6 Min. Lesezeit
Warum der Identity Seed auch mit einem Passkey wichtig bleibt
Ja, du musst deinen Identity Seed auch mit einem Passkey sichern. Der Passkey ist eine bequeme Entsperrung; der Seed ist die portable Identität, die in CardanoWall, der CLI, den SDKs und jedem Label-309-Werkzeug funktioniert.
Ja, du musst deinen Identity Seed sichern, auch wenn du einen Passkey hinzufügst.
Der Passkey ist die tägliche Entsperrung. Der Identity Seed ist die Identität. Sicherst du den Seed, kannst du dieselbe Label 309-Identität überall rekonstruieren: in CardanoWall, im quelloffenen Kommandozeilen-Werkzeug, in den SDKs und in jeder anderen Software, die den Standard umsetzt. Verlierst du den Seed und jede Möglichkeit, deinen Tresor zu entsperren, ist die künftige Nutzung dieser Identität für immer verloren.
Das ist kein Versehen. Es ist die direkte Folge davon, dass CardanoWall niemals die Obhut über deine Identität übernimmt. Könnte ein Dienst dir deine Identität aus dem Nichts zurückgeben, könnte er auch zu dir werden.
Was ist der Identity Seed?
Der Identity Seed ist ein einzelnes, 32 Byte großes Geheimnis. Aus diesem einen Wert leitet jedes Label-309-Werkzeug deterministisch die Schlüssel ab, die deine Identität braucht, um:
- Existenznachweis-Einträge zu signieren;
- versiegelte Einträge an einer klassischen Empfangsadresse zu empfangen;
- versiegelte Einträge an einer optionalen Post-Quanten-Empfangsadresse zu empfangen;
- an die Identität adressierte Einträge zu entschlüsseln;
- nachzuweisen, dass du die Identität tatsächlich besitzt, wenn du sie in ein neues Konto importierst.
Der Seed ist die portable Wurzel von all dem. Er ist keine Cardano-Wallet-Seed-Phrase. Er hält kein ADA, er verfügt über keine Gelder, und er ist keine Zahlungs-Wallet. Er ist die Wurzel einer Label-309-Identität, und nichts sonst. Eine ausführlichere Darstellung, wie eine Identität aus diesen 32 Byte wächst, findest du in Deine Identität ist ein Seed.
Warum versteckt CardanoWall den Seed nicht einfach für mich?
Weil ein vollständiges Verstecken den Dienst zu deiner Wiederherstellungsinstanz machen würde – und genau das verweigert das Design.
Könnte CardanoWall deine Identität ohne den Seed zurücksetzen oder neu erstellen, müsste es ein Geheimnis halten, das mächtig genug ist, um an deiner Stelle zu handeln. Dieses Geheimnis würde den Dienst zu einem Verwahrer machen: zu einem einzelnen Punkt, der angegriffen, per Gerichtsbeschluss erzwungen oder einfach abgeschaltet werden kann – und der deine Identität gleich mitnimmt.
Die Trennung ist also bewusst gewählt. CardanoWall kann einen verschlüsselten Tresor anbieten, und ein Passkey kann diesen Tresor öffnen. Aber der Tresor ist eine Komfortschicht. Der Seed ist das, was dir uneingeschränkt gehört.
Was macht der Passkey dann eigentlich?
Er öffnet den Komfort-Tresor, mehr nicht.
Sobald du den Seed gesichert hast, kannst du einen Passkey hinzufügen. Der Passkey lässt deinen Browser den verschlüsselten Identitäts-Tresor entsperren, ohne dass du jedes Mal den Seed einfügen musst. Genau das hält die tägliche Arbeit flüssig:
- Einträge signieren;
- eingehende versiegelte Einträge entschlüsseln;
- zwischen Identitäten wechseln;
- versiegelte Nachrichten verfassen;
- auf einem anderen angemeldeten Gerät entsperren, wo dein Passkey-Anbieter ihn synchronisiert;
- nach einem verlorenen Laptop wieder hineinkommen, sofern dein Passkey synchronisiert ist.
Der Tresor selbst hält verschlüsselten Chiffretext, keine Seeds im Klartext, und er ist ausschließlich an deine Passkeys adressiert, sodass der Dienst ihn nicht lesen kann. Das vollständige Bild davon, was ein Passkey entsperrt und was nicht, findest du in Wie Passkeys deinen Identitäts-Tresor schützen.
Der Haken ist die Reichweite: Ein Passkey ist an ein Konto und einen Plattformkontext gebunden. Der Seed nicht.
Was kann der Seed, was ein Passkey nicht kann?
Er kann die Identität überallhin mitnehmen. Mit dem Seed kannst du:
- die Identität in ein neues CardanoWall-Konto importieren;
- sie in andere Label-309-Software bringen;
- sie über das Kommandozeilen-Werkzeug nutzen;
- sie in einem Drittanbieter-Werkzeug nutzen, das den Standard umsetzt;
- eine Team-Identität bewusst teilen;
- wieder hineinkommen, wenn der gehostete Tresor nicht verfügbar ist;
- bestätigen, dass die abgeleiteten öffentlichen Schlüssel zu der erwarteten Identität passen.
Ein Passkey entsperrt den Tresor eines Kontos. Der Seed rekonstruiert die Identität selbst. Deshalb behandelt CardanoWall den Seed als das kanonische Backup und den Passkey als einen Cache darüber.
Was passiert, wenn ich den Seed verliere?
Das hängt davon ab, was du sonst noch hast.
Hast du noch einen funktionierenden Passkey und ist der gehostete Tresor online, ist alles in Ordnung: Du kannst die Identität öffnen und den Seed in den Einstellungen erneut anzeigen lassen, hinter einem Schritt zur erneuten Authentifizierung. Nimm das als deinen Moment, ihn endlich an einem dauerhaften Ort zu sichern.
