TZURTZURTillbaka till TZUR för Windows

TZUR for Windows · Juridik

Säkerhetsprinciper

Icke-förvarande utformning

TZUR Wallet är helt icke-förvarande. Dina privata nycklar lagras aldrig på servrar, och TZUR har ingen möjlighet att komma åt, frysa eller flytta dina medel. Det finns inga konton att skapa, ingen molnlagring av plånboksdata och ingen serverlagrad uppgift om dina Bitcoin-innehav. Dina nycklar finns endast på din dator, skyddade av Windows-säkerhet och, där så är aktiverat, din dators TPM. Om TZUR:s servrar försvann i morgon skulle din Bitcoin förbli fullt åtkomlig. Du kan återställa din plånbok med din seed-fras och vilken BIP-39-kompatibel plånboksapplikation som helst.

Nyckelgenerering och härledning

Privata nycklar genereras lokalt på din dator. Kryptografisk slumpmässighet tillhandahålls av operativsystemets säkra slumptalsgenerator (BCryptGenRandom på Windows). TZUR följer BIP-32 för hierarkisk deterministisk nyckelhärledning, vilket innebär att hela din plånbok härleds från en enda huvud-seed. För adressgenerering implementerar TZUR BIP-84 för att producera Native SegWit (bech32)-adresser med härledningsvägen m/84'/0'/0'. Detta är fullständigt deterministiskt: samma seed kommer alltid att producera samma sekvens av adresser. Inget nyckelmaterial genereras någonsin på eller överförs till en fjärrserver.

Säkerhet för seed-fras

Din 12-ords seed-fras genereras lokalt enligt BIP-39-standarden. Denna seed-fras är den enda återställningsmekanismen för din plånbok. TZUR lagrar, överför eller har ingen som helst åtkomst till din seed-fras. Frasen visas en gång vid skapandet av plånboken och kan ses igen i Inställningar för säkerhetskopieringssyften. Den skickas aldrig över nätverket, skrivs aldrig till serverloggar och inkluderas aldrig i analysdata. Om du förlorar din seed-fras och din dator kan din Bitcoin inte återställas av någon, inklusive TZUR.

Minneshantering

Privat nyckelmaterial behandlas som toxiska data. Nycklar laddas från säker lagring endast när det behövs för signering av transaktioner. När transaktionen är signerad rensas allt nyckelmaterial omedelbart från minnet. Privata nycklar cachas aldrig i applikationstillståndet, skrivs aldrig till temporära filer, loggas aldrig och bevaras aldrig i oskyddad lagring.

Säker lagring

Känslig plånboksdata, inklusive den krypterade seeden, lagras i en lokal hemlighetsfil som förseglas med Windows DPAPI (Windows Data Protection API). DPAPI binder data till ditt Windows-användarkonto, så att den inte kan lyftas till en annan maskin eller bytas ut offline. På datorer utrustade med en Trusted Platform Module (TPM) kan du dessutom försegla den krypterade seeden till TPM:en. TPM-nyckeln är icke-exporterbar och lämnar aldrig hårdvaran, så en kopierad hemlighetsfil kan inte attackeras offline på en annan maskin, ens med PIN-koden. Applikationen skyddas av en PIN, härdad med PBKDF2-HMAC-SHA256 med 600 000 iterationer, och, där så finns tillgängligt, av Windows Hello. TZUR lagrar inte känsliga data i vanliga filer eller någon oskyddad lagringsmekanism.

Applåsning och skärmavbildningsskydd

TZUR låser sig bakom din PIN (och Windows Hello, där så är aktiverat) vid start och efter en period av inaktivitet. Intervallet för automatisk låsning är konfigurerbart (1 minut, 10 minuter, 1 timme eller 6 timmar). Applikationen aktiverar också skydd mot skärmavbildning på känsliga skärmar för att minska risken för shoulder-surfing och skärminspelande skadlig kod.

Nätverks- och Electrum-förtroendemodell

TZUR kommunicerar med offentliga Electrum-servrar för att hämta blockkedjedata. Electrum-servrar är inte betrodda. De fungerar endast som dataleverantörer. All transaktionskonstruktion och signering sker lokalt på din dator. TZUR skickar aldrig privata nycklar, seed-fraser eller personuppgifter över nätverket. Anslutningar använder TLS. Transaktionsintegritet verifieras med hjälp av Merkle-bevis.

Integritetsrespekterande analys

TZUR Wallet kan samla in anonym användningsanalys för att förbättra applikationen. Analys är helt valfri och kan inaktiveras när som helst i Inställningar.

Analys inkluderar aldrig:

  • Plånboksadresser eller publika nycklar
  • Kontosaldon eller UTXO-data
  • Transaktionsbelopp, destinationer eller historik
  • Seed-fraser eller något nyckelmaterial
  • Privata nycklar eller härledningsvägar
  • Personlig identitet, namn eller plats

TZUR Wallet innehåller inga annons-SDK:er, tredjepartsspårningstekniker eller fingeravtryckningsbibliotek. Vi säljer, delar eller tjänar inte pengar på några användardata.

Ansvarsfull avslöjande

Om du upptäcker en säkerhetssårbarhet i TZUR Wallet, vänligen rapportera den till contact@tzur.live. Vi tar alla rapporter på allvar och svarar snarast.

Senast uppdaterad: 4/6/2026