Що таке Air Gap?
Air Gap являє собою налаштування безпеки, при якому пристрій, що зберігає ваші секрети, залишається повністю офлайн. Ніякого WiFi, ніякого Bluetooth, ніякого Ethernet, ніяких прихованих підключень. Уявіть собі сховище в будинку, куди навмисно ніколи не провели інтернет.
Air Gap означає ідеальну безпеку. Не зовсім так. Воно значно зменшує шляхи атак через мережу, але шкідливе програмне забезпечення, підозрілі USB накопичувачі та людські помилки все ще можуть зашкодити.
Як працює Air Gap
Короткий огляд, ніби ви налаштовуєте тихе сховище для монет:
- Підготовка: Візьміть запасний ноутбук, очистіть його, вимкніть радіомодулі й ніколи не підключайте його до інтернету.
- Створення: Створіть гаманець і тримайте ваші приватні ключі криптовалют офлайн на цьому пристрої.
- Підпис: Коли хочете здійснити платіж, на онлайн-пристрої сформуйте непідписаний файл, потім підпишіть його на офлайн-пристрої за допомогою QR або SD карти.
- Перенесення: Перенесіть підписаний файл назад на онлайн-пристрій одним спрямунком, наприклад через QR або чисту SD карту.
- Поширення: Надішліть підписані дані в мережу через ваш гаманець або сервіс вузла. Офлайн-пристрій весь час залишається темним.
Так, саме так.
Навіщо потрібен Air Gap
Що ви з цього отримуєте?
- Перевага: Значно нижчий ризик того, що шкідливе програмне забезпечення торкнеться ваших коштів, при цьому ви зберігаєте контроль.
- Погляд: Це більш суворий варіант Холодного зберігання, популярний серед довгострокових тримачів і менеджерів казни, які цінують спокійний сон.
- Застосування: Ви побачите це в сховищах, казнах DAO та на великих торгових підрозділах, що оперують значними обсягами, але прагнуть душевного спокою.
Якщо створювати власну систему здається складно, Апаратні гаманці дають простіший шлях з вбудованим офлайн підписом.
Ключові характеристики Air Gap
Що робить цю конфігурацію особливою:
- Ізоляція: За задумом жодних мережевих підключень.
- Підписування: Секрети залишаються офлайн, при цьому назовні виходять лише підписи.
- Потік: Дані повинні рухатися лише в один бік назовні, рідко всередину, і тільки з довірених носіїв.
- Контроль: Ви вирішуєте, коли і як щось торкається пристрою сховища.
Варіанти
Та сама концепція, різні варіанти:
- Комп'ютер: Окремий ноутбук, що ніколи не виходить в інтернет, використовується як пристрій підпису.
- Гаманець: Телефон, постійно в режимі польоту, у парі з QR процедурами.
- QR: Підписування за допомогою камери, часто з анімованими кодами для великих обсягів даних.
- Перенесення: USB або SD карта використовується лише для перенесення підписаних даних назовні.
- Діод: Апаратне одностороннє з'єднання, яке дозволяє даним виходити, але не входити.
Перевірте повне відновлення сиду на офлайн пристрої перед тим, як поповнювати його. Люди часто забувають про це і потім отримують неприємний досвід.
Приклад
Трейдер підписує платіж на офлайн ноутбуку, переносить підписаний файл через QR на телефон, а потім транслює транзакції з гарячого гаманця.
Цікавий факт
Ідея передує криптовалютам на десятиліття. Це та сама причина, чому чутливі лабораторії тримали комп'ютери офлайн, і чому відомий черв'як одного разу перетнув Air Gap через просту USB флешку.
Підсумок
Коротко: тримайте пристрій для підпису офлайн, переміщайте назовні лише підписані дані і спіть спокійніше.