Joko Nicht jeden Tag bekommt man die Möglichkeit ein neues Hardware-Wallet zu testen. Die Amerikanische Firma Foundation Devices bringt mit ihrer „Batch 2“ eine verbesserte Version ihres Passports heraus. Ich habe von Foundation ein Test-Gerät zur Verfügung gestellt bekommen und es in der vergangenen Woche auf Herz und Nieren geprüft, um die Frage zu beantworten:
Unterscheidet sich der Passport genug von seinen Konkurrenten, um den hohen Anschaffungspreis zu rechtfertigen?
Foundation Devices
Foundation Devices wurde 2020 in den USA gegründet. CEO Zach Herbert und CTO Ken Carpenter sind nicht neu in der Hardware-Industrie. Zuvor arbeiteten sie für Obilisk und verkauften Bitcoin-Miner. Ohne hier in die Details gehen zu wollen, stand die Firma Obilisk stark in der Kritik, da sie Vorbestellungen für einen Miner annahm, der niemals geliefert werden sollte. Zach bestreitet zwar nicht, für die Firma gearbeitet zu haben, beide waren jedoch laut eigener Aussage in anderen Bereichen der Firma tätig und für die Probleme der Firma nicht verantwortlich.
Auch die Gründung von Foundation Devices war nicht unkontrovers. Da die Firmware des Passports auf jener der Coldcard Mk3 basiert, gab es zu Beginn viele kritische Kommentare. Open Source Code zu forken und für das eigene Projekt zu verwenden ist jedoch nicht nur legal, sondern ausdrücklich erlaubt – weshalb diese Kritik unangemessen ist.
Letztendlich baut der größte Teil der Hardware-Wallets auf dem Markt auf Trezor-Code auf. Nach Ankündigung des Passports entschied sich ColdCard dafür, keinen Open-Source-Code mehr zur Verfügung zu stellen und lediglich ‚source-viewable‘ zu bleiben. Dies bedeutet, dass andere den Code zwar anschauen, jedoch nicht mehr verwenden und verändern dürfen.
Design
Der Passport erinnert optisch an ein geschrumpftes Nokia 3310. Er besitzt einen großen farbigen Bildschirm, ein Steuerkreuz das links und rechts von zwei Aktions-Knöpfen umrahmt wird, sowie ein Keypad, das dem eines alten Handys gleicht.
Doch dort hören die Ähnlichkeiten noch nicht auf. Für moderne Handys unüblich, verfügt der Passport über eine abnehmbare Rückseite und eine austauschbare Batterie. Die Rückseite ist mit Magneten befestigt und lässt sich sehr leicht abnehmen.
Einzig die Gestaltung des Steuerkreuzes und der Rückseite ist mit eckigem Design und “gamerhaften” Verzierungen etwas zu verspielt. In dieser Hinsicht machte die erste Version einen seriöseren Eindruck.
Die Größe des Passports ist sowohl Vor- und Nachteil. Anders als von anderen Geräten gewöhnt, kann man den Passport nicht “einfach mal” in der Hosentasche mitnehmen. Durch Größe und Gewicht trägt man effektiv ein zweites Handy mit sich herum. Hier ist es einfach Geschmacksfrage, ob man ein schweres, substantielles oder ein leichtes, kleines Hardware-Wallet bevorzugt.
Verarbeitung
Optisch und haptisch macht der Passport einen sehr wertigen Eindruck. Durch das Metallgehäuse hat das Gerät ein recht hohes Gewicht, das gut zur Größe passt und Wertigkeit vermittelt.
Das zuvor angesprochene Redesign des Steuerkreuzes hat leider auch funktional zu Problemen geführt. Prinzipiell funktioniert dieses gut, doch betätigt man die linke/rechte Taste nicht 100% mittig, registriert das Gerät sowohl einen Druck der Links/Rechts als auch der Hoch/Runter-Taste und führt beide nacheinander aus. Beim Drücken der Nummer-Tasten fällt zudem auf, dass diese unterschiedliche Druckpunkte haben. Das ist nicht weiter schlimm, fällt aber dadurch auf, dass bei schneller Code-Eingabe öfter ein Tastendruck nicht richtig registriert wird.
Diese geringfügigen Probleme sind gegebenenfalls darauf zurückzuführen, dass es sich um die erste Produktions-Charge des Wallets handelt. Sie dürften gegebenenfalls bei später produzierten Geräten nicht mehr vorkommen.
Benutzerfreundlichkeit
Dass Foundation einen großen Fokus auf die Benutzerfreundlichkeit gelegt hat, ist auf den ersten Blick zu erkennen. Die Entscheidung, das Gerät optisch an ein altes Nokia-Handy anzulehnen, führt dazu, dass ein großer Teil der Nutzer bereits weiß, wie die Bedienung des Passports funktioniert.
