Ir para o conteúdo principal

Usando o SafeSeed Offline: Guia de Segurança Air-Gapped

A medida de segurança mais forte que você pode adotar ao gerar seed phrases e chaves privadas é fazer isso em um computador que nunca foi e nunca será conectado à internet. Isso é chamado de configuração "air-gapped" — existe literalmente uma lacuna de ar entre seu material criptográfico sensível e qualquer rede. As ferramentas SafeSeed foram projetadas para funcionar totalmente offline, e este guia mostra como configurar e usar um ambiente air-gapped.

Experimente Agora

Todas as ferramentas SafeSeed em safeseed.app funcionam offline. Baixe a página enquanto estiver online e depois desconecte antes de gerar qualquer chave.

Por Que Ficar Offline?

Quando você gera uma seed phrase ou chave privada em um computador conectado à internet, vários vetores de ataque existem, mesmo quando a ferramenta em si é confiável:

Ameaças em Computadores Conectados

AmeaçaDescriçãoProbabilidade
Malware/KeyloggerSoftware que captura conteúdo da tela, área de transferência ou teclas digitadasMédia
Extensões do navegadorExtensões maliciosas ou comprometidas que leem o conteúdo da páginaMédia
Sequestro de DNSRedirecionar você para uma versão falsa da ferramentaBaixa
Man-in-the-middleInterceptar e modificar o conteúdo da página em trânsitoBaixa (com HTTPS)
Acesso remotoCompartilhamento de tela, desktop remoto ou software RATBaixa
Ataque à cadeia de suprimentosCDN ou dependência comprometida servindo código maliciosoMuito baixa
Implante de hardwareDispositivos físicos que interceptam dados antes de chegarem à redeMuito baixa

Um computador air-gapped elimina toda ameaça baseada em rede. Mesmo que exista malware na máquina, ele não tem como exfiltrar as chaves geradas sem uma conexão de rede ou acesso físico.

O Espectro de Segurança

Nem todo mundo precisa do mesmo nível de segurança. Aqui está um framework prático:

Nível de SegurançaConfiguraçãoIndicado Para
BásicoComputador comum, conectado à internetAprendizado, testes, valores muito pequenos
AprimoradoComputador comum, desconectar a internet antes de gerarPatrimônio moderado ($100-$10,000)
AltoComputador dedicado offline, nunca conectadoPatrimônio significativo ($10,000+)
MáximoLive USB air-gapped, impressora dedicada, bolsa FaradayGrandes patrimônios, uso institucional

Este guia cobre os níveis "Alto" e "Máximo".

Opção 1: Salvar a Página Web (Mais Simples)

A forma mais simples de usar o SafeSeed offline é salvar a página web enquanto conectado, depois desconectar e usar.

Etapas

  1. Enquanto estiver online, navegue até a ferramenta SafeSeed que deseja usar:

  2. Salve a página completa:

    • Chrome/Edge: Ctrl+S (Windows/Linux) ou Cmd+S (Mac), selecione "Webpage, Complete"
    • Firefox: Ctrl+S ou Cmd+S, selecione "Web Page, complete"
    • Safari: Cmd+S, selecione "Web Archive"

  3. Salve em um pendrive (não no seu disco rígido, para máxima segurança)

  4. Desconecte da internet:

    • Desative o Wi-Fi (desligue o interruptor físico se seu laptop tiver)
    • Desconecte os cabos Ethernet
    • Desative o Bluetooth
    • Ative o modo avião, se disponível

  5. Abra o arquivo salvo do pendrive no navegador

  6. Verifique se funciona: Gere uma seed phrase de teste. Se a ferramenta funcionar, você está pronto.

  7. Gere sua seed phrase real ou faça sua derivação de chaves

  8. Registre o resultado em papel ou metal

  9. Feche o navegador e limpe todos os dados do navegador

  10. Para máxima segurança, desligue o computador e não reconecte à internet até limpar os dados do navegador e arquivos temporários

Limitações Dessa Abordagem

  • Algumas páginas salvas podem não incluir todas as dependências JavaScript (raro com SafeSeed, mas possível)
  • O disco rígido do seu computador comum pode armazenar em cache a página salva
  • Se seu computador já estava comprometido antes de você desconectar, o malware pode armazenar as chaves geradas e exfiltrá-las quando você reconectar

Opção 2: Computador Offline Dedicado (Recomendado)

Para patrimônios significativos, use um computador dedicado que nunca seja conectado à internet.

