TZURTZURبازگشت به TZUR برای ویندوز

TZUR for Windows · حقوقی

اصول امنیتی

طراحی غیرامانی

TZUR Wallet کاملاً غیرامانی است. کلیدهای خصوصی شما هرگز روی سرورها ذخیره نمی‌شوند و TZUR هیچ توانایی برای دسترسی، مسدودسازی یا انتقال وجوه شما ندارد. هیچ حسابی برای ایجاد وجود ندارد، هیچ ذخیره‌سازی ابری از داده‌های کیف پول وجود ندارد، و هیچ سابقه سمت سروری از دارایی‌های Bitcoin شما وجود ندارد. کلیدهای شما تنها روی رایانه شما وجود دارند، محافظت‌شده با امنیت Windows و، در جایی که فعال باشد، با TPM رایانه شما. اگر سرورهای TZUR فردا ناپدید شوند، Bitcoin شما همچنان کاملاً در دسترس باقی خواهد ماند. شما می‌توانید کیف پول خود را با استفاده از عبارت بازیابی خود و هر برنامه کیف پول سازگار با BIP-39 بازیابی کنید.

تولید و استخراج کلید

کلیدهای خصوصی به‌صورت محلی روی رایانه شما تولید می‌شوند. تصادفی‌بودن رمزنگاری توسط تولیدکننده اعداد تصادفی امن سیستم‌عامل (BCryptGenRandom روی Windows) فراهم می‌شود. TZUR از BIP-32 برای استخراج کلید سلسله‌مراتبی قطعی پیروی می‌کند، به این معنی که کل کیف پول شما از یک عبارت بازیابی مادر واحد استخراج می‌شود. برای تولید آدرس، TZUR استاندارد BIP-84 را پیاده‌سازی می‌کند تا با استفاده از مسیر استخراج m/84'/0'/0' آدرس‌های Native SegWit (bech32) تولید کند. این کاملاً قطعی است: یک عبارت بازیابی یکسان همواره دنباله یکسانی از آدرس‌ها را تولید خواهد کرد. هیچ‌گونه ماده کلیدی هرگز روی یک سرور راه دور تولید یا به آن ارسال نمی‌شود.

امنیت عبارت بازیابی

عبارت بازیابی ۱۲ کلمه‌ای شما به‌صورت محلی طبق استاندارد BIP-39 تولید می‌شود. این عبارت بازیابی تنها سازوکار بازیابی کیف پول شماست. TZUR عبارت بازیابی شما را ذخیره، منتقل نمی‌کند و به آن هیچ دسترسی ندارد. این عبارت یک‌بار در حین ایجاد کیف پول نمایش داده می‌شود و می‌توان آن را برای اهداف پشتیبان‌گیری دوباره در تنظیمات مشاهده کرد. هرگز روی شبکه ارسال نمی‌شود، هرگز در گزارش‌های سرور نوشته نمی‌شود و هرگز در داده‌های تحلیلی گنجانده نمی‌شود. اگر عبارت بازیابی و رایانه خود را از دست بدهید، Bitcoin شما توسط هیچ‌کس، از جمله TZUR، قابل بازیابی نخواهد بود.

مدیریت حافظه

ماده کلید خصوصی به‌عنوان داده سمی تلقی می‌شود. کلیدها تنها هنگام نیاز برای امضای تراکنش از ذخیره‌سازی امن بارگذاری می‌شوند. به‌محض امضای تراکنش، تمام ماده کلیدی بلافاصله از حافظه پاک می‌شود. کلیدهای خصوصی هرگز در وضعیت برنامه ذخیره نمی‌شوند، هرگز در فایل‌های موقت نوشته نمی‌شوند، هرگز ثبت نمی‌شوند و هرگز در ذخیره‌سازی محافظت‌نشده ماندگار نمی‌شوند.

ذخیره‌سازی امن

داده‌های حساس کیف پول، از جمله عبارت بازیابی رمزگذاری‌شده، در یک فایل اسرار محلی ذخیره می‌شوند که با Windows DPAPI (رابط برنامه‌نویسی حفاظت از داده Windows) مهر و موم شده است. DPAPI داده را به حساب کاربری Windows شما پیوند می‌دهد، بنابراین نمی‌توان آن را به یک ماشین دیگر منتقل کرد یا به‌صورت آفلاین جابه‌جا نمود. روی رایانه‌های مجهز به Trusted Platform Module (TPM)، می‌توانید علاوه‌بر این، عبارت بازیابی رمزگذاری‌شده را به TPM مهر و موم کنید. کلید TPM غیرقابل صدور است و هرگز از سخت‌افزار خارج نمی‌شود، بنابراین یک فایل اسرار کپی‌شده نمی‌تواند روی یک ماشین دیگر به‌صورت آفلاین مورد حمله قرار گیرد، حتی با داشتن PIN. برنامه با یک PIN محافظت می‌شود که با PBKDF2-HMAC-SHA256 در 600,000 تکرار تقویت شده است، و در جایی که در دسترس باشد، با Windows Hello. TZUR داده‌های حساس را در فایل‌های ساده یا هر سازوکار ذخیره‌سازی محافظت‌نشده‌ای ذخیره نمی‌کند.

قفل برنامه و حفاظت در برابر تصویربرداری

TZUR در هنگام راه‌اندازی و پس از یک دوره عدم فعالیت، خود را پشت PIN شما (و Windows Hello، در جایی که فعال باشد) قفل می‌کند. بازه قفل خودکار قابل تنظیم است (۱ دقیقه، ۱۰ دقیقه، ۱ ساعت یا ۶ ساعت). این برنامه همچنین حفاظت در برابر تصویربرداری صفحه را در صفحه‌های حساس فعال می‌کند تا خطر دیدزدن از روی شانه و بدافزار ضبط صفحه را کاهش دهد.

مدل اعتماد شبکه و Electrum

TZUR با سرورهای عمومی Electrum ارتباط برقرار می‌کند تا داده‌های بلاک‌چین را بازیابی کند. سرورهای Electrum مورد اعتماد نیستند. آن‌ها تنها به‌عنوان ارائه‌دهنده داده عمل می‌کنند. تمام ساخت و امضای تراکنش به‌صورت محلی روی رایانه شما انجام می‌شود. TZUR هرگز کلیدهای خصوصی، عبارت‌های بازیابی یا داده‌های شخصی را روی شبکه ارسال نمی‌کند. اتصالات از TLS استفاده می‌کنند. یکپارچگی تراکنش با استفاده از اثبات‌های Merkle تأیید می‌شود.

تحلیل داده‌های محترم به حریم خصوصی

TZUR Wallet ممکن است برای بهبود برنامه، داده‌های تحلیلی ناشناس استفاده را جمع‌آوری کند. تحلیل داده‌ها کاملاً اختیاری است و می‌توان آن را در هر زمان در تنظیمات غیرفعال کرد.

داده‌های تحلیلی هرگز شامل موارد زیر نمی‌شوند:

  • آدرس‌های کیف پول یا کلیدهای عمومی
  • موجودی‌های حساب یا داده‌های UTXO
  • مبالغ، مقصدها یا تاریخچه تراکنش
  • عبارت‌های بازیابی یا هرگونه ماده کلیدی
  • کلیدهای خصوصی یا مسیرهای استخراج
  • هویت شخصی، نام یا مکان

TZUR Wallet شامل SDKهای تبلیغاتی، فناوری‌های ردیابی شخص ثالث یا کتابخانه‌های اثرانگشت‌گیری نیست. ما هیچ داده کاربری را نمی‌فروشیم، به اشتراک نمی‌گذاریم یا از آن کسب درآمد نمی‌کنیم.

افشای مسئولانه

اگر آسیب‌پذیری امنیتی‌ای در TZUR Wallet کشف کردید، لطفاً آن را به contact@tzur.live گزارش دهید. ما تمام گزارش‌ها را جدی می‌گیریم و به‌سرعت پاسخ خواهیم داد.

آخرین به‌روزرسانی: 4/6/2026