Что такое Air Gap?
Air Gap это настройка безопасности, при которой устройство, хранящее ваши секреты, полностью офлайн. Ни WiFi, ни Bluetooth, ни Ethernet, ни скрытые подключения. Представьте себе сейф в домике, куда интернет сознательно не подводили.
Air Gap не гарантирует абсолютную безопасность. Он сокращает онлайн пути атаки, но плохая прошивка, сомнительные USB-накопители и человеческие ошибки всё ещё могут привести к проблемам.
Как работает Air Gap
Краткая инструкция, как будто вы настраиваете тихий сейф для монет:
- Подготовка: Возьмите запасной ноутбук, полностью очистите его, отключите радиомодули и никогда не подключайте его к Интернету.
- Создание: Создайте кошелёк и держите ваши приватные ключи криптовалюты офлайн на этом устройстве.
- Подпись: Когда нужно заплатить, подготовьте неподписанный файл на подключённом устройстве, затем подпишите его на офлайн устройстве с помощью QR или SD карты.
- Перенос: Переместите подписанный файл обратно на подключённое устройство односторонним методом, например через QR или чистую SD карту.
- Трансляция: Отправьте подписанные данные в сеть через ваш кошелёк или сервис ноды. Оффлайн устройство всё это время остаётся отключённым.
Да, в этом идея.
Почему Air Gap важен
Что вы от этого получите?
- Преимущество: Значительно снижается риск того, что вредоносное ПО получит доступ к вашим средствам, при этом вы сохраняете контроль.
- Перспектива: Это более строгий вариант холодного хранения, который предпочитают долгосрочные держатели и менеджеры казначейств, чтобы спокойнее спать ночью.
- Применимость: Это используют в сейфах, казначействах DAO и в крупных командах трейдинга, которые перемещают большие суммы и хотят уверенности.
Если собирать собственную систему кажется тяжело, аппаратные кошельки предлагают более простой путь с встроенной офлайн-подписью.
Ключевые характеристики Air Gap
Что делает эту схему особенной:
- Изоляция: Устройства по замыслу не имеют сетевых подключений.
- Подпись: Секреты остаются офлайн, наружу покидают только подписи.
- Поток: Данные должны выходить в одном направлении, редко входить, и только с доверенных носителей.
- Контроль: Вы решаете, когда и как что-либо получает доступ к устройству-хранилищу.
Варианты
Та же идея, разные варианты:
- Компьютер: Выделенный ноутбук, который никогда не выходит в сеть и служит устройством для подписи.
- Кошелёк: Телефон, постоянно в авиарежиме, использующийся с QR-процессами.
- QR: Подпись через камеру, часто с анимированными кодами для больших объёмов данных.
- Перенос: USB или SD карта, используемые только для вывода подписанных данных.
- Диод: Аппаратная однонаправленная связка, позволяющая данным выходить, но не входить.
Проверьте полное восстановление сид фразы на офлайн устройстве до того, как пополните его. Люди часто забывают это и затем сталкиваются с проблемами.
Пример
Трейдер подписывает платёж на офлайн ноутбуке, передаёт подписанный файл через QR на телефон, а затем транслирует транзакции из горячего кошелька.
Интересный факт
Идея старше криптовалют на десятки лет. Именно поэтому в критичных лабораториях компьютеры держали офлайн, и почему известный червь когда-то перепрыгнул Air Gap через обычную USB флешку.
Итог
Коротко: держите устройство для подписи офлайн, выводите наружу только подписанные данные и спите спокойнее.