Sử Dụng SafeSeed Ngoại Tuyến: Hướng Dẫn Bảo Mật Air-Gapped

Biện pháp bảo mật mạnh nhất bạn có thể thực hiện khi tạo seed phrase và private key là làm điều đó trên một máy tính chưa từng và sẽ không bao giờ kết nối internet. Cách này được gọi là thiết lập "air-gapped" — nghĩa là có một khoảng cách vật lý giữa dữ liệu mật mã nhạy cảm của bạn và mọi mạng lưới. Các công cụ SafeSeed được thiết kế để hoạt động hoàn toàn ngoại tuyến, và hướng dẫn này sẽ giúp bạn thiết lập cũng như sử dụng môi trường air-gapped.

Dùng Thử Ngay

Tất cả công cụ SafeSeed tại safeseed.app đều hoạt động ngoại tuyến. Hãy tải trang khi đang online, rồi ngắt kết nối trước khi tạo bất kỳ khóa nào.

Vì Sao Nên Dùng Ngoại Tuyến?

Khi bạn tạo seed phrase hoặc private key trên máy tính có kết nối internet, sẽ tồn tại nhiều hướng tấn công ngay cả khi bản thân công cụ là đáng tin cậy:

Các Mối Đe Dọa Trên Máy Tính Có Kết Nối

Mối đe dọa	Mô tả	Khả năng xảy ra
Malware/Keylogger	Phần mềm ghi lại nội dung màn hình, clipboard hoặc thao tác gõ phím	Trung bình
Tiện ích mở rộng trình duyệt	Tiện ích độc hại hoặc đã bị xâm phạm có thể đọc nội dung trang	Trung bình
DNS hijacking	Chuyển hướng bạn đến phiên bản công cụ giả mạo	Thấp
Man-in-the-middle	Chặn và chỉnh sửa nội dung trang trong quá trình truyền	Thấp (với HTTPS)
Truy cập từ xa	Chia sẻ màn hình, điều khiển desktop từ xa hoặc phần mềm RAT	Thấp
Supply chain attack	CDN hoặc dependency bị xâm phạm, phân phối mã độc	Rất thấp
Phần cứng cấy ghép	Thiết bị vật lý chặn dữ liệu trước khi dữ liệu tới mạng	Rất thấp

Máy tính air-gapped loại bỏ mọi mối đe dọa dựa trên mạng. Ngay cả khi máy có malware, nó cũng không thể đưa khóa đã tạo ra ngoài nếu không có kết nối mạng hoặc truy cập vật lý.

Phổ Mức Bảo Mật

Không phải ai cũng cần cùng một mức bảo mật. Đây là khung thực tế:

Mức bảo mật	Thiết lập	Phù hợp cho
Cơ bản	Máy tính thông thường, có internet	Học tập, thử nghiệm, số tiền rất nhỏ
Nâng cao	Máy tính thông thường, ngắt internet trước khi tạo	Khoản nắm giữ vừa phải ($100-$10,000)
Cao	Máy tính chuyên dụng ngoại tuyến, không bao giờ kết nối	Khoản nắm giữ đáng kể ($10,000+)
Tối đa	Live USB air-gapped, máy in chuyên dụng, túi Faraday	Khoản nắm giữ lớn, mục đích tổ chức

Hướng dẫn này bao gồm mức "Cao" và "Tối đa".

Tùy Chọn 1: Lưu Trang Web (Đơn Giản Nhất)

Cách đơn giản nhất để dùng SafeSeed ngoại tuyến là lưu trang web khi đang kết nối, sau đó ngắt mạng và sử dụng.