O Que Você Precisa

  • Um computador: Pode ser um laptop antigo ou um dispositivo usado barato. Não precisa ser potente — gerar chaves exige computação mínima.
  • Um pendrive: Para transferir os arquivos das ferramentas SafeSeed para o computador offline.
  • Uma impressora (opcional): Conectada via USB, sem rede. Para criação de paper wallet.

Etapas de Configuração

Etapa 1: Preparar o Computador Offline

Se estiver usando um computador existente:

  1. Faça uma instalação limpa do sistema operacional (remova qualquer SO existente que possa conter malware)
  2. Não conecte à internet durante ou após a instalação
  3. Se o computador tiver placa Wi-Fi, desconecte-a fisicamente (remova o módulo Wi-Fi se possível, ou desative no BIOS)
  4. Desative o Bluetooth no BIOS

Se estiver comprando um computador novo:

  1. Conclua a configuração inicial sem se conectar a nenhuma rede
  2. Ignore todos os prompts de "conectar ao Wi-Fi" durante a configuração do SO

Etapa 2: Transferir os Arquivos SafeSeed

No seu computador comum (conectado à internet):

  1. Navegue até cada ferramenta SafeSeed e salve a página completa
  2. Copie todos os arquivos salvos para um pendrive
  3. Opcional, mas recomendado: Calcule checksums SHA-256 dos arquivos salvos

No computador offline:

  1. Insira o pendrive
  2. Copie os arquivos para o disco rígido local
  3. Opcional: Verifique os checksums se você tiver como fazer isso
  4. Ejete o pendrive

Etapa 3: Testar as Ferramentas

  1. Abra cada ferramenta salva no navegador do computador offline
  2. Gere uma seed phrase de teste
  3. Derive endereços de teste
  4. Verifique se todas as funcionalidades estão funcionando como esperado
  5. Descarte os dados de teste (essas não são suas chaves reais)

Etapa 4: Gerar Suas Chaves Reais

  1. Abra o Seed Phrase Generator
  2. Gere sua seed phrase
  3. Registre em papel ou metal (veja Seed Phrase Generator Tutorial)
  4. Se necessário, abra o Address Generator e derive endereços para verificar com sua carteira depois
  5. Feche o navegador
  6. Desligue o computador

Uso Contínuo

  • Mantenha esse computador desligado e armazenado com segurança quando não estiver em uso
  • Ligue-o apenas quando precisar fazer geração ou derivação de chaves
  • Nunca o conecte a nenhuma rede, em hipótese alguma
  • Atualize periodicamente os arquivos das ferramentas SafeSeed via USB a partir de uma fonte confiável

Opção 3: Live USB / Tails (Segurança Máxima)

Para o mais alto nível de segurança, inicialize a partir de um sistema operacional live USB que roda inteiramente na RAM e não deixa rastros no computador host.

Usando Tails OS

Tails é uma distribuição Linux focada em privacidade, projetada para não deixar rastros. Ela inicializa via pendrive, roda inteiramente na RAM e limpa toda a memória ao desligar.

Configuração

  1. No seu computador comum, baixe o Tails em tails.net e verifique a assinatura do download
  2. Grave o Tails em um pendrive usando o instalador oficial do Tails ou o Etcher
  3. Em um segundo pendrive, salve os arquivos das ferramentas SafeSeed (como descrito na Opção 1)

Usando Tails para Geração de Chaves

  1. Inicialize pelo pendrive do Tails:

    • Insira o pendrive do Tails e reinicie o computador
    • Acesse o menu de boot (geralmente F12, F2 ou Del na inicialização)
    • Selecione o pendrive
    • Na tela de boas-vindas do Tails, não configure nenhuma rede

  2. Desative toda conectividade de rede (o Tails facilita isso — simplesmente não se conecte a nenhuma rede)

  3. Insira o segundo pendrive com os arquivos das ferramentas SafeSeed

  4. Abra as ferramentas SafeSeed no Tor Browser (que vem com o Tails)

    • Apesar de usar o Tor Browser, você trabalhará totalmente offline
    • Abra os arquivos HTML salvos a partir do pendrive

  5. Gere sua seed phrase e/ou derive endereços

  6. Registre os resultados em mídia física

  7. Desligue o Tails:

    • Remova o pendrive
    • O Tails limpa automaticamente toda a RAM ao desligar
    • Nenhum rastro permanece no computador host

Vantagens do Tails

  • Roda inteiramente na RAM — nenhum dado é gravado em disco
  • Projetado para não deixar rastros forenses
  • Mesmo que o computador host tenha malware no disco rígido, o Tails inicializa seu próprio sistema operacional limpo
  • Limpeza automática de memória ao desligar
  • Bem auditado, open-source

Considerações

  • O Tails exige algum nível de familiaridade técnica com Linux
  • Nem todo hardware é compatível (especialmente laptops muito novos)
  • O Tor Browser no Tails tem configurações rígidas de segurança que não devem afetar operações com arquivos locais, mas podem exigir ajuste de preferências

Usando Ubuntu Live USB

Se o Tails parecer complexo demais, um Ubuntu live USB padrão é uma alternativa mais simples:

  1. Baixe o ISO do Ubuntu Desktop em ubuntu.com
  2. Grave em um pendrive usando Etcher ou Rufus
  3. Inicialize pelo pendrive e selecione "Try Ubuntu" (não instale)
  4. Não configure nenhuma rede
  5. Abra os arquivos das ferramentas SafeSeed no Firefox
  6. Gere chaves, registre e desligue

O Ubuntu live não tem o recurso de limpeza de memória do Tails, então desligue o computador e deixe-o desligado por alguns minutos para permitir que a RAM se degrade naturalmente (ou remova e reinsira a bateria em laptops que permitem isso).

Segurança da Impressora para Uso Offline

Se você estiver criando paper wallets no computador air-gapped, a impressora faz parte do perímetro de segurança.

Configuração de Impressora Recomendada

  • Use apenas impressora conectada por USB (sem Wi-Fi, sem Bluetooth, sem capacidade de rede)
  • Idealmente, use uma impressora simples: Impressoras jato de tinta ou laser básicas, sem recursos inteligentes, conectividade em nuvem ou armazenamento interno
  • Evite impressoras com armazenamento persistente: Algumas impressoras modernas armazenam trabalhos em memória flash interna. Procure impressoras que processem trabalhos apenas na RAM.
  • Mantenha a impressora dedicada: Use-a somente para impressão de material criptográfico, nada mais
  • Após imprimir: Faça ciclo de energia na impressora (desligar e ligar) para limpar qualquer memória volátil

Opções de Impressora com Bom Custo-Benefício

Para impressão ocasional de paper wallet, uma impressora jato de tinta USB básica custa $30-50 e não tem armazenamento persistente. Evite impressoras de fabricantes que exigem contas na nuvem (HP+, Epson EcoTank com recursos de nuvem, etc.).

Checklist de Verificação

Antes de gerar qualquer chave para uso real, verifique sua configuração air-gapped:

Isolamento de Rede

  • Wi-Fi desativado (nível de hardware, não apenas software)
  • Cabo Ethernet fisicamente desconectado
  • Bluetooth desativado
  • Modo avião ativado (se disponível)
  • Sem modem celular (remova o SIM card, se aplicável)
  • Verificação: abra um navegador e confirme que você não consegue acessar nenhum site

Ambiente

  • Nenhuma câmera de segurança apontada para sua tela
  • Nenhuma outra pessoa consegue ver sua tela
  • Nenhum software de gravação ou compartilhamento de tela está em execução
  • Nenhum assistente de voz ou smart speaker no ambiente (eles podem potencialmente ouvir você ler palavras em voz alta)
  • Janelas cobertas se houver visibilidade do lado de fora

Software

  • Extensões do navegador desativadas (ou uso de perfil limpo de navegador)
  • Nenhum aplicativo desnecessário em execução
  • O sistema operacional foi instalado recentemente ou é um ambiente live USB
  • Os arquivos salvos das ferramentas SafeSeed abrem e funcionam corretamente

Após a Geração de Chaves

  • Seed phrase/chave privada registrada em mídia física
  • Mídia física protegida imediatamente (não deixada exposta)
  • Aba do navegador fechada
  • Histórico e cache do navegador limpos
  • Computador desligado (ou live USB removido e computador desligado)
  • Se estiver usando Tails, a limpeza da RAM foi concluída
  • Pendrive com arquivos SafeSeed armazenado com segurança (não descartado no lixo, onde poderia ser recuperado)

Transferindo Endereços (Não Chaves) de Volta para o Online

Após gerar chaves offline, você pode precisar transferir endereços públicos de volta para seus dispositivos conectados à internet (por exemplo, para configurar uma carteira watch-only ou receber fundos).

Métodos Seguros

  • Digite o endereço manualmente: Consulte o registro físico e digite o endereço na sua carteira online ou explorador de blockchain. Este é o método mais seguro.
  • Leitura de QR code: Se você criou um paper wallet, escaneie o QR code do endereço público com seu celular. Escaneie apenas o QR code do endereço PUBLIC, nunca o QR code da chave privada.
  • Chave pública estendida via USB: Se precisar transferir um xpub/ypub/zpub para uma carteira watch-only, salve em um pendrive na máquina air-gapped e transfira. A chave pública estendida não pode ser usada para gastar fundos.

Métodos a Evitar

  • Não transfira chaves privadas ou seed phrases via USB, rede ou qualquer mídia digital para um dispositivo conectado à internet
  • Não fotografe a seed phrase com smartphone
  • Não escaneie o QR code da chave privada com um dispositivo conectado à internet
  • Não digite a seed phrase em nenhum dispositivo conectado à internet

Avançado: Verificando o Código-Fonte do SafeSeed

Para usuários com foco máximo em segurança, você pode verificar o código-fonte das ferramentas SafeSeed antes de usá-las offline.

Etapas de Verificação

  1. Baixe o código-fonte do repositório público (enquanto estiver online)
  2. Revise o código JavaScript em busca de chamadas de rede (fetch, XMLHttpRequest, WebSocket, navigator.sendBeacon)
  3. Verifique a biblioteca criptográfica para garantir que seja uma implementação conhecida e auditada (por exemplo, bitcoinjs-lib, ethers.js, ou uso direto da Web Crypto API)
  4. Verifique exfiltração de dados: Procure qualquer código que grave em localStorage, sessionStorage, document.cookie ou IndexedDB
  5. Execute o código localmente após a revisão, sem modificações

O Que Procurar

// Sinais de alerta no código-fonte:
fetch(...)            // Qualquer requisição de rede
XMLHttpRequest        // Qualquer requisição de rede
WebSocket             // Qualquer conexão persistente
navigator.sendBeacon  // Beacon de analytics/rastreamento
localStorage.setItem  // Armazenamento persistente
document.cookie       // Manipulação de cookie
new Image().src       // Potencial exfiltração de dados via pixel de imagem

As ferramentas SafeSeed não devem conter nada disso nos fluxos de geração e derivação de chaves.

Problemas Encontrados com Frequência

Problema: Página Salva Não Funciona Offline

Causa: O recurso "Salvar Como" do navegador pode não capturar todos os arquivos JavaScript ou scripts de Web Worker.

Solução:

  • Tente outro navegador para salvar (Chrome tende a funcionar melhor com "Webpage, Complete")
  • Use uma extensão como "SingleFile", que salva a página inteira em um único arquivo HTML autônomo
  • Use wget --mirror --convert-links --page-requisites no terminal para capturar todos os recursos

Problema: QR Codes Não São Gerados Offline

Causa: A biblioteca de QR code pode não ter sido incluída na página salva.

Solução:

  • Garanta que você selecionou "Webpage, Complete" (não "Webpage, HTML only") ao salvar
  • Como contorno, digite manualmente o endereço/chave em vez de escanear QR codes

Problema: Live USB Não Inicializa

Causa: Secure Boot, configurações de UEFI ou hardware incompatível.

