Neu: Die weltweit ersten Hardware-Wallets mit Secure Touchscreen

Jetzt kaufen

Was ist Clear Signing?

Lesen 8 min.
Anfänger
Wichtigste Erkenntnisse:
Die schnelle Verbreitung des Blockchain-Ökosystems hat dazu geführt, dass Transaktionen immer komplexer werden. Allerdings sind nicht alle Wallets dafür ausgelegt, die Details dieser komplexen Transaktionen in eine für Menschen lesbare Sprache zu übersetzen. Man spricht daher auch von Blindsignaturen oder „Blind Signing“.

Blind Signing ist ein erhebliches Hindernis im Ökosystem der Digitalwährungen und wurden in der Vergangenheit von Betrügern genutzt, um von ahnungslosen Kunden Milliardensummen zu ergaunern.

– Um die Herausforderungen des Blind Signing zu bewältigen, schlägt Ledgers Clear-Signing-Initiative ein Verfahren vor, mit dem bislang nicht interpretierbare Smart-Contract-Daten für Menschen lesbar gemacht werden können. Dadurch wird gewährleistet, dass innerhalb wie außerhalb des Ledger-Ökosystems die bekannte Maxime gilt: „Du signierst nur, was du siehst.“

Wenn es um Sicherheit in der Kryptowelt geht, gilt der altbekannte Grundsatz: Vertrauen ist gut, Kontrolle ist besser. Ledger-Geräte gelten für ihren Einsatzzweck seit einem Jahrzehnt als beliebteste Hardwarelösung. Sie verfügen über ein sicheres Display, das direkt vom Secure Element angesteuert wird. Außerdem verwahren sie private Schlüssel offline und ermöglichen es den Nutzern so, Transaktionen physisch zu verifizieren.

Allerdings hat sich das Umfeld für digitale Vermögenswerte seit der Einführung von Ledger stark verändert. Mit dem Aufkommen neuer Anwendungsfälle wie DeFi und NFTs haben Transaktionen an Umfang und Komplexität deutlich zugenommen. Leider sind die meisten Wallet-Schnittstellen nicht in der Lage, Transaktionsinformationen bereitzustellen, die von Menschen gelesen werden können. Das führt dazu, dass die meisten Nutzer Transaktionen signieren, ohne alle Details zu kennen. Daher spricht man vom Blind Signing. Hierbei handelt es sich um eine schwerwiegende Sicherheitslücke, die von Betrügern ausgenutzt wurde, um Milliardenbeträge von ahnungslosen Nutzern abzuschöpfen.

Die einzige Möglichkeit, dieses Risiko in den Griff zu bekommen, ist die branchenweite Einführung von Clear-Signing-Standards. Aber diese gestaltet sich viel schwieriger, als es klingt. Bevor wir uns jedoch im Detail ansehen, wie Ledger das Problem lösen will, müssen wir uns erst einmal mit den Grundlagen befassen. Was ist Clear Signing eigentlich genau?

Was ist Clear Signing?

Clear Signing ist schlichtweg die Antwort auf Blind Signing. Hierfür braucht man zweierlei:

  1. Eine eindeutige Transaktionsabsicht. Aus der Absicht muss hervorgehen, was für eine Genehmigung du signieren sollst und welche DApp die Genehmigung beantragt.
  2. Transaktionsfelder, die für Menschen lesbar sind. In den Transaktionsfeldern sollte in einer Sprache, die du verstehst, angegeben sein, wer der vorgesehene Empfänger ist und welche deiner Vermögenswerte davon betroffen sein werden.

Wenn diese beiden Anforderungen erfüllt sind, können Nutzer endlich eindeutig erkennen, welche Genehmigungen sie erteilen, und so wesentlich fundiertere Entscheidungen darüber treffen, ob eine Transaktion seriös ist oder nicht.

Statt also eine Transaktion zu signieren, die dir lediglich eine Zeichenfolge – einen so genannten Hash – anzeigt, kannst du bei einer Clear-Signing-Transaktion vor dem Signieren alle Transaktionsdetails überprüfen.

Wofür ist Clear Signing gut?

Clear Signing ist aus einem ganz bestimmten Grund wichtig: Es soll dazu beitragen, dass keine betrügerischen Transaktionen signiert werden.

Viele der verbreitetsten (und erfolgreichsten) Betrugsmaschen nutzen Blind Signing. Wenn du eine Hardware-Wallet verwendest, sind deine Schlüssel vor Online-Bedrohungen geschützt. Daher glaubst du vielleicht, dass du gegen alle Betrugsversuche immun bist. Eines muss aber klar sein: Ein Ledger-Gerät kann deine Schlüssel zwar vor Online-Bedrohungen schützen, aber es kann nicht verhindern, dass du Fehler machst! Wenn du eine schädliche Transaktion mit einem Ledger-Gerät signierst, gibt es kein Zurück mehr.

