Hoe TailsOS te gebruiken op een USB-stick, met Electrum en KeePass, en hoe je je eigen cold wallet bouwt

| | | | | | | | |

Oorspronkelijk geplaatst op Substack op 30 dec. 2021

Hier bijgewerkt op 20 dec. 2024

Veel nieuwe BTC-gebruikers hebben me gevraagd om deze handleiding te schrijven, over hoe je je eigen cold wallet kunt maken en geen hardware wallet kunt gebruiken. Ik zal hier beschrijven hoe je TailsOS op een USB-stick kunt gebruiken, met Electrum en KeePass (hebben ook een ingebouwde wachtwoordgenerator).

Deze opslagmethode is voor gebruikers die vertrouwd zijn met het gebruik van computers, systemen en al een basiskennis hebben over Bitcoin.

Deze methode IS NIET voor mensen die nog niet zo bekend zijn met deze technologie en niet zo technisch zijn. Voor hen raad ik aan om gewoon een hardware wallet te kopen en deze methode te vergeten.

Belangrijke aspecten over cold wallets:

• een cold wallet moet altijd minstens een kopie hebben (zelfs in een andere vorm van back-up) en op een andere geografische locatie worden opgeslagen. Je weet nooit wat er kan gebeuren.
• een cold wallet is NIET je dagelijkse gebruikswallet! Zoals ik hier in zijn gids uitlegde, moet je je stash in drie wallet-niveaus bewaren. Elke cold/HODL-wallet, ongeacht het formaat waarin je hem bewaart, moet op een veilige plek worden bewaard, die niemand anders kent en mag je niet gebruiken. Om geld te storten op diezelfde wallet, heb je maar een paar BTC-adressen en/of een MPK/Xpub-sleutel nodig die je hebt geïmporteerd in een "watch-only" wallet-app. Watch-only betekent dat de privésleutels nooit de online wereld zullen raken, je kunt alleen geld storten op die wallet en het saldo controleren. Hier is een handleiding hoe je "watch-only" wallets gebruikt.
• een cold wallet is alleen toegankelijk als je echt geld van daaruit moet verplaatsen (dringende kwestie) of als je het walletsysteem, firmware, OS etc. wilt upgraden.
• test altijd de herstelprocedure VOORDAT je geld in die wallet stopt. Vaak totdat je vertrouwd bent met het proces en je zeker weet dat je je wallet kunt herstellen in geval van SHTF. Oefening baart kunst.

Waarom ik deze methode aanbeveel, laten we het "Tails wallet" noemen?

Er zijn veel redenen die we kunnen noemen:

• is spotgoedkoop (de enige kosten zijn de USB-stick(s). Dus waarom zou je niet meer sats stapelen in plaats van (voor sommigen) dure hardware wallets te kopen?
• TailsOS is een sterk Debian Linux-systeem OS, draagbaar, met ingebouwde Tor en veel andere nuttige apps.
• krijgt geen aandacht. Niemand zal weten dat je in een simpele normale USB de sleutels van je HODL wallets kunt dragen. In plaats van rond te lopen met een Trezor, ledger, cold card etc., zal nu iedereen herkennen dat die "BTC dragen", dus je zou standaard een doelwit kunnen zijn. In het verleden zag ik gebruikers in een cafetaria hun Trezor pakken en deze aansluiten op een laptop, alleen om de rekening te betalen. VERKEERD, totaal verkeerd.
• Hetzelfde USB OS kan worden gebruikt als noodopschoonsysteem voor andere taken. Stel dat je op reis bent en een schone computer nodig hebt om te gebruiken. TailsOS is daar geweldig voor, start er gewoon mee op en je hebt een alleen-lezen live schoon OS. Veilige toegang tot uw persoonlijke gegevens, BTC-wallets etc. En wordt geleverd met veel eenvoudige, handige tools.
• Het kan meerdere wallets opslaan, kan worden gekopieerd en opgeslagen op veel verschillende locaties. Het kan ook worden gebruikt voor het opslaan van meer persoonlijke gegevens (gescande documenten, wachtwoordbeheerder, privé-spullen), allemaal gecodeerd, veilig voor vijandelijke ogen.
• Biedt altijd eenvoudige en snelle toegang tot uw cold wallets, zonder extra software die vatbaar is voor malware, phishing en geïnfecteerde computers. TailsOS is ALTIJD SCHOON, ongeacht welke computer u gebruikt. Veel gebruikers verliezen de controle over hun wallet omdat ze ze gebruiken op geïnfecteerde computers en slordig zijn met beveiliging.

