Wir leben in einer Epoche des digitalen Feudalismus. Auf Plattformen wie X (ehemals Twitter), Instagram oder LinkedIn bist du lediglich ein PĂ€chter. Dein Account, deine Reichweite und deine Reputation sind ein âMietverhĂ€ltnisâ, das jederzeit durch einen simplen Datenbank-Befehl beendet werden kann.
Ein echter EigentĂŒmer akzeptiert keine ungedeckten Verbindlichkeiten. Deshalb wechseln wir von Plattformen (zentralisiert) zu Protokollen (dezentral).
In Nostr ist deine IdentitÀt kein Eintrag auf dem Server eines Silicon-Valley-Konzerns,
sondern ein mathematischer Beweis. Dein Privater SchlĂŒssel (nsec) ist das Ăquivalent zu einem Goldbarren
im Tresor. Wer den SchlĂŒssel hat, ist die IdentitĂ€t.
Dieser Guide beschreibt den pragmatischen Weg, der fĂŒr die meisten Sicherheits-Fans der einzig sinnvolle ist:
Key wird im Signer erzeugt und bleibt dort. Der Client bekommt nur den npub â und Signaturen.
nsec niemals in Primal, Amethyst oder irgendeinen Browser-Login.
Der nsec gehört in den Signer. Punkt.
Teil I: Die Vorbereitung (Der Reinraum)
Erstelle deine IdentitÀt nicht in einer Umgebung, der du nicht vertraust. Wenn du GrapheneOS nutzt: perfekt. Wenn nicht: so gut wie möglich absichern.
Das Werkzeug
- Smartphone: Android (idealerweise GrapheneOS). Flugmodus muss möglich sein.
-
Signer: Amber (erzeugt und verwahrt den Key).
Optional: Es gibt auch eine âOfflineâ-Variante von Amber (in den Releases alsamber-offline-...), wenn du den Signer möglichst âstummâ halten willst. - Client: Primal (oder Amethyst) â aber nur per External Signer.
nsec1... beginnt, abzugreifen.
Teil II: Die Genesis (Key-Erzeugung direkt in Amber)
Wir lassen den SchlĂŒssel nicht von irgendeiner Website erzeugen. Wir erzeugen ihn dort, wo er hingehört: im Signer.
- Flugmodus an. Optional: WLAN/Bluetooth zusÀtzlich aus.
- Amber öffnen und âNeuen Account erstellenâ / âCreate newâ wĂ€hlen.
- Amber erzeugt ein neues Keypair (Private Key + Public Key).
- Amber sofort absichern: PIN/Biometrie, System-Sperre aktiv.
nsec von anderen erzeugen oder zuschicken.
Wer den nsec sieht, kann theoretisch deine IdentitĂ€t ĂŒbernehmen. Erzeuge den Key direkt in Amber
und nutze danach ausschlieĂlich âExternal Signerâ im Client.
GrapheneOS Extra: Network-Berechtigung fĂŒr Amber deaktivieren
Wenn du GrapheneOS nutzt, kannst du Amber zusĂ€tzlich hĂ€rten: Entziehe Amber die Network-Berechtigung. Dann hat Amber keinen Netzwerkzugriff â und bleibt ein reiner Signer.
- Einstellungen â Apps â Amber â Berechtigungen â Network â AUS
- Wenn du Amber jemals fĂŒr netzwerkbasierte Funktionen nutzen willst, musst du Network wieder aktivieren. FĂŒr das reine Signieren im Zusammenspiel mit einem Client ist âNetwork AUSâ ein sehr sauberes Setup.
Teil III: Das Interface (Primal)
Jetzt installieren wir den Client, also das Fenster zur Welt. Wir nutzen Primal wegen der Geschwindigkeit und User Experience (Amethyst ist eine valide Alternative).
Der kritische Moment
Beim ersten Start fragt Primal nach einem Login. Millionen Nutzer tippen hier ihren nsec ein.
Du tust das nicht.
- WĂ€hle âLog in with External Signerâ (oder das SchlĂŒsselsymbol).
- Primal ruft Amber als External Signer auf.
- Amber fragt: âPrimal requests your public key. Allow?â
- BestÀtige dies.
Was ist passiert? Primal hat nur deinen öffentlichen SchlĂŒssel (npub) erhalten. Primal kennt das Geheimnis nicht.
Wenn du postest:
- Primal erstellt den Text.
- Primal schickt die Signaturanfrage an Amber.
- Du bestÀtigst in Amber.
- Amber signiert und gibt nur die Signatur zurĂŒck.
- Primal sendet den signierten Post ins Netzwerk.
Teil IV: Das Backup (Stahl statt Papier)
Digitale Daten korrumpieren. Papier verbrennt. Ein echter Alien Investor sichert fĂŒr die Ewigkeit.
- Der Code: Dein Private Key (
nsec) ist dein Backup. - Das Medium: Stanze ihn in Edelstahl (V2A/V4A) oder lagere ihn extrem sicher offline.
- Die Lagerung: Ein Exemplar in den Tresor, ein weiteres an einen geografisch getrennten Ort.
nsec in Amber.
Alien-Fazit: Willkommen in der SouverÀnitÀt
Du hast soeben eine digitale IdentitÀt geschaffen, die:
- Im Signer geboren wurde (nicht in einem zufÀlligen Client).
- Segregiert gelagert ist (der Client kennt das Geheimnis nicht).
- Physisch gesichert werden kann (Stahl ĂŒberdauert Feuer).
Das ist der Unterschied zwischen âeinen Account habenâ und âeine IdentitĂ€t besitzenâ. Du bist jetzt kein User mehr. Du bist ein souverĂ€ner Knoten im Netzwerk.
âVertraue niemandem. Verifiziere alles.â
đ WeiterfĂŒhrend: GrapheneOS â warum das Fundament zĂ€hlt
Wenn du die wichtigsten Eigenschaften von GrapheneOS (Hardening, Rechte-Management, Sandboxing, Netzwerk-Kontrolle)
sauber verstehen willst, lies meinen Artikel:
đ GrapheneOS â Sicheres Android
𧰠Tools fĂŒr echte EigentĂŒmer (Werbung/Affiliate)
Wenn du SouverÀnitÀt ernst meinst, nutze Hardware und Dienste, die dich respektieren:
-
đ± GrapheneOS & Pixel:
Stark gehÀrtetes Android ohne Google-Apps/Play-Dienste (wenn du es so einrichtest) und mit Fokus auf Security-Hardening.
đ https://grapheneos.org -
âż Bitcoin in Selbstverwahrung:
Hardware-Wallet statt Börsenkonto. Ich nutze die BitBox02.
đ https://alien-investor.org/bitbox -
đĄïž Privacy & Mail:
FĂŒr E-Mail, VPN und Cloud nutze ich Proton â datensparsam und ohne Big-Tech-AbhĂ€ngigkeit.
đ https://alien-investor.org/proton
Hinweis: Bei einigen Links handelt es sich um Affiliate-Links. Wenn du sie nutzt, unterstĂŒtzt du meine Arbeit, ohne dass es dich mehr kostet. Danke! đœ