ऑफलाइन की जनरेशन: एयर-गैप्ड सिक्योरिटी गाइड

इंटरनेट-जुड़े कंप्यूटर पर क्रिप्टोकरेंसी की जनरेट करना उन्हें मैलवेयर, कीलॉगर्स, स्क्रीन कैप्चर, क्लिपबोर्ड हाइजैकिंग और रिमोट एक्सफिल्ट्रेशन के लिए उजागर करता है। उच्च-मूल्य वाले वॉलेट के लिए जो लंबे समय के कोल्ड स्टोरेज के लिए हैं, गोल्ड स्टैंडर्ड है एयर-गैप्ड ऑफलाइन जनरेशन: किसी ऐसे डिवाइस पर की बनाना जो कभी नहीं था और कभी भी किसी नेटवर्क से जुड़ा नहीं होगा।

यह गाइड ऑफलाइन की जनरेशन के लिए एक व्यापक, स्टेप-बाय-स्टेप प्रक्रिया प्रदान करती है, जिसमें हार्डवेयर चयन, ऑपरेटिंग सिस्टम सेटअप, की जनरेशन, सत्यापन और सुरक्षित क्लीनअप शामिल हैं।

एयर-गैप्ड जनरेशन क्यों महत्वपूर्ण है

खतरे का मॉडल

जब आप एक सामान्य कंप्यूटर पर सीड फ्रेज़ या प्राइवेट की जनरेट करते हैं, तो की मेटेरियल में मौजूद होता है:

• RAM — सिस्टम पर चल रही किसी भी प्रक्रिया के लिए सुलभ।
• डिस्क — ऑपरेटिंग सिस्टम की वर्चुअल मेमोरी सिस्टम द्वारा डिस्क पर स्वैप किया जा सकता है।
• क्लिपबोर्ड — यदि कॉपी-पेस्ट किया गया, तो हर एप्लिकेशन के लिए सुलभ।
• नेटवर्क — यदि मशीन जुड़ी है, तो मैलवेयर तुरंत की एक्सफिल्ट्रेट कर सकता है।
• डिस्प्ले — स्क्रीन कैप्चर मैलवेयर या शोल्डर सर्फिंग।
• कीबोर्ड — कीलॉगर्स (सॉफ्टवेयर या हार्डवेयर) सभी इनपुट रिकॉर्ड करते हैं।

एक एयर-गैप्ड कंप्यूटर पूरी तरह से नेटवर्क वेक्टर को समाप्त करता है। उचित ऑपरेशनल सिक्योरिटी के साथ मिलकर, यह अन्य वेक्टर को भी काफी हद तक कम या समाप्त करता है।

किसे एयर-गैप्ड जनरेशन की आवश्यकता है?

• कोई भी जो अपने हारने की क्षमता से अधिक स्टोर कर रहा है।
• लंबे समय का "डीप कोल्ड" स्टोरेज (साल या दशक)।
• संस्थागत संरक्षक और ट्रेजरी प्रबंधन।
• जो कोई भी सर्वोच्च हासिल करने योग्य सुरक्षा मानक चाहता है।

रोजमर्रा के खर्च वाले वॉलेट के लिए छोटे शेष के साथ, एक हार्डवेयर वॉलेट एयर-गैप्ड प्रक्रियाओं की जटिलता के बिना पर्याप्त सुरक्षा प्रदान करता है।

हार्डवेयर चयन

विकल्प 1: समर्पित लैपटॉप (अनुशंसित)

एक नया या फैक्ट्री-रीसेट लैपटॉप खरीदें जो की जनरेशन के लिए एक्सक्लूसिवली उपयोग किया जाएगा और कभी इंटरनेट से जुड़ा नहीं होगा:

