🔑 Nostr & Sicherheit: Warum du deinen Private Key niemals in eine App kopieren darfst (und warum du Amber brauchst)

Auf Nostr bist du keine Zeile in der Datenbank eines Tech-Konzerns. Du bist ein kryptografischer Schlüssel. Dein privater Schlüssel (nsec) ist deine Stimme, deine Identität und dein Ruf. Wer diesen Schlüssel hat, ist du.

Trotzdem begehen die meisten Nutzer – besonders die bequemen unter uns – täglich digitales Harakiri: Sie kopieren ihren nsec aus dem Passwort-Manager und fügen ihn direkt in Apps wie Primal oder Damus ein. Das funktioniert, ist aber aus sicherheitsarchitektonischer Sicht ein Albtraum.

Warum das so ist, warum dein Passwort-Manager hier an seine Grenzen stößt und warum du dringend auf einen dedizierten Signer wie Amber umsteigen solltest, klären wir heute.

1. Das Problem: Dein „Login“ ist eigentlich eine Kapitulation

Wenn du dich bei einer Nostr-App wie Primal anmeldest, indem du deinen Key einfügst, passieren im Hintergrund Dinge, die du verstehen musst.

Das Clipboard ist ein öffentlicher Marktplatz

Ein Passwort-Manager ist dafür gebaut, Geheimnisse sicher zu speichern. Aber um sie zu nutzen, muss er sie entschlüsseln und an das Betriebssystem übergeben – meist über die Zwischenablage (Clipboard).

• Malware-Radar: Es gibt Malware, die nichts anderes tut, als das Clipboard permanent nach Strings wie nsec1... oder Bitcoin-Adressen zu scannen (Clipboard-Hijacking).
• Tastatur-Apps: Wenn du Gboard oder SwiftKey nutzt, landet deine Zwischenablage oft im Cache der Tastatur-App – und je nach Einstellung in der Cloud von Google oder Microsoft.

Die „Hot Wallet“-Falle

Sobald du den Key in Primal (oder eine andere Client-App) einfügst, muss die App ihn speichern, damit du nicht bei jedem Like neu gefragt wirst.

Das bedeutet: Eine komplexe Social-Media-App mit Millionen Zeilen Code, Bild-Parsern und ständigem Internetzugriff hält deinen wichtigsten Schlüssel dauerhaft im Zugriff. Findet ein Hacker eine Lücke in Primal (z. B. durch ein manipuliertes Bild), kann er theoretisch deinen Key auslesen. Du hast aus deinem Client eine „Hot Wallet“ gemacht.

2. Die Lösung: Amber und das Prinzip der „Signer“

Amber ist ein Nostr Event Signer für Android. Die App macht genau eine Sache: Sie verwahrt deinen Schlüssel und unterschreibt Dinge für dich – aber sie gibt den Schlüssel niemals heraus.

Unterschied: Geheimnis vs. Unterschrift

• Der alte Weg (Primal hat den Key): Du gibst Primal dein komplettes Scheckbuch und unterschreibst Blankoschecks. Primal kann jederzeit alles tun.
• Der Signer-Weg (Amber): Primal kommt mit einem ausgefüllten Scheck zu dir (einem Event) und fragt: „Kannst du das bitte unterschreiben?“ Amber prüft das, unterschreibt kryptografisch und gibt nur die Unterschrift zurück. Der Schlüssel selbst verlässt Amber nie.

Technisch funktioniert das über NIP-55 (Android Intents). Es findet kein Datentransfer des Schlüssels statt. Primal weiß nicht einmal, wie dein Private Key aussieht; die App kennt nur deinen öffentlichen Schlüssel (npub).

„Amber ist wie eine Hardware-Wallet, die als Software auf deinem Handy läuft. Sie isoliert das Geheimnis von der App, die ins Internet funkt.“

3. Warum Amber sicherer ist als dein Passwort-Manager

Viele denken: „Eine zusätzliche App vergrößert doch die Angriffsfläche?“ – Falsch. In diesem Fall ist es genau umgekehrt, es nennt sich Kompartimentierung.

