Ana içeriğe geç

SafeSeed'i Çevrimdışı Kullanma: Air-Gapped Güvenlik Rehberi

Seed phrase ve private key üretirken alabileceğiniz en güçlü güvenlik önlemi, internete hiç bağlanmamış ve hiçbir zaman bağlanmayacak bir bilgisayarda işlem yapmaktır. Buna "air-gapped" kurulum denir — hassas kriptografik materyaliniz ile herhangi bir ağ arasında gerçek anlamda bir hava boşluğu vardır. SafeSeed araçları tamamen çevrimdışı çalışacak şekilde tasarlanmıştır ve bu rehber, air-gapped bir ortamı nasıl kurup kullanacağınızı adım adım anlatır.

Hemen Deneyin

safeseed.app üzerindeki tüm SafeSeed araçları çevrimdışı çalışır. Çevrimiçiyken sayfayı indirin, ardından herhangi bir anahtar üretmeden önce bağlantıyı kesin.

Neden Çevrimdışı Olmalı?

Seed phrase veya private key’i internete bağlı bir bilgisayarda ürettiğinizde, araç güvenilir olsa bile çeşitli saldırı vektörleri vardır:

Bağlı Bilgisayarlardaki Tehditler

TehditAçıklamaOlasılık
Kötü Amaçlı Yazılım/KeyloggerEkran içeriğini, panoyu veya tuş vuruşlarını yakalayan yazılımOrta
Tarayıcı eklentileriSayfa içeriğini okuyan kötü niyetli veya ele geçirilmiş eklentilerOrta
DNS hijackingAracın sahte bir sürümüne yönlendirilmenizDüşük
Man-in-the-middleAktarım sırasında sayfa içeriğinin ele geçirilip değiştirilmesiDüşük (HTTPS ile)
Uzak erişimEkran paylaşımı, uzak masaüstü veya RAT yazılımıDüşük
Tedarik zinciri saldırısıEle geçirilmiş CDN veya bağımlılıklardan zararlı kod sunulmasıÇok düşük
Donanım implantıVeri ağa ulaşmadan önce yakalayan fiziksel cihazlarÇok düşük

Air-gapped bir bilgisayar, ağ tabanlı tüm tehditleri ortadan kaldırır. Makinede kötü amaçlı yazılım bulunsa bile, ağ bağlantısı veya fiziksel erişim olmadan üretilen anahtarları dışarı sızdıramaz.

Güvenlik Spektrumu

Herkes aynı güvenlik seviyesine ihtiyaç duymaz. İşte pratik bir çerçeve:

Güvenlik SeviyesiKurulumUygun Olduğu Durum
TemelNormal bilgisayar, internete bağlıÖğrenme, test, çok küçük miktarlar
GelişmişNormal bilgisayar, üretimden önce internet bağlantısını kesmeOrta düzey varlıklar ($100-$10,000)
YüksekÖzel çevrimdışı bilgisayar, asla internete bağlanmazÖnemli varlıklar ($10,000+)
MaksimumAir-gapped live USB, özel yazıcı, Faraday çantasıBüyük varlıklar, kurumsal kullanım

Bu rehber, "Yüksek" ve "Maksimum" seviyeleri kapsar.

Seçenek 1: Web Sayfasını Kaydet (En Kolayı)

SafeSeed’i çevrimdışı kullanmanın en kolay yolu, bağlıyken web sayfasını kaydetmek, sonra bağlantıyı kesip kullanmaktır.

Adımlar

  1. Çevrimiçiyken, kullanmak istediğiniz SafeSeed aracına gidin:

  2. Tam sayfayı kaydedin:

    • Chrome/Edge: Ctrl+S (Windows/Linux) veya Cmd+S (Mac), "Webpage, Complete" seçin
    • Firefox: Ctrl+S veya Cmd+S, "Web Page, complete" seçin
    • Safari: Cmd+S, "Web Archive" seçin

  3. USB sürücüye kaydedin (maksimum güvenlik için sabit diske değil)

  4. İnternet bağlantısını kesin:

    • Wi-Fi’yi kapatın (laptop’ta donanım anahtarı varsa onu da kapatın)
    • Ethernet kablosunu çıkarın
    • Bluetooth’u devre dışı bırakın
    • Varsa Uçak Modu’nu açın

  5. Kaydedilen dosyayı USB sürücüden tarayıcıda açın

  6. Çalıştığını doğrulayın: Test amaçlı bir seed phrase üretin. Araç çalışıyorsa hazırsınız.