• सभी नेटवर्किंग हार्डवेयर को हटाएं या डिसेबल करें। यदि संभव हो तो वाई-फाई कार्ड और ब्लूटूथ मॉड्यूल को शारीरिक रूप से हटाएं। कम से कम, उन्हें BIOS/UEFI फर्मवेयर में डिसेबल करें।
• कैमरा और माइक्रोफोन को डिसेबल करें। उन्हें हटाएं या शारीरिक रूप से कवर/डिस्कनेक्ट करें।
• कोई सेलुलर मॉडेम के साथ लैपटॉप का उपयोग करें।
• बजट विकल्प: उपयोग किए गए ThinkPad (X230, T440) — सस्ते, Linux द्वारा अच्छी तरह से समर्थित, शारीरिक रूप से संशोधित करने में आसान।

विकल्प 2: Raspberry Pi

एक Raspberry Pi (मॉडल 3B+ या 4) एक कम-लागत वाला एकल-बोर्ड कंप्यूटर है जिसमें कोई वाई-फाई नहीं है यदि आप Pi Zero बिना वायरलेस मॉड्यूल के उपयोग करते हैं, या यदि आप नेटवर्किंग को डिसेबल करते हैं:

• एक माइक्रोSD कार्ड से बूट करें।
• SD कार्ड से परे कोई स्थायी स्टोरेज नहीं (जिसे आप बाद में नष्ट करेंगे)।
• सही मॉडल का उपयोग करते हुए कोई वायरलेस हार्डवेयर नहीं।
• कम लागत ($35–$75 सहायक उपकरण सहित)।

विकल्प 3: सभी नेटवर्किंग डिसेबल के साथ मौजूदा हार्डवेयर पर लाइव USB

सभी नेटवर्किंग डिसेबल के साथ मौजूदा कंप्यूटर पर एक समर्पित Linux लाइव USB बूट करें:

• लाइव पर्यावरण पूरी तरह से RAM में चलता है।
• आंतरिक ड्राइव में कोई डेटा नहीं लिखा जाता (यदि सही तरीके से कॉन्फ़िगर किया गया)।
• शटडाउन के बाद, RAM साफ हो जाता है।
• जोखिम: मौजूदा कंप्यूटर में हार्डवेयर-स्तर के समझौते (फर्मवेयर रूटकिट, हार्डवेयर कीलॉगर्स) हो सकते हैं जो OS बूट्स भर में बने रहते हैं। एक समर्पित डिवाइस इस जोखिम को समाप्त करता है।

ऑपरेटिंग सिस्टम सेटअप

Tails OS (अनुशंसित)

Tails एक गोपनीयता-केंद्रित Linux वितरण है जो कोई निशान छोड़ने के लिए डिज़ाइन किया गया है:

• USB से बूट करता है और पूरी तरह से RAM में चलता है।
• सभी नेटवर्किंग को डिफ़ॉल्ट रूप से Tor के माध्यम से रूट किया जाता है — लेकिन एयर-गैप्ड उपयोग के लिए, आप नेटवर्किंग को बिल्कुल सक्षम नहीं करेंगे।
• एमनेसिक उपयोग के लिए डिज़ाइन किया गया: स्पष्ट रूप से कॉन्फ़िगर न किए गए तक कोई स्थायी स्थिति नहीं।
• सामान्य उपकरण शामिल हैं और की जनरेशन स्क्रिप्ट के लिए Python चला सकते हैं।

सेटअप कदम:

1. अपने सामान्य कंप्यूटर पर Tails ISO डाउनलोड करें।
2. Tails साइनिंग की का उपयोग करके ISO हस्ताक्षर सत्यापित करें।
3. Tails इंस्टॉलर, Etcher, या dd का उपयोग करके ISO को USB ड्राइव में लिखें।
4. USB से एयर-गैप्ड कंप्यूटर को बूट करें।
5. Tails Greeter पर, कोई नेटवर्क कनेक्शन कॉन्फ़िगर न करें।
6. सत्यापित करें कि कोई नेटवर्क इंटरफेस सक्रिय नहीं है: ip link show सभी इंटरफेस को DOWN दिखाना चाहिए।

Ubuntu Live USB (वैकल्पिक)

यदि Tails उपयुक्त नहीं है:

1. Ubuntu ISO डाउनलोड करें और इसके चेकसम सत्यापित करें।
2. USB में लिखें।
3. BIOS में नेटवर्किंग डिसेबल के साथ बूट करें।
4. Ubuntu इंस्टॉलर पर, "Try Ubuntu" चुनें (इंस्टॉल न करें)।
5. कोई नेटवर्क कनेक्टिविटी सत्यापित करें।

एयर-गैप अखंडता सत्यापित करना

बूट करने के बाद, एयर-गैप को सत्यापित करें:

# जांचें कि कोई नेटवर्क इंटरफेस UP नहीं है
ip link show

# सत्यापित करें कि कोई IP पता निर्दिष्ट नहीं है
ip addr show

# इंटरनेट तक पहुंचने का प्रयास करें (विफल होना चाहिए)
ping -c 1 8.8.8.8

# वाई-फाई और ब्लूटूथ के लिए जांचें
rfkill list all

सभी नेटवर्क इंटरफेस DOWN होने चाहिए, कोई IP पता निर्दिष्ट नहीं होना चाहिए, और पिंग विफल होना चाहिए। यदि कोई भी परीक्षण कनेक्टिविटी का सुझाव देता है, तो आगे बढ़ने से पहे रोकें और समस्या निवारण करें।

की जनरेशन प्रक्रिया

विधि 1: SafeSeed उपकरण ऑफलाइन का उपयोग करना

SafeSeed के उपकरण क्लाइंट-साइड वेब एप्लिकेशन हैं जो इंटरनेट कनेक्शन के बिना एक ब्राउज़र में चल सकते हैं।

SafeSeed Tool

SafeSeed Seed Phrase Generator और Paper Wallet Creator ऑफलाइन उपयोग के लिए सहेजे जा सकते हैं। ऑफलाइन जाने से पहले, संपूर्ण वेब पेज सहेजें (Ctrl+S / Cmd+S), इसे USB के माध्यम से एयर-गैप्ड कंप्यूटर में स्थानांतरित करें, और इसे एक ब्राउज़र में खोलें। सभी क्रिप्टोग्राफिक ऑपरेशन JavaScript में स्थानीय रूप से चलते हैं — कोई सर्वर संचार आवश्यक नहीं है।

कदम:

1. अपने सामान्य (ऑनलाइन) कंप्यूटर पर, SafeSeed उपकरण पर जाएं।
2. संपूर्ण वेब पेज को USB ड्राइव में सहेजें।
3. फाइल अखंडता सत्यापित करें (यदि उपलब्ध हो तो चेकसम की तुलना करें)।
4. USB को एयर-गैप्ड कंप्यूटर में स्थानांतरित करें।
5. सहेजी गई HTML फाइल को ब्राउज़र में खोलें।
6. अपना सीड फ्रेज़ जनरेट करें।
7. इसे कागज पर लिखें (एयर-गैप्ड मशीन पर डिजिटल रूप से सहेजें नहीं)।
8. सीड फ्रेज़ को फिर से दर्ज करके और पुष्टि करके कि समान पते जनरेट हो रहे हैं, सत्यापित करें।

विधि 2: Ian Coleman के BIP-39 उपकरण का उपयोग करना

Ian Coleman BIP-39 उपकरण एक ओपन-सोर्स, स्टैंडअलोन HTML पेज है जिसे व्यापक रूप से ऑफलाइन की जनरेशन के लिए उपयोग किया जाता है:

1. अपने ऑनलाइन कंप्यूटर पर GitHub से नवीनतम रिलीज डाउनलोड करें।
2. PGP हस्ताक्षर सत्यापित करें।
3. USB के माध्यम से एयर-गैप्ड कंप्यूटर में स्थानांतरित करें।
4. एक ब्राउज़र में bip39-standalone.html खोलें।
5. एक मोनेमोनिक जनरेट या दर्ज करें।
6. सिक्का और व्युत्पत्ति पथ चुनें।
7. सीड फ्रेज़ और पते रिकॉर्ड करें।

