Wtorek, 18 stycznia 2022 • 18 dzień roku • Imieniny: Małgorzaty, Piotra, Liberty Kontakt

Cold storage, czyli jak bezpiecznie przechowywać oszczędności w Bitcoinach?


Co to jest cold storage?

W odróżnieniu od usług bankowych, w przypadku kryptowalut cała odpowiedzialność za bezpieczeństwo posiadanych środków spoczywa na ich właścicielu. To, jak bezpieczne są te środki, zależy miedzy innymi od rodzaju używanego portfela, stosowanych zabezpieczeń, częstości tworzenia i sposobu przechowywania kopii zapasowych oraz ogólnego poziomu wiedzy na temat zasad działania systemu Bitcoin. Cold storage, czyli przechowywanie kluczy prywatnych w portfelu offline, np. w postaci portfela papierowego (paper wallet) lub na komputerze niepodłączonym do internetu to najbardziej bezpieczny sposób przechowywania kryptowalut.

Kiedy stosować cold storage?

Niestety, jak to zazwyczaj bywa, bezpieczeństwo nie idzie w parze z wygodą użytkowania, dlatego też cold storage stosuje się najczęściej do gromadzenia oszczędności długoterminowych. Portfel offline idealnie sprawdza się w roli skarbonki, do której możemy łatwo wkładać oszczędności, jest jednak znacznie mniej wygodny przy wysyłaniu środków. Co więcej, 100% bezpieczeństwo możemy sobie zapewnić tylko do czasu "rozbicia skarbonki", tj. pierwszego wysłania (użycia kluczy prywatnych) środków zgromadzonych w portfelu.

Jak dbać o bezpieczeństwo portfela offline?

Na bezpieczeństwo portfela wpływa wiele czynników, miedzy innymi jego rodzaj, szyfrowanie, sposób użytkowania i przechowywania urządzenia, na którym jest zainstalowany, posiadane backupy itp. Dostęp do środków zgromadzonych w portfelu można utracić wskutek wypadków losowych, np. kradzieży komputera lub jego zniszczenia w pożarze. Nawet zwyczajne zapomnienie hasła oznacza utratę portfela. System Bitcoin nie wybacza błędów, warto zatem stosować się do dobrych praktyk, żeby zapewnić sobie maksimum bezpieczeństwa.

  • Komputer offline powinien być przechowywany w bezpiecznym miejscu, a sam portfel zaszyfrowany mocnym hasłem, żeby zabezpieczyć się przed utratą środków np. wskutek kradzieży komputera.
  • Klucze przechowywane w portfelu offline powinny być wygenerowane w trybie offline. Nie jest bezpieczne importowanie do portfela offline kluczy używanych w portfelach działających online.
  • Komputer, na którym zainstalowany jest portfel offline, nie powinien być wykorzystywany w innym celu niż obsługa portfela i nie może być okazjonalnie podłączany do sieci. Należy wyłączyć obsługę sieci bezprzewodowych: wifi, wwan, bluetooth, a także auto uruchamianie przy podłączeniu pamięci USB. W wersji dla paranoików usuwamy wszystkie podzespoły (karty) zapewniające połączenia sieciowe lub przynajmniej wyłączamy je sprzętowo (niektóre laptopy, np. Lenovo ThinkPad posiadają fizyczny wyłącznik sieci wifi).
  • Niezbędne jest utworzenie backupu portfela w wersji papierowej i/lub cyfrowej. W przypadku portfela Armory wystarczy jednorazowy backup (portfel deterministyczny). Backup portfela należy umieścić w innej lokalizacji niż komputer offline, gdyż jednoczesna utrata portfela i backupu, np. wskutek kradzieży, pożaru itp. oznacza brak dostępu do zgromadzonych w portfelu środków.
  • Papierowy backup (paper backup) w Armory nie jest zaszyfrowany i powinien być przechowywany w taki sam sposób jak gotówka. Przy większych kwotach należałoby rozważyć umieszczenie go w sejfie lub skrytce bankowej, gdyż każdy, kto uzyska do niego dostęp będzie mógł dysponować zawartością portfela. Papierowy backup w Armory zabezpiecza także przed utratą (zapomnieniem) hasła oraz stanowi zabezpieczenie dla rodziny właściciela portfela np. w przypadku jego nagłej śmierci.
  • Bezpieczniejszą alternatywą dla portfela papierowego jest utworzenie cyfrowego backupu (digital backup) zaszyfrowanego portfela i umieszczenie go w innej lokalizacji niż hasło. Żeby ukraść zawartość portfela, złodziej musiałby jednocześnie wejść w posiadanie portfela i hasła, co w przypadku przechowywania ich w różnych miejscach jest mało prawdopodobne.
  • Dobrą praktyką jest utworzenie kilku backupów i przechowywanie ich w różnych lokalizacjach.

Cold storage w Armory

Żeby utworzyć portfel offline i monitorować jego stan przy pomocy Armory, potrzebne są dwa komputery: online i offline.

Komputer online: W pierwszej kolejności instalujemy Bitcoin Core, następnie Armory. Należy zainstalować bitcoind, gdyż jest wymagany przez klienta Armory.

Komputer offline: Formatujemy dysk i instalujemy świeży system, a następnie Armory. Nie ma potrzeby instalowania Bitcoin Core. Jeśli w czasie instalacji komputer był podłączony do sieci, to go odłączamy (na stałe). Jako komputer offline z powodzeniem możemy użyć np. starego laptopa z Lubuntu lub Xubuntu.

Jeśli mamy już za sobą instalację oprogramowania, to wystarczą trzy proste kroki, żeby móc korzystać z cold storage w Armory.

1. Tworzymy portfel offline

Portfel offline tworzymy w taki sam sposób jak online, z tą różnicą, że robimy to na komputerze odłączonym od sieci. Klikamy przycisk Create Wallet, wprowadzamy nazwę portfela, hasło o długości co najmniej 10 znaków, weryfikujemy poprawność hasła (wprowadzamy je po raz trzeci, żeby mieć pewność, że zostało bezbłędnie zapisane) oraz tworzymy backup (zalecany jest papierowy backup). Przed użyciem portfela zaleca się przetestowanie backupu - można to zrobić np. usuwając portfel, a następnie go przywracając. Tym sposobem zyskujemy pewność, że backup został utworzony poprawnie i w razie potrzeby skorzystania z niego nie spotka nas przykra niespodzianka.

Tworzenie portfela Armory - nazwa i opcje zaawansowane
Tworzenie portfela Armory - hasło
Tworzenie portfela Armory - weryfikacja hasła
Tworzenie portfela Armory - backup

2. Tworzymy watching-only wallet

Armory umożliwia bezpieczne monitorowanie płatności przychodzących przy pomocy specjalnego portfela niezawierającego kluczy prywatnych (watching-only wallet). Przy pomocy portfela watching-only możemy generować adresy, nie możemy jednak wysyłać środków.

Żeby utworzyć watching-only wallet, uruchamiamy Armory na komputerze offline, zaznaczamy portfel dla którego chcemy utworzyć kopię "watching-only", klikamy przycisk Wallet Properties, wybieramy Export Watching-Only Copy i zapisujemy na nośniku USB (pendrivie). Tak utworzony portfel należy przenieść do komputera pracującego online.

Export watching-only wallet

3. Importujemy watching-only wallet

Żeby zaimportować wersję watching-only portfela offline, uruchamiamy Armory na komputerze online, klikamy przycisk Import or Restore Wallet, zaznaczamy Import digital backup or watching-only wallet i wczytujemy zapisany na pendrivie watching-only wallet. Od tej chwili możemy tworzyć nowe adresy oraz monitorować płatności przychodzące bez narażania kluczy prywatnych. Żeby wykonać płatność, transakcja musi być podpisana kluczami znajdującymi się w portfelu na komputerze offline (używamy w tym celu nośnika USB).

Import watching-only wallet
Armory watching-only wallet