Các Bước

1. Khi đang online, truy cập công cụ SafeSeed bạn muốn dùng:

   • safeseed.app/tools/seed-generator/
   • safeseed.app/tools/paper-wallet/
   • safeseed.app/tools/address-generator/
   • safeseed.app/tools/key-derivation/

2. Lưu toàn bộ trang:

   • Chrome/Edge: Ctrl+S (Windows/Linux) hoặc Cmd+S (Mac), chọn "Webpage, Complete"
   • Firefox: Ctrl+S hoặc Cmd+S, chọn "Web Page, complete"
   • Safari: Cmd+S, chọn "Web Archive"

3. Lưu vào USB (không lưu vào ổ cứng để bảo mật tối đa)

4. Ngắt kết nối internet:

   • Tắt Wi-Fi (tắt công tắc phần cứng nếu laptop có)
   • Rút cáp Ethernet
   • Tắt Bluetooth
   • Bật Airplane Mode nếu có

5. Mở file đã lưu từ USB trong trình duyệt

6. Xác minh hoạt động: Tạo seed phrase thử nghiệm. Nếu công cụ chạy bình thường, bạn đã sẵn sàng.

7. Tạo seed phrase thật hoặc thực hiện suy xuất khóa

8. Ghi lại kết quả trên giấy hoặc kim loại

9. Đóng trình duyệt và xóa toàn bộ dữ liệu trình duyệt

10. Để bảo mật tối đa, tắt máy tính và không kết nối lại internet cho đến khi bạn đã xóa dữ liệu trình duyệt và file tạm

Hạn Chế Của Cách Này

• Một số trang lưu có thể thiếu một phần dependency JavaScript (hiếm với SafeSeed, nhưng có thể xảy ra)
• Ổ cứng của máy tính thông thường có thể cache trang đã lưu
• Nếu máy đã bị xâm phạm trước khi bạn ngắt mạng, malware có thể lưu khóa đã tạo và gửi ra ngoài khi bạn kết nối lại

Tùy Chọn 2: Máy Tính Ngoại Tuyến Chuyên Dụng (Khuyến Nghị)

Với khoản nắm giữ lớn, hãy dùng một máy tính chuyên dụng không bao giờ kết nối internet.

Bạn Cần Chuẩn Bị

• Một máy tính: Có thể là laptop cũ hoặc thiết bị đã qua sử dụng giá rẻ. Không cần mạnh — tạo khóa cần rất ít tính toán.
• Một USB: Để chuyển file công cụ SafeSeed sang máy ngoại tuyến.
• Máy in (tùy chọn): Kết nối USB, không dùng mạng. Phục vụ tạo paper wallet.

Các Bước Thiết Lập

Bước 1: Chuẩn Bị Máy Tính Ngoại Tuyến

Nếu dùng máy có sẵn:

1. Cài mới hệ điều hành (xóa mọi OS cũ có thể chứa malware)
2. Không kết nối internet trong và sau khi cài
3. Nếu máy có card Wi-Fi, ngắt vật lý (tháo module Wi-Fi nếu có thể, hoặc tắt trong BIOS)
4. Tắt Bluetooth trong BIOS

Nếu mua máy mới:

1. Hoàn tất thiết lập ban đầu mà không kết nối mạng nào
2. Bỏ qua mọi bước "connect to Wi-Fi" trong quá trình cài OS

Bước 2: Chuyển File SafeSeed

Trên máy thường (có internet):

1. Truy cập từng công cụ SafeSeed và lưu toàn bộ trang
2. Sao chép toàn bộ file đã lưu vào USB
3. Tùy chọn nhưng khuyến nghị: Tính checksum SHA-256 cho các file đã lưu

Trên máy ngoại tuyến:

1. Cắm USB
2. Sao chép file vào ổ cứng cục bộ
3. Tùy chọn: Xác minh checksum nếu bạn có cách thực hiện
4. Tháo USB an toàn

Bước 3: Kiểm Tra Công Cụ

1. Mở từng công cụ đã lưu trong trình duyệt trên máy ngoại tuyến
2. Tạo seed phrase thử nghiệm
3. Suy xuất địa chỉ thử nghiệm
4. Xác nhận mọi chức năng hoạt động như mong đợi
5. Hủy dữ liệu thử nghiệm (đây không phải khóa thật của bạn)

Bước 4: Tạo Khóa Thật

1. Mở Seed Phrase Generator
2. Tạo seed phrase của bạn
3. Ghi lại trên giấy hoặc kim loại (xem Seed Phrase Generator Tutorial)
4. Nếu cần, mở Address Generator và suy xuất địa chỉ để xác minh với ví sau này
5. Đóng trình duyệt
6. Tắt máy

