TZURTZURKembali ke TZUR untuk Windows

TZUR for Windows · Undang-undang

Prinsip Keselamatan

Reka Bentuk Bukan Kustodi

TZUR Wallet adalah sepenuhnya bukan kustodi. Kunci peribadi anda tidak pernah disimpan pada pelayan, dan TZUR tidak mempunyai keupayaan untuk mengakses, membekukan, atau memindahkan dana anda. Tiada akaun untuk dicipta, tiada penyimpanan awan bagi data dompet, dan tiada rekod di pihak pelayan bagi pegangan Bitcoin anda. Kunci anda wujud hanya pada komputer anda, dilindungi oleh keselamatan Windows dan, jika diaktifkan, TPM komputer anda. Jika pelayan TZUR lenyap esok, Bitcoin anda akan kekal boleh diakses sepenuhnya. Anda boleh memulihkan dompet anda menggunakan frasa benih anda dan mana-mana aplikasi dompet yang serasi dengan BIP-39.

Penjanaan & Terbitan Kunci

Kunci peribadi dijana secara setempat pada komputer anda. Kerawakan kriptografi disediakan oleh penjana nombor rawak selamat sistem pengendalian (BCryptGenRandom on Windows). TZUR mengikut BIP-32 untuk terbitan kunci deterministik berhierarki, bermakna keseluruhan dompet anda diterbitkan daripada satu benih induk. Untuk penjanaan alamat, TZUR melaksanakan BIP-84 bagi menghasilkan alamat Native SegWit (bech32) menggunakan derivation path m/84'/0'/0'. Ini adalah deterministik sepenuhnya: benih yang sama akan sentiasa menghasilkan urutan alamat yang sama. Tiada bahan kunci yang pernah dijana pada atau dihantar ke pelayan jauh.

Keselamatan Frasa Benih

Frasa benih 12 patah perkataan anda dijana secara setempat mengikut standard BIP-39. Frasa benih ini ialah satu-satunya mekanisme pemulihan untuk dompet anda. TZUR tidak menyimpan, menghantar, atau mempunyai sebarang akses kepada frasa benih anda. Frasa tersebut dipaparkan sekali semasa penciptaan dompet dan boleh dilihat semula dalam Tetapan untuk tujuan sandaran. Ia tidak pernah dihantar melalui rangkaian, tidak pernah ditulis ke log pelayan, dan tidak pernah disertakan dalam data analitik. Jika anda kehilangan frasa benih anda dan komputer anda, Bitcoin anda tidak dapat dipulihkan oleh sesiapa pun, termasuk TZUR.

Pengendalian Memori

Bahan kunci peribadi diperlakukan sebagai data toksik. Kunci dimuatkan daripada storan selamat hanya apabila diperlukan untuk menandatangani transaksi. Setelah transaksi ditandatangani, semua bahan kunci serta-merta dibersihkan daripada memori. Kunci peribadi tidak pernah disimpan cache dalam keadaan aplikasi, tidak pernah ditulis ke fail sementara, tidak pernah dilog, dan tidak pernah dikekalkan dalam storan tidak terlindung.

Penyimpanan Selamat

Data dompet sensitif, termasuk benih tersulit, disimpan dalam fail rahsia setempat yang dimeterai dengan Windows DPAPI (the Windows Data Protection API). DPAPI mengikat data tersebut kepada akaun pengguna Windows anda, jadi ia tidak boleh diangkat ke mesin lain atau ditukar secara luar talian. Pada komputer yang dilengkapi dengan Trusted Platform Module (TPM), anda boleh juga memeterai benih tersulit kepada TPM. Kunci TPM tidak boleh dieksport dan tidak pernah meninggalkan perkakasan, jadi fail rahsia yang disalin tidak boleh diserang secara luar talian pada mesin lain, walaupun dengan PIN. Aplikasi ini dipagar oleh PIN, diperkukuh dengan PBKDF2-HMAC-SHA256 pada 600,000 lelaran, dan, jika tersedia, oleh Windows Hello. TZUR tidak menyimpan data sensitif dalam fail biasa atau sebarang mekanisme storan tidak terlindung.

Kunci Aplikasi & Perlindungan Tangkapan

TZUR mengunci dirinya di belakang PIN anda (dan Windows Hello, jika diaktifkan) semasa pelancaran dan selepas suatu tempoh ketidakaktifan. Selang kunci automatik boleh dikonfigurasi (1 minit, 10 minit, 1 jam, atau 6 jam). Aplikasi ini juga mengaktifkan perlindungan tangkapan skrin pada skrin sensitif untuk mengurangkan risiko intip bahu dan perisian hasad rakaman skrin.

Model Kepercayaan Rangkaian & Electrum

TZUR berkomunikasi dengan pelayan Electrum awam untuk mendapatkan data blockchain. Pelayan Electrum tidak dipercayai. Ia berfungsi sebagai penyedia data sahaja. Semua pembinaan dan penandatanganan transaksi berlaku secara setempat pada komputer anda. TZUR tidak pernah menghantar kunci peribadi, frasa benih, atau data peribadi melalui rangkaian. Sambungan menggunakan TLS. Integriti transaksi disahkan menggunakan bukti Merkle.

Analitik yang Menghormati Privasi

TZUR Wallet mungkin mengumpul analitik penggunaan tanpa nama untuk menambah baik aplikasi. Analitik adalah pilihan sepenuhnya dan boleh dinyahdayakan pada bila-bila masa dalam Tetapan.

Analitik tidak pernah termasuk:

  • Alamat dompet atau kunci awam
  • Baki akaun atau data UTXO
  • Jumlah, destinasi, atau sejarah transaksi
  • Frasa benih atau sebarang bahan kunci
  • Kunci peribadi atau laluan terbitan
  • Identiti peribadi, nama, atau lokasi

TZUR Wallet tidak termasuk SDK pengiklanan, teknologi penjejakan pihak ketiga, atau pustaka cap jari. Kami tidak menjual, berkongsi, atau mewangkan sebarang data pengguna.

Pendedahan Bertanggungjawab

Jika anda menemui kelemahan keselamatan dalam TZUR Wallet, sila laporkannya kepada contact@tzur.live. Kami mengambil serius semua laporan dan akan membalas dengan segera.

Last Updated: 4/6/2026