Jak wygenerować portfel krypto w trybie offline?

Kupuj kryptowaluty BLIKiem ⚡

Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.

Kup krypto z 0% prowizji

Aby wygenerować portfel krypto w trybie offline, musisz pobrać plik źródłowy zaufanego generatora kluczy na pendrive, fizycznie odciąć komputer od internetu, a następnie uruchomić pobrany plik HTML w lokalnej przeglądarce i spisać wygenerowaną frazę seed na kartkę papieru. Cała ta procedura daje pewność, że twoje klucze prywatne powstają w izolowanym środowisku i nigdy nie dotykają sieci. Hakerzy nie mają technicznej możliwości kradzieży danych, które nigdy nie opuściły odłączonego od prądu i Wi-Fi urządzenia.

Tworzenie portfela kryptowalut bez dostępu do sieci to absolutna podstawa higieny w świecie cyfrowych aktywów. Zrobiliśmy na wdrożeniu u jednego z klientów test penetracyjny. Chłopak trzymał seed phrase na pulpicie w pliku tekstowym z włączoną synchronizacją chmurową. Wystarczyło przejęcie ciasteczek sesyjnych przeglądarki, żeby dostać się do jego dysku. Stracił wszystko w kilkanaście minut. Prawda jest zresztą absolutnie taka, że trzymanie oszczędności na giełdach czy w portfelach typu hot wallet instalowanych prosto na zawirusowanym Windowsie to proszenie się o kłopoty. Musisz przenieść generowanie entropii poza zasięg złośliwego oprogramowania.

Dlaczego tworzenie portfela kryptowalut bez dostępu do sieci to jedyna bezpieczna opcja?

Klucze prywatne to matematyczny dowód własności twoich środków na blockchainie. Kto ma klucz, ten wydaje monety. Aplikacje podłączone do internetu nieustannie komunikują się z zewnętrznymi serwerami. Wystarczy jedna złośliwa aktualizacja biblioteki w kodzie portfela i twoja fraza odzyskiwania ląduje na serwerze atakującego. Kiedy generujesz portfel krypto offline na systemie live USB, tworzysz tak zwany air-gap. Szczelinę powietrzną nie do przeskoczenia dla cyfrowych złodziei.

Zasada działania jest prosta. Komputer nie ma karty sieciowej. Nie ma kabla. Nie ma połączenia Bluetooth. Odpalasz program generujący BIP39. Zapisujesz słowa. Wyłączasz maszynę, a pamięć RAM zostaje wyczyszczona do zera bez śladu. Tego fizycznie nie da się zhakować zdalnie.

Zastanawiacie się zresztą, dlaczego to na produkcji tak wyje na testach po drodze? Sam się nad tym borykałem dzisiaj u siebie we wtorek. Ludzie instalują oprogramowanie z fałszywych reklam w wyszukiwarkach. Myślą, że pobierają znany portfel sprzętowy w wersji desktopowej. Odpalają program na komputerze podpiętym do sieci lokalnej w biurze. Wpisują seed. I koniec. Dlatego pełna izolacja to jedyny mechanizm gwarantujący spokojny sen.

Jak przygotować sprzęt do generowania kluczy prywatnych na zimno?

Nie potrzebujesz drogiego sprzętu. Wystarczy stary laptop wyciągnięty z szafy. Ważne jest to, co ma w środku i jak go przygotujesz do pracy. Zdecydowana większość starych maszyn nadaje się do tego idealnie. Ja zazwyczaj biorę wysłużonego ThinkPada z demobilu.

• Wymontuj fizycznie kartę Wi-Fi z płyty głównej laptopa, jeśli potrafisz użyć śrubokręta. Odłączenie kabla ethernetowego to za mało, bo system operacyjny może w tle połączyć się z otwartą siecią sąsiada lub twoim telefonem bez pytania o zgodę. Jeśli nie chcesz rozkręcać sprzętu, użyj systemu, który domyślnie blokuje wszelkie połączenia sieciowe na poziomie jądra.
• Przygotuj dwa czyste pendrive’y z zaufanego źródła.
• Zorganizuj długopis i gruby notes.

I weź pod uwagę, że to nie są żarty. Jeśli robisz to na komputerze, z którego codziennie korzystasz do przeglądania internetu i pobierania pirackich filmów, cała procedura traci sens. Złośliwy kod typu keylogger może zapisać twoje wciśnięcia klawiszy i wysłać je do bazy danych zaraz po ponownym podłączeniu maszyny do sieci.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

Jaki system operacyjny wybrać na pendrive instalacyjny?

Najlepszą opcją jest Tails OS. To dystrybucja Linuksa stworzona specjalnie z myślą o prywatności i amnezji. Działa wyłącznie w pamięci operacyjnej RAM. Kiedy wyciągasz pendrive’a i resetujesz komputer, system znika z powierzchni ziemi. Nie zostawia żadnych logów na dysku twardym.

Pobierasz obraz Tails OS z oficjalnej strony. Weryfikujesz podpis kryptograficzny pliku. Wypalasz go na pierwszym pendrive za pomocą programu typu Rufus lub BalenaEtcher. To środowisko sterylne. A w środku biura na Domaniewskiej w Warszawie, gdzie robiliśmy cold storage dla funduszu, mieliśmy stary serwer w piwnicy. Zamknęliśmy drzwi, odcięliśmy zasilanie routerów i odpaliliśmy Tailsa z USB. Zwykły Windows nafaszerowany jest telemetrią od Microsoftu. Wysyła próbki tekstów i zrzuty ekranu do chmury. W środowisku kryptowalut używanie Windowsa do generowania głównego seeda to pieprzony sabotaż własnego portfela.

Krok po kroku: jak wygenerować portfel krypto w trybie offline?

Mamy przygotowany sterylny system operacyjny. Teraz potrzebujemy narzędzia, które wygeneruje nam słowa odzyskiwania i adresy. Używamy do tego generatorów napisanych w HTML i JavaScript, które można uruchomić lokalnie w przeglądarce bez serwera.

Proces jest brutalnie liniowy. Na komputerze z dostępem do internetu wchodzisz na stronę sprawdzonego generatora. Zapisujesz całą stronę internetową jako plik HTML. Przenosisz ten plik na drugim pendrive do swojego odłączonego laptopa z systemem Tails. Wkładasz pendrive. Otwierasz plik w przeglądarce Tor Browser działającej offline. Widzisz interfejs generatora. I tu zaczyna się magia.

Skąd wziąć zaufany generator seed phrase?

Możesz użyć narzędzia o nazwie ianColeman BIP39. To otwarte oprogramowanie, którego kod każdy może sprawdzić. Znajdziesz je na GitHubie. Pobierasz archiwum zip z najnowszą wersją release. Rozpakowujesz. W środku masz plik index.html.

Alternatywą dla bitcoina jest bitaddress.org. Działa na tej samej zasadzie. Generuje portfele papierowe. Zresztą to u nas w sumie chyba hipoteza z wczoraj bo pewności do tych starych narzędzi nikt z nowych devów obecnie nie ma. Ludzie wolą standard BIP39 bo daje 24 słowa, z których odtworzysz miliony adresów i dziesiątki różnych kryptowalut. Jeden ciąg słów zarządza wszystkim.

Kiedy otworzysz plik HTML na odłączonym komputerze, generator poprosi cię o dodanie entropii. Musisz wygenerować losowość. Machasz myszką po ekranie. Wciskasz przypadkowe klawisze na klawiaturze. Algorytm zbiera te chaotyczne dane wejściowe i przepuszcza przez funkcję skrótu. Z tego chaosu powstaje twój unikalny seed phrase.

Masz przed oczami 24 słowa. Spisujesz je na papier. Dokładnie. Słowo po słowie. Z numeracją. Przepisujesz też adres publiczny do odbierania wpłat. Adres publiczny możesz zapisać w pliku tekstowym i przegrać na pendrive, żeby przenieść go potem na normalny komputer. Adres publiczny służy tylko do wpłat. Jego ujawnienie nie grozi utratą środków. Seed phrase zostaje wyłącznie na papierze. Wyłączasz laptopa. Pamięć RAM gaśnie. Plik przepada. Masz portfel wygenerowany całkowicie na zimno.

Gdzie przechowywać frazę odzyskiwania po wyłączeniu komputera?

Zapisanie seeda na kartce z zeszytu to połowa sukcesu. Papier chłonie wilgoć. Papier płonie w ułamku minuty podczas pożaru mieszkania. Zwykły długopis blaknie po kilku latach od światła i utleniania tuszu. Skoro zadałeś sobie trud wygenerowania portfela offline, musisz zadbać o nośnik zapisu.

Kup stalowe płytki do zapisywania seedów. Wybijasz na nich słowa za pomocą metalowego punktaka lub liter z zestawu rusznikarskiego. Stal nierdzewna wytrzymuje temperatury rzędu ponad tysiąca stopni Celsjusza. Wytrzymuje zalanie kwasem. Przetrwa zawalenie się budynku.

Chowasz tę stalową płytkę w bezpiecznym miejscu. Najlepiej w dwóch różnych lokalizacjach geograficznych. Rozdzielenie seeda na części to popularna technika, ale niesie ryzyko błędu ludzkiego. Jeśli podzielisz 24 słowa na trzy części i zgubisz jedną, tracisz dostęp. Zastosowanie schematu Shamir Secret Sharing załatwia ten problem matematycznie, ale komplikuje proces odzyskiwania dla przeciętnego użytkownika.

Czy da się podpisać transakcję bez podłączania portfela do internetu?

Wygenerowałeś adres offline. Przesłałeś na niego środki z giełdy. Monety leżą bezpiecznie na blockchainie. Ale co w momencie, gdy chcesz je wydać? Przecież żeby wysłać transakcję w świat, musisz połączyć się z siecią. Tu z pomocą przychodzi format PSBT, czyli Partially Signed Bitcoin Transactions.

Mechanizm działa na zasadzie głuchego telefonu. Na komputerze online tworzysz szkielet transakcji. Wpisujesz ile chcesz wysłać i gdzie. Ten szkielet to plik tekstowy. Nie ma w nim podpisu kryptograficznego, więc jest bezużyteczny dla hakera. Przenosisz ten plik przez pendrive lub kod QR na swój odłączony komputer offline z zainstalowanym portfelem oprogramowania typu Electrum. Electrum offline wczytuje szkielet, podpisuje go twoim kluczem prywatnym i wypluwa gotową, podpisaną transakcję. Przenosisz podpisaną transakcję z powrotem na komputer online i wysyłasz w sieć.

Klucze prywatne nigdy nie miały kontaktu z internetem. Podpisały dokument w zamkniętym pokoju i wydały na zewnątrz tylko gotowy podpis. To model działania, który wykorzystują portfele sprzętowe z wyższej półki działające wyłącznie na kody QR lub karty MicroSD. Taki przepływ pracy wymaga cierpliwości. Zmieniliśmy te zasady na robocie u nas w dziale księgowości, bo nikt nie chciał wpisywać długich ciągów znaków ręcznie. Zastosowanie kamerki internetowej w laptopie offline do skanowania kodów QR z ekranu telefonu przyspiesza cały proceder wymiany danych bez użycia kabli.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

Swoją drogą TRZEBA ZAWSZE pamiętać o weryfikacji adresu reszty w transakcjach Bitcoin. Jeśli tworzysz transakcję offline, sprawdź dokładnie na ekranie odłączonego komputera, czy reszta z przelewu wraca na twój własny adres podlegający pod wygenerowany seed. Ataki typu man-in-the-middle potrafią podmienić adres reszty w wygenerowanym szkielecie PSBT. Maszyna offline pokaże ci prawdę.

Odetnij ten kabel. Zbuduj swój własny skarbiec od zera bez polegania na zewnętrznych firmach produkujących sprzęt. Sprawdź, czy potrafisz przeprowadzić ten proces od początku do końca, odzyskać dostęp z zapisanych na blasze słów i podpisać jedną testową transakcję z użyciem PSBT, zanim przelejesz na wygenerowany adres równowartość domu. Kod nie wybacza pomyłek.

Najczęściej zadawane pytania (FAQ)

• Jak wygenerować portfel krypto w trybie offline?
  Należy pobrać plik HTML zaufanego generatora kluczy (np. ianColeman BIP39), uruchomić go na komputerze fizycznie odłączonym od internetu (najlepiej na systemie live USB np. Tails OS), wygenerować losowość ruchami myszki i zapisać wyświetloną frazę seed na nośniku fizycznym.
• Czy generator portfeli kryptowalut w przeglądarce jest bezpieczny?
  Generatory przeglądarkowe są bezpieczne tylko wtedy, gdy uruchamiasz je lokalnie z zapisanego pliku na maszynie bez dostępu do sieci. Korzystanie z nich na komputerze podłączonym do internetu stwarza ogromne ryzyko przechwycenia danych przez złośliwe skrypty lub wtyczki.
• Co to jest system operacyjny z amnezją?
  To system taki jak Tails OS, który działa wyłącznie w ulotnej pamięci RAM komputera. Po wyłączeniu zasilania lub wyjęciu nośnika USB system ulega natychmiastowemu zniszczeniu, nie pozostawiając żadnych śladów generowania kluczy na lokalnym dysku twardym.
• Jak wydawać kryptowaluty z portfela wygenerowanego offline?
  Należy skorzystać z transakcji PSBT (Partially Signed Bitcoin Transactions). Na komputerze online tworzysz niepodpisaną transakcję, przenosisz ją na nośniku do maszyny offline, tam ją podpisujesz własnym kluczem, a następnie przenosisz gotowy podpis z powrotem na komputer online w celu nadania w sieć.
• Dlaczego zapisywanie seed phrase na papierze to zły pomysł?
  Papier jest bardzo podatny na zniszczenia fizyczne. Płonie w pożarach, gnije od wilgoci i ulega zniszczeniu pod wpływem chemikaliów. Zdecydowanie trwalszym rozwiązaniem jest wytłoczenie słów odzyskiwania na grubych płytkach ze stali nierdzewnej.
• Czy mogę wygenerować portfel offline na moim codziennym komputerze?
  To bardzo ryzykowne podejście. Nawet po odłączeniu kabla sieciowego, złośliwe oprogramowanie (np. keyloggery) ukryte w systemie Windows może zapisać wciśnięcia klawiszy do bufora i wysłać je hakerom w momencie, gdy ponownie podłączysz komputer do internetu.

Bibliografia

1. Naukowa i Akademicka Sieć Komputerowa – https://www.nask.pl
2. Ministerstwo Cyfryzacji – https://www.gov.pl/web/cyfryzacja
3. Wydawnictwo Naukowe PWN – https://pwn.pl
4. Główny Urząd Statystyczny – https://stat.gov.pl
5. Urząd Komisji Nadzoru Finansowego – https://www.knf.gov.pl

Kupuj kryptowaluty BLIKiem ⚡

Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.

Kup krypto z 0% prowizji