Laten we beginnen

A. Maak en bereid uw Tails Wallet voor

1. Download TailsOS, live USB en gebruik Rufus om de opstartbare USB-drive met TailsOS ISO-image te maken. Rufus wist en formatteert die USB-drive.

   Optioneel kunt u de aangepaste DTails suite gebruiken (inclusief meer apps en tools).

2. Start op met die USB-drive (wijzig de instellingen in het BIOS van de computer om te starten met de USB-drive of druk op F12 voor sommige systemen) en selecteer RUN/Execute, niet install, offline. Dit live OS bevat al de Electrum BTC wallet app en KeePass (wachtwoordbeheerder).
3. Als u van plan bent om dit LiveUSB TailsOS opnieuw te gebruiken, kunt u ook een verborgen actieve partitie maken, die gecodeerd zal worden, om belangrijke informatie op te slaan, zoals het KeePass databasebestand, Electrum wallet backup. Hier zijn instructies over hoe u "Persistent Partition" gebruikt en een video tutorial hier. Voer een sterk wachtwoord in om die persistente partitieruimte te openen en VERGEET HET NIET!
4. Zodra u klaar bent met het maken van de persistente partitie, opent u de KeePass app en maakt u een nieuwe wachtwoordendatabase. Sla een kopie op een ander USB-geheugen op en gebruik ook persistente gecodeerde ruimte van Tails. In die database begin je met het opslaan van al je wallets (seed words, XPUB, BTC-adressen, MPK) en andere persoonlijke informatie. Vergeet niet om kopieën van dit bestand te maken op andere veilige plekken. Hier is een handleiding hoe je KeePass kunt gebruiken en synchroniseren tussen apparaten.
5. Als je een nieuwste versie van Electrum wilt gebruiken en niet de reeds geïnstalleerde Tails-versie, kun je de AppImage (voor Linux) rechtstreeks downloaden van de Electrum-pagina https://electrum.org/#download
6. en opslaan in je permanente partitie. Je hoeft het alleen maar te starten, je hoeft het niet te installeren. Maar elke versie van Electrum van Tails is voldoende om een ​​offline wallet te maken. De nieuwste versie is alleen nodig als u Tails wilt gebruiken om een ​​transactie uit te zenden vanuit die cold wallet.
7. Open de Electrum-app en maak een nieuwe wallet. Sla de seedwoorden op in uw KeePass-bestand. Ga na het maken naar het Electrum-menu - wallet-informatie - kopieer de MPK (Master Public Key) en sla deze op in uw KeePass-database (waar u ook de seed hebt opgeslagen). Ga naar het menu - activeer adressen weergeven, ga vervolgens naar het tabblad Adressen en kopieer 3-4-5 adressen en zet ze in uw Keepass-bestand. Deze worden later gebruikt voor de test van de herstelprocedure.

KeeePass nieuw wachtwoord

GEREED! U hebt zojuist uw cold wallet in TailsOS gemaakt. Sluit alle apps en sluit TailsOS af.

OPTIONEEL u kunt de Sparrow wallet app downloaden en opslaan in uw persistente partitie als u een geavanceerder en een Taproot ondersteunend type adres wilt gebruiken, zoals ik heb uitgelegd in deze handleiding. Bijna dezelfde procedures om te volgen voor het maken van een wallet, het opslaan van een back-up en sleutels als voor de Electrum app.

