USD Finans

Magasinet der gør dig klogere på penge

Kryptovaluta

Sådan sætter du en Bitcoin-multisig op i Sparrow Wallet

0
Sådan sætter du en Bitcoin-multisig op i Sparrow Wallet

Forestil dig, at din opsparing i bitcoin er sikret af mere end én nøgle, fordelt på flere enheder og måske endda flere geografiske steder. Selv hvis én hardware-wallet går tabt, bliver stjålet eller går i stykker, kan ingen – heller ikke du selv – flytte dine sats uden at de andre nøgler er med på legen. Det er essensen af multisig, og præcis dét stiller den populære desktop-klient Sparrow Wallet en elegant løsning til rådighed for.

I en tid hvor børskrakkene står i kø, og hvor hackerangreb på centraliserede platforme er hverdag, er Not your keys, not your coins ikke længere et slagord, men en nødvendighed. Alligevel er almindelig single-sig selvforvaltning ikke altid nok. Med multisig kan du eliminere single points of failure, skabe et robust arvesystem og opnå institutionel sikkerhed – uden at betale et depotgebyr.

Denne guide tager dig fra nul til en fuldt fungerende 2-af-3 multisig-opsætning i Sparrow Wallet – trin for trin og på dansk. Vi kigger på alt fra krav til hardware-wallets og firmware, over valg af script-type, til hvordan du tester en Partially Signed Bitcoin Transaction (PSBT) og laver en solid backup-strategi.

Er du klar til at tage kontrollen over dine egen nøgler – og gøre det på en måde, der både tåler hardwarefejl, menneskelige fejl og uventede livsbegivenheder? Så læn dig tilbage, og lad os dykke ned i multisig-magien.

Forudsætninger og sikkerhedsforberedelser

Nedenfor finder du en tjekliste over de vigtigste forudsætninger, inden du kaster dig ud i at oprette en Bitcoin-multisig i Sparrow Wallet. Følg punkterne kronologisk – de små detaljer gør forskellen, når det handler om lange tids­horisonter og større beløb.

1. Hardware-wallets: 2-3 uafhængige enheder

  1. Antal og diversitet: Det mest almindelige setup er 2-af-3. Brug minimum to forskellige mærker (f.eks. Coldcard, Trezor, Ledger) for at undgå single-vendor-risiko.
  2. Firmware: Opdater til seneste stabile version før du genererer nye seed-ord. Halter én enhed bagefter, kan små forskelle i BIP-standarder skabe inkompatibilitet.
  3. Air-gappet mulighed: Hvis enheden understøtter microSD-kort eller QR-koder, kan du holde den offline under hele signerings­processen og derved reducere angrebsfladen yderligere.

2. Seed-ord og stærke adgangskoder

  • Manuel nedskrivning: Skriv hvert 12/24-ords seed på syrefrit papir eller stålplader. Ingen fotos, cloud-backup eller printere.
  • BIP39-passphrase: Overvej et ekstra kodeord, hvis fysisk tyveri er sandsynligt. Husk at passphrasen ikke må opbevares sammen med seed-ordene.
  • PIN- og admin-adgangskoder: Vælg unikke koder til hver hardware-wallet og til Sparrow Wallet-filen. Undgå genbrug af e-mail- eller bankkoder.

3. Ren og kontrolleret computer

  1. Operativsystem: Frisk installation eller en dedikeret brugerprofil uden unødig software.
  2. Antivirus & firewall: Sørg for seneste definitioner og luk unødvendige porte, når du arbejder med nøgler.
  3. Offline-session: Frakobl netværket mens du tilkobler hardware-wallets første gang, hvis du vil eliminere risikoen for real-time angreb.

4. Download og verificér sparrow wallet

  1. Hent kun fra det officielle repositorium (sparrowwallet.com eller GitHub).
  2. Kontrollér PGP-signaturen eller SHA-256-checksummen for både installer og binære filer.
  3. Kør første opstart med netforbindelsen slået fra, og bekræft at programmet åbner uden advarsler.

