Lewati ke konten utama

Menggunakan SafeSeed Secara Offline: Panduan Keamanan Air-Gapped

Langkah keamanan terkuat yang bisa Anda lakukan saat membuat seed phrase dan private key adalah melakukannya di komputer yang belum pernah dan tidak akan pernah terhubung ke internet. Ini disebut pengaturan "air-gapped" — secara harfiah ada celah udara antara materi kriptografi sensitif Anda dan jaringan apa pun. Alat SafeSeed dirancang untuk berfungsi sepenuhnya secara offline, dan panduan ini memandu Anda menyiapkan serta menggunakan lingkungan air-gapped.

Coba Sekarang

Semua alat SafeSeed di safeseed.app berfungsi offline. Unduh halamannya saat online, lalu putuskan koneksi sebelum membuat kunci apa pun.

Mengapa Harus Offline?

Saat Anda membuat seed phrase atau private key di komputer yang terhubung internet, ada beberapa vektor serangan meskipun alatnya sendiri tepercaya:

Ancaman di Komputer yang Terhubung

AncamanDeskripsiKemungkinan
Malware/KeyloggerPerangkat lunak yang menangkap konten layar, clipboard, atau ketukan tombolSedang
Ekstensi browserEkstensi berbahaya atau yang sudah disusupi yang membaca konten halamanSedang
Pembajakan DNSMengarahkan Anda ke versi palsu dari alatRendah
Man-in-the-middleMencegat dan memodifikasi konten halaman saat transitRendah (dengan HTTPS)
Akses jarak jauhScreen sharing, remote desktop, atau perangkat lunak RATRendah
Serangan supply chainCDN atau dependensi yang disusupi menyajikan kode berbahayaSangat rendah
Implan perangkat kerasPerangkat fisik yang mencegat data sebelum mencapai jaringanSangat rendah

Komputer air-gapped menghilangkan semua ancaman berbasis jaringan. Bahkan jika ada malware di mesin, malware tersebut tidak punya cara untuk mengekfiltrasi kunci yang dihasilkan tanpa koneksi jaringan atau akses fisik.

Spektrum Keamanan

Tidak semua orang membutuhkan tingkat keamanan yang sama. Berikut kerangka praktisnya:

Tingkat KeamananPengaturanCocok Untuk
DasarKomputer biasa, terhubung internetBelajar, pengujian, jumlah sangat kecil
DitingkatkanKomputer biasa, putuskan internet sebelum menghasilkanKepemilikan menengah ($100-$10,000)
TinggiKomputer offline khusus, tidak pernah terhubungKepemilikan signifikan ($10,000+)
MaksimumLive USB air-gapped, printer khusus, tas FaradayKepemilikan besar, penggunaan institusional

Panduan ini membahas level "Tinggi" dan "Maksimum".

Opsi 1: Simpan Halaman Web (Paling Sederhana)

Cara paling sederhana menggunakan SafeSeed secara offline adalah menyimpan halaman web saat terhubung, lalu memutus koneksi dan menggunakannya.

Langkah-langkah

  1. Saat online, buka alat SafeSeed yang ingin Anda gunakan:

  2. Simpan halaman lengkap:

    • Chrome/Edge: Ctrl+S (Windows/Linux) atau Cmd+S (Mac), pilih "Webpage, Complete"
    • Firefox: Ctrl+S atau Cmd+S, pilih "Web Page, complete"
    • Safari: Cmd+S, pilih "Web Archive"

  3. Simpan ke USB drive (bukan hard drive Anda, untuk keamanan maksimal)

  4. Putuskan koneksi internet:

    • Nonaktifkan Wi-Fi (matikan sakelar perangkat keras jika laptop Anda memilikinya)
    • Cabut kabel Ethernet
    • Nonaktifkan Bluetooth
    • Aktifkan Airplane Mode jika tersedia

  5. Buka file yang disimpan dari USB drive di browser Anda

  6. Verifikasi berfungsi: Buat seed phrase uji. Jika alat berfungsi, Anda siap.

  7. Buat seed phrase asli Anda atau lakukan derivasi kunci Anda

  8. Catat hasilnya di kertas atau logam

  9. Tutup browser dan hapus semua data browser

  10. Untuk keamanan maksimum, matikan komputer dan jangan sambungkan kembali ke internet sampai Anda menghapus data browser dan file sementara

Keterbatasan Pendekatan Ini

  • Beberapa halaman yang disimpan mungkin tidak menyertakan semua dependensi JavaScript (jarang pada SafeSeed, tetapi mungkin terjadi)
  • Hard drive komputer biasa Anda mungkin menyimpan cache halaman yang disimpan
  • Jika komputer Anda sudah disusupi sebelum memutus koneksi, malware bisa menyimpan kunci yang dihasilkan dan mengekfiltrasinya saat Anda tersambung kembali

Opsi 2: Komputer Offline Khusus (Direkomendasikan)

Untuk kepemilikan signifikan, gunakan komputer khusus yang tidak pernah terhubung ke internet.

Yang Anda Butuhkan

  • Sebuah komputer: Bisa laptop lama atau perangkat bekas murah. Tidak perlu bertenaga tinggi — pembuatan kunci membutuhkan komputasi minimal.
  • USB drive: Untuk memindahkan file alat SafeSeed ke komputer offline.
  • Printer (opsional): Terhubung USB, bukan jaringan. Untuk membuat paper wallet.

Langkah Penyiapan

Langkah 1: Siapkan Komputer Offline

Jika menggunakan komputer yang sudah ada:

  1. Lakukan instalasi ulang sistem operasi (hapus OS lama yang mungkin mengandung malware)
  2. Jangan hubungkan ke internet selama atau setelah instalasi
  3. Jika komputer memiliki kartu Wi-Fi, putuskan secara fisik (lepas modul Wi-Fi jika memungkinkan, atau nonaktifkan di BIOS)
  4. Nonaktifkan Bluetooth di BIOS

Jika membeli komputer baru:

  1. Selesaikan penyiapan awal tanpa terhubung ke jaringan apa pun
  2. Lewati semua prompt "connect to Wi-Fi" selama penyiapan OS

Langkah 2: Pindahkan File SafeSeed

Di komputer biasa Anda (yang terhubung internet):

  1. Buka tiap alat SafeSeed dan simpan halaman lengkapnya
  2. Salin semua file yang disimpan ke USB drive
  3. Opsional tetapi direkomendasikan: Hitung checksum SHA-256 dari file yang disimpan

Di komputer offline:

  1. Masukkan USB drive
  2. Salin file ke hard drive lokal
  3. Opsional: Verifikasi checksum jika Anda punya caranya
  4. Eject USB drive

Langkah 3: Uji Alat

  1. Buka tiap alat yang disimpan di browser komputer offline
  2. Buat seed phrase uji
  3. Turunkan alamat uji
  4. Verifikasi semua fungsi bekerja sesuai harapan
  5. Buang data uji (ini bukan kunci asli Anda)

Langkah 4: Buat Kunci Asli Anda

  1. Buka Seed Phrase Generator
  2. Buat seed phrase Anda
  3. Catat di kertas atau logam (lihat Seed Phrase Generator Tutorial)
  4. Jika perlu, buka Address Generator dan turunkan alamat untuk diverifikasi dengan wallet Anda nanti
  5. Tutup browser
  6. Matikan komputer

Penggunaan Berkelanjutan

  • Simpan komputer ini dalam keadaan mati dan aman saat tidak digunakan
  • Nyalakan hanya saat Anda perlu melakukan pembuatan atau derivasi kunci
  • Jangan pernah sambungkan ke jaringan apa pun
  • Perbarui file alat SafeSeed secara berkala melalui USB dari sumber tepercaya

Opsi 3: Live USB / Tails (Keamanan Maksimum)

Untuk tingkat keamanan tertinggi, boot dari sistem operasi live USB yang berjalan sepenuhnya di RAM dan tidak meninggalkan jejak di komputer host.

Menggunakan Tails OS

Tails adalah distribusi Linux berfokus privasi yang dirancang untuk tidak meninggalkan jejak. Sistem ini boot dari USB drive, berjalan sepenuhnya di RAM, dan menghapus semua memori saat dimatikan.

Penyiapan

  1. Di komputer biasa Anda, unduh Tails dari tails.net dan verifikasi signature unduhan
  2. Flash Tails ke USB drive menggunakan installer resmi Tails atau Etcher
  3. Di USB drive terpisah, simpan file alat SafeSeed (seperti dijelaskan di Opsi 1)

Menggunakan Tails untuk Pembuatan Kunci

  1. Boot dari Tails USB:

    • Masukkan Tails USB lalu restart komputer
    • Akses boot menu (biasanya F12, F2, atau Del saat startup)
    • Pilih USB drive
    • Di layar sambutan Tails, jangan konfigurasi pengaturan jaringan apa pun

  2. Nonaktifkan semua jaringan (Tails memudahkan ini — cukup jangan terhubung ke jaringan apa pun)

  3. Masukkan USB drive kedua berisi file alat SafeSeed

  4. Buka alat SafeSeed di Tor Browser (yang disertakan dengan Tails)

    • Meski menggunakan Tor Browser, Anda tetap bekerja sepenuhnya offline
    • Buka file HTML yang disimpan dari USB drive

  5. Buat seed phrase Anda dan/atau turunkan alamat

  6. Catat hasilnya di media fisik

  7. Matikan Tails:

    • Lepas USB drive
    • Tails otomatis menghapus seluruh RAM saat shutdown
    • Tidak ada jejak yang tersisa di komputer host

Keunggulan Tails

  • Berjalan sepenuhnya di RAM — tidak ada data ditulis ke disk
  • Dirancang untuk tidak meninggalkan jejak forensik
  • Bahkan jika komputer host punya malware di hard drive, Tails boot dengan sistem operasi bersihnya sendiri
  • Penghapusan memori otomatis saat shutdown
  • Open-source dan diaudit dengan baik

Hal yang Perlu Dipertimbangkan

  • Tails memerlukan kenyamanan teknis tertentu dengan Linux
  • Tidak semua perangkat keras kompatibel (terutama laptop yang sangat baru)
  • Tor Browser di Tails punya pengaturan keamanan ketat yang seharusnya tidak memengaruhi operasi file lokal, tetapi mungkin memerlukan penyesuaian preferensi

Menggunakan Ubuntu Live USB

Jika Tails terasa terlalu kompleks, Ubuntu live USB standar adalah alternatif yang lebih sederhana:

  1. Unduh Ubuntu Desktop ISO dari ubuntu.com
  2. Flash ke USB drive menggunakan Etcher atau Rufus
  3. Boot dari USB dan pilih "Try Ubuntu" (jangan install)
  4. Jangan konfigurasi jaringan apa pun
  5. Buka file alat SafeSeed di Firefox
  6. Buat kunci, catat, lalu matikan

Ubuntu live tidak memiliki fitur penghapusan memori seperti Tails, jadi matikan komputer dan biarkan mati beberapa menit agar RAM meluruh secara alami (atau lepas dan pasang kembali baterai pada laptop yang mendukung).

Keamanan Printer untuk Penggunaan Offline

Jika Anda membuat paper wallet di komputer air-gapped, printer adalah bagian dari perimeter keamanan.

Pengaturan Printer yang Direkomendasikan

  • Gunakan printer yang terhubung USB saja (tanpa Wi-Fi, tanpa Bluetooth, tanpa kemampuan jaringan)
  • Idealnya, gunakan printer sederhana: Printer inkjet atau laser dasar tanpa fitur pintar, konektivitas cloud, atau penyimpanan internal
  • Hindari printer dengan penyimpanan persisten: Beberapa printer modern menyimpan pekerjaan cetak di memori flash internal. Cari printer yang memproses pekerjaan dari RAM saja.
  • Dedikasikan printer: Gunakan hanya untuk mencetak materi kriptografi, bukan untuk hal lain
  • Setelah mencetak: Lakukan power cycle printer (matikan lalu nyalakan) untuk menghapus memori volatil

Opsi Printer Ramah Anggaran

Untuk mencetak paper wallet sesekali, printer inkjet USB dasar berharga $30-50 dan tidak memiliki penyimpanan persisten. Hindari printer dari produsen yang mewajibkan akun cloud (HP+, Epson EcoTank dengan fitur cloud, dll.).

Checklist Verifikasi

Sebelum membuat kunci apa pun untuk penggunaan nyata, verifikasi pengaturan air-gapped Anda:

Isolasi Jaringan

  • Wi-Fi dinonaktifkan (level perangkat keras, bukan hanya perangkat lunak)
  • Kabel Ethernet tercabut secara fisik
  • Bluetooth dinonaktifkan
  • Airplane mode aktif (jika tersedia)
  • Tidak ada modem seluler (lepaskan kartu SIM jika berlaku)
  • Verifikasi: buka browser dan pastikan Anda tidak bisa mengakses situs apa pun

Lingkungan

  • Tidak ada kamera keamanan mengarah ke layar Anda
  • Tidak ada orang lain yang bisa melihat layar Anda
  • Tidak ada perangkat lunak perekam layar atau screen sharing yang berjalan
  • Tidak ada voice assistant atau smart speaker di ruangan (berpotensi mendengar Anda membaca kata dengan suara keras)
  • Jendela tertutup jika terlihat dari luar

Perangkat Lunak

  • Ekstensi browser dinonaktifkan (atau menggunakan profil browser baru)
  • Tidak ada aplikasi yang tidak perlu sedang berjalan
  • Sistem operasi baru diinstal atau lingkungan live USB
  • File alat SafeSeed yang disimpan terbuka dan berfungsi dengan benar

Setelah Pembuatan Kunci

  • Seed phrase/private key dicatat di media fisik
  • Media fisik segera diamankan (tidak dibiarkan terbuka)
  • Tab browser ditutup
  • Riwayat dan cache browser dihapus
  • Komputer dimatikan (atau live USB dilepas dan komputer dimatikan)
  • Jika menggunakan Tails, penghapusan RAM telah selesai
  • USB drive berisi file SafeSeed disimpan dengan aman (tidak dibuang ke sampah sehingga bisa dipulihkan)

Memindahkan Alamat (Bukan Kunci) Kembali Online

Setelah membuat kunci secara offline, Anda mungkin perlu memindahkan alamat publik kembali ke perangkat yang terhubung internet (misalnya, untuk menyiapkan watch-only wallet atau menerima dana).

Metode Aman

  • Ketik alamat secara manual: Lihat catatan fisik dan ketik alamat ke wallet online atau blockchain explorer Anda. Ini metode paling aman.
  • Pemindaian kode QR: Jika Anda membuat paper wallet, pindai kode QR alamat publik dengan ponsel Anda. Hanya pindai kode QR alamat PUBLIC, jangan pernah kode QR private key.
  • Extended public key via USB: Jika Anda perlu memindahkan xpub/ypub/zpub untuk watch-only wallet, simpan ke USB drive di mesin air-gapped lalu transfer. Extended public key tidak bisa digunakan untuk membelanjakan dana.

Metode yang Harus Dihindari

  • Jangan transfer private key atau seed phrase via USB, jaringan, atau media digital apa pun ke perangkat yang terhubung internet
  • Jangan memotret seed phrase dengan smartphone
  • Jangan memindai kode QR private key dengan perangkat yang terhubung internet
  • Jangan mengetik seed phrase ke perangkat apa pun yang terhubung internet

Lanjutan: Memverifikasi Source Code SafeSeed

Untuk pengguna yang paling peduli keamanan, Anda bisa memverifikasi source code alat SafeSeed sebelum menggunakannya secara offline.

Langkah Verifikasi

  1. Unduh source code dari repository publik (saat online)
  2. Tinjau kode JavaScript untuk panggilan jaringan apa pun (fetch, XMLHttpRequest, WebSocket, navigator.sendBeacon)
  3. Verifikasi library kriptografi adalah implementasi yang dikenal dan diaudit (misalnya, bitcoinjs-lib, ethers.js, atau penggunaan langsung Web Crypto API)
  4. Periksa eksfiltrasi data: Cari kode yang menulis ke localStorage, sessionStorage, document.cookie, atau IndexedDB
  5. Jalankan kode secara lokal setelah ditinjau, tanpa modifikasi apa pun

Yang Perlu Dicari

// Red flags in source code:
fetch(...)            // Any network request
XMLHttpRequest        // Any network request
WebSocket             // Any persistent connection
navigator.sendBeacon  // Analytics/tracking beacon
localStorage.setItem  // Persistent storage
document.cookie       // Cookie manipulation
new Image().src       // Potential data exfiltration via image pixel

Alat SafeSeed seharusnya tidak mengandung hal-hal di atas pada alur kode pembuatan dan derivasi kunci.

Masalah yang Sering Ditemui

Masalah: Halaman Tersimpan Tidak Berfungsi Offline

Penyebab: Fitur "Save As" browser mungkin tidak menangkap semua file JavaScript atau skrip Web Worker.

Solusi:

  • Coba browser lain saat menyimpan (Chrome cenderung paling baik dengan "Webpage, Complete")
  • Gunakan ekstensi browser seperti "SingleFile" yang menyimpan seluruh halaman sebagai satu file HTML mandiri
  • Gunakan wget --mirror --convert-links --page-requisites di command line untuk menangkap semua aset

Masalah: Kode QR Tidak Terbentuk Offline

Penyebab: Library kode QR mungkin tidak disertakan di halaman yang disimpan.

Solusi:

  • Pastikan Anda memilih "Webpage, Complete" (bukan "Webpage, HTML only") saat menyimpan
  • Sebagai solusi sementara, ketik alamat/kunci secara manual alih-alih memindai kode QR

Masalah: Live USB Tidak Bisa Boot

Penyebab: Secure Boot, pengaturan UEFI, atau perangkat keras tidak kompatibel.