Solução:

  • Desative o Secure Boot no BIOS (geralmente nas configurações de Security)
  • Teste os modos de boot UEFI e Legacy
  • Use outra porta USB (portas USB 2.0 são mais compatíveis que USB 3.0)
  • Tente outra marca de pendrive

Problema: Impressora Não Funciona no Live USB

Causa: O ambiente live USB pode não ter drivers de impressora.

Solução:

  • A maioria das impressoras USB básicas funciona com drivers genéricos no Linux
  • Se a impressora não for reconhecida, tente outro modelo de impressora (mais simples)
  • Como alternativa, registre os dados à mão e crie paper wallets no computador dedicado air-gapped

FAQ

Com que frequência devo atualizar os arquivos SafeSeed na minha máquina air-gapped?

Atualize sempre que uma nova versão do SafeSeed for lançada com correções de bugs ou recursos que você precise. Como a ferramenta é baseada em padrões (BIP-39, BIP-32, BIP-44), a funcionalidade central raramente muda. Transfira arquivos atualizados por um pendrive recém-formatado.

Posso usar um smartphone como dispositivo air-gapped?

Smartphones não são ideais para geração de chaves air-gapped porque: (1) têm vários rádios (celular, Wi-Fi, Bluetooth, NFC) difíceis de desativar totalmente no nível de hardware, (2) têm muitos processos em segundo plano que podem armazenar ou transmitir dados, (3) são mais difíceis de verificar como limpos. Se for obrigatório usar um telefone, ative o modo avião, desative todos os rádios individualmente e use um dispositivo restaurado de fábrica.

É seguro usar uma máquina virtual em vez de um computador dedicado?

Uma máquina virtual (VM) em um host conectado à internet não fornece air-gapping real. O sistema operacional host pode acessar a memória da VM e, se o host estiver comprometido, a VM não oferece proteção. VMs são úteis para isolamento, mas não substituem o air-gapping físico.

E se eu precisar consultar uma palavra BIP-39 estando offline?

Se você precisar verificar se uma palavra está na lista BIP-39, pode salvar uma cópia da lista previamente. A lista completa de 2.048 palavras em inglês do BIP-39 está publicamente disponível. Salve como arquivo de texto no seu pendrive air-gapped junto com as ferramentas SafeSeed.

Como destruir com segurança um computador air-gapped quando eu terminar de usá-lo?

Se você estiver descomissionando um computador dedicado air-gapped: (1) Limpe o disco rígido com um utilitário de apagamento seguro (DBAN ou similar), (2) Remova o disco rígido e destrua-o fisicamente se o valor das chaves armazenadas justificar, (3) O computador em si (sem o disco) pode ser reaproveitado ou reciclado com segurança.

Malware em um pendrive pode comprometer meu computador air-gapped?

Teoricamente, sim. Ataques via USB (como BadUSB) existem, mas são extremamente raros na prática e exigem ataques direcionados e sofisticados. Para mitigar: (1) Use um pendrive novo, (2) Transfira apenas arquivos conhecidos (HTML/JS salvos do SafeSeed), (3) Formate o pendrive antes de transferir arquivos, (4) Considere usar um bloqueador de dados USB ou um cartão SD com proteção de gravação.

É necessário usar Tails, ou um computador offline comum é suficiente?

Um computador offline comum que nunca foi conectado à internet é suficiente para a maioria dos usuários. O Tails adiciona o benefício de limpeza automática da memória e execução inteiramente na RAM, o que impede que qualquer vestígio persista no hardware. Para casos de uso institucionais ou de alto valor, o Tails oferece uma melhoria de segurança mensurável em relação a um computador offline padrão.

E quanto às emissões eletromagnéticas (ataques TEMPEST)?

Ataques TEMPEST envolvem interceptar sinais eletromagnéticos emitidos por computadores para reconstruir dados exibidos. Esses ataques exigem equipamento especializado, proximidade física e grande expertise. Eles são relevantes apenas para ameaças em nível de Estado-nação. Para praticamente todos os usuários de criptomoedas, proteção TEMPEST é desnecessária. Se isso preocupar você, use uma bolsa ou gaiola de Faraday ao redor da sua configuração air-gapped.

Guias Relacionados