Sử Dụng Lâu Dài

• Tắt nguồn và cất máy an toàn khi không dùng
• Chỉ bật máy khi cần tạo hoặc suy xuất khóa
• Không bao giờ kết nối máy này với bất kỳ mạng nào
• Định kỳ cập nhật file công cụ SafeSeed qua USB từ nguồn đáng tin cậy

Tùy Chọn 3: Live USB / Tails (Bảo Mật Tối Đa)

Để đạt mức bảo mật cao nhất, khởi động từ hệ điều hành live USB chạy hoàn toàn trong RAM và không để lại dấu vết trên máy chủ.

Dùng Tails OS

Tails là bản phân phối Linux tập trung vào quyền riêng tư, được thiết kế để không để lại dấu vết. Nó khởi động từ USB, chạy hoàn toàn trong RAM và xóa toàn bộ bộ nhớ khi tắt máy.

Thiết Lập

1. Trên máy thường, tải Tails từ tails.net và xác minh chữ ký tải xuống
2. Ghi Tails vào USB bằng trình cài Tails chính thức hoặc Etcher
3. Trên USB khác, lưu file công cụ SafeSeed (như mô tả ở Tùy chọn 1)

Dùng Tails Để Tạo Khóa

1. Khởi động từ USB Tails:

   • Cắm USB Tails và khởi động lại máy
   • Vào boot menu (thường là F12, F2 hoặc Del khi khởi động)
   • Chọn ổ USB
   • Ở màn hình chào Tails, không cấu hình bất kỳ thiết lập mạng nào

2. Tắt toàn bộ kết nối mạng (Tails hỗ trợ dễ dàng — chỉ cần không kết nối mạng nào)

3. Cắm USB thứ hai chứa file công cụ SafeSeed

4. Mở công cụ SafeSeed trong Tor Browser (đi kèm Tails)

   • Dù dùng Tor Browser, bạn vẫn làm việc hoàn toàn ngoại tuyến
   • Mở các file HTML đã lưu từ USB

5. Tạo seed phrase và/hoặc suy xuất địa chỉ

6. Ghi kết quả lên phương tiện vật lý

7. Tắt Tails:

   • Rút USB
   • Tails tự động xóa toàn bộ RAM khi tắt
   • Không còn dấu vết trên máy chủ

Ưu Điểm Của Tails

• Chạy hoàn toàn trong RAM — không ghi dữ liệu lên đĩa
• Được thiết kế để không để lại dấu vết pháp chứng
• Ngay cả khi máy chủ có malware trên ổ cứng, Tails vẫn khởi động hệ điều hành sạch của riêng nó
• Tự động xóa bộ nhớ khi tắt máy
• Mã nguồn mở, được kiểm toán tốt

Lưu Ý

• Tails đòi hỏi mức thoải mái kỹ thuật nhất định với Linux
• Không phải mọi phần cứng đều tương thích (đặc biệt là laptop quá mới)
• Tor Browser trong Tails có cài đặt bảo mật nghiêm ngặt, thường không ảnh hưởng thao tác file cục bộ nhưng có thể cần chỉnh tùy chọn

Dùng Ubuntu Live USB

Nếu Tails quá phức tạp, Ubuntu live USB là phương án đơn giản hơn:

1. Tải Ubuntu Desktop ISO từ ubuntu.com
2. Ghi vào USB bằng Etcher hoặc Rufus
3. Khởi động từ USB và chọn "Try Ubuntu" (không cài đặt)
4. Không cấu hình bất kỳ kết nối mạng nào
5. Mở file công cụ SafeSeed trong Firefox
6. Tạo khóa, ghi lại, rồi tắt máy

Ubuntu live không có tính năng xóa bộ nhớ như Tails, vì vậy hãy tắt máy và để máy tắt vài phút để RAM tự suy giảm dữ liệu (hoặc tháo và lắp lại pin với laptop cho phép).

Bảo Mật Máy In Khi Dùng Ngoại Tuyến

Nếu bạn đang tạo paper wallet trên máy air-gapped, máy in là một phần trong phạm vi bảo mật.