Kein Internetzugriff für den Schlüssel

Du kannst (und solltest) Amber in den Android-Einstellungen den Internetzugriff komplett entziehen. Eine App, die nicht „nach Hause telefonieren“ kann, kann deinen Key nicht stehlen, selbst wenn sie kompromittiert wäre. Primal hingegen muss online sein.

Android Keystore & Biometrie

Amber nutzt das Android Keystore System. Dein Schlüssel wird, wenn möglich, in einem speziellen Sicherheitschip (Titan M, StrongBox) verarbeitet. Zusätzlich kannst du jede Signatur per Fingerabdruck absichern. Selbst wenn jemand dein entsperrtes Handy klaut und Primal öffnet, kann er nichts posten, weil Amber deinen Fingerabdruck für die Signatur verlangt.

4. Die „Legacy“-Frage: Mein Key wurde in Primal erstellt – ist er verbrannt?

Das ist der häufigste Einwand: „Ich habe meinen Account direkt in Primal erstellt. Der Key war also schon online. Lohnt sich der Wechsel noch?“

Die Antwort ist ein klares JA.

Origin Risk vs. Future Protection

Natürlich: Wenn Primal in der Vergangenheit böse war oder gehackt wurde, könnte dein Key theoretisch irgendwo auf einem Server liegen. Das ist das „Ursprungsrisiko“. Aber:

• Indem du jetzt migrierst, schützt du dich vor zukünftigen Angriffen.
• Wenn morgen ein bösartiges Update für Primal kommt oder eine Sicherheitslücke entdeckt wird, ist dein Key nicht mehr dort. Der Angriff läuft ins Leere.
• Du degradierst Primal vom „Besitzer“ deiner Identität zum bloßen „Nutzer“.

5. Anleitung: So migrierst du richtig (Der „Primal Nuke“)

Einfach nur „Ausloggen“ reicht oft nicht, da Datenreste im Speicher bleiben können. Hier ist der saubere Weg zur Souveränität:

1. Backup prüfen: Stelle sicher, dass du deinen nsec sicher (offline, auf Papier/Metall) notiert hast. Ohne Backup kein Zugriff!
2. Amber installieren: Lade dir Amber herunter (am besten via F-Droid oder GitHub, prüfe die Quelle).
3. Key importieren: Gib deinen nsec in Amber ein. Aktiviere sofort die biometrische Sperre (Fingerabdruck).
4. Der „Nuke“ bei Primal: Logge dich nicht einfach aus. Gehe in die Android-Einstellungen → Apps → Primal → Speicher → Daten löschen. Das zwingt Android, den gesamten Speicherbereich der App physikalisch zu bereinigen.
5. Neustart via Signer: Öffne das „frische“ Primal. Wähle beim Login nicht „Enter nsec“, sondern „Log in with external signer“ (oft ein Schlüsselsymbol).
6. Autorisieren: Amber öffnet sich und fragt um Erlaubnis. Bestätige es. Fertig.

Jetzt nutzt du Primal nur noch als reine Oberfläche. Dein Schlüssel liegt sicher im Tresor von Amber.

6. Alien-Fazit: Hol dir deine Hoheit zurück

Bequemlichkeit ist der Feind der Sicherheit. Das Copy-Pasten von Private Keys ist eine schlechte Angewohnheit aus der Web2-Welt, die wir ablegen müssen.

Die Migration zu einem Signer wie Amber transformiert dein Smartphone effektiv in eine „Hardware Wallet Light“. Du tauschst ein systemisches Risiko (Key im Clipboard und in der App) gegen eine gehärtete Architektur. Auch wenn es fünf Minuten dauert: Mach es. Deine digitale Identität ist es wert.