurvebitten. Diesisteiner derprivaten Schlüssel,die deterministisch von Ihrem Samensatzerzeugt wurden. Die TEZOS-Wallet-Anwendung kann auch die abgeleitete TZ1-Adresse auf dem Ledger-Bildschirm anzeigen.

TEZBOX oder andere Clients

Ummit der TEZOS Wallet-Anwendung zuinteragieren,benötigen Sieeinen Software-Client,z. B. TEZBOX. TEZBOX hatnie Zugriff auf denprivaten Schlüssel auf dem Ledger. Es weiß,wieman den Tezos-Geldbörsenantrag auf dem Ledgerfür den öffentlichen Schlüsselfragt,dereinem bestimmtenprivaten Schlüssel wie obenbeschriebenentspricht. TEZBOXnimmt dann den öffentlichen Schlüssel undgibt dieentsprechende TZ1-Adresse aus. Sie solltenbestätigen,dass TEZBOX und der Ledger-Bildschirm dieselbe TZ1-Adresse anzeigen,um sicherzustellen,dassniemand Ihre Verbindung abfängt.

Wenn Sieeine Transaktionmit TEZBOX und dem Ledger senden,bereitet TEZBOX die Transaktion vor,sendetes dann an die TEZOS Wallet-Anwendung,die die Transaktion dekodiert und alle Details auf dem Bildschirm anzeigt. Sie sollten diejenigenimmer überprüfen,bevor Siees unterschreiben. Sobald Sie auf Zeichen auf klicken,fragt die TEZOS-Wallet-Anwendung die Ledger-Firmware,um die Transaktionmit einem derim sicheren Elementgespeichertenprivaten Schlüssel zu unterzeichnen. Derprivate Schlüssel verlässtniemals das sichere Element und die Unterzeichnungerfolgt auf diesem Chip. Esgibt dann die Signatur an die TEZOS BOOTET-Anwendung zurück,die wiederumesin TEZBOX zurückgibt,derihn dann aneinen FIRLNODE angibt.

Ich hoffe,das klärtein bisschen klar,wie das Ledger arbeitet :-) Ich würdegernemehr Fragen dazubeantworten. Awa schriebein wirklich Guter Anleitung ,wieman das Ledgerin Kombinationmit TEZBOX verwenden kann.

There are multiple steps to this process, all of which I think you have already done, but I'll walk through them just to highlight how some of it works.

Ledger Setup

In order to use the Ledger you have to initialise it with either an old seed phrase from before or it generates a new one for you. You should always ensure that you bought a genuine ledger directly from the Ledger website.

When you initialise your Ledger it uses the randomness from your seed and generates different private keys for all the cryptographic keys that it supports. It stores those private keys inside of the secure element of the Ledger. It is virtually impossible to extract the private keys from the secure element, even if you have physical or digital access to it. The only way to get the same private keys is to use the same seed phrase.

Tezos Wallet Ledger Application

The Ledger itself doesn't know anything about what TZ1, ETH or BTC addresses are. In order to obtain your TZ1 address you need to install the "Tezos Wallet" application from Ledger Live. The application has the ability to ask the Ledger firmware for the public key of the private key for the ed25519 curve. This is one of the private keys that was deterministically generated from your seed phrase. The Tezos Wallet application can also display the derived TZ1 address on the Ledger screen.

TezBox or other clients

In order to interact with the Tezos Wallet application you need a software client, such as TezBox. TezBox never has access to the private key on the Ledger. It knows how to ask the Tezos Wallet application on the Ledger for the public key that corresponds to some private key as described above. TezBox then takes that public key and outputs the corresponding TZ1 address. You should confirm that TezBox and the Ledger screen show you the same TZ1 address in order to ensure that no one is intercepting your connection.

When you send a transaction using TezBox and the Ledger, TezBox prepares the transaction, then sends it to the Tezos Wallet application, which decodes the transaction and displays all the details on the screen. You should always verify those before you sign it. Once you click sign, the Tezos Wallet application asks the Ledger firmware to sign the transaction using one of the private key that is stored in the secure element. The private key never leaves the secure element and the signing happens on that chip. It then returns the signature to the Tezos Wallet application which in turn returns it to TezBox which then submits it to a fullnode.

I hope that clarifies a little bit how the Ledger works :-) I'd be happy to answer more questions around this. Awa wrote a really good guide on how to use the Ledger in combination with TezBox.