Das Setup ähnelt aufgrund der Firmware-Basis dem der ColdCard, erspart sich jedoch einige Schritte, um die Nutzerfreundlichkeit zu verbessern. So verzichtet der Passport beim Aufsetzen auf zweiteilige Pins, Sicherungswörter und sogar auf das Niederschreiben (und Bestätigen) des Seeds. Einzig das Verschlüsselungspasswort für das Backup auf der MicroSD-Karte muss notiert und bestätigt werden. Dies führt dazu, dass die Einrichtung des Passports innerhalb von wenigen Minuten erledigt ist.
Hier hilft auch die Backupkarte, die der Verpackung beiliegt. Auf ihr können Seed und Verschlüsselungspasswort notiert werden.
Ein weiterer wesentlicher Faktor, der die Benutzerfreundlichkeit verbessert, ist die offizielle Companion-App „Envoy“ mit der der Passport aufgesetzt werden kann und welche den Nutzer durch die einzelnen Schritte leitet. Nach der Installation kann die App als Wallet verwendet werden.
Das Betriebssystem des Passports ist so aufgebaut, dass man horizontal zwischen unterschiedlichen Konten wechselt und vertikal die einzelnen Optionen auswählen kann. Dies funktioniert einfach und gut.
Da der Passport in der Regel nur kurzzeitig verwendet wird und nicht den ganzen Tag angeschaltet bleibt, hält der Akku erstaunlich lange. Während der 2 Wochen musste ich das Gerät nur einmal aufladen.
Software-Updates werden über MicroSD-Karte getätigt. Aus diesem Grund liegen der Verpackung zwei Kartenlesegeräte bei. Eines mit Lightning-Anschluss, ein zweites mit USB-C. Zweimal schlug bei mir das Update leider fehl, da ich an meinem Smartphone die MicroSD-Karte nicht ordnungsgemäß ausgeworfen hatte und die Update-Datei deshalb nur aus 0 Bytes bestand. Etwas, auf das es zu achten gilt.
QR-Codes
Für die Kommunikation zwischen Host-Gerät und Passport stehen zwei Möglichkeiten zur Verfügung: Die Verwendung einer MicroSD-Karte oder QR-Codes. Letztere sind vorherigen der Einfachheit halber deutlich vorzuziehen. Hierbei werden Informationen auf dem Host-Gerät (z.B. dem Computer) in Form eines QR-Codes angezeigt, vom Passport per Kamera eingelesen, dort verifiziert, um wiederum auf dem Passport Display als QR-Code angezeigt und von der Webcam des Computers eingelesen zu werden.
Die Unterstützung von QR-Code PSBTs bedeutet die automatische Integration in eine Fülle von Software-Wallets. Specter, Sparrow, Electrum, BlueWallet – Alle funktionieren auf Anhieb ohne Probleme.
Auch die Bestätigung von Bitcoin-Adressen funktioniert über QR-Codes. Hierbei wird einfach die Adresse am Computer per Watch-Only-Wallet abgeleitet und dann als QR-Code angezeigt. Der Benutzer scannt diese dann per Kamera ein und der Passport bestätigt, ob es sich um eine Adresse des eigenen Wallets handelt.
Hin und wieder kam es bei mir zu Problemen beim Scannen der QR-Codes des Passports mit der Webcam meines MacBooks, da die Codes verhältnismäßig klein sind und die minimale Fokusdistanz der Webcam recht weit ist. Mit dem neusten Update werden die Codes auf dem Display deutlich größer angezeigt. Dass sich das Display nicht automatisch abdunkelt, erschwert das Scannen in dunklen Räumen zusätzlich. In den Einstellungen kann man die Displayhelligkeit manuell ändern.
Wer den Passport am Desktop nutzen möchte, der braucht entweder eine Webcam oder muss auf die MicroSD-Karte zur Dateiübertragung zurückgreifen.
Sicherheit
Die technische Sicherheitsarchitektur des Passports ähnelt der der ColdCard oder der BitBox02. Hier wird ein Secure-Chip zur Verschlüsselung des Seeds verwendet, um die physische Sicherheit des Geräts zu verbessern. Das bedeutet, dass ein Dieb den Seed des Geräts nicht auslesen kann, wie es beispielsweise bei Geräten von Trezor der Fall ist.
