TZURTZURНазад к TZUR для Windows

TZUR for Windows · Правовая информация

Принципы безопасности

Некастодиальная конструкция

TZUR Wallet полностью некастодиален. Ваши приватные ключи никогда не хранятся на серверах, и TZUR не имеет возможности получить доступ к вашим средствам, заморозить или переместить их. Нет учётных записей, которые нужно создавать, нет облачного хранения данных кошелька и нет серверной записи о ваших активах в Bitcoin. Ваши ключи существуют только на вашем компьютере, защищённые средствами безопасности Windows и, где включено, TPM вашего компьютера. Если бы серверы TZUR исчезли завтра, ваши Bitcoin оставались бы полностью доступными. Вы можете восстановить свой кошелёк с помощью сид-фразы и любого совместимого с BIP-39 приложения-кошелька.

Генерация и деривация ключей

Приватные ключи генерируются локально на вашем компьютере. Криптографическая случайность обеспечивается защищённым генератором случайных чисел операционной системы (BCryptGenRandom в Windows). TZUR следует BIP-32 для иерархической детерминированной деривации ключей, что означает, что весь ваш кошелёк выводится из единого мастер-сида. Для генерации адресов TZUR реализует BIP-84 для создания адресов Native SegWit (bech32) по пути деривации m/84'/0'/0'. Это полностью детерминировано: один и тот же сид всегда будет производить одну и ту же последовательность адресов. Никакой ключевой материал никогда не генерируется на удалённом сервере и не передаётся ему.

Безопасность сид-фразы

Ваша сид-фраза из 12 слов генерируется локально в соответствии со стандартом BIP-39. Эта сид-фраза является единственным механизмом восстановления вашего кошелька. TZUR не хранит, не передаёт и не имеет какого-либо доступа к вашей сид-фразе. Фраза отображается один раз при создании кошелька и может быть просмотрена снова в Настройках для целей резервного копирования. Она никогда не отправляется по сети, никогда не записывается в серверные журналы и никогда не включается в аналитические данные. Если вы потеряете сид-фразу и свой компьютер, ваши Bitcoin не сможет восстановить никто, включая TZUR.

Работа с памятью

Материал приватных ключей рассматривается как токсичные данные. Ключи загружаются из защищённого хранилища только тогда, когда они нужны для подписи транзакции. После подписи транзакции весь ключевой материал немедленно очищается из памяти. Приватные ключи никогда не кэшируются в состоянии приложения, никогда не записываются во временные файлы, никогда не логируются и никогда не сохраняются в незащищённом хранилище.

Защищённое хранение

Конфиденциальные данные кошелька, включая зашифрованный сид, хранятся в локальном файле секретов, запечатанном с помощью Windows DPAPI (Windows Data Protection API). DPAPI привязывает данные к вашей учётной записи пользователя Windows, поэтому их нельзя перенести на другую машину или подменить офлайн. На компьютерах, оснащённых Trusted Platform Module (TPM), вы можете дополнительно запечатать зашифрованный сид в TPM. Ключ TPM не подлежит экспорту и никогда не покидает оборудование, поэтому скопированный файл секретов нельзя атаковать офлайн на другой машине, даже с PIN. Приложение защищено PIN, усиленным PBKDF2-HMAC-SHA256 с 600 000 итераций, и, где доступно, Windows Hello. TZUR не хранит конфиденциальные данные в открытых файлах или в каком-либо незащищённом механизме хранения.

Блокировка приложения и защита от захвата экрана

TZUR блокируется за вашим PIN (и Windows Hello, где включено) при запуске и после периода бездействия. Интервал автоблокировки настраивается (1 минута, 10 минут, 1 час или 6 часов). Приложение также включает защиту от захвата экрана на конфиденциальных экранах, чтобы снизить риск подглядывания через плечо и вредоносных программ для записи экрана.

Модель доверия сети и Electrum

TZUR взаимодействует с публичными серверами Electrum для получения данных блокчейна. Серверы Electrum не являются доверенными. Они служат только в качестве поставщиков данных. Всё построение и подпись транзакций происходят локально на вашем компьютере. TZUR никогда не отправляет приватные ключи, сид-фразы или персональные данные по сети. Соединения используют TLS. Целостность транзакций проверяется с помощью доказательств Merkle.

Аналитика, уважающая конфиденциальность

TZUR Wallet может собирать анонимную аналитику использования для улучшения приложения. Аналитика полностью необязательна и может быть отключена в любое время в Настройках.

Аналитика никогда не включает:

  • Адреса кошельков или публичные ключи
  • Балансы счетов или данные UTXO
  • Суммы транзакций, получателей или историю
  • Сид-фразы или любой ключевой материал
  • Приватные ключи или пути деривации
  • Сведения о личности, имя или местоположение

TZUR Wallet не включает рекламных SDK, сторонних технологий отслеживания или библиотек снятия отпечатков. Мы не продаём, не передаём и не монетизируем какие-либо данные пользователей.

Ответственное раскрытие информации

Если вы обнаружите уязвимость безопасности в TZUR Wallet, пожалуйста, сообщите об этом на contact@tzur.live. Мы относимся ко всем сообщениям серьёзно и ответим оперативно.

Последнее обновление: 4/6/2026