5. Netværkstilkobling: Fuld node vs. Offentlige noder

Fuld node (Bitcoin Core) Offentlig node (f.eks. Blockstream eller Electrum-server)
  • Maksimal privatliv – dine xpubs forbliver lokale.
  • Ingen afhængighed af tredjepart ved validering.
  • Kræver ~500 GB disk, båndbredde og løbende vedligehold.
  • Nemt og hurtigt at komme i gang.
  • Eksponerer balance & transaktioner til serveroperatøren.
  • Faldgrube: Serveren kan censurere eller udsende forkerte data.

Anbefaling: Kør egen Bitcoin Core-node sammen med Sparrow for fuld kontrol. Hvis dette ikke er muligt i starten, så hold beløbene lave, til du har opsat din egen node.

6. Ekstra miljøforanstaltninger

  • Arbejd i et privat lokale uden overvågning eller synlige kameraer.
  • Deaktivér Bluetooth, Wi-Fi og mobildata på hardware-wallets, hvis funktionen findes.
  • Print eller gem denne tjekliste offline, så du kan kontrollere hvert punkt ved fremtidige gendannelser.

Når alle ovenstående punkter er gennemført, er du rustet til at fortsætte til næste afsnit, hvor vi designer selve multisig-politikken.

Design af multisig-opsætning: M-af-N, adressetyper og policy

Det første designvalg er hvordan mange nøgler (N) du vil oprette, og hvor mange af dem (M) der skal bruges til at underskrive en transaktion. Der er ingen ”one-size-fits-all”, men nedenstående tommelfingerregler hjælper dig i gang:

M-af-N Fordele Ulemper Anvendelses­eksempler
2-af-3 Balancerer sikkerhed og tilgængelighed; én mistet nøgle kan tolereres. En angriber, der får to nøgler, får kontrol. Personlig cold-storage, fælles familie-opsparing.
3-af-5 Højere tolerancetærskel; kan modstå to kompromitterede eller tabte nøgler. Flere enheder at vedligeholde; dyrere hardware. SMB/forening, mindre DAO, høj nettoværdi.
5-af-7 Robust governance; velegnet til klare afstemningsscenarier. Langsom signerings­proces; logistisk tungt. Professionelle fonde, trustee-setups, virksomhedskasser.

Tip: Start med 2-af-3 hvis du er ny: den er godt understøttet, billig og let at forstå. Du kan altid migrere senere ved at lave en ny multisig og flytte midlerne.

2. Script-type og adresser

Sparrow Wallet tilbyder flere script-typer. Dit valg påvirker gebyrer, kompatibilitet og privatsfære.

  1. Native SegWit (P2WSH → bc1q…)
    • Laveste gebyrer pga. witness discount.
    • Fuld støtte i moderne wallets og hardware wallets.
    • Ikke kompatibel med helt gamle børser/wallets.
  2. Nistet SegWit (P2SH-P2WSH → 3…)
    • Højere gebyrer end P2WSH.
    • Kan modtages af ældre wallets, der kun forstår P2SH.
    • God til gradvis overgang fra legacy til SegWit.
  3. Taproot (P2TR → bc1p…) (eksperimentelt multisig)
    • Endnu lavere gebyrer og bedre privacy (’key path’ signatur ser ud som enkelt-sig).
    • Begrænset support: kun enkelte hardware wallets og børser.
    • Bruges primært af power-users.

I Sparrow vælger du typen under “Script Type”. De fleste vælger P2WSH i dag for optimale gebyrer uden kompatibilitets­problemer. Brug P2SH-P2WSH hvis du modtager fra en ældre aktør, og vent med Taproot indtil hele din signerings­kæde understøtter det.

3. Policy- og rollefordeling

Multisig er mere end teknik – det er proces & governance. Stil dig selv (og evt. dit team) spørgsmålene:

  • Hvem opbevarer hver nøgle? (dig selv, partner, revisor, advokat, bestyrelsesmedlem)
  • Hvor ligger enhederne fysisk? (adskilte byer, bankboks, datacenter, hjem)
  • Hvordan får du adgang, hvis en enhed går tabt? (seed-backup, BIP39-passphrase, eksport af descriptor)
  • Hvornår skal der signeres? (daglig drift vs. nød/katastrofe)

Et simpelt 2-af-3 eksempel til privat brug:

  • Nøgle 1: Hardware wallet i hjemmets boks.
  • Nøgle 2: Hardware wallet på kontoret/hos nær familie.
  • Nøgle 3: Offline seed skrevet på stålplade i bankboks – kun gendannelse.

