Перейти к основному содержимому

Использование SafeSeed офлайн: руководство по air-gapped безопасности

Самая сильная мера безопасности при генерации seed-фраз и приватных ключей — делать это на компьютере, который никогда не был и никогда не будет подключен к интернету. Это называется конфигурацией "air-gapped" — между вашим чувствительным криптографическим материалом и любой сетью буквально есть воздушный разрыв. Инструменты SafeSeed разработаны для полностью офлайн-работы, и это руководство поможет вам настроить и использовать air-gapped среду.

Попробуйте сейчас

Все инструменты SafeSeed на safeseed.app работают офлайн. Скачайте страницу, пока вы онлайн, затем отключитесь перед генерацией любых ключей.

Зачем переходить в офлайн?

Когда вы генерируете seed-фразу или приватный ключ на компьютере, подключенном к интернету, существует несколько векторов атаки, даже если сам инструмент надежен:

Угрозы на подключенных компьютерах

УгрозаОписаниеВероятность
Вредоносное ПО/кейлоггерПО, которое захватывает содержимое экрана, буфера обмена или нажатия клавишСредняя
Расширения браузераВредоносные или скомпрометированные расширения, читающие содержимое страницыСредняя
Подмена DNSПеренаправление на поддельную версию инструментаНизкая
Атака «человек посередине»Перехват и изменение содержимого страницы при передачеНизкая (с HTTPS)
Удаленный доступДемонстрация экрана, удаленный рабочий стол или RAT-ПОНизкая
Атака на цепочку поставокСкомпрометированный CDN или зависимость, отдающие вредоносный кодОчень низкая
Аппаратная закладкаФизические устройства, перехватывающие данные до попадания в сетьОчень низкая

Air-gapped компьютер устраняет все сетевые угрозы. Даже если на машине есть вредоносное ПО, без сетевого подключения или физического доступа оно не сможет вывести сгенерированные ключи.

Спектр безопасности

Не всем нужен одинаковый уровень безопасности. Вот практичная шкала:

Уровень безопасностиКонфигурацияПодходит для
БазовыйОбычный компьютер, подключен к интернетуОбучение, тесты, очень маленькие суммы
УсиленныйОбычный компьютер, отключение интернета перед генерациейСредние суммы ($100-$10,000)
ВысокийВыделенный офлайн-компьютер, никогда не подключаетсяЗначимые суммы ($10,000+)
МаксимальныйAir-gapped live USB, выделенный принтер, мешок ФарадеяКрупные суммы, институциональное использование

Это руководство охватывает уровни "Высокий" и "Максимальный".

Вариант 1: Сохранить веб-страницу (самый простой)

Самый простой способ использовать SafeSeed офлайн — сохранить веб-страницу в сети, затем отключиться и использовать ее.

Шаги

  1. Пока вы онлайн, перейдите к нужному инструменту SafeSeed:

  2. Сохраните полную страницу:

    • Chrome/Edge: Ctrl+S (Windows/Linux) или Cmd+S (Mac), выберите "Webpage, Complete"
    • Firefox: Ctrl+S или Cmd+S, выберите "Web Page, complete"
    • Safari: Cmd+S, выберите "Web Archive"

  3. Сохраните на USB-накопитель (а не на жесткий диск, для максимальной безопасности)

  4. Отключитесь от интернета:

    • Выключите Wi-Fi (отключите аппаратный переключатель, если он есть на ноутбуке)
    • Отсоедините Ethernet-кабели
    • Отключите Bluetooth
    • Включите режим полета, если доступен

  5. Откройте сохраненный файл с USB-накопителя в браузере

  6. Проверьте, что все работает: сгенерируйте тестовую seed-фразу. Если инструмент работает, можно продолжать.