विधि 3: डाइस-आधारित एंट्रॉपी

सभी सॉफ्टवेयर RNG के प्रति अधिकतम अविश्वास के लिए, डाइस का उपयोग करके मैन्युअल रूप से एंट्रॉपी जनरेट करें:

1. कैसिनो-ग्रेड डाइस का उपयोग करें (तीव्र किनारों वाली परिशुद्धि डाइस, गोल उपभोक्ता डाइस नहीं)।
2. 256 बिट की एंट्रॉपी के लिए एक डाई 99 बार रोल करें (प्रत्येक रोल ~2.585 बिट प्रदान करता है; 99 रोल ~255.9 बिट प्रदान करते हैं)।
3. डाइस रोल को एक बाइनरी स्ट्रिंग में कनवर्ट करें।
4. BIP-39 उपकरण (ऑफलाइन) का उपयोग करके बाइनरी एंट्रॉपी को एक मोनेमोनिक में कनवर्ट करें।
5. या 128 बिट की एंट्रॉपी के लिए 50 बार डाई रोल करें (12-शब्द फ्रेज़)।

डाइस रूपांतरण विधियां:

• Base-6 विधि: प्रत्येक डाई रोल (1-6) रिकॉर्ड करें, अनुक्रम को बाइनरी में कनवर्ट करें।
• बाइनरी डाइस विधि: 256 बार एक सिक्का का उपयोग करें (सिर=1, पूंछ=0)।
• डाइस-से-बाइनरी: एक डाई रोल करें; यदि 1-3, 0 रिकॉर्ड करें; यदि 4-6, 1 रिकॉर्ड करें। 256 बार दोहराएं।

तीसरी विधि सबसे अधिक एंट्रॉपी बर्बाद करती है लेकिन सबसे सरल है। एंट्रॉपी गुणवत्ता के विस्तृत उपचार के लिए, हमारे एंट्रॉपी और यादृच्छिकता गाइड देखें।

विधि 4: कमांड लाइन (Python)

कमांड लाइन के साथ सहज उपयोगकर्ताओं के लिए, एक न्यूनतम Python स्क्रिप्ट BIP-39 मोनेमोनिक्स जनरेट कर सकती है:

import hashlib
import os

# BIP-39 शब्द सूची को एक फाइल से लोड किया जाना चाहिए
with open('english.txt', 'r') as f:
    wordlist = [w.strip() for w in f.readlines()]

# 256 बिट की एंट्रॉपी जनरेट करें
entropy = os.urandom(32)  # OS CSPRNG का उपयोग करता है

# चेकसम की गणना करें
h = hashlib.sha256(entropy).digest()
checksum_bits = bin(h[0])[2:].zfill(8)  # 256-बिट एंट्रॉपी के लिए पहले 8 बिट

# एंट्रॉपी को बाइनरी स्ट्रिंग में कनवर्ट करें
entropy_bits = bin(int.from_bytes(entropy, 'big'))[2:].zfill(256)
all_bits = entropy_bits + checksum_bits

# 11-बिट समूहों में विभाजित करें और शब्दों को मैप करें
words = []
for i in range(0, len(all_bits), 11):
    index = int(all_bits[i:i+11], 2)
    words.append(wordlist[index])

print(' '.join(words))

महत्वपूर्ण: यह शैक्षिक उद्देश्यों के लिए एक सरलीकृत उदाहरण है। उत्पादन उपयोग के लिए, python-mnemonic से mnemonic जैसे एक अच्छी तरह से ऑडिट किए गए लाइब्रेरी का उपयोग करें।

सत्यापन

एक सीड फ्रेज़ जनरेट करने के बाद, इसे फंड के साथ विश्वास करने से पहले सत्यापित करें:

1. चेकसम सत्यापन

सीड फ्रेज़ को जनरेशन उपकरण में वापस दर्ज करें। यदि उपकरण इसे बिना त्रुटि के स्वीकार करता है, तो चेकसम वैध है।