Verlierst du den Seed und jeden Faktor zum Entsperren des Tresors, ist die künftige Nutzung der Identität verloren. Du kannst keine neuen Einträge mehr unter ihr signieren. Du kannst keine versiegelten Einträge mehr entschlüsseln, die an sie adressiert sind – auch nicht solche, die nach dem Verlust eintreffen. Und niemand bei CardanoWall kann sie zurücksetzen, weil niemand bei CardanoWall sie hat.
Deine bereits veröffentlichten Nachweise sind eine andere Geschichte. Sie lassen sich weiterhin verifizieren, weil die Verifizierung allein auf öffentlichen Daten beruht: den Transaktions-Metadaten auf Cardano und, wo nötig, den Inhalts-Bytes. Nichts an einem verlorenen Seed macht das, was du bereits veröffentlicht hast, ungültig.
Was passiert, wenn jemand den Seed stiehlt?
Behandle die Identität als kompromittiert und ersetze sie.
Wer den Seed besitzt, kann dieselben privaten Schlüssel ableiten. Er kann als deine Identität signieren und versiegelte Einträge entschlüsseln, die an sie adressiert sind, vergangene wie künftige. Dieses Wissen lässt sich nicht widerrufen.
Die Antwort ist nicht, den Seed innerhalb derselben Identität „zu ändern“. Ein Seed ist genau eine Identität, dauerhaft. Stattdessen:
- erstelle eine neue Identität;
- sichere den neuen Seed;
- veröffentliche oder verteile die neuen öffentlichen Schlüssel über Kanäle, denen Menschen vertrauen;
- deaktiviere die alte Identität im Dienst;
- höre auf, die alten Empfangsadressen zu nutzen;
- veröffentliche, wo es hilft, Einträge, die die alten ablösen.
Deshalb verdient der Seed dieselbe Sorgfalt wie jedes andere hochwertige Geheimnis. Der Unterschied zwischen dem Deaktivieren einer alten Identität und ihrem Löschen ist es wert, bekannt zu sein, bevor du ihn brauchst; siehe Aktiv, deaktiviert, gelöscht.
Wo sollte ich den Seed aufbewahren?
An einem Ort, dem du für langfristige Geheimnisse ohnehin vertraust. Gute Optionen sind unter anderem:
- ein renommierter Passwortmanager;
- ein offline gehaltenes, verschlüsseltes Archiv;
- eine gedruckte Kopie an einem sicheren Ort;
- ein unternehmensweites Verfahren zur Geheimnisverwaltung;
- ein versiegelter Umschlag im Bürotresor, für eine geteilte Team-Identität.
Meide die Orte, aus denen Geheimnisse abfließen:
- Screenshots in der Fotobibliothek deines Smartphones;
- einfache, unverschlüsselte Notizen;
- Chat-Nachrichten;
- E-Mail-Entwürfe;
- Issue-Tracker oder Wikis;
- öffentliche Dokumente;
- jeder Ort, an dem du aus Reflex eine Wallet-Phrase einfügen könntest.
Das passende Schutzniveau richtet sich nach dem Wert der Identität. Eine Wegwerf-Testidentität und die geteilte Identität einer Redaktion verdienen nicht dieselbe Aufbewahrung.
Ist der Seed eine Wallet-Phrase?
Nein, und CardanoWall gibt sich Mühe, beides klar getrennt zu halten.
CardanoWall verwendet für Identitäten bewusst keine Wortlisten im Wallet-Stil. Ein Label-309-Identity-Seed wird als prüfsummengesicherte Zeichenfolge angezeigt, die nichts mit einem Krypto-Wallet-Backup gemein hat – genau deshalb, damit du die beiden nicht verwechselst. Die Prüfsumme fängt Tippfehler und abgeschnittene Eingaben ab, ohne das Wortraster-Format zu übernehmen, das Menschen mit Geldern verbinden.
Füge niemals eine Cardano-Wallet-Phrase in CardanoWall ein. Es braucht keine und fragt niemals danach. Der Identity Seed ist für deine Label-309-Identität, Punkt.
Wie oft sollte ich den Seed anfassen?
So selten wie möglich. Das gesunde Muster ist:
- die Identität erstellen oder importieren;
- den Seed sichern;
- einen Passkey hinzufügen;
- den Passkey für die täglichen Entsperrungen nutzen;
- den Seed nur dann anzeigen oder erneut eingeben, wenn du die Identität umziehst, wiederherstellst oder prüfst.
So bleibt der Seed wirklich portabel, ohne dass du jeden Tag ein rohes Geheimnis handhaben musst. Im Alltag tippst du auf einen Passkey; der Seed wartet sicher im Hintergrund.
Die Kurzfassung
Der Identity Seed ist die Identität. Der Passkey ist die bequeme Entsperrung.
Sichere den Seed, bevor du anfängst, dich auf die Identität zu verlassen. Nutze Passkeys, um die tägliche Arbeit flüssig zu halten. Halte den Seed von nicht vertrauenswürdigen Geräten fern und verwechsle ihn niemals mit einer Wallet-Phrase. Wenn CardanoWall dir jeden Tag helfen kann und deinen Seed trotzdem nicht ersetzen kann, dann funktioniert das Modell genau so, wie es entworfen wurde.
Weiterführende Lektüre
- Was passiert, wenn du einen Passkey entfernst? – einen Faktor entfernen und was das widerruft und was nicht.
- Der offene Standard ist unter label309.org zu Hause, und die quelloffenen SDKs und das Kommandozeilen-Werkzeug findest du unter github.com/cardanowall.