  7. Сгенерируйте реальную seed-фразу или выполните деривацию ключей

  8. Запишите результат на бумагу или металл

  9. Закройте браузер и очистите все данные браузера

  10. Для максимальной безопасности выключите компьютер и не подключайте его к интернету, пока не очистите данные браузера и временные файлы

Ограничения этого подхода

  • Некоторые сохраненные страницы могут не включать все зависимости JavaScript (редко для SafeSeed, но возможно)
  • Жесткий диск обычного компьютера может кэшировать сохраненную страницу
  • Если компьютер уже был скомпрометирован до отключения, вредоносное ПО может сохранить сгенерированные ключи и отправить их после повторного подключения

Вариант 2: Выделенный офлайн-компьютер (рекомендуется)

Для значимых сумм используйте выделенный компьютер, который никогда не подключается к интернету.

Что потребуется

  • Компьютер: старый ноутбук или недорогое б/у устройство. Мощность не важна — генерация ключей требует минимум вычислений.
  • USB-накопитель: для переноса файлов инструментов SafeSeed на офлайн-компьютер.
  • Принтер (необязательно): подключение по USB, без сети. Для создания paper wallet.

Шаги настройки

Шаг 1: Подготовьте офлайн-компьютер

Если используете существующий компьютер:

  1. Выполните чистую установку ОС (удалите любую существующую ОС, которая может содержать вредоносное ПО)
  2. Не подключайтесь к интернету во время и после установки
  3. Если в компьютере есть Wi-Fi-карта, физически отключите ее (удалите модуль Wi-Fi, если возможно, или отключите его в BIOS)
  4. Отключите Bluetooth в BIOS

Если покупаете новый компьютер:

  1. Выполните первоначальную настройку без подключения к сети
  2. Пропускайте все запросы "подключиться к Wi-Fi" при настройке ОС

Шаг 2: Перенесите файлы SafeSeed

На обычном (подключенном к интернету) компьютере:

  1. Откройте каждый инструмент SafeSeed и сохраните полную страницу
  2. Скопируйте все сохраненные файлы на USB-накопитель
  3. Необязательно, но рекомендуется: вычислите SHA-256-хеши сохраненных файлов

На офлайн-компьютере:

  1. Вставьте USB-накопитель
  2. Скопируйте файлы на локальный жесткий диск
  3. Необязательно: проверьте хеши, если есть такая возможность
  4. Извлеките USB-накопитель

Шаг 3: Протестируйте инструменты

  1. Откройте каждый сохраненный инструмент в браузере офлайн-компьютера
  2. Сгенерируйте тестовую seed-фразу
  3. Выведите тестовые адреса
  4. Убедитесь, что весь функционал работает как ожидается
  5. Удалите тестовые данные (это не ваши реальные ключи)

Шаг 4: Сгенерируйте реальные ключи

  1. Откройте генератор seed-фраз
  2. Сгенерируйте seed-фразу
  3. Запишите ее на бумагу или металл (см. Руководство по генератору seed-фраз)
  4. При необходимости откройте генератор адресов и выведите адреса для последующей проверки в кошельке
  5. Закройте браузер
  6. Выключите компьютер

Постоянное использование

  • Держите этот компьютер выключенным и храните в безопасном месте, когда он не используется
  • Включайте его только когда нужно генерировать ключи или выполнять деривацию
  • Никогда не подключайте его к какой-либо сети
  • Периодически обновляйте файлы инструментов SafeSeed через USB из доверенного источника

Вариант 3: Live USB / Tails (максимальная безопасность)

Для максимального уровня безопасности загружайтесь с live USB-ОС, которая работает полностью в RAM и не оставляет следов на хост-компьютере.

Использование Tails OS

Tails — ориентированный на приватность Linux-дистрибутив, созданный так, чтобы не оставлять следов. Он загружается с USB-накопителя, работает полностью в RAM и очищает всю память при выключении.