Features wie der doppelten PIN bzw. die Sicherheits-Wörter wurden aus Benutzerfreundlichkeit als optionales Feature angeboten, statt den Nutzer zur Verwendung zu zwingen. Dabei handelt es sich um eine Funktion der ColdCard, bei der nach der Eingabe der ersten (von zwei) PIN zwei Wörter angezeigt werden, die nur das eigene Gerät anzeigt. Dies soll vor Evil-Maid-Angriffen schützen, bei denen ein „böses Hausmädchen“ das echte mit einem gefälschten Gerät austauscht, um an den PIN zu gelangen.
Firmware und App sind open source – können also von jedem eingesehen und verbessert werden.
Da Foundation das Anti-Klepto-Protokoll (Anti-Exfil) noch nicht implementiert hat, muss man dem Gerät (bzw. dem Hersteller) derzeit vertrauen, dass es den Seed des Users nicht heimlich über die Signaturen leakt. Aus Sicherheitsgründen wurden beim USB-C-Port des Geräts die Daten-Pins entfernt. So kann rein optisch verifiziert werden, dass keine Kommunikation über diesen Port möglich ist.
Der Passport erlaubt es zudem, eigene Firmware zu flashen. Lädt man seine eigene, modifizierte Firmware auf das Gerät, zeigt es beim Start eine Warnung an, die darauf hinweist, dass nicht die offizielle Software installiert ist. Dass für reguläre Firmware-Updates die gleiche MicroSD-Karte verwendet wird, wie für das Backup, ist zunächst eine fragwürdige Praxis. Da das Backup jedoch ausreichend verschlüsselt gespeichert ist, besteht hier keine Gefahr.
Beim Erstellen eines MultiSig-Wallets speichert der Passport die XPubs (bzw. die Hashes) der Cosigner. Das ist wichtig, da sich das Wallet sonst u.A. bei der Adress-Erstellung auf das Host-Gerät verlässt, das ihm die XPubs der anderen Cosigner gibt.
Insgesamt bietet der Passport, bis auf das Anti-Klepto Protokoll, alle wichtigen Sicherheitsmechanismen. Hier wurde sich stark auf den Code-Basis der ColdCard verlassen.
Privatsphäre
Auch um die Privatsphäre der Benutzer wird sich gekümmert. So kommuniziert zum Beispiel die Envoy App ausschließlich über das Tor-Netzwerk mit den Foundation Servern. Das bedeutet, dass die Firma zwar sieht, welche Adressen gescannt werden – doch nicht von wem.
Des Weiteren bietet der Passport die Option, vom Whirlpool-Hotwallet direkt auf das Hardware-Wallet zu mixen. Hierfür gibt es einen eigenen Menüpunkt. Das macht das Coinjoinen noch einmal ein Stück einfacher und spart zusätzlich Transaktionskosten.
Preis
Wer einen Passport kaufen möchte, muss dafür aktuell $259 plus Einfuhrsteuer und Versandkosten zahlen. Insgesamt dürfte der Preis damit hierzulande bei etwa 350€ liegen. Damit ist der Passport neben dem Keystone Ultimate das teuerste Hardware-Wallet auf dem Markt.
Da der Passport in Handarbeit gefertigt wird, viele teure Komponenten verwendet und das Verkaufsvolumen noch nicht sehr hoch ist, dürfte auch der Herstellungspreis deutlich höher liegen als bei anderen Geräten.
Fazit
Mit dem Passport zeigt Foundation Devices, wieso Open-Source-Entwicklung wichtig ist. Durch die Verwendung der ColdCard-Firmware wird dem Endkunden ein zusätzliches Angebot gemacht, das sich zwar von der Sicherheit her kaum vom Original unterscheidet – doch einen größeren Fokus auf Benutzerfreundlichkeit setzt. Der deutlich höhere Preis des Passports sorgt zusätzlich dafür, dass es hier nicht zu einer großen Zielgruppenüberschneidung kommen dürfte.
In dem kurzen Zeitraum zwischen Geräteherstellung und diesem Test gab es bereits 3 Software-Updates, die u.A. Feedback von Kunden umgesetzt haben. Das ist ungewöhnlich schnell und gehört gelobt.
Wer dazu bereit ist, für mehr Nutzerfreundlichkeit den deutlich höheren Preis für das Wallet zu zahlen, wird es sicher nicht bereuen. Dazu gibt es einfach zu wenig am Passport auszusetzen und gleichzeitig zu viel zu loben.
Den Passport kannst du hier kaufen ($10 Rabatt mit Code BTC21).
Update (15.10.22): Foundation Devices stoppt die Produktion temporär, um die Qualität der Tasten zu verbessern.
Spende uns
Wenn dir dieser oder einer unserer anderen Beiträge gefallen hat, würden wir uns über eine kleine Spende freuen:
