TZURTZURKembali ke TZUR untuk Windows

TZUR for Windows · Hukum

Prinsip Keamanan

Desain Non-Kustodial

TZUR Wallet sepenuhnya non-kustodial. Kunci privat Anda tidak pernah disimpan di server, dan TZUR tidak memiliki kemampuan untuk mengakses, membekukan, atau memindahkan dana Anda. Tidak ada akun yang perlu dibuat, tidak ada penyimpanan awan untuk data dompet, dan tidak ada catatan sisi-server atas kepemilikan Bitcoin Anda. Kunci Anda hanya ada di komputer Anda, dilindungi oleh keamanan Windows dan, jika diaktifkan, TPM komputer Anda. Jika server TZUR menghilang besok, Bitcoin Anda akan tetap dapat diakses sepenuhnya. Anda dapat memulihkan dompet Anda menggunakan frasa benih Anda dan aplikasi dompet apa pun yang kompatibel dengan BIP-39.

Pembuatan & Derivasi Kunci

Kunci privat dibuat secara lokal di komputer Anda. Keacakan kriptografis disediakan oleh generator bilangan acak aman sistem operasi (BCryptGenRandom di Windows). TZUR mengikuti BIP-32 untuk derivasi kunci deterministik hierarkis, artinya seluruh dompet Anda diturunkan dari satu benih induk tunggal. Untuk pembuatan alamat, TZUR menerapkan BIP-84 guna menghasilkan alamat Native SegWit (bech32) menggunakan jalur derivasi m/84'/0'/0'. Ini sepenuhnya deterministik: benih yang sama akan selalu menghasilkan urutan alamat yang sama. Tidak ada materi kunci yang pernah dibuat di atau dikirim ke server jarak jauh.

Keamanan Frasa Benih

Frasa benih 12 kata Anda dibuat secara lokal sesuai standar BIP-39. Frasa benih ini adalah satu-satunya mekanisme pemulihan untuk dompet Anda. TZUR tidak menyimpan, mentransmisikan, atau memiliki akses apa pun ke frasa benih Anda. Frasa tersebut ditampilkan sekali selama pembuatan dompet dan dapat dilihat kembali di Pengaturan untuk tujuan pencadangan. Frasa ini tidak pernah dikirim melalui jaringan, tidak pernah ditulis ke log server, dan tidak pernah disertakan dalam data analitik. Jika Anda kehilangan frasa benih Anda dan komputer Anda, Bitcoin Anda tidak dapat dipulihkan oleh siapa pun, termasuk TZUR.

Penanganan Memori

Materi kunci privat diperlakukan sebagai data beracun. Kunci dimuat dari penyimpanan aman hanya ketika dibutuhkan untuk menandatangani transaksi. Setelah transaksi ditandatangani, semua materi kunci segera dihapus dari memori. Kunci privat tidak pernah disimpan dalam cache pada status aplikasi, tidak pernah ditulis ke berkas sementara, tidak pernah dicatat dalam log, dan tidak pernah dipertahankan dalam penyimpanan yang tidak terlindungi.

Penyimpanan Aman

Data dompet sensitif, termasuk benih terenkripsi, disimpan dalam berkas rahasia lokal yang disegel dengan Windows DPAPI (Windows Data Protection API). DPAPI mengikat data ke akun pengguna Windows Anda, sehingga tidak dapat diangkat ke mesin lain atau ditukar secara luring. Pada komputer yang dilengkapi Trusted Platform Module (TPM), Anda dapat pula menyegel benih terenkripsi ke TPM. Kunci TPM tidak dapat diekspor dan tidak pernah meninggalkan perangkat keras, sehingga berkas rahasia yang disalin tidak dapat diserang secara luring di mesin lain, bahkan dengan PIN. Aplikasi ini dilindungi oleh PIN, diperkuat dengan PBKDF2-HMAC-SHA256 pada 600.000 iterasi, dan, jika tersedia, oleh Windows Hello. TZUR tidak menyimpan data sensitif dalam berkas biasa atau mekanisme penyimpanan yang tidak terlindungi mana pun.

Kunci Aplikasi & Perlindungan Tangkapan Layar

TZUR mengunci dirinya sendiri di balik PIN Anda (dan Windows Hello, jika diaktifkan) saat peluncuran dan setelah periode tidak aktif. Interval kunci otomatis dapat dikonfigurasi (1 menit, 10 menit, 1 jam, atau 6 jam). Aplikasi ini juga mengaktifkan perlindungan tangkapan layar pada layar sensitif untuk mengurangi risiko pengintaian dari belakang bahu dan malware perekam layar.

Model Kepercayaan Jaringan & Electrum

TZUR berkomunikasi dengan server Electrum publik untuk mengambil data blockchain. Server Electrum tidak dipercaya. Mereka hanya berfungsi sebagai penyedia data. Semua konstruksi dan penandatanganan transaksi terjadi secara lokal di komputer Anda. TZUR tidak pernah mengirim kunci privat, frasa benih, atau data pribadi melalui jaringan. Koneksi menggunakan TLS. Integritas transaksi diverifikasi menggunakan bukti Merkle.

Analitik yang Menghormati Privasi

TZUR Wallet dapat mengumpulkan analitik penggunaan anonim untuk meningkatkan aplikasi. Analitik sepenuhnya opsional dan dapat dinonaktifkan kapan saja di Pengaturan.

Analitik tidak pernah mencakup:

  • Alamat dompet atau kunci publik
  • Saldo akun atau data UTXO
  • Jumlah, tujuan, atau riwayat transaksi
  • Frasa benih atau materi kunci apa pun
  • Kunci privat atau jalur derivasi
  • Identitas pribadi, nama, atau lokasi

TZUR Wallet tidak menyertakan SDK periklanan, teknologi pelacakan pihak ketiga, atau pustaka sidik jari (fingerprinting). Kami tidak menjual, membagikan, atau memonetisasi data pengguna apa pun.

Pengungkapan yang Bertanggung Jawab

Jika Anda menemukan kerentanan keamanan di TZUR Wallet, harap laporkan ke contact@tzur.live. Kami menanggapi semua laporan dengan serius dan akan merespons dengan segera.

Terakhir Diperbarui: 4/6/2026