Настройка

  1. На обычном компьютере скачайте Tails с tails.net и проверьте подпись загрузки
  2. Запишите Tails на USB-накопитель через официальный установщик Tails или Etcher
  3. На отдельный USB-накопитель сохраните файлы инструментов SafeSeed (как описано в Варианте 1)

Использование Tails для генерации ключей

  1. Загрузитесь с USB Tails:

    • Вставьте USB с Tails и перезагрузите компьютер
    • Откройте boot menu (обычно F12, F2 или Del при запуске)
    • Выберите USB-накопитель
    • На экране приветствия Tails не настраивайте сеть

  2. Отключите все сети (в Tails это просто — просто не подключайтесь ни к одной сети)

  3. Вставьте второй USB-накопитель с файлами инструментов SafeSeed

  4. Откройте инструменты SafeSeed в Tor Browser (идет с Tails)

    • Несмотря на Tor Browser, вы будете работать полностью офлайн
    • Откройте сохраненные HTML-файлы с USB-накопителя

  5. Сгенерируйте seed-фразу и/или выведите адреса

  6. Запишите результаты на физический носитель

  7. Выключите Tails:

    • Извлеките USB-накопитель
    • Tails автоматически очищает всю RAM при выключении
    • На хост-компьютере не остается следов

Преимущества Tails

  • Работает полностью в RAM — данные не пишутся на диск
  • Спроектирован так, чтобы не оставлять криминалистических следов
  • Даже если на жестком диске хоста есть вредоносное ПО, Tails загружает собственную чистую ОС
  • Автоматическая очистка памяти при выключении
  • Хорошо аудирован, open-source

Важные моменты

  • Для Tails нужен определенный технический комфорт с Linux
  • Не все оборудование совместимо (особенно очень новые ноутбуки)
  • Tor Browser в Tails имеет строгие настройки безопасности, которые обычно не мешают работе с локальными файлами, но могут потребовать изменения параметров

Использование Ubuntu Live USB

Если Tails кажется слишком сложным, стандартный Ubuntu live USB — более простой вариант:

  1. Скачайте Ubuntu Desktop ISO с ubuntu.com
  2. Запишите образ на USB через Etcher или Rufus
  3. Загрузитесь с USB и выберите "Try Ubuntu" (не устанавливайте)
  4. Не настраивайте сеть
  5. Откройте файлы инструментов SafeSeed в Firefox
  6. Сгенерируйте ключи, запишите их и выключите компьютер

Ubuntu live не имеет функции очистки памяти, как у Tails, поэтому выключите компьютер и оставьте его выключенным на несколько минут, чтобы RAM естественно разрядилась (или извлеките и вставьте батарею обратно на ноутбуках, где это возможно).

Безопасность принтера при офлайн-использовании

Если вы создаете paper wallet на air-gapped компьютере, принтер тоже входит в периметр безопасности.

Рекомендуемая настройка принтера

  • Используйте только USB-принтер (без Wi-Fi, Bluetooth и сетевых функций)
  • В идеале используйте "тупой" принтер: базовый струйный или лазерный без смарт-функций, облачного подключения и внутреннего хранилища
  • Избегайте принтеров с постоянным хранилищем: некоторые современные принтеры сохраняют задания во внутренней flash-памяти. Ищите модели, которые обрабатывают задания только из RAM.
  • Выделите принтер только для этого: используйте его только для печати криптографических материалов
  • После печати: перезапустите принтер (выключите и включите), чтобы очистить волатильную память

Бюджетные варианты принтеров

Для редкой печати paper wallet базовый USB-струйный принтер стоит $30-50 и не имеет постоянного хранилища. Избегайте принтеров производителей, требующих облачные аккаунты (HP+, Epson EcoTank с облачными функциями и т.д.).

Чеклист проверки

Перед генерацией ключей для реального использования проверьте air-gapped конфигурацию:

Сетевая изоляция

  • Wi-Fi отключен (на аппаратном уровне, не только программно)
  • Ethernet-кабель физически отключен
  • Bluetooth отключен
  • Режим полета включен (если доступен)
  • Нет сотового модема (извлеките SIM-карту при необходимости)
  • Проверка: откройте браузер и убедитесь, что ни один сайт не открывается

Окружение

  • На экран не направлены камеры видеонаблюдения
  • Никто посторонний не видит ваш экран
  • Не запущено ПО записи экрана или удаленного доступа
  • В комнате нет голосовых ассистентов или умных колонок (они потенциально могут услышать слова, прочитанные вслух)
  • Окна закрыты, если экран виден снаружи