Solusi:

  • Nonaktifkan Secure Boot di BIOS (biasanya di pengaturan Security)
  • Coba mode boot UEFI dan Legacy
  • Gunakan port USB lain (port USB 2.0 lebih kompatibel dibanding USB 3.0)
  • Coba merek USB drive lain

Masalah: Printer Tidak Berfungsi dari Live USB

Penyebab: Lingkungan live USB mungkin tidak memiliki driver printer.

Solusi:

  • Kebanyakan printer USB dasar berfungsi dengan driver generik di Linux
  • Jika printer tidak dikenali, coba model printer lain (yang lebih sederhana)
  • Sebagai alternatif, catat data secara manual dan buat paper wallet di komputer khusus air-gapped

FAQ

Seberapa sering saya harus memperbarui file SafeSeed di mesin air-gapped?

Perbarui setiap kali versi baru SafeSeed dirilis yang memperbaiki bug atau menambah fitur yang Anda butuhkan. Karena alat ini berbasis standar (BIP-39, BIP-32, BIP-44), fungsi inti jarang berubah. Pindahkan file pembaruan melalui USB drive yang baru diformat.

Bisakah saya menggunakan smartphone sebagai perangkat air-gapped?

Smartphone tidak ideal untuk pembuatan kunci air-gapped karena: (1) memiliki banyak radio (seluler, Wi-Fi, Bluetooth, NFC) yang sulit dinonaktifkan sepenuhnya di level perangkat keras, (2) memiliki banyak proses latar belakang yang mungkin menyimpan atau mengirim data, (3) lebih sulit diverifikasi kebersihannya. Jika harus memakai ponsel, aktifkan airplane mode, nonaktifkan semua radio satu per satu, dan gunakan perangkat yang telah di-factory reset.

Apakah aman menggunakan virtual machine alih-alih komputer khusus?

Virtual machine (VM) pada host yang terhubung internet tidak memberikan air-gapping yang sesungguhnya. Sistem operasi host dapat mengakses memori VM, dan jika host disusupi, VM tidak memberi perlindungan. VM berguna untuk isolasi, tetapi bukan pengganti air-gapping fisik.

Bagaimana jika saya perlu mencari kata BIP-39 saat offline?

Jika Anda perlu memverifikasi apakah sebuah kata ada di wordlist BIP-39, Anda bisa menyimpan salinan wordlist sebelumnya. Daftar lengkap 2.048 kata BIP-39 bahasa Inggris tersedia untuk publik. Simpan sebagai file teks di USB drive air-gapped Anda bersama alat SafeSeed.

Bagaimana cara menghancurkan komputer air-gapped dengan aman saat sudah tidak dipakai?

Jika Anda menonaktifkan komputer air-gapped khusus: (1) Wipe hard drive menggunakan utilitas secure erase (DBAN atau sejenisnya), (2) Lepas hard drive dan hancurkan secara fisik jika nilai kunci yang disimpan menuntutnya, (3) Komputer itu sendiri (tanpa drive) bisa digunakan ulang atau didaur ulang dengan aman.

Bisakah malware di USB drive menyusupi komputer air-gapped saya?

Secara teori, bisa. Serangan berbasis USB (seperti BadUSB) ada tetapi sangat jarang terjadi dalam praktik dan membutuhkan serangan yang tertarget serta canggih. Untuk mitigasi: (1) Gunakan USB drive benar-benar baru, (2) Hanya transfer file yang diketahui (HTML/JS SafeSeed yang disimpan), (3) Format USB drive sebelum memindahkan file, (4) Pertimbangkan USB data blocker atau kartu SD write-protected.

Apakah wajib menggunakan Tails, atau komputer offline biasa sudah cukup?

Komputer offline biasa yang tidak pernah terhubung internet sudah cukup bagi sebagian besar pengguna. Tails menambahkan manfaat penghapusan memori otomatis dan berjalan sepenuhnya di RAM, sehingga mencegah jejak bertahan di perangkat keras. Untuk kasus penggunaan institusional atau bernilai tinggi, Tails memberi peningkatan keamanan yang terukur dibanding komputer offline standar.

Bagaimana dengan pancaran elektromagnetik (serangan TEMPEST)?

Serangan TEMPEST melibatkan penyadapan sinyal elektromagnetik yang dipancarkan komputer untuk merekonstruksi data yang ditampilkan. Serangan ini membutuhkan peralatan khusus, kedekatan fisik, dan keahlian tinggi. Ini relevan hanya untuk ancaman setingkat negara. Bagi hampir semua pengguna cryptocurrency, perlindungan TEMPEST tidak diperlukan. Jika Anda mengkhawatirkannya, gunakan tas atau kandang Faraday di sekitar pengaturan air-gapped Anda.

Panduan Terkait