Hervorragend!Vielen Dank!Ich kannnochnicht auftauchen,weilmein tägliches Limit verwendet wird:/,aberes wirdmirmorgentun.Einige Folgefragen.1) Wanngenauist die `tz1` Adresse anschließenderstellt?Istesbei der Installation der Tezos-Brieftasche durch Ledger live?2) Da das Ledgernureinen Satzprivater Schlüssel hat,bedeutet dies,dassesfürjede andere Adresse/Brieftaschegleichist,z.ETH oder BTC?3) Irgendwannmussich dem Blockchain sagen,dassesein neues `tz1-Kontogibt.Ist das,was die Adresse als "offenbaren"erwähnt wird?4) Wie sorgt der Hardware (undjede Software-Erstellungsbrieftasche)nicht zweiidentische `tz1`

Superb! Thanks! Can't upvote yet because used my daily limit :/ but will do so tomorrow. Some follow-up questions. 1) when exactly is the `tz1` address created then? Is it when installing the Tezos Wallet through Ledger Live? 2) Since the ledger has only one set of private keys, does it mean it is the same for any other address/wallet I create, e.g. ETH or BTC? 3) At some point I have to tell the blockchain there is a new `tz1` account. Is this what is mentioned as "reveal" the address? 4) How does the hardware (and any software-creation wallet) ensures not two identical `tz1` are created?
- 0
- 2019-04-10
- luchonacho
1. Die TZ1-Adresse wirderstellt,wenn Sie die TEZOS-Wallet-Anwendunginstallieren.Esist derprivate Schlüssel,der auf dem sicheren Element und seinem öffentlichen Schlüsselgespeichertist,und zeigt die vom öffentliche Schlüssel abgeleitete TZ1-Adresse an. 2. Das Ledger verwendet hierarchische deterministische Schlüsselableitungen,mit dem Sie viele verschiedene öffentliche Schlüssel aus demselbenprivaten Schlüssel ableiten können.Dadurchmüssen Sienureinen einzelnenprivaten Schlüsselfüreine unbegrenzte Anzahl öffentlicher Schlüssel aufbewahren.

1. The TZ1 address is created when you install the Tezos Wallet application. It takes the private key that is stored on the secure element and its public key and displays the TZ1 address derived from the public key. 2. The ledger uses hierarchical deterministic key derivation, which allows you to derive many different public keys from the same private key. Due to that you only have to store a single private key for an unlimited amount of public keys.
- 1
- 2019-04-10
- adrian
3. Ja,dasist weitgehend richtig.Bevor Sie dieerste Transaktion von Ihremneuen TZ1-Konto senden können,müssen Sie den öffentlichen Schlüssel aufgeben.Sie können XTZjedochimmer an Ihre TZ1 senden,auchbevor Siees offenbaren. 4. Dies kommt darauf,einen HD-Pfad zu verwenden,und dass die Entropie hintereinem Samenphraseeinzigartigist (dhesist wahrscheinlicher,dass das Universum vor zwei Personenimplodiert,bevor zwei Personen denselben Samensatz verwenden).

3. Yes that is largely correct. Before you can send the first transaction from your new TZ1 account you have to reveal its public key. However you can always send XTZ to your TZ1 even before you reveal it. 4. This comes down to using HD path and that the entropy behind a seed phrase is unique (ie it's more likely that the universe implodes before two people use the same seed phrase).
- 1
- 2019-04-10
- adrian
Schlagen Sie vor,die Ledger-Details zu löschen,dienicht um Tezos sind.Wennnicht,sollte sie diese korrigieren ... Die Apps laufenim sicheren Element und könnenihre Hände aufprivate Schlüsselerhalten.

Suggest deleting the Ledger details which are not about Tezos. If not, should correct them... The apps are running inside the secure element and are able to get their hands on private keys.
- 0
- 2019-04-11
- Tom

Blindripper · Answer 2 · 2019-03-18

0

2019-03-18

Erstes: Ja,Siemüsseneinen Knoten dazu ausführen.

hier istein Tutorial,wieesmit CLIgeht.

.

Es siehtmehr aus,alses dauert,wenn Sie ledgerlive verwenden (um das zuinstallierenTezos Brieftasche (und Backen) App.

Verwenden Sie also keine Drittanbieter-Software,umeine Brieftaschefür das Ledger zuerstellen,nicht sicher?

So, using a third-party software to create a wallet for Ledger is not secure then?
- 0
- 2019-03-18
- luchonacho
Scheinteine super starke Schlussfolgerung zu sein.Grundsätzlichistnur das Erstelleneiner Brieftasche über den Knoten zu 100% sicher.Diesist definitivnicht der Eindruck,den Menschenbekommen.

