Security

Selbst überprüfen

Du musst uns nicht glauben. Jede Behauptung im Sicherheitsmodell ist etwas, das du von Hand prüfen kannst — kein Zugriff auf den Quellcode erforderlich. Hier sind vier Black-Box-Prüfungen, die jeder durchführen kann.

1. Den QR dekodieren

Dekodiere mithilfe der Regeln in bb_sign_encoding.txt jeden Signier-QR zu Klartext und bestätige, dass er nur Transaktionsdaten und eine Signatur enthält — nichts Privates hineingeschmuggelt.

2. Den Signier-Determinismus testen

Signiere auf einer EVM-Chain (ETH, BSC und Familie) dieselbe Transaktion zweimal — eine identische Signatur weist auf eine deterministische Nonce (RFC 6979) hin, was den auf Zufälligkeit basierenden verdeckten Kanal entfernt. Kein Quellcode-Zugriff nötig.

Auf anderen Chains unterscheidet sich die Rohtransaktion legitim zwischen den Versuchen, sodass eine Byte-für-Byte-Übereinstimmung nicht zu erwarten ist: BTC wählt möglicherweise andere UTXOs, TRON stempelt eine neue Ablaufzeit auf und Solana bettet einen frischen aktuellen Blockhash ein. Dort ist der zu prüfende Determinismus, dass die Signatur für eine identische Nachricht reproduzierbar ist.

3. Die Verträge lesen

Prüfe die öffentlichen MultiSig-Verträge, die die Gelder regeln, unter github.com/bitbill/ownbit-multisig-contracts, und bestätige, dass der an deiner Adresse bereitgestellte Vertrag ihnen auf einem Block-Explorer entspricht.

4. Standard-Seed-Import überprüfen

Erzeuge auf dem Offline-Smartphone einen Seed mit einem externen Tool und bestätige, dass Ownbit ihn importiert und dieselben Adressen ableitet — was beweist, dass es BIP32/39/44 statt eines proprietären Algorithmus folgt.

FAQ

Häufig gestellte Fragen

Wie kann ich Ownbit ohne den Quellcode überprüfen?

Führe die vier Black-Box-Prüfungen durch: einen Signier-QR zu Klartext dekodieren, dieselbe Transaktion zweimal signieren und vergleichen, die öffentlichen On-Chain-Verträge lesen und einen Standard-Seed importieren, um die standardmäßige Ableitung zu bestätigen.

Wie prüfe ich, dass das Signieren deterministisch ist?

Signiere auf EVM-Chains dieselbe Transaktion zweimal und vergleiche — identische Signaturen weisen auf eine deterministische Nonce (RFC 6979) hin. Auf BTC, TRON und Solana ändert sich die Rohtransaktion zwischen den Versuchen (andere UTXO-Auswahl, Ablaufzeit oder aktueller Blockhash), also vergleiche die Signatur für eine identische Nachricht statt der gesamten Transaktion.

Zuletzt aktualisiert:

Download

Ownbit herunterladen

Installiere die App und richte dann eine Cold Wallet oder MultiSig für deinen Workflow ein.