Virksomheds-case (3-af-5):

  1. Treasury-Team (2 medlemmer) → 2 hardware wallets for daglig drift.
  2. CTO → 1 nøgle til teknisk kontrol.
  3. CFO → 1 nøgle til compliance.
  4. Advokat/trustee → 1 nøgle til katastrofe­recovery.

Her kræver enhver betaling tre underskrifter, hvilket fordeler ansvar og reducerer single-point-of-failure.

4. Recovery-strategi

  • Sørg for skriftlig dokumentation (descriptor, M-af-N, derivation paths, finger­prints) i både digitalt krypteret og fysisk form.
  • Placér seed-backups geografisk adskilt. Brug stålplader eller anden varig løsning.
  • Nedskriv instrukser til arvinger/ledelse: hvordan signer man, hvilken software bruges, hvem kontakter man.
  • Test gendannelse mindst én gang om året – helst på en luftspærret computer.

Når disse fire områder er gennemtænkt, er du klar til at åbne Sparrow Wallet og bygge konfigurationen i praksis.

Opret ny multisig-wallet i Sparrow

Nedenfor finder du en komplet opskrift på, hvordan du fra bunden opretter en multisig-wallet i Sparrow. Følg rækkefølgen slavisk – det sparer dig for fejl og uventede overraskelser senere.

  1. Start Sparrow Wallet
    Åbn programmet på en computer, du allerede har verificeret som ren og opdateret. Hvis det er første gang, du starter Sparrow, vil du møde en “Welcome”-dialog – klik blot Next, indtil du står i hovedvinduet.
  2. Opret ny wallet-fil
    Gå til File > New Wallet. Du bliver nu bedt om et navn; vælg et meningsfuldt navn som f.eks. Familie-2of3-Cold. Klik Create Wallet.
  3. Vælg wallet-type: Multisig
    Et konfigurationsvindue åbner. I venstre side markerer du fanen Multisig. Nu dukker felter op til at definere signatur-politikken.
  4. Angiv M-af-N
    I boksen “Policy” skriver du f.eks. 2 i feltet Required signatures og 3 i feltet Total signers for en klassisk 2-af-3-opsætning. Sparrow viser straks en kort beskrivelse af din regel (“Require 2 of 3 keys”).
  5. Vælg script- og adressetype
    Under “Script Type” anbefales Native Segwit (P2WSH) til de fleste brugere; det giver adresser, som starter med bc1q og lavere gebyrer.
    Kræver du bagudkompatibilitet til ældre services, kan du vælge P2SH-P2WSH, der giver 3...-adresser. (Taproot-multisig P2TR er mulig, men stadig eksperimentel i Sparrow).
  6. Slå descriptors til
    Nederst i vinduet sætter du kryds i “Use Descriptors”. Descriptors beskriver wallet-strukturen i én entydig streng, hvilket forenkler backup og fremtidig gendannelse.
  7. Tilføj keystores (nøgler) én ad gangen
    1. Klik Add i sektionen “Keystores”.
    2. Vælg den relevante importmetode:
      Scan... (QR-kamera) for air-gapped enheder (Coldcard, SeedSigner m.fl.)
      USB for direkte tilsluttede Ledger, Trezor, Keystone osv.
      File eller Paste xpub ved manuel indtastning.
    3. Når Sparrow henter xpub, vises også Master Fingerprint og Derivation path. Kontrollér, at path matcher dit script-valg:

      Script-type Standard derivation
      P2WSH (bc1q) m/48’/0’/0’/2’
      P2SH-P2WSH (3…) m/48’/0’/0’/1’
    4. Giv hver nøgle et sigende Label (fx Ledger-Hjemme, Trezor-Kontor, Coldcard-Bankboks). Det vil spare dig tvivl senere.
    5. Klik Apply. Sparrow føjer nu den farvekodede nøgle til listen og viser, hvor mange der mangler før opsætningen er fuldendt.
    6. Gentag trin a-e for alle resterende nøgler, indtil antallet svarer til dit valg i trin 4 (N).
  8. Gennemgå og lås konfigurationen
    Er alle felter grønne, klikker du Create Keystore, hvorefter Sparrow viser et preview af din descriptor. Gem evt. strengen i en krypteret tekstfil eller udskriv som QR-kode til senere gendannelse.
    Klik Apply for at færdiggøre opsætningen. Selve wallet-filen (.sparrow) bliver nu gemt i din valgte mappe.
  9. Verificér første modtageadresse
    Sparrow skifter til fanen Receive og viser Address #0. Kontrollér adressen på samtlige hardware-enheder – de skal alle vise præcis samme adresse. Er der afvigelser, afbryd og fejlfind før du går videre.