B. Test de procedure voor het herstellen van de wallet

1. Start TailsOS opnieuw, ontgrendel de persistente partitie, om uw KeePass databasebestand te kunnen openen.
2. Open de Electrum app, selecteer restore wallet, I already have seed en volg vervolgens de instructies stap voor stap. Selecteer segwit native en ook de optieknop voor BIP39 seed. Zie hier meer details over het gebruik van de Electrum app.
3. Open je KeePass en de invoer voor je Electrum wallet details.
4. Plaats de seed words om te herstellen en controleer ze een voor een.
5. Zodra het herstelproces is voltooid, is de wallet geladen, ga je naar het menu - activeer "view addresses", ga dan naar het tabblad Addresses en controleer de eerste 3-4 gegenereerde adressen die hetzelfde zijn als die je hebt opgeslagen in je KeePass-bestand. Als ze hetzelfde zijn, heb je zojuist een correcte restauratie van je wallet uitgevoerd. Optioneel kun je ook de MPK controleren als deze hetzelfde is, zie menu - wallet information.

Klaar! Nu ben je klaar om te gaan, je kunt geld storten op je cold wallet. Je kunt de MPK gebruiken in een watch-only app of gewoon een paar BTC-adressen uit je wallet gebruiken.

C. Maak back-ups en kopieën van die wallet!

OK, nu je de herstelprocedure hebt getest, stort je wat geld op die wallet, het is tijd om beveiligingskopieën te maken.

1. Open TailsOS, open Electrum wallet
2. Ga naar menu Bestand - Back-up wallet. Sla die wallet-bestandskopie op in je persistente partitie en ook op een andere gecodeerde USB als een kopie samen met een kopie van je KeePass-databasebestand. Hier zijn enkele handleidingen over het coderen van een USB-station, met Windows en met Linux.
3. De kopie van die Electrum wallet is ook gecodeerd met je Electrum-wachtwoord dat je hebt ingevoerd toen je de wallet voor het eerst aanmaakte. Dat wachtwoord wordt ook gebruikt wanneer u een tx moet uitzenden, voor het ondertekeningsproces. Houd er dus rekening mee dat het erg belangrijk is, sla het ook op in uw KeePass-bestand.
4. Nu kunt u dat wallet-bestand gewoon openen met de Electrum-app, zonder dat u hoeft te herstellen vanuit seed, het zal u alleen vragen om het te openen met uw Electrum-wachtwoord om het bestand te decoderen. Seed is alleen nodig als dit bestand beschadigd raakt of verloren gaat. Dit bestand bevat ook alle txs die u hebt gemaakt, labels, geschiedenis en kan in de loop van de tijd groter worden.
5. In de USB-stickkopie (gecodeerd) kunt u ook veel andere bestanden opslaan, zoals een afbeeldingsbestand dat een seed insluit met behulp van steganografie, privédocumenten, alles wat digitaal is en belangrijk voor u is. Maak meer kopieën van deze "privé offline opslag" en sla ze op verschillende locaties op. Optioneel kun je ze in een metalen houder doen, beschermd tegen EMF, water, zon, hitte etc.

Outdoor Metal EDC Survival Waterproof

Hier is een link om die ontvangers en USB-geheugen te kopen.

D. Gebruik het als een "watch-only" wallet

Hier is een meer gedetailleerde handleiding hoe je de MPK van deze cold wallet importeert en gebruikt in een app voor een deposit only wallet.

Leuk weetje:

Ik heb verschillende ontvangers zoals deze verborgen in diepe bossen/berggebieden, makkelijk (voor mij) om ze te herstellen in elk SHTF-geval. Zelfs als ze door iemand anders worden gevonden (ik betwijfel het echt) kunnen ze niet worden geopend vanwege harde encryptie. Ik ben erg vertrouwd met die encryptie en de geheime plaats waar ze verborgen zijn. Maar het is aan elk individu waar en hoe die kopieën worden opgeslagen. Het kan ook in een online opslag zijn, is voldoende dat KeePass-bestand wordt opgeslagen en optioneel een kopie van je electrum wallet-bestand (niet meer dan een paar honderd kb aan gegevens).

E. Bitcoin-Safe als alternatieve cold wallet-oplossing

Alles wat hierboven is beschreven werkt goed, maar vereist het apart beheren van TailsOS, Electrum en KeePass. Als je al een toegewijde, schone machine hebt — of bereid bent er een in te stellen — is Bitcoin-Safe een moderne, open-source desktop Bitcoin-wallet die dit allemaal in één app dekt, met een overzichtelijkere werkwijze en krachtigere cold storage-opties.