2. पता व्युत्पत्ति सत्यापन

इच्छित क्रिप्टोकरेंसी और व्युत्पत्ति पथ के लिए पहले कुछ पते व्युत्पन्न करें। इन पतों को रिकॉर्ड करें। बाद में, एक अलग डिवाइस पर (या एयर-गैप्ड मशीन को रीबूट करने के बाद), सीड फ्रेज़ को फिर से दर्ज करें और सत्यापित करें कि समान पते जनरेट हो रहे हैं।

3. क्रॉस-टूल सत्यापन

यदि संभव हो, दो अलग-अलग उपकरणों में सीड फ्रेज़ सत्यापित करें (उदा., SafeSeed जेनरेटर और Ian Coleman उपकरण)। दोनों को समान सीड फ्रेज़, व्युत्पत्ति पथ और पासफ्रेज़ से समान पते उत्पन्न करने चाहिए।

4. छोटे लेन-देन परीक्षण

महत्वपूर्ण मूल्य स्टोर करने से पहले:

1. पहले प्राप्त पते को क्रिप्टोकरेंसी की एक छोटी राशि भेजें।
2. एक अलग डिवाइस पर, सीड फ्रेज़ से वॉलेट पुनर्स्थापित करें।
3. सत्यापित करें कि फंड दिखाई दे रहे हैं और आप उन्हें वापस भेजने के लिए लेन-देन पर हस्ताक्षर कर सकते हैं।

यह पूरी श्रृंखला की पुष्टि करता है: एंट्रॉपी जनरेशन, मोनेमोनिक एन्कोडिंग, सीड व्युत्पत्ति, की व्युत्पत्ति और पता जनरेशन सभी सही हैं।

सीड फ्रेज़ रिकॉर्ड करना

कागज

• एक स्थायी स्याही पेन से एसिड-मुक्त कागज पर स्पष्ट रूप से लिखें।
• प्रत्येक शब्द को नंबर दें (1-24)।
• ऐसी सतह पर न लिखें जो प्रभाव छोड़ सकती है (कागज की पैड पर नहीं लिखें जहां प्रभाव नीचे की शीटों पर दिखाई देता है)।
• एक अग्निरोधक, वाटरप्रूफ कंटेनर में स्टोर करें।

धातु

• स्टेनलेस स्टील प्लेटों पर स्टैम्प या उत्कीर्ण करें।
• यदि स्थान सीमित हो तो पहली चार अक्षर के संक्षेप के साथ परीक्षण करें।
• स्टैम्पिंग के तुरंत बाद पठनीयता सत्यापित करें।
• धातु आग और बाढ़ से बचती है — दीर्घकालिक भंडारण के लिए अनुशंसित।

क्या न करें

• सीड फ्रेज़ की तस्वीर न लें।
• इसे एयर-गैप्ड मशीन पर किसी भी फाइल में न टाइप करें।
• इसे प्रिंट न करें (प्रिंटर में मेमोरी और नेटवर्क क्षमता होती है)।
• इसे USB ड्राइव में न सहेजें।

सुरक्षित क्लीनअप

सीड फ्रेज़ जनरेट और रिकॉर्ड करने के बाद, एयर-गैप्ड डिवाइस से सभी निशान मिटाएं:

1. क्लिपबोर्ड और स्क्रीन साफ करें

• सभी एप्लिकेशन बंद करें।
• क्लिपबोर्ड साफ करें (कुछ अप्रासंगिक पाठ Ctrl+C)।

2. शटडाउन

• कंप्यूटर को बंद करें। पावर हानि के बाद RAM की सामग्री कुछ सेकंड से मिनट में क्षय हो जाती है।
• अतिरिक्त आश्वासन के लिए, मशीन को कम से कम 15 मिनट के लिए बंद रखें (DRAM कमरे के तापमान पर कम समय के लिए डेटा को बरकरार रखता है, ठंडे वातावरण में लंबे समय)।

3. स्टोरेज मीडिया

• यदि Tails लाइव USB का उपयोग कर रहे हैं, तो कोई डिस्क में नहीं लिखा गया था। USB को पुनः उपयोग कि