Hvis alle ovenstående trin blev fulgt uden advarsler, har du nu en fuldt operationel multisig-wallet i Sparrow, klar til backup og test-transaktioner.

Tilføj og verificér nøgler fra hardware wallets

Nu hvor multisig-pungen er oprettet, skal de enkelte nøgler (keystores) hentes fra dine hardware-wallets og kontrolleres grundigt, før du begynder at modtage eller sende bitcoin. Følg rækkefølgen nedenfor for hver enhed, og stop ikke halvvejs – en forkert xpub eller derivationssti kan gøre hele opsætningen ubrugelig ved en senere gendannelse.

1. Importér xpub fra hver hardware-wallet

  1. Tilkobl enheden – enten via USB-kabel, QR-kode (kamera) eller microSD-kort, afhængigt af hvilken model du bruger (Ledger, Trezor, Coldcard, Passport, SeedSigner m.fl.).
  2. I Sparrow, vælg Keystore ▶ Import ▶ Hardware Wallet. Programmet registrerer automatisk de fleste enheder på USB.
    • Bruger du QR eller microSD, vælges i stedet Airgapped ▶ Scan QR eller Load from File.
  3. Når Sparrow foreslår en derivation path, kontrollér at den matcher dit script-valg:
    Script-type Path-prefix Eksempel (konto 0)
    P2WSH (Native SegWit) m/48’/0’/0’/2’ m/48’/0’/0’/2’
    P2SH-P2WSH m/48’/0’/0’/1’ m/48’/0’/0’/1’
    Taproot (P2TR) * m/86’/0’/0’ m/86’/0’/0’

    * Sparrow understøtter pt. kun tapscript-multisig i udviklingsversioner; vælg kun, hvis du har testet kompatibilitet.

  4. Bekræft på selve enheden:
    Master fingerprint (4 byte hex, fx F23AB65E)
    xpub, ypub eller zpub streng
    • Første modtageradresse, som vises af Sparrow – den skal være identisk med adressen på hardwaren.
  5. Giv keystoren et sigende navn – fx “Coldcard – Hjemmesafe” – så du fremover kan se, hvilken nøgle der tilhører hvilken placering.

2. Lås konfigurationen i sparrow

Når du har tilføjet alle N nøgler (typisk tre ved en 2-af-3-opsætning), klik Apply og derefter Export Configuration. Gem .json– eller .txt-filen på et krypteret drev eller print den og gem kopien offline. Konfigurationen indeholder dine output descriptors – den “opskrift”, der fortæller enhver Bitcoin-software, hvordan alle multisig-adresser udregnes.

3. Gennemfør adressetest

  1. I Sparrow: gå til Receive og generér første adresse. Klik på Show QR / Show Address.
  2. hver hardware-wallet vælg Verify Address / Show Address via menupunktet til visning af receive-adresser.
    • Adresse på enhedens skærm skal matche 1:1 med Sparrow (tegn for tegn).
    • Er der mismatch, stands og gentjek path, xpub og firmwareversion – send aldrig midler til en adresse, der ikke vises korrekt på alle nøgler.
  3. Send en lille testtransaktion (fx 10 000 sats) til adressen. Når den er bekræftet, skal saldoen kunne ses i Sparrow og på alle enheder i watch-only-visning.

4. Afslut og frakobl sikkert

  • Klik Lock Wallet eller luk Sparrow helt ned.
  • Frakobl hardware-wallets fysisk, og anbring dem tilbage på deres respektive, adskilte opbevaringssteder.
  • Notér i din dokumentation, at adressetest er gennemført, samt transaktions-ID for testbetalingen. Det gør fremtidige audits og gendannelsesøvelser enklere.

Du har nu en fuldt valideret multisig-opsætning, hvor hver nøgle er verificeret og konfigurationen er låst fast. Næste skridt er at tage solide backups og øve signering af PSBT’er, hvilket vi dækker i de følgende afsnit.