  7. Gerçek seed phrase’inizi üretin veya anahtar türetme işleminizi yapın

  8. Sonucu kaydedin: kağıda veya metale

  9. Tarayıcıyı kapatın ve tüm tarayıcı verilerini temizleyin

  10. Maksimum güvenlik için, tarayıcı verileri ve geçici dosyaları temizleyene kadar bilgisayarı kapatın ve internete yeniden bağlamayın

Bu Yaklaşımın Sınırlamaları

  • Kaydedilen bazı sayfalar tüm JavaScript bağımlılıklarını içermeyebilir (SafeSeed’de nadir, ama mümkün)
  • Normal bilgisayarınızın sabit diski kaydedilen sayfayı önbelleğe alabilir
  • Bağlantıyı kesmeden önce bilgisayarınız zaten ele geçirildiyse, kötü amaçlı yazılım üretilen anahtarları saklayıp yeniden bağlandığınızda dışarı sızdırabilir

Seçenek 2: Özel Çevrimdışı Bilgisayar (Önerilen)

Önemli varlıklar için, hiçbir zaman internete bağlanmayacak özel bir bilgisayar kullanın.

Gerekli Olanlar

  • Bir bilgisayar: Eski bir laptop veya ucuz ikinci el bir cihaz olabilir. Güçlü olması gerekmez — anahtar üretimi çok az hesaplama gerektirir.
  • Bir USB sürücü: SafeSeed araç dosyalarını çevrimdışı bilgisayara taşımak için.
  • Bir yazıcı (isteğe bağlı): USB ile bağlı, ağa bağlı olmayan. Kağıt cüzdan oluşturmak için.

Kurulum Adımları

Adım 1: Çevrimdışı Bilgisayarı Hazırlayın

Mevcut bir bilgisayar kullanıyorsanız:

  1. İşletim sistemini temiz kurulumla yeniden yükleyin (kötü amaçlı yazılım içerebilecek mevcut OS’yi kaldırın)
  2. Kurulum sırasında veya sonrasında internete bağlanmayın
  3. Bilgisayarda Wi-Fi kartı varsa fiziksel olarak ayırın (mümkünse Wi-Fi modülünü çıkarın veya BIOS’tan devre dışı bırakın)
  4. BIOS’tan Bluetooth’u devre dışı bırakın

Yeni bir bilgisayar alıyorsanız:

  1. İlk kurulumu herhangi bir ağa bağlanmadan tamamlayın
  2. OS kurulumu sırasında tüm "Wi-Fi’ye bağlan" adımlarını atlayın

Adım 2: SafeSeed Dosyalarını Aktarın

Normal (internete bağlı) bilgisayarınızda:

  1. Her SafeSeed aracına gidin ve tam sayfayı kaydedin
  2. Kaydedilen tüm dosyaları bir USB sürücüye kopyalayın
  3. İsteğe bağlı ama önerilir: Kaydedilen dosyaların SHA-256 checksum değerlerini hesaplayın

Çevrimdışı bilgisayarda:

  1. USB sürücüyü takın
  2. Dosyaları yerel sabit diske kopyalayın
  3. İsteğe bağlı: Mümkünse checksum doğrulaması yapın
  4. USB sürücüyü güvenle çıkarın

Adım 3: Araçları Test Edin

  1. Kaydedilen her aracı çevrimdışı bilgisayarın tarayıcısında açın
  2. Test amaçlı bir seed phrase üretin
  3. Test adresleri türetin
  4. Tüm işlevlerin beklendiği gibi çalıştığını doğrulayın
  5. Test verilerini atın (bunlar gerçek anahtarlarınız değil)

Adım 4: Gerçek Anahtarlarınızı Üretin

  1. Seed Phrase Generator’ı açın
  2. Seed phrase’inizi üretin
  3. Kağıda veya metale kaydedin (bkz. Seed Phrase Generator Tutorial)
  4. Gerekirse Address Generator’ı açıp daha sonra cüzdanınızla doğrulamak için adres türetin
  5. Tarayıcıyı kapatın
  6. Bilgisayarı kapatın