Bitcoin-Safe draait op Windows, Mac en Linux. Het ondersteunt Taproot (P2TR) van meet af aan, heeft ingebouwde UTXO-labeling (zodat je de aparte KeePass-vermeldingen voor adresopvolging kunt laten vallen), verbindt met je eigen Bitcoin Core-node of Electrum-server en bevat een speciale multisig-wizard. Het belangrijkste voor cold storage: het verwerkt de volledige PSBT-airgap-ondertekeningsworkflow — hetzelfde principe als TailsOS — maar met een nette GUI.

Optie 1 – Software cold wallet op een toegewijde offline machine

Het principe is identiek aan de TailsOS-methode: gebruik een machine die nooit online gaat en gebruik die uitsluitend voor het ondertekenen van transacties.

1. Neem een tweedehands laptop, installeer een schoon Linux (bijv. Linux Mint) en verbind het nooit met internet. Dit is je ondertekeningsmachine.
2. Installeer Bitcoin-Safe op die offline machine.
3. Maak een nieuwe Single-Signature wallet aan in Bitcoin-Safe, sla de seed-woorden op in KeePass en schrijf ze op papier (twee kopieën, twee verschillende locaties).
4. Exporteer de xpub/zpub van de wallet (Wallet → Informatie → Master Public Key).
5. Installeer op je online machine opnieuw Bitcoin-Safe en importeer die xpub als Watch-only wallet. Dit is je stortings- en bewakingsinterface — de privésleutels verlaten nooit de offline machine.
6. Om uit te geven: maak een PSBT aan op de online watch-only wallet → zet het via USB over naar de offline machine → onderteken het met Bitcoin-Safe op de offline machine → breng de ondertekende PSBT terug naar de online machine → verzend het.

Je privésleutels raken nooit een met internet verbonden apparaat. Hetzelfde beveiligingsmodel als TailsOS, betere gebruikservaring.

Optie 2 – Hardware wallet cold storage (aanbevolen upgrade)

Als je verder wilt gaan dan een pure software cold wallet, heeft Bitcoin-Safe native ondersteuning voor alle grote hardware wallets: Trezor, Ledger, ColdCard, Jade, BitBox02, Foundation Passport.

1. Schaf een hardware wallet naar keuze aan en stel die in (genereer de seed op het apparaat, schrijf hem op, bewaar hem offline en veilig).
2. Installeer Bitcoin-Safe op je online machine.
3. Sluit je hardware wallet aan en importeer hem in Bitcoin-Safe. De xpub wordt automatisch uitgelezen — de privésleutels verlaten het apparaat nooit.
4. Gebruik Bitcoin-Safe als je watch-only en ondertekeningsinterface: het vraagt om bevestiging van de hardware wallet voor elke transactie.

De hardware wallet IS de cold storage. Bitcoin-Safe is de interface. Nette scheiding.

Optie 3 – Multisig cold wallet (maximale beveiliging voor serieuze HODLers)

Bij grote stacks is een enkel faalpoint onaanvaardbaar. Bitcoin-Safe heeft een speciale multisig-configuratiewizard die 2-van-3-multisig eenvoudig maakt — geen commandoregel, geen configuratiebestanden.

1. Schaf twee of drie hardware wallets aan (verschillende merken voor extra veerkracht).
2. Open Bitcoin-Safe en start de multisig-wizard.
3. Voeg elke hardware wallet toe als mede-ondertekenaar. Bitcoin-Safe verzamelt de xpubs en bouwt de multisig-descriptor.
4. Sla de wallet-descriptor op in je KeePass-bestand en als platte tekstback-up — je hebt hem nodig om de multisig later te herstellen.
5. Om een transactie te ondertekenen maakt Bitcoin-Safe een PSBT aan die je ondertekent met willekeurig 2 van je 3 apparaten.

Dit is de gouden standaard voor HODL-cold-storage. Elk afzonderlijk apparaat kan verloren gaan, gestolen of vernietigd worden en je fondsen blijven volledig herstelbaar met de overige twee.

Mijn advies: als je vandaag een nieuwe HODL-cold-wallet instelt, gebruik dan Bitcoin-Safe met minimaal één hardware wallet, met Taproot-adressen, en overweeg multisig als je stack dat rechtvaardigt. Lees hier de gids over migreren naar Taproot.