Bei den meisten Blind-Signing-Scams sollst du dazu überredet werden, eine schädliche Transaktion zu signieren, wobei dein Vermögen sofort an den Betrüger übertragen wird, oder eine betrügerische Smart-Contract-Funktion zu genehmigen, die Zugriff auf bestimmte Assets gewährt. Meistens werden solche Transaktionen über Phishing-Websites getarnt oder per Social Engineering unter dem Radar durchgeschleust, aber das Ergebnis bleibt stets dasselbe. Haben sich Nutzer erst einmal daran gewöhnt, Transaktionen zu signieren, die sie nicht vollständig verstanden haben, dann lassen sie sich auch dazu bewegen, ihre Signatur unter Anfragen zu setzen, die in böser Absicht gestellt wurden.

Das ist eine hohe Hürde und ein großes Problem für alle Nutzer, vor allem aber für Einsteiger. Denn wie soll man etwas vertrauensvoll signieren, wenn man gar nicht weiß, was man da signiert? Das Blind Signing ähnelt dem Ausstellen eines Blankoschecks – und anders funktioniert es für viele Nutzer auch gar nicht.

Clear Signing wurde eigens entwickelt, um diesem Risiko ein Ende zu setzen. Es ermöglicht auch Neueinsteigern, Transaktionen sicher und transparent abzuwickeln.

Clear Signing im Ledger-Ökosystem

Ledger engagiert sich dafür, wann immer möglich Clear Signing zu nutzen. In Ledger Live kannst du bei vielen Transaktionen alle Details dazu einsehen, welche Vermögenswerte du an wen überträgst – und zwar, bevor du signierst!

Der Hauptvorteil des Clear Signing auf einem Ledger-Gerät ist das sichere Display. Anders als beim Smartphone oder Laptop ist das Display deines Ledger-Geräts immun gegen Manipulationen. Da das Display deines Ledger-Geräts direkt vom Secure Element angesteuert wird, kannst du den angezeigten Details vertrauen. In Kombination mit dem Clear Signing ist so sichergestellt, dass du nur signierst, was du auch wirklich gesehen hast. Ob du den Secure Touchscreen einer Ledger Stax oder das sichere Display der Ledger Nano S Plus oder Ledger Nano X verwendest, spielt keine Rolle: Du kannst dich uneingeschränkt darauf verlassen, dass die angezeigten Details stimmen.

Die Clear-Signing-Initiative von Ledger

Zwar hat sich Ledger dem Clear Signing verschrieben, aber eine beträchtliche Anzahl komplexer Transaktionen kann in Ledger Live bislang nicht sicher interpretiert werden. Um eine breite Akzeptanz zu erreichen, ist Ledger auf die Kooperation mit Partnern aus dem gesamten Ökosystems angewiesen. Deshalb hat Ledger gemeinsam mit weiteren führenden Unternehmen und Entwicklern im Blockchain-Ökosystem einen Clear-Signing-Standard vorgeschlagen und umgesetzt.

Der Vorschlag übersetzt die Transaktionsdaten mithilfe des JSON-Formats. Dadurch lassen sich unkompliziert Apps und Wallets entwickeln, die Transaktionsdaten in für Menschen verständlicher Form anzeigen.

Anfang 2024 hat Ledger damit begonnen, seinen Clear-Signing-Standard und die zugehörigen Tools wichtigen Partnern im Ökosystem vorzustellen. Nach ersten Gesprächen mit Wallet- und DApp-Anbietern haben wir zusammen mit anderen Branchenführern und Entwicklern ein Clear-Signing-RFC-Webinar veranstaltet, um Feedback einzuholen. Alle Details findest du hier in unserer Entwicklerdokumentation.

In diesem Sommer 2024 wird Ledger die ersten Clear-Signing-Tools veröffentlichen. Aber das ist noch nicht alles. Das Ziel besteht darin, Clear Signing für möglichst viele Apps und Wallets einzuführen und so einen sicheren Transaktionsstandard zu etablieren.

Die Zukunft von Clear Signing

Seit über zehn Jahren ist Ledger führend bei der Sicherheit digitaler Vermögenswerte. Unser umfassender Ansatz integriert Hardware, Software, das eigenentwickelte Secure OS-Betriebssystem und sichere Displays in einem anwenderfreundlichen Paket. So können Ledger-Nutzer private Schlüssel offline generieren und verwahren – ein Umstand, der in einer immer stärker digital geprägten Welt für mehr Sicherheit sorgt.

Auch wenn Blind Signing eine ernsthafte Bedrohung darstellt, kann unsere Community bedeutende Schritte unternehmen, um es zu unterbinden. Mit der Clear-Signing-Initiative nähert sich das Kryptoökosystem noch stärker dem Ideal einer uneingeschränkt sicheren Umgebung an.


Bleibe in Kontakt

Ankündigungen sind in unserem Blog zu finden. Pressekontakt:
[email protected]

Abonniere unseren
Newsletter

Infos zu neu unterstützten Coins, exklusive Angebote und Blog-Updates, direkt in deinen Posteingang


Deine E-Mail-Adresse wird ausschließlich für die Zusendung unseres Newsletters sowie für Updates und Angebote verwendet. Du kannst dich jederzeit über den in den Newslettern enthaltenen Link abmelden.

Erfahre mehr darüber, wie wir deine Daten verwalten und welche Rechte du hast.