Thiết Lập Máy In Được Khuyến Nghị

• Chỉ dùng máy in kết nối USB (không Wi-Fi, không Bluetooth, không khả năng mạng)
• Lý tưởng là máy in "dumb": Máy in phun hoặc laser cơ bản, không tính năng thông minh, không cloud, không lưu trữ nội bộ
• Tránh máy in có lưu trữ bền vững: Một số máy in hiện đại lưu lệnh in vào flash nội bộ. Hãy chọn máy xử lý lệnh từ RAM mà thôi.
• Dành riêng máy in: Chỉ dùng để in dữ liệu mật mã, không dùng việc khác
• Sau khi in: Tắt rồi bật lại máy in để xóa bộ nhớ bay hơi

Tùy Chọn Máy In Giá Rẻ

Nếu chỉ in paper wallet thỉnh thoảng, máy in phun USB cơ bản giá $30-50 thường không có lưu trữ bền vững. Tránh máy in từ hãng yêu cầu tài khoản cloud (HP+, Epson EcoTank có tính năng cloud, v.v.).

Danh Sách Xác Minh

Trước khi tạo bất kỳ khóa nào dùng thực tế, hãy xác minh thiết lập air-gapped:

Cách Ly Mạng

• Wi-Fi đã tắt (mức phần cứng, không chỉ phần mềm)
• Cáp Ethernet đã rút vật lý
• Bluetooth đã tắt
• Airplane mode đã bật (nếu có)
• Không có modem di động (tháo SIM nếu áp dụng)
• Xác minh: mở trình duyệt và xác nhận bạn không truy cập được website nào

Môi Trường

• Không có camera an ninh chĩa vào màn hình
• Không người khác nào có thể nhìn màn hình
• Không có phần mềm ghi/chia sẻ màn hình đang chạy
• Không có trợ lý giọng nói hoặc loa thông minh trong phòng (chúng có thể nghe bạn đọc từ)
• Cửa sổ đã che nếu có thể nhìn từ bên ngoài

Phần Mềm

• Tiện ích mở rộng trình duyệt đã tắt (hoặc đang dùng profile trình duyệt mới)
• Không có ứng dụng không cần thiết đang chạy
• Hệ điều hành mới cài hoặc là môi trường live USB
• File công cụ SafeSeed đã lưu mở được và hoạt động chính xác

Sau Khi Tạo Khóa

• Seed phrase/private key đã được ghi lên phương tiện vật lý
• Phương tiện vật lý đã được cất giữ ngay (không để lộ ra ngoài)
• Tab trình duyệt đã đóng
• Lịch sử và cache trình duyệt đã xóa
• Máy tính đã tắt (hoặc đã tháo live USB và tắt nguồn máy)
• Nếu dùng Tails, quá trình xóa RAM đã hoàn tất
• USB chứa file SafeSeed đã được cất an toàn (không vứt vào thùng rác nơi có thể bị khôi phục)

Chuyển Địa Chỉ (Không Phải Khóa) Lên Online

Sau khi tạo khóa ngoại tuyến, bạn có thể cần chuyển địa chỉ công khai về thiết bị có internet (ví dụ để tạo ví watch-only hoặc nhận tiền).

Cách An Toàn

• Gõ thủ công địa chỉ: Nhìn từ bản ghi vật lý và gõ vào ví online hoặc blockchain explorer. Đây là cách an toàn nhất.
• Quét QR code: Nếu bạn tạo paper wallet, quét QR code địa chỉ công khai bằng điện thoại. Chỉ quét QR code địa chỉ PUBLIC, không bao giờ quét QR code private key.
• Extended public key qua USB: Nếu cần chuyển xpub/ypub/zpub cho ví watch-only, lưu vào USB trên máy air-gapped rồi chuyển đi. Extended public key không thể dùng để chi tiêu tiền.

Cách Cần Tránh

• Không chuyển private key hoặc seed phrase qua USB, mạng, hay bất kỳ phương tiện số nào sang thiết bị có internet
• Không chụp ảnh seed phrase bằng smartphone
• Không quét QR code private key bằng thiết bị có internet
• Không nhập seed phrase vào bất kỳ thiết bị nào có internet

Nâng Cao: Xác Minh Mã Nguồn SafeSeed

Với người dùng yêu cầu bảo mật cao nhất, bạn có thể xác minh mã nguồn công cụ SafeSeed trước khi dùng ngoại tuyến.

Các Bước Xác Minh

1. Tải mã nguồn từ kho công khai (khi đang online)
2. Rà soát mã JavaScript để tìm mọi lệnh gọi mạng (fetch, XMLHttpRequest, WebSocket, navigator.sendBeacon)
3. Xác minh thư viện mật mã là triển khai đã biết, được kiểm toán (ví dụ: bitcoinjs-lib, ethers.js, hoặc dùng trực tiếp Web Crypto API)
4. Kiểm tra rò rỉ dữ liệu: Tìm mã ghi vào localStorage, sessionStorage, document.cookie, hoặc IndexedDB
5. Chạy mã cục bộ sau khi rà soát, không chỉnh sửa gì

Cần Tìm Gì

// Dấu hiệu cảnh báo trong mã nguồn:
fetch(...)            // Any network request
XMLHttpRequest        // Any network request
WebSocket             // Any persistent connection
navigator.sendBeacon  // Analytics/tracking beacon
localStorage.setItem  // Persistent storage
document.cookie       // Cookie manipulation
new Image().src       // Potential data exfiltration via image pixel

Công cụ SafeSeed không nên chứa bất kỳ mục nào trong các luồng tạo khóa và suy xuất khóa.

Các Vấn Đề Thường Gặp

Vấn Đề: Trang Đã Lưu Không Chạy Ngoại Tuyến

Nguyên nhân: Tính năng "Save As" của trình duyệt có thể không lấy đủ tất cả file JavaScript hoặc script Web Worker.

Giải pháp:

• Dùng trình duyệt khác để lưu (Chrome thường hoạt động tốt nhất với "Webpage, Complete")
• Dùng tiện ích như "SingleFile" để lưu toàn bộ trang thành một file HTML tự chứa
• Dùng wget --mirror --convert-links --page-requisites trên dòng lệnh để lấy đủ mọi tài nguyên

Vấn Đề: QR Code Không Tạo Được Ngoại Tuyến

Nguyên nhân: Thư viện tạo QR code có thể không được kèm trong trang đã lưu.

Giải pháp:

• Đảm bảo bạn đã chọn "Webpage, Complete" (không phải "Webpage, HTML only") khi lưu
• Cách tạm thời: gõ tay địa chỉ/khóa thay vì quét QR code

Vấn Đề: Live USB Không Khởi Động Được

Nguyên nhân: Secure Boot, thiết lập UEFI hoặc phần cứng không tương thích.

Giải pháp:

• Tắt Secure Boot trong BIOS (thường ở mục Security)
• Thử cả chế độ boot UEFI và Legacy
• Dùng cổng USB khác (USB 2.0 tương thích tốt hơn USB 3.0)
• Thử USB khác hãng

Vấn Đề: Máy In Không Hoạt Động Từ Live USB

Nguyên nhân: Môi trường live USB có thể thiếu driver máy in.

Giải pháp:

• Đa số máy in USB cơ bản chạy với driver chung trên Linux
• Nếu máy in không nhận, thử model máy in khác (đơn giản hơn)
• Hoặc ghi dữ liệu bằng tay và tạo paper wallet trên máy air-gapped chuyên dụng thay thế

FAQ

Tôi nên cập nhật file SafeSeed trên máy air-gapped bao lâu một lần?

Hãy cập nhật khi SafeSeed phát hành phiên bản mới sửa lỗi hoặc thêm tính năng bạn cần. Vì công cụ dựa trên chuẩn (BIP-39, BIP-32, BIP-44), chức năng cốt lõi hiếm khi thay đổi. Chuyển file cập nhật qua USB mới được format.

Tôi có thể dùng smartphone làm thiết bị air-gapped không?