ПО

  • Расширения браузера отключены (или используется новый профиль браузера)
  • Нет запущенных лишних приложений
  • ОС установлена начисто или используется live USB-среда
  • Сохраненные файлы инструментов SafeSeed открываются и работают корректно

После генерации ключей

  • Seed-фраза/приватный ключ записаны на физический носитель
  • Физический носитель сразу помещен в безопасное место (не оставлен на виду)
  • Вкладка браузера закрыта
  • История и кэш браузера очищены
  • Компьютер выключен (или live USB извлечен, и компьютер отключен)
  • Если использовался Tails, очистка RAM завершена
  • USB-накопитель с файлами SafeSeed хранится безопасно (не выброшен в мусор, откуда его могут восстановить)

Перенос адресов (не ключей) обратно онлайн

После офлайн-генерации ключей вам может понадобиться перенести публичные адреса на подключенные к интернету устройства (например, для watch-only wallet или получения средств).

Безопасные методы

  • Ввести адрес вручную: смотрите на физическую запись и введите адрес в онлайн-кошелек или blockchain explorer. Это самый безопасный метод.
  • Сканирование QR-кода: если вы создали paper wallet, отсканируйте QR-код публичного адреса телефоном. Сканируйте только QR-код PUBLIC-адреса, никогда не QR-код приватного ключа.
  • Extended public key через USB: если нужно перенести xpub/ypub/zpub для watch-only wallet, сохраните его на USB на air-gapped машине и перенесите. Extended public key нельзя использовать для траты средств.

Методы, которых стоит избегать

  • Не переносите приватные ключи или seed-фразы через USB, сеть или любой цифровой носитель на устройство, подключенное к интернету
  • Не фотографируйте seed-фразу смартфоном
  • Не сканируйте QR-код приватного ключа устройством, подключенным к интернету
  • Не вводите seed-фразу в любое устройство, подключенное к интернету

Продвинутый уровень: проверка исходного кода SafeSeed

Для пользователей с максимальными требованиями к безопасности можно проверить исходный код инструмента SafeSeed перед офлайн-использованием.

Шаги проверки

  1. Скачайте исходный код из публичного репозитория (пока вы онлайн)
  2. Проверьте JavaScript-код на наличие сетевых вызовов (fetch, XMLHttpRequest, WebSocket, navigator.sendBeacon)
  3. Проверьте криптографическую библиотеку: должна быть известная и аудированная реализация (например, bitcoinjs-lib, ethers.js или прямое использование Web Crypto API)
  4. Проверьте утечки данных: найдите код, который пишет в localStorage, sessionStorage, document.cookie или IndexedDB
  5. Запустите код локально после проверки, без модификаций

На что смотреть

// Red flags in source code:
fetch(...)            // Any network request
XMLHttpRequest        // Any network request
WebSocket             // Any persistent connection
navigator.sendBeacon  // Analytics/tracking beacon
localStorage.setItem  // Persistent storage
document.cookie       // Cookie manipulation
new Image().src       // Potential data exfiltration via image pixel

В кодовых путях генерации и деривации ключей инструментов SafeSeed не должно быть ничего из этого.

Часто встречающиеся проблемы

Проблема: сохраненная страница не работает офлайн

Причина: функция браузера "Save As" может не захватить все JavaScript-файлы или скрипты Web Worker.

Решение:

  • Попробуйте другой браузер для сохранения (Chrome обычно работает лучше с "Webpage, Complete")
  • Используйте расширение браузера вроде "SingleFile", которое сохраняет всю страницу как один самодостаточный HTML-файл
  • Используйте wget --mirror --convert-links --page-requisites в командной строке для захвата всех ресурсов

Проблема: QR-коды не генерируются офлайн

Причина: библиотека QR-кодов могла не попасть в сохраненную страницу.

Решение:

  • Убедитесь, что при сохранении выбран вариант "Webpage, Complete" (а не "Webpage, HTML only")
  • В качестве обходного пути вводите адрес/ключ вручную вместо сканирования QR-кодов

Проблема: Live USB не загружается

Причина: Secure Boot, настройки UEFI или несовместимое оборудование.

Решение:

  • Отключите Secure Boot в BIOS (обычно в разделе Security)
  • Попробуйте режимы загрузки UEFI и Legacy
  • Используйте другой USB-порт (USB 2.0 обычно совместимее, чем USB 3.0)
  • Попробуйте USB-накопитель другого бренда

Проблема: принтер не работает из Live USB

Причина: в live USB-среде могут отсутствовать драйверы принтера.

Решение:

  • Большинство базовых USB-принтеров работают с универсальными драйверами в Linux
  • Если принтер не определяется, попробуйте другую (более простую) модель принтера
  • Как альтернатива, запишите данные вручную и создайте paper wallet на выделенном air-gapped компьютере

FAQ

Как часто обновлять файлы SafeSeed на air-gapped машине?

Обновляйте, когда выходит новая версия SafeSeed с исправлениями ошибок или нужными вам функциями. Так как инструмент основан на стандартах (BIP-39, BIP-32, BIP-44), базовая функциональность меняется редко. Переносите обновленные файлы через свежевосстановленный USB-накопитель.

Можно ли использовать смартфон как air-gapped устройство?

Смартфоны неидеальны для air-gapped генерации ключей, потому что: (1) у них несколько радиомодулей (сотовая связь, Wi-Fi, Bluetooth, NFC), которые сложно полностью отключить на аппаратном уровне, (2) много фоновых процессов, которые могут хранить или передавать данные, (3) сложнее проверить чистоту устройства. Если нужно использовать телефон, включите режим полета, отключите все радиомодули по отдельности и используйте устройство после factory reset.

Безопасно ли использовать виртуальную машину вместо выделенного компьютера?

Виртуальная машина (VM) на хосте, подключенном к интернету, не дает настоящего air-gapping. Хост-ОС может читать память VM, и если хост скомпрометирован, VM не защитит. VM полезны для изоляции, но не заменяют физический air-gapping.

Что делать, если офлайн нужно проверить слово BIP-39?

Если нужно проверить, что слово есть в списке BIP-39, заранее сохраните копию wordlist. Полный список из 2,048 английских слов BIP-39 общедоступен. Сохраните его как текстовый файл на air-gapped USB вместе с инструментами SafeSeed.

Как безопасно уничтожить air-gapped компьютер после использования?

Если вы выводите из эксплуатации выделенный air-gapped компьютер: (1) очистите жесткий диск утилитой secure erase (DBAN или аналог), (2) извлеките жесткий диск и физически уничтожьте его, если ценность хранившихся ключей это оправдывает, (3) сам компьютер (без диска) можно безопасно переиспользовать или сдать на переработку.

Может ли вредоносное ПО на USB-накопителе скомпрометировать air-gapped компьютер?

Теоретически да. USB-атаки (например, BadUSB) существуют, но на практике крайне редки и требуют целевой сложной атаки. Для снижения риска: (1) используйте совершенно новый USB-накопитель, (2) переносите только известные файлы (сохраненные SafeSeed HTML/JS), (3) форматируйте USB перед переносом файлов, (4) рассмотрите USB data blocker или SD-карту с защитой от записи.

Обязательно ли использовать Tails, или достаточно обычного офлайн-компьютера?

Обычного офлайн-компьютера, который никогда не подключался к интернету, достаточно для большинства пользователей. Tails дает дополнительное преимущество: автоматическую очистку памяти и работу полностью в RAM, что не оставляет следов на оборудовании. Для институциональных или высокоценностных сценариев Tails дает измеримое улучшение безопасности по сравнению со стандартным офлайн-компьютером.

Что насчет электромагнитных излучений (TEMPEST-атак)?

TEMPEST-атаки предполагают перехват электромагнитных сигналов компьютера для восстановления отображаемых данных. Для этого нужны специальное оборудование, физическая близость и высокий уровень экспертизы. Это актуально только для угроз уровня государственных структур. Для почти всех пользователей криптовалют защита от TEMPEST не нужна. Если вас это беспокоит, используйте мешок или клетку Фарадея вокруг air-gapped конфигурации.

Связанные руководства