Backup, eksport og dokumentation

En multisig-opsætning giver kun ekstra sikkerhed, hvis alle komponenter kan genskabes. Sørg derfor for at have mindst to uafhængige backuprutiner: én til de private nøgler (seed-ord + evt. passphrase) og én til selve wallet-strukturen (descriptor/policy og Sparrow-filen).

1. Sikkerhedskopiér hver enkelt nøgle

  1. Seed-ord på papir eller stål
    • Skriv alle 12/24 ord ned nøjagtigt i korrekt rækkefølge.
    • Undgå kamera eller printer; brug kuglepen og brand-/vandsikkert materiale (metalplade, billfodetter osv.).
    • Gem aldrig flere seeds samme sted.
  2. BIP39-passphrase (hvis anvendt)
    • Notér passphrasen separat fra seed-ordet.
    • Marker tydeligt hvilken enhed/passphrase der hører til hvilket seed. Forkert kombination = tab af midler.
  3. Kontrollér regelmæssigt: Genskab nøglen på en test-enhed eller i Sparrow (offline) mindst én gang om året for at sikre, at dine noter er læselige og korrekte.

2. Eksportér output descriptors og policy

Sparrow Wallet kan eksportere den komplette multisig-beskrivelse som både tekst, QR-kode og PDF.

  • File > Export > Wallet Descriptor – gem som .pdf og/eller print på papir. Indeholder:
    • M-af-N-reglen, script-type (P2WSH osv.)
    • Hver cosigners master fingerprint og xpub
    • Derivation-stier (f.eks. m/48'/0'/0'/2')
  • Læg udskriften i en forseglet kuvert eller safebag; QR-koden gør det let at importere i Sparrow eller andre kompatible wallets.
  • Brug ikke descriptoren som eneste backup – den indeholder ikke private nøgler, kun visning/adresse-data.

3. Backup af sparrow-filen (.sparrow)

  • Krypter filen med et stærkt kodeord (AES-256 er standard).
  • Gem en kopi på offline-USB, krypteret ekstern SSD eller et air-gapped NAS-share.
  • Opbevar mindst én kopi offline og geografisk adskilt fra seeds.

4. Geografisk adskillelse

Kopi Indhold Placering
Seed A 24 ord (metal) Hjemmets pengeskab
Seed B 24 ord (metal) + passphrase Bankboks
Seed C 24 ord (metal) Forældres hus / advokatkontor
Descriptor-print PDF‐print + QR Hos notar
Sparrow-fil Krypteret USB Anden by / kollega

5. Adgangskodehåndtering

  • Gem Sparrow-filens kodeord og evt. hardware-PIN i en off-line eller selv-hostet password manager (Bitwarden med selvstyret vault, KeePass m.fl.).
  • Brug “emergency kit”-ark til at notere credentials i klartekst, forseglet med tamper-evident tape.

6. Dokumentation til gendannelse og arveplan

  1. Trin-for-trin vejledning
    Nedskriv i almindeligt sprog:
    1. Sådan installeres Sparrow (med download-signaturkontrol).
    2. Sådan importeres descriptoren.
    3. Sådan føjes seeds til genopretning og underskrift.
    4. Hvordan en transaktion sendes (inkl. RBF/PSBT-flow).
  2. Roller og ansvar
    Angiv hvem der har fysisk adgang til hver nøgle, og hvornår flere personer skal samarbejde (f.eks. 2-af-3 arvinger + advokat).
  3. Opdater ved ændring
    Rotation af nøgler, firmwareopdateringer eller adresseændringer kræver opdateret backup og nye underskrifter på dokumentationen.
  4. Opbevar med juridiske papirer
    Læg en kopi af vejledningen i testamente, trusselsbrevreol eller hos advokat/notar, så arvinger kan handle uden specialistviden.

Ved at kombinere robuste seed-backups, descriptor-kopier og tydelig dokumentation sikrer du, at både du og dine arvinger kan genskabe multisig-walleten – selv hvis en eller to enheder eller lokationer går tabt.

Test, signering og daglig drift (PSBT, RBF og vedligehold)

Inden du sender større beløb igennem din nye multisig, er det klogt at køre en fuld end-to-end test. Nedenfor finder du en praktisk drejebog – fra modtagelse af testbetaling til løbende vedligehold – som kan genbruges hver gang du vil sikre, at alle nøgler, enheder og processer fortsat virker.

1. Modtag en testbetaling

  1. Åbn Sparrow og gå til Receive-fanen.
  2. Kopiér den første adresse på listen og verificér på mindst én hardware-wallet, at adressen vises identisk på enhedens skærm.
  3. Send et lille beløb (fx 10 000 satoshis) fra en anden wallet og vent på 1-2 confirmations. Bekræft, at transaktionen vises korrekt i Sparrow og på enhver blok-explorer, du bruger.

2. Byg og signer en psbt

Den sikreste måde at håndtere multisig på er via PSBT. Sparrow forhindrer fejlsignering og lekker ikke nøgler.

  1. Gå til Send-fanen, indtast en ekstern testadresse samt et beløb < det modtagne.
  2. Klik Create Transaction. Tag stilling til:
    • Fee rate (sat/vB). Højere ved hast, lavere ved test.
    • Markér Enable RBF hvis du vil kunne hæve gebyret efterfølgende.
  3. Vælg Save PSBT (fil eller QR) og overfør til den første hardware-wallet.
  4. Signer transaktionen på enhed 1 → returnér PSBT’en til Sparrow (USB/SD/QR).
  5. Gentag med enhed 2, indtil du når M godkendelser (fx 2-af-3).

3. Broadcast og verificér

  1. Når PSBT’en har nok underskrifter, klik Broadcast Transaction.
  2. Sparrow viser TX-id’et; kopier det og slå det op på en blok-explorer for at dobbelttjekke.
  3. Når transaktionen er bekræftet, tjek saldoen i Sparrow og – vigtigt – på alle hardware-wallets (watch-only mode) for at sikre konsistens.

4. Gebyrstrategi, rbf og cpfp

Situation Handlingsplan
Transaktionen sidder fast Hvis RBF var aktiveret, højreklik → Bump Fee i Sparrow, vælg ny fee-rate og signer igen.
RBF ikke muligt Udfør CPFP ved at sende en ny transaktion fra den uconfirmede output med højere gebyr.
Planlægning af store overførsler Brug Sparrow’s fee-estimator + mempool.space til at time lavbelastningsperioder.

5. Watch-only workflow

Importér wallet-descriptoren til en laptop eller mobil uden nøgler for daglig overvågning:

  • File → Import WalletPaste descriptor.
  • Frakobl internettet på signerings-PC’en; kun watch-only-enheden behøver net.
  • Generér og print modtageradresser derfra – husk altid at verificere på en hardware-wallet inden brug.

6. Vedligeholdelse og nøgle-hygiejne

  • Firmwareopdateringer: Opdater én enhed ad gangen og test, før du fortsætter med de øvrige.
  • Nøglerotation: Hvis en enhed kompromitteres, lav ny multisig (fx ny 2-af-3) og flyt midlerne. Brug PSBT til at signere med de to intakte nøgler.
  • Årlig gendannelsesøvelse: Genskab hver hardware-wallet fra seed i “dummy mode”. Importér xpubs i en ny Sparrow-instans og bekræft, at adresser matcher.

7. Fejlfinding

  1. Mismatched xpub eller fingerprint
    – Årsag: Forkert derivation path (fx m/48’/0’/0’/2’ vs. /1’).
    – Løsning: Slet keystore i Sparrow, gen-importer med korrekt path og fingerprint.
  2. Adresse på PC ≠ adresse på enhed
    – Årsag: Typisk descriptor eller script-type fejl.
    – Løsning: Bekræft, at alle enheder er sat til samme script-type (P2WSH m/48’/0’/0’/2’). Regenerér adresselisten.
  3. PSBT afvises af en hardware-wallet
    – Årsag: Inkompatibel firmware eller for stor transaktion.
    – Løsning: Opdater firmware, reducer antal inputs eller brug Batch-signering hvis muligt.

Ved at gennemføre ovenstående proces nu – og gentage den med jævne mellemrum – sikrer du, at din multisig-opsætning forbliver robust, og at du kan reagere hurtigt, hvis noget går galt, eller hvis forudsætningerne ændrer sig.

Website:

Related Story

Indholdsfortegnelse

Indhold