Smartphone không lý tưởng để tạo khóa air-gapped vì: (1) có nhiều radio (cellular, Wi-Fi, Bluetooth, NFC) khó tắt hoàn toàn ở mức phần cứng, (2) có nhiều tiến trình nền có thể lưu hoặc truyền dữ liệu, (3) khó xác minh là môi trường sạch. Nếu bắt buộc dùng điện thoại, bật airplane mode, tắt riêng từng radio và dùng thiết bị đã factory reset.

Dùng máy ảo thay vì máy tính chuyên dụng có an toàn không?

Máy ảo (VM) trên máy chủ có internet không phải air-gapping thực sự. Hệ điều hành host có thể truy cập bộ nhớ VM, và nếu host bị xâm phạm thì VM không bảo vệ được. VM hữu ích cho cách ly, nhưng không thay thế được air-gapping vật lý.

Nếu tôi cần tra một từ BIP-39 khi đang ngoại tuyến thì sao?

Nếu bạn cần xác minh một từ có nằm trong danh sách BIP-39 hay không, bạn có thể lưu sẵn bản sao wordlist. Danh sách đầy đủ 2,048 từ tiếng Anh BIP-39 có sẵn công khai. Hãy lưu dưới dạng file văn bản trên USB air-gapped cùng với công cụ SafeSeed.

Tôi hủy an toàn một máy tính air-gapped khi không dùng nữa như thế nào?

Nếu bạn ngừng sử dụng máy air-gapped chuyên dụng: (1) Xóa ổ cứng bằng công cụ secure erase (DBAN hoặc tương tự), (2) Tháo ổ cứng và phá hủy vật lý nếu giá trị khóa đã lưu đủ lớn để cần mức này, (3) Bản thân máy tính (không có ổ) có thể tái sử dụng hoặc tái chế an toàn.

Malware trên USB có thể làm hỏng máy air-gapped của tôi không?

Về lý thuyết là có. Tấn công qua USB (như BadUSB) tồn tại nhưng cực hiếm trong thực tế và đòi hỏi tấn công có chủ đích, tinh vi. Để giảm thiểu: (1) Dùng USB hoàn toàn mới, (2) Chỉ chuyển file đã biết (HTML/JS SafeSeed đã lưu), (3) Format USB trước khi chuyển file, (4) Cân nhắc dùng USB data blocker hoặc thẻ SD có khóa ghi.

Có bắt buộc dùng Tails không, hay máy ngoại tuyến thường là đủ?

Máy ngoại tuyến thông thường chưa từng kết nối internet là đủ cho đa số người dùng. Tails bổ sung lợi ích tự động xóa bộ nhớ và chạy hoàn toàn trong RAM, ngăn mọi dấu vết tồn tại trên phần cứng. Với bối cảnh tổ chức hoặc giá trị tài sản lớn, Tails mang lại cải thiện bảo mật đo lường được so với máy ngoại tuyến tiêu chuẩn.

Còn phát xạ điện từ (tấn công TEMPEST) thì sao?

Tấn công TEMPEST liên quan đến việc chặn tín hiệu điện từ máy tính phát ra để dựng lại dữ liệu hiển thị. Kiểu tấn công này cần thiết bị chuyên dụng, khoảng cách gần và chuyên môn cao. Nó chỉ liên quan với mối đe dọa cấp quốc gia. Với hầu hết người dùng tiền mã hóa, bảo vệ TEMPEST là không cần thiết. Nếu bạn lo ngại, hãy dùng túi hoặc lồng Faraday cho thiết lập air-gapped của mình.

Hướng Dẫn Liên Quan

• SafeSeed Tools Overview — Tổng quan tất cả công cụ và khả năng hoạt động ngoại tuyến
• Seed Phrase Generator Tutorial — Tạo seed phrase (hoạt động ngoại tuyến)
• Paper Wallet Creator Tutorial — Tạo paper wallet (hoạt động ngoại tuyến)
• Address Generator Tutorial — Suy xuất địa chỉ (hoạt động ngoại tuyến)
• Key Derivation Tool Tutorial — Khám phá đường dẫn khóa (hoạt động ngoại tuyến)
• Seed Phrase Security Guide — Chiến lược bảo vệ seed phrase toàn diện