Seems to be a super strong conclusion. Basically, only creating a wallet via the node is 100% secure. This is definitely not the impression people get.
- 0
- 2019-03-18
- luchonacho
Wasist zu 100% sicher?:-)

What is 100% secure? :-)
- 1
- 2019-03-19
- Blindripper
In diesem Fall sind die Tasten vor undnach dem Erstelleneiner Brieftasche vonexternen Parteien abgeschirmt.Und wer weiß.Da die Firmware des Ledgers keine offene Quelleist,können sie selbstentweder direkt (Malintention) oderindirekt (Bugs)eine Gefahrquelle sein.

In this case, that the keys are shielded from external parties before and after creating a wallet. And who knows. Since the firmware of Ledger is not open source, they themselves might be, either directly (malintention) or indirectly (bugs) be a source of risk.
- 0
- 2019-03-19
- luchonacho
Dieprivaten Schlüssel sind auch "während der Wallet-Kreation"geschützt,da sie das Gerätniemals überlassen,unter keinen Umständen.Wasist das Verlassen des Gerätsnur die öffentlichen Schlüsseln.

The private keys are also protected "during" wallet creation, as they never leave the device, under no circumstances whatsoever. What is the leaving the device are only the public keys.
- 0
- 2019-03-20
- cryptodad
Hallo.Dies könnteeine andere Frage sein,aber ... Ich habemein Ledger voreinigen Wochenmit den 24 Wiederherstellungswörtern und Pin und all daseingerichtet.Wie Sie ausmeiner Frage sehen können,wollteich danneine Brieftaschemit der Hardwareerstellen,die Sie vorgeschlagen haben,ummit CLI zuerfolgen.Das habeichnichtgetan und habenichts anderesgetan,aber dann habeichgerademein Ledger an die Galleon-Brieftaschemiteinander verbunden,undeine TZ1-Adresseerschien dort.War vielleichteine Brieftasche,diebeim Initialisieren der Brieftascheerstellt wurde?Mein Ledgerist legitim.Kauftees vom Hersteller.

Hi there. This might be another question, but... I set up my ledger a few weeks ago, with the 24 recovery words and pin and all that. As you can see from my question, I then wanted to create a wallet using the hardware, which you suggested needed to be done with CLI. I did not do that, and did not do anything else, but then I just now connected my ledger to Galleon Wallet, and, a tz1 address appeared there. Was perhaps a wallet created when initialising the wallet? My ledger is legit. Bought it from the manufacturer.
- 0
- 2019-04-08
- luchonacho
Ich weißnicht,was die Fragebedeutet,aberes scheint sicher,dass Sie keinen Knoten ausführenmüssen.

I don't know what the question means, but it seems certain that you do not need to run a node.
- 0
- 2019-04-08
- Tom
@luchonacho Ihr Kommentar hier schlägt vor,dass Sie verwirrt sind.Siehe z.[dieses doc] (https://ledger.readthedocs.io/de/latest/background/hd_keys.html).Esistnichterforderlich,"eine Brieftaschemit der Hardwareerstellen";Alle TZ *-Adressen auf dem Gerät wurdenbestimmt,sobald Sie die 24 Wörter ausgewählt haben.IMO Diesist Kenntnissefürinteressante Fragen zum Ledger.

@luchonacho your comment here suggests you are confused. See e.g. [this doc](https://ledger.readthedocs.io/en/latest/background/hd_keys.html). There is no need to "create a wallet using the hardware"; all the tz* addresses on the device were determined as soon as you chose the 24 words. IMO this is required knowledge for interesting questions about the Ledger.
- 0
- 2019-04-08
- Tom
@Tomichmeine,umeine neue `tz1-Adresse zuerstellen.Sie können dasmit einer Softwaretun,in der Sienicht sicher sein,dass die Tastennicht aneinen Drittengesendet werden,odermit einer "Hardware" (z. B. Ledger),wo sie angeblich ohne die Intermediation vonjedermannerstellt werden,und dieSchlüsselfür den sicheren Aufenthaltim Gerät.Estutmir leid,dassmein Wissennichtgutgenugist,damit diese Fragefür Sieinteressantist.

@Tom I mean, to create a new `tz1` address. You can do that with a software, where you can't never be sure the keys are not sent to a third party, or with a "hardware" (e.g. Ledger), where they are supposedly created without the intermediation of anyone, and the keys for sure stay inside the device. I'm sorry my knowledge is not good enough for this question to be interesting to you.
- 0
- 2019-04-08
- luchonacho
Entschuldigung,keine Beleidigung.

Sorry, no offense.
- 0
- 2019-04-08
- Tom