đ Das SouverĂ€ne Protokoll â Architektur einer unkonfiszierbaren digitalen IdentitĂ€t
von Alien Investor
Wir leben in einer Epoche des digitalen Feudalismus. Auf Plattformen wie X (ehemals Twitter), Instagram
oder LinkedIn bist du lediglich ein PĂ€chter. Dein Account, deine Reichweite und deine Reputation sind
ein âMietverhĂ€ltnisâ, das jederzeit durch einen simplen Datenbank-Befehl beendet werden kann.
Ein echter EigentĂŒmer akzeptiert keine ungedeckten Verbindlichkeiten. Deshalb wechseln wir von Plattformen
(zentralisiert) zu Protokollen (dezentral).
In Nostr ist deine IdentitÀt kein Eintrag auf dem Server eines Silicon-Valley-Konzerns,
sondern ein mathematischer Beweis. Dein Privater SchlĂŒssel (nsec) ist das Ăquivalent zu einem Goldbarren
im Tresor. Wer den SchlĂŒssel hat, ist die IdentitĂ€t.
Dieser Guide beschreibt den pragmatischen Weg, der fĂŒr die meisten Sicherheits-Fans der einzig sinnvolle ist:
Key wird im Signer erzeugt und bleibt dort. Der Client bekommt nur den npub â und Signaturen.
Regel #1: Tippe deinen nsec niemals in Primal, Amethyst oder irgendeinen Browser-Login.
Der nsec gehört in den Signer. Punkt.
Teil I: Die Vorbereitung (Der Reinraum)
Erstelle deine IdentitÀt nicht in einer Umgebung, der du nicht vertraust. Wenn du GrapheneOS nutzt: perfekt.
Wenn nicht: so gut wie möglich absichern.
Das Werkzeug
Smartphone: Android (idealerweise GrapheneOS). Flugmodus muss möglich sein.
Signer:Amber (erzeugt und verwahrt den Key). Optional: Es gibt auch eine âOfflineâ-Variante von Amber (in den Releases als amber-offline-...),
wenn du den Signer möglichst âstummâ halten willst.
Client:Primal (oder Amethyst) â aber nur per External Signer.
Das Mindset: Wir gehen davon aus, dass jede Online-Umgebung feindselig ist.
Clipboard-Sniffer und Malware warten nur darauf, einen String, der mit nsec1... beginnt, abzugreifen.
Teil II: Die Genesis (Key-Erzeugung direkt in Amber)
Wir lassen den SchlĂŒssel nicht von irgendeiner Website erzeugen. Wir erzeugen ihn dort, wo er hingehört:
im Signer.
Flugmodus an. Optional: WLAN/Bluetooth zusÀtzlich aus.
Amber öffnen und âNeuen Account erstellenâ / âCreate newâ wĂ€hlen.
Amber erzeugt ein neues Keypair (Private Key + Public Key).
Wichtig: Der Private Key bleibt in Amber. Du behandelst Amber wie ein Hardware-Wallet fĂŒr Nostr.
Keine Experimente, keine âAlways sign without promptingâ-Bequemlichkeit ohne Grund.
Keine Fremd-Erzeugung: Lass dir niemals einen nsec von anderen erzeugen oder zuschicken.
Wer den nsec sieht, kann theoretisch deine IdentitĂ€t ĂŒbernehmen. Erzeuge den Key direkt in Amber
und nutze danach ausschlieĂlich âExternal Signerâ im Client.
Wenn du GrapheneOS nutzt, kannst du Amber zusÀtzlich hÀrten: Entziehe Amber die Network-Berechtigung.
Dann hat Amber keinen Netzwerkzugriff â und bleibt ein reiner Signer.
Wenn du Amber jemals fĂŒr netzwerkbasierte Funktionen nutzen willst, musst du Network wieder aktivieren.
FĂŒr das reine Signieren im Zusammenspiel mit einem Client ist âNetwork AUSâ ein sehr sauberes Setup.
Teil III: Das Interface (Primal)
Jetzt installieren wir den Client, also das Fenster zur Welt. Wir nutzen Primal wegen der Geschwindigkeit
und User Experience (Amethyst ist eine valide Alternative).
Der kritische Moment
Beim ersten Start fragt Primal nach einem Login. Millionen Nutzer tippen hier ihren nsec ein.
Du tust das nicht.
WĂ€hle âLog in with External Signerâ (oder das SchlĂŒsselsymbol).
Primal ruft Amber als External Signer auf.
Amber fragt: âPrimal requests your public key. Allow?â
BestÀtige dies.
Was ist passiert? Primal hat nur deinen öffentlichen SchlĂŒssel (npub) erhalten. Primal kennt das Geheimnis nicht.
Wenn du postest:
Primal erstellt den Text.
Primal schickt die Signaturanfrage an Amber.
Du bestÀtigst in Amber.
Amber signiert und gibt nur die Signatur zurĂŒck.
Primal sendet den signierten Post ins Netzwerk.
Reality Check: Das schĂŒtzt dich vor âClient klaut nsecâ. Es schĂŒtzt dich nicht, wenn dein Smartphone komplett kompromittiert ist
oder du Amber zu groĂzĂŒgig freigibst. SouverĂ€nitĂ€t heiĂt: minimale Rechte, maximale Skepsis.
Teil IV: Das Backup (Stahl statt Papier)
Digitale Daten korrumpieren. Papier verbrennt. Ein echter Alien Investor sichert fĂŒr die Ewigkeit.
Der Code: Dein Private Key (nsec) ist dein Backup.
Das Medium: Stanze ihn in Edelstahl (V2A/V4A) oder lagere ihn extrem sicher offline.
Die Lagerung: Ein Exemplar in den Tresor, ein weiteres an einen geografisch getrennten Ort.
Regel #2: Kein Cloud-Backup, keine Screenshots, kein Messenger, keine Notizen-App, kein Copy & Paste-Marathon.
Einmal sauber sichern. Dann bleibt der nsec in Amber.
Alien-Fazit: Willkommen in der SouverÀnitÀt
Du hast soeben eine digitale IdentitÀt geschaffen, die:
Im Signer geboren wurde (nicht in einem zufÀlligen Client).
Segregiert gelagert ist (der Client kennt das Geheimnis nicht).
Physisch gesichert werden kann (Stahl ĂŒberdauert Feuer).
Das ist der Unterschied zwischen âeinen Account habenâ und âeine IdentitĂ€t besitzenâ. Du bist jetzt kein
User mehr. Du bist ein souverÀner Knoten im Netzwerk.
âVertraue niemandem. Verifiziere alles.â
đ WeiterfĂŒhrend: GrapheneOS â warum das Fundament zĂ€hlt
Wenn du SouverÀnitÀt ernst meinst, nutze Hardware und Dienste, die dich respektieren:
đ± GrapheneOS & Pixel:
Stark gehÀrtetes Android ohne Google-Apps/Play-Dienste (wenn du es so einrichtest) und mit Fokus auf Security-Hardening.
đ https://grapheneos.org
đĄïž Privacy & Mail:
FĂŒr E-Mail, VPN und Cloud nutze ich Proton â datensparsam und ohne Big-Tech-AbhĂ€ngigkeit.
đ https://alien-investor.org/proton
Hinweis: Bei einigen Links handelt es sich um Affiliate-Links. Wenn du sie nutzt, unterstĂŒtzt du meine Arbeit,
ohne dass es dich mehr kostet. Danke! đœ
0(Speicherung nur lokal im Browser)
đ Quellen & Ressourcen
Offizielle Ressourcen zu den verwendeten Komponenten: