TZURTZURPowrót do TZUR dla Windows

TZUR for Windows · Informacje prawne

Zasady bezpieczeństwa

Konstrukcja niepowiernicza

TZUR Wallet jest w pełni niepowierniczy (non-custodial). Twoje klucze prywatne nigdy nie są przechowywane na serwerach, a TZUR nie ma żadnej możliwości dostępu, zamrożenia ani przeniesienia Twoich środków. Nie ma żadnych kont do utworzenia, żadnego przechowywania danych portfela w chmurze ani żadnego zapisu po stronie serwera o Twoich zasobach Bitcoin. Twoje klucze istnieją wyłącznie na Twoim komputerze, chronione przez zabezpieczenia Windows oraz, jeśli jest włączony, przez TPM Twojego komputera. Gdyby serwery TZUR zniknęły jutro, Twój Bitcoin pozostałby w pełni dostępny. Możesz odzyskać swój portfel za pomocą frazy seed i dowolnej aplikacji portfela zgodnej z BIP-39.

Generowanie i wyprowadzanie kluczy

Klucze prywatne są generowane lokalnie na Twoim komputerze. Losowość kryptograficzna jest dostarczana przez bezpieczny generator liczb losowych systemu operacyjnego (BCryptGenRandom w systemie Windows). TZUR stosuje BIP-32 do hierarchicznego deterministycznego wyprowadzania kluczy, co oznacza, że cały Twój portfel jest wyprowadzany z jednego nadrzędnego seeda. Do generowania adresów TZUR implementuje BIP-84, aby tworzyć adresy Native SegWit (bech32) przy użyciu ścieżki wyprowadzania m/84'/0'/0'. Jest to w pełni deterministyczne: ten sam seed zawsze wytworzy tę samą sekwencję adresów. Żaden materiał kluczowy nigdy nie jest generowany na zdalnym serwerze ani do niego przesyłany.

Bezpieczeństwo frazy seed

Twoja 12-wyrazowa fraza seed jest generowana lokalnie zgodnie ze standardem BIP-39. Ta fraza seed jest jedynym mechanizmem odzyskiwania Twojego portfela. TZUR nie przechowuje, nie przesyła ani nie ma żadnego dostępu do Twojej frazy seed. Fraza jest wyświetlana raz podczas tworzenia portfela i może być ponownie wyświetlona w Ustawieniach w celu wykonania kopii zapasowej. Nigdy nie jest wysyłana przez sieć, nigdy nie jest zapisywana w logach serwera i nigdy nie jest dołączana do danych analitycznych. Jeśli utracisz frazę seed oraz swój komputer, Twój Bitcoin nie może zostać odzyskany przez nikogo, w tym przez TZUR.

Obsługa pamięci

Materiał klucza prywatnego jest traktowany jako dane toksyczne. Klucze są ładowane z bezpiecznego magazynu tylko wtedy, gdy są potrzebne do podpisywania transakcji. Po podpisaniu transakcji cały materiał kluczowy jest natychmiast usuwany z pamięci. Klucze prywatne nigdy nie są buforowane w stanie aplikacji, nigdy nie są zapisywane do plików tymczasowych, nigdy nie są logowane i nigdy nie są utrwalane w niezabezpieczonym magazynie.

Bezpieczne przechowywanie

Wrażliwe dane portfela, w tym zaszyfrowany seed, są przechowywane w lokalnym pliku sekretów zapieczętowanym za pomocą Windows DPAPI (interfejsu Windows Data Protection API). DPAPI wiąże dane z Twoim kontem użytkownika Windows, dzięki czemu nie można ich przenieść na inną maszynę ani podmienić w trybie offline. Na komputerach wyposażonych w moduł Trusted Platform Module (TPM) możesz dodatkowo zapieczętować zaszyfrowany seed do TPM. Klucz TPM jest nieeksportowalny i nigdy nie opuszcza sprzętu, więc skopiowanego pliku sekretów nie można zaatakować w trybie offline na innej maszynie, nawet znając PIN. Aplikacja jest zabezpieczona kodem PIN, wzmocnionym za pomocą PBKDF2-HMAC-SHA256 przy 600 000 iteracjach, a także, gdy jest dostępne, przez Windows Hello. TZUR nie przechowuje wrażliwych danych w zwykłych plikach ani w żadnym niezabezpieczonym mechanizmie przechowywania.

Blokada aplikacji i ochrona przed przechwytywaniem

TZUR blokuje się za pomocą Twojego kodu PIN (oraz Windows Hello, jeśli jest włączone) przy uruchomieniu i po okresie bezczynności. Interwał automatycznej blokady jest konfigurowalny (1 minuta, 10 minut, 1 godzina lub 6 godzin). Aplikacja włącza również ochronę przed przechwytywaniem ekranu na wrażliwych ekranach, aby zmniejszyć ryzyko podglądania przez ramię oraz złośliwego oprogramowania nagrywającego ekran.

Model zaufania sieci i Electrum

TZUR komunikuje się z publicznymi serwerami Electrum w celu pobierania danych z blockchaina. Serwery Electrum nie są zaufane. Pełnią one wyłącznie rolę dostawców danych. Całe konstruowanie i podpisywanie transakcji odbywa się lokalnie na Twoim komputerze. TZUR nigdy nie wysyła kluczy prywatnych, fraz seed ani danych osobowych przez sieć. Połączenia korzystają z TLS. Integralność transakcji jest weryfikowana za pomocą dowodów Merkle.

Analityka szanująca prywatność

TZUR Wallet może gromadzić anonimowe dane analityczne dotyczące użytkowania w celu ulepszenia aplikacji. Analityka jest całkowicie opcjonalna i można ją wyłączyć w dowolnym momencie w Ustawieniach.

Analityka nigdy nie obejmuje:

  • Adresów portfela ani kluczy publicznych
  • Sald kont ani danych UTXO
  • Kwot, miejsc docelowych ani historii transakcji
  • Fraz seed ani żadnego materiału kluczowego
  • Kluczy prywatnych ani ścieżek wyprowadzania
  • Tożsamości osobowej, imienia ani lokalizacji

TZUR Wallet nie zawiera reklamowych zestawów SDK, technologii śledzących podmiotów trzecich ani bibliotek do tworzenia odcisków palca (fingerprinting). Nie sprzedajemy, nie udostępniamy ani nie zarabiamy na żadnych danych użytkowników.

Odpowiedzialne ujawnianie

Jeśli wykryjesz lukę w zabezpieczeniach TZUR Wallet, zgłoś ją na adres contact@tzur.live. Traktujemy wszystkie zgłoszenia poważnie i odpowiemy niezwłocznie.

Ostatnia aktualizacja: 4/6/2026