Sürekli Kullanım

  • Bu bilgisayarı kullanılmadığında kapalı tutun ve güvenli şekilde saklayın
  • Sadece anahtar üretimi veya türetme gerektiğinde açın
  • Hiçbir ağa asla bağlamayın
  • SafeSeed araç dosyalarını güvenilir bir kaynaktan USB ile periyodik olarak güncelleyin

Seçenek 3: Live USB / Tails (Maksimum Güvenlik)

En yüksek güvenlik seviyesi için, tamamen RAM’de çalışan ve ana bilgisayarda iz bırakmayan bir live USB işletim sisteminden önyükleme yapın.

Tails OS Kullanımı

Tails, iz bırakmamak üzere tasarlanmış, gizlilik odaklı bir Linux dağıtımıdır. USB sürücüden açılır, tamamen RAM’de çalışır ve kapatıldığında belleği temizler.

Kurulum

  1. Normal bilgisayarınızda, tails.net üzerinden Tails’i indirin ve indirme imzasını doğrulayın
  2. Tails’i yazdırın: Resmi Tails kurucusu veya Etcher ile bir USB sürücüye
  3. Ayrı bir USB sürücüye, SafeSeed araç dosyalarını kaydedin (Seçenek 1’de açıklandığı gibi)

Anahtar Üretimi İçin Tails Kullanımı

  1. Tails USB’den başlatın:

    • Tails USB’yi takın ve bilgisayarı yeniden başlatın
    • Boot menüsünü açın (genellikle açılışta F12, F2 veya Del)
    • USB sürücüyü seçin
    • Tails karşılama ekranında, hiçbir ağ ayarı yapılandırmayın

  2. Tüm ağ bağlantılarını devre dışı bırakın (Tails bunu kolaylaştırır — hiçbir ağa bağlanmayın)

  3. SafeSeed araç dosyalarının bulunduğu ikinci USB sürücüyü takın

  4. SafeSeed araçlarını Tails ile gelen Tor Browser’da açın

    • Tor Browser kullanmanıza rağmen tamamen çevrimdışı çalışıyor olacaksınız
    • USB sürücüdeki kaydedilmiş HTML dosyalarını açın

  5. Seed phrase’inizi üretin ve/veya adres türetin

  6. Sonuçları kaydedin: fiziksel ortama

  7. Tails’i kapatın:

    • USB sürücüyü çıkarın
    • Tails kapanışta tüm RAM’i otomatik temizler
    • Ana bilgisayarda iz kalmaz

Tails’in Avantajları

  • Tamamen RAM’de çalışır — diske veri yazılmaz
  • Adli incelemede iz bırakmamak üzere tasarlanmıştır
  • Ana bilgisayarın sabit diskinde kötü amaçlı yazılım olsa bile, Tails kendi temiz işletim sistemiyle açılır
  • Kapanışta otomatik bellek temizliği
  • İyi denetlenmiş, açık kaynaklı

Dikkat Edilecekler

  • Tails, Linux konusunda bir miktar teknik rahatlık gerektirir
  • Tüm donanımlarla uyumlu değildir (özellikle çok yeni laptop’larda)
  • Tails’teki Tor Browser katı güvenlik ayarlarına sahiptir; yerel dosya işlemlerini etkilememelidir ancak tercih ayarı gerekebilir

Ubuntu Live USB Kullanımı

Tails karmaşık geliyorsa, standart bir Ubuntu live USB daha basit bir alternatiftir:

  1. ubuntu.com’dan Ubuntu Desktop ISO indirin
  2. Etcher veya Rufus ile USB sürücüye yazdırın
  3. USB’den başlatın ve "Try Ubuntu" seçin (kurulum yapmayın)
  4. Ağ ayarlarını yapılandırmayın
  5. SafeSeed araç dosyalarını Firefox’ta açın
  6. Anahtarları üretin, kaydedin ve sistemi kapatın

Ubuntu live, Tails’in bellek temizleme özelliğine sahip değildir; bu nedenle bilgisayarı kapatın ve RAM’in doğal olarak boşalması için birkaç dakika kapalı bırakın (veya destekleyen laptop’larda pili çıkarıp tekrar takın).

Çevrimdışı Kullanım İçin Yazıcı Güvenliği

Air-gapped bilgisayarınızda kağıt cüzdan oluşturuyorsanız, yazıcı da güvenlik sınırının bir parçasıdır.

Önerilen Yazıcı Kurulumu

  • Yalnızca USB bağlantılı yazıcı kullanın (Wi-Fi yok, Bluetooth yok, ağ özelliği yok)
  • Tercihen basit bir yazıcı kullanın: Akıllı özellik, bulut bağlantısı veya dahili depolama içermeyen temel mürekkep püskürtmeli ya da lazer yazıcılar
  • Kalıcı depolaması olan yazıcılardan kaçının: Bazı modern yazıcılar yazdırma işlerini dahili flash bellekte saklar. İşleri yalnızca RAM’de işleyen modelleri tercih edin.
  • Yazıcıyı yalnızca bu iş için ayırın: Sadece kriptografik materyal yazdırmada kullanın, başka hiçbir şeyde kullanmayın
  • Yazdırmadan sonra: Yazıcıyı kapatıp açın, geçici belleği temizlemek için

Bütçe Dostu Yazıcı Seçenekleri

Ara sıra kağıt cüzdan yazdırmak için, $30-50 seviyesinde temel bir USB mürekkep püskürtmeli yazıcı yeterlidir ve kalıcı depolamaya sahip değildir. Bulut hesabı zorunlu tutan üreticilerin yazıcılarından kaçının (HP+, bulut özellikli Epson EcoTank vb.).

Doğrulama Kontrol Listesi

Gerçek kullanım için anahtar üretmeden önce air-gapped kurulumunuzu doğrulayın:

Ağ İzolasyonu

  • Wi-Fi devre dışı (yalnızca yazılımsal değil, donanım seviyesinde)
  • Ethernet kablosu fiziksel olarak çıkarılmış
  • Bluetooth devre dışı
  • Uçak modu açık (varsa)
  • Hücresel modem yok (uygunsa SIM kart çıkarılmış)
  • Doğrulama: tarayıcı açıp hiçbir web sitesine erişemediğinizi kontrol edin

Ortam

  • Ekranınıza dönük güvenlik kamerası yok
  • Başka kimse ekranınızı göremiyor
  • Ekran kaydı veya paylaşım yazılımı çalışmıyor
  • Odada sesli asistan veya akıllı hoparlör yok (kelimeleri yüksek sesle okursanız duyabilirler)
  • Dışarıdan görünüyorsa pencereler kapalı/perdeli

Yazılım

  • Tarayıcı eklentileri devre dışı (veya temiz bir tarayıcı profili kullanılıyor)
  • Gereksiz uygulama çalışmıyor
  • İşletim sistemi temiz kurulum veya live USB ortamı
  • Kaydedilen SafeSeed araç dosyaları açılıyor ve doğru çalışıyor

Anahtar Üretiminden Sonra

  • Seed phrase/private key fiziksel ortama kaydedildi
  • Fiziksel kayıt hemen güvenceye alındı (açıkta bırakılmadı)
  • Tarayıcı sekmesi kapatıldı
  • Tarayıcı geçmişi ve önbellek temizlendi
  • Bilgisayar kapatıldı (veya live USB çıkarılıp bilgisayar kapatıldı)
  • Tails kullanılıyorsa RAM temizliği tamamlandı
  • SafeSeed dosyalarını içeren USB sürücü güvenli şekilde saklandı (geri getirilebilecek şekilde çöpe atılmadı)

Adresleri (Anahtarları Değil) Yeniden Çevrimiçi Ortama Aktarma

Anahtarları çevrimdışı ürettikten sonra, public address’leri internete bağlı cihazlarınıza aktarmanız gerekebilir (örneğin watch-only cüzdan kurmak veya fon almak için).

Güvenli Yöntemler

  • Adresi elle yazın: Fiziksel kayda bakıp adresi çevrimiçi cüzdanınıza veya blockchain explorer’a yazın. En güvenli yöntem budur.
  • QR kod tarama: Bir kağıt cüzdan oluşturduysanız, public address QR kodunu telefonunuzla tarayın. Sadece PUBLIC adres QR kodunu tarayın, private key QR kodunu asla taramayın.
  • USB ile genişletilmiş public key: Watch-only cüzdan için xpub/ypub/zpub aktarmanız gerekiyorsa, air-gapped makinede USB’ye kaydedip aktarın. Genişletilmiş public key fon harcamak için kullanılamaz.

Kaçınılması Gereken Yöntemler

  • Private key veya seed phrase aktarmayın: USB, ağ veya internete bağlı cihaza herhangi bir dijital ortamla
  • Seed phrase’in fotoğrafını çekmeyin: akıllı telefonla
  • Private key QR kodunu taramayın: internete bağlı cihazla
  • Seed phrase’i yazmayın: internete bağlı herhangi bir cihaza

İleri Seviye: SafeSeed Kaynak Kodunu Doğrulama

En yüksek güvenlik hassasiyetine sahip kullanıcılar için, SafeSeed araç kaynak kodunu çevrimdışı kullanmadan önce doğrulayabilirsiniz.

Doğrulama Adımları

  1. Kaynak kodu indirin: çevrimiçiyken public repository’den
  2. JavaScript kodunu inceleyin: ağ çağrıları için (fetch, XMLHttpRequest, WebSocket, navigator.sendBeacon)
  3. Kriptografik kütüphaneyi doğrulayın: bilinen ve denetlenmiş bir uygulama olduğundan emin olun (ör. bitcoinjs-lib, ethers.js veya doğrudan Web Crypto API kullanımı)
  4. Veri sızdırma kontrolü yapın: localStorage, sessionStorage, document.cookie veya IndexedDB yazan kodları arayın
  5. Kodu yerelde çalıştırın: inceleme sonrası, hiçbir değişiklik yapmadan

Nelere Bakmalısınız

// Red flags in source code:
fetch(...)            // Any network request
XMLHttpRequest        // Any network request
WebSocket             // Any persistent connection
navigator.sendBeacon  // Analytics/tracking beacon
localStorage.setItem  // Persistent storage
document.cookie       // Cookie manipulation
new Image().src       // Potential data exfiltration via image pixel

SafeSeed araçlarında, anahtar üretimi ve türetme kod yollarında bunların hiçbiri bulunmamalıdır.

Sık Karşılaşılan Sorunlar

Sorun: Kaydedilen Sayfa Çevrimdışı Çalışmıyor

Neden: Tarayıcının "Save As" özelliği tüm JavaScript dosyalarını veya Web Worker script’lerini yakalayamayabilir.

Çözüm:

  • Kaydetmek için farklı bir tarayıcı deneyin (Chrome genelde "Webpage, Complete" ile en iyi sonucu verir)
  • Tüm sayfayı tek bir bağımsız HTML dosyası olarak kaydeden "SingleFile" gibi bir eklenti kullanın
  • Tüm varlıkları çekmek için komut satırında wget --mirror --convert-links --page-requisites kullanın

Sorun: QR Kodlar Çevrimdışı Oluşmuyor

Neden: QR kod kütüphanesi kaydedilen sayfaya dahil edilmemiş olabilir.

Çözüm:

  • Kaydederken "Webpage, Complete" seçtiğinizden emin olun ("Webpage, HTML only" değil)
  • Geçici çözüm olarak, QR kod taramak yerine adresi/anahtarı elle yazın

Sorun: Live USB Açılmıyor

Neden: Secure Boot, UEFI ayarları veya uyumsuz donanım.

Çözüm:

  • BIOS’ta Secure Boot’u devre dışı bırakın (genelde Security ayarları altında)
  • Hem UEFI hem Legacy boot modlarını deneyin
  • Farklı bir USB portu kullanın (USB 2.0 portları USB 3.0’dan daha uyumludur)
  • Farklı marka bir USB sürücü deneyin

Sorun: Yazıcı Live USB Üzerinden Çalışmıyor

Neden: Live USB ortamında yazıcı sürücüleri eksik olabilir.

Çözüm:

  • Linux’ta çoğu temel USB yazıcı genel sürücülerle çalışır
  • Yazıcı tanınmıyorsa, farklı (daha basit) bir yazıcı modeli deneyin
  • Alternatif olarak veriyi elle kaydedin ve kağıt cüzdanları air-gapped özel bilgisayarda oluşturun

SSS

Air-gapped makinemdeki SafeSeed dosyalarını ne sıklıkla güncellemeliyim?

İhtiyacınız olan hata düzeltmelerini veya özellikleri içeren yeni bir SafeSeed sürümü yayınlandığında güncelleyin. Araç standart tabanlı olduğu için (BIP-39, BIP-32, BIP-44), temel işlevler nadiren değişir. Güncel dosyaları yeni biçimlendirilmiş bir USB sürücüyle aktarın.

Bir akıllı telefonu air-gapped cihaz olarak kullanabilir miyim?

Akıllı telefonlar, air-gapped anahtar üretimi için ideal değildir çünkü: (1) donanım seviyesinde tamamen kapatılması zor çok sayıda radyo içerirler (hücresel, Wi-Fi, Bluetooth, NFC), (2) veriyi depolayabilen veya iletebilen çok sayıda arka plan süreci vardır, (3) temiz olduklarını doğrulamak daha zordur. Mecbursanız uçak modunu açın, tüm radyoları tek tek kapatın ve fabrika ayarlarına döndürülmüş bir cihaz kullanın.

Özel bir bilgisayar yerine sanal makine kullanmak güvenli mi?

İnternete bağlı bir ana sistemde çalışan sanal makine (VM), gerçek air-gapping sağlamaz. Ana işletim sistemi VM belleğine erişebilir ve ana sistem ele geçirilmişse VM koruma sağlamaz. VM’ler izolasyon için faydalıdır ancak fiziksel air-gapping’in yerine geçmez.

Çevrimdışıyken bir BIP-39 kelimesini kontrol etmem gerekirse ne yapmalıyım?

Bir kelimenin BIP-39 wordlist’te olup olmadığını doğrulamanız gerekiyorsa, wordlist’in bir kopyasını önceden kaydedebilirsiniz. 2,048 İngilizce BIP-39 kelimesinin tam listesi herkese açıktır. Bunu metin dosyası olarak air-gapped USB sürücünüze, SafeSeed araçlarının yanına kaydedin.

İşim bittiğinde air-gapped bilgisayarı nasıl güvenli şekilde imha ederim?

Özel air-gapped bilgisayarı devreden çıkarıyorsanız: (1) Sabit diski güvenli silme aracıyla temizleyin (DBAN veya benzeri), (2) Saklanan anahtarın değeri bunu gerektiriyorsa diski çıkarıp fiziksel olarak imha edin, (3) Bilgisayarın kendisi (disk olmadan) güvenle yeniden kullanılabilir veya geri dönüştürülebilir.

USB sürücüdeki kötü amaçlı yazılım air-gapped bilgisayarı tehlikeye atabilir mi?

Teorik olarak evet. USB tabanlı saldırılar (BadUSB gibi) vardır ancak pratikte son derece nadirdir ve hedefe yönelik, gelişmiş saldırılar gerektirir. Azaltmak için: (1) Yeni bir USB sürücü kullanın, (2) Sadece bilinen dosyaları aktarın (kaydedilmiş SafeSeed HTML/JS), (3) Dosya aktarımından önce USB sürücüyü biçimlendirin, (4) USB data blocker veya yazma korumalı SD kart kullanmayı değerlendirin.

Tails kullanmak şart mı, yoksa normal bir çevrimdışı bilgisayar yeterli mi?

İnternete hiç bağlanmamış normal bir çevrimdışı bilgisayar çoğu kullanıcı için yeterlidir. Tails, otomatik bellek temizleme ve tamamen RAM’de çalışma avantajı sunar; bu da donanımda iz kalmasını engeller. Kurumsal veya yüksek değerli kullanım senaryolarında Tails, standart çevrimdışı bilgisayara göre ölçülebilir bir güvenlik artışı sağlar.

Elektromanyetik yayılımlar (TEMPEST saldırıları) hakkında ne düşünmeli?

TEMPEST saldırıları, bilgisayarların yaydığı elektromanyetik sinyalleri yakalayıp görüntülenen veriyi yeniden oluşturmayı içerir. Bu saldırılar özel ekipman, fiziksel yakınlık ve ciddi uzmanlık gerektirir. Yalnızca ulus-devlet düzeyi tehditlerde anlamlıdır. Kripto para kullanıcılarının neredeyse tamamı için TEMPEST koruması gereksizdir. Yine de endişe ediyorsanız, air-gapped kurulumunuz etrafında Faraday çantası veya kafesi